二.等保2.0关于可信要求的解读以及相关标准
2.1、等保2.0关于可信要求部分
《GB/T22239-2019 信息安全技术网络安全等级保护基本要求》(等保2.0),确立了可信计算技术的重要地位。等保2.0的一至四级均新增“可信验证”控制点。主要在三个领域:计算环境可信、网络可信、接入可信。通过可信计算技术来实现对系统中应用和配置文件参数进行验证,保障系统在可信环境下运行。
2.2、可信计算相关标准
我国可信计算起步较早,国家密码管理局于2007年12月在国密局公告第13号中发布了《可信计算密码支撑平台功能与接口规范》,这是我国第一个可信计算行业标准。经过10多年的发展演进,目前可信计算标准已由TCM 1.0全面向TCM 2.0演进,密标委组织制定了支撑可信计算密码应用的机制、协议、接口的相关标准体系,包括:
《GM/T 0011-2012 可信计算 可信密码支撑平台功能与接口规范》;
《GM/T 0012-2020可信计算 可信密码模块接口规范》;
《GM/T 0013-2021可信计算 可信密码模块接口符合性测试规范》;
《GM/T 0058-2018 可信计算TCM服务模块接口规范》;
《GM/T 0079-2020 可信计算平台直接匿名证明规范》;
《GM/T 0082-2020可信密码模块保护轮廓》;
《GB/T 29829-2022 信息安全技术 可信计算密码支撑平台功能与接口规范》;
国际上,2015年国际可信计算组织(Trusted Computing Group,TCG)制定的TPM 2.0 Library Specification正式成为ISO/IEC 11889国际标准,并且首次在ISO国际标准中成体系支持中国密码算法SM2/SM3/SM4。
三.融安网络可信计算产品解决方案
3.1、可信主机安全加固系统
融安网络可信主机安全加固系统是一款基于操作系统内核层开发的安全加固软件。该软件提供对可信计算的支持,可对上层应用程序提供可信启动、动态监控等功能。该软件工作在最贴近用户数据的操作系统层面,不仅可以避免外部的黑客攻击,同样可以预防来自内网攻击的风险。
主机安全加固系统采用ROST(操作系统加固)技术和三权分立思想,具有完整的用户身份鉴别,访问权限控制、外设控制、完整性校验、日志审计的功能,并且采用集中式管理,克服了分布式系统在管理上的诸多问题,规避了原系统管理员“一权独大”的风险,实现从根本上免疫各类病毒、木马和黑客攻击。
该系统还与其他安全产品形成良好的互补,完善当前国内用户整体安全解决方案中最为重要的环节,填补了国内长期在操作系统层面安全产品的空白,并符合国家等级保护、分级保护以及电力、轨交、石油石化等多个行业的网络安全建设要求。
可信主机安全加固系统防护架构
3.2、可信加固安全模块
融安网络可信主机安全加固系统由可信启动、可信终端安全模块、可信安全管理中心等组成。其中,可信终端安全模块由可信根及可信软件基两部分组成。可信根又分成硬件和软件两种形态,硬件是以板卡的形式内置于可信计算节点中,软件则是集成到可信软件基中,均应提供密码支撑、策略保护的功能;可信软件基可基于可信根实现对操作系统引导程序、系统程序、应用程序、重要配置参数的可信验证。
可信终端安全模块对操作系统、业务系统是透明的,不对操作系统和业务系统的功能产生影响。可信安全管理中心实现对多个可信计算节点的集中管理,提升管控效率,在可信计算节点较多时选配。
可信主机安全加固功能模块组成图
3.3、可信度量过程说明
基于传统技术缺点:
一是基于传统的可信度量方式,需要对原有软硬件进行较大的改动,如采用可信芯片、修改BIOS等。带来巨大的维护成本,一旦出现不兼容问题,会导致无法正常启动系统。
二是通过反向度量机制实现可信引导方法,没有在内核加载启动前对内核关键文件进行可信度量,按照等保三级标准,不能严格遵循可信计算规范对信任链传递的要求,安全级别较低。
融安网络主机安全加固系统硬可信产品模块应用产品支持两种形态的硬可信模块,模块使用国密可信密码模块安全芯片。基于GRUB的可信度量机制,可以在最大程度上降低对主机改造带来的影响,包括:
将可信度量放在BIOS启动之后的GRUB引导程序中;
采用支持PCIe或USB接口的可插拔硬件可信模块。
四.核心功能
4.1、可信白名单
可信白名单可以有效实现对未知程序的拦截,可信白名单是指规则中设置的允许执行的名单列表。“应用程序白名单”是一组应用程序名单列表,在此列表中的应用程序是允许在系统中运行,不受控制。可信白名单通过静态度量和动态度量两种方式,根据可信基准库特征值匹配,对不符合条件的进程或动态库进行拦截。
软可信根可以基于可信软件基对系统进程进行动态和静态的可信验证,动态验证可以对进程内存中的只读数据段、代码段进行可信验证;静态验证则对进程文件进行国密算法的验证。
4.2、双因子身份认证功能
双因子认证是指结合系统密码和实物(UKEY、动态口令等)两种条件对用户进行身份认证的方法。目前系统主要实现了基于UKEY和动态口令方式的双因子认证方式。
4.3、 USB外设控制功能
USB外设访问控制功能提供内网USB管理,支持对U盘的认证、权限设置以及行为记录,从而实现对内网U盘的行为管理。
五.用户价值体现
(一)满足国家、行业针对主机安全的政策法规和技术要求,提高了主机安全防护水平;
(二)实现主动防御,以可信白名单技术为基础,利用访问控制技术为核心全面保障服务器安全,彻底免疫各种病毒、木马和黑客攻击行为;
(三)从根本上解决了因操作系统自身漏洞带来的安全隐患,拦截内、外网针对服务器的各类攻击,有效防止了利用内、外部用户权限而达到入侵服务器的行为。返回搜狐,查看更多