打造具有獨立防護系統(tǒng)的安全計算機

隨著計算機和網(wǎng)絡技術的迅猛發(fā)展和廣泛普及，各企事業(yè)單位及政府機構(gòu)的日常運營越來越依賴于信息系統(tǒng)。來自互聯(lián)網(wǎng)的各種病毒、木馬和攻擊對這些單位的信息安全構(gòu)成了重大威脅。

在形形色色的信息泄密案例中，有些是由于聯(lián)網(wǎng)的計算機被攻擊后，保存在其中的信息通過互聯(lián)網(wǎng)直接泄露出去，如CSDN信息泄露事件；有些是被內(nèi)部人員通過相關工具從內(nèi)網(wǎng)的計算機收集后再泄露出去，如斯諾登事件。加強計算機的防護能力，杜絕從外部或內(nèi)部的攻擊引起的信息泄露，成為信息安全防護的一個重點。

現(xiàn)有防護技術的缺陷

可以從計算機基礎設施、殺毒和攻擊防范軟件、加密技術、可信計算等方面來分析現(xiàn)有防范技術的缺陷和不足。

操作系統(tǒng)存在大量漏洞，容易破解和繞開訪問控制?，F(xiàn)在的計算機，如果不在BIOS進行特殊設置，可使用啟動光盤/U盤繞過Windows登錄或者USBKey認證，直接進入系統(tǒng)，從而獲取各種機密信息。而CPU等核心器件也不斷暴露出漏洞，如利用Intel 某些型號CPU中SMM模式中緩存漏洞進行安全破壞；由于AMD某些型號CPU的微碼沒有正確處理鎖定指令及寫聚合內(nèi)存類之間的事務，特制的應用可以利用此漏洞造成系統(tǒng)掛起，導致拒絕服務。

目前的殺毒和攻擊防范軟件，都是基于已知病毒漏洞的特征，建立特征庫并與懷疑軟件的特征進行比較，判斷行為的合法性。從原理上說，它無法防范新出現(xiàn)的病毒或者針對特定機構(gòu)的攻擊，如長期緩慢并且無明顯重復或者突發(fā)特征的APT攻擊。

目前普遍使用的核心加密技術，如RSA/DES/AES等加密算法為RSA等國外公司所有。而在互聯(lián)網(wǎng)上廣泛使用的IPSec/VPN/HTTPS/PKI等加密認證技術均是基于RSA等公司的算法，任何一個漏洞都會造成很大影響。

目前的可信計算尚未形成完備的實用體系，僅覆蓋從硬件到操作系統(tǒng)層。雖然TCG定義了可信網(wǎng)絡聯(lián)結(jié)（TNC），但是由于相關設備及廠家支持等問題，在網(wǎng)絡和應用程序?qū)用嫔蠠o法有效的支持，無法防范網(wǎng)絡和應用程序?qū)用嫔系墓簟?/p>

前面列舉的一些防范技術和產(chǎn)品，基本針對來自網(wǎng)絡和外部的病毒、木馬和攻擊等信息安全威脅，而對于內(nèi)部的攻擊基本無能為力。終端審計軟件雖然可以防止敏感信息通過計算機終端泄漏，但是無法防范授權用戶的一些蓄意行為造成的信息泄露，如授權用戶登錄涉密計算機后允許非授權用戶操作計算機，授權用戶使用照相機和手機等設備拍攝涉密信息等。

計算機終端進行物理隔離的必要性

頂層的云應用和服務是基于一些典型產(chǎn)品的，包括以防火墻為代表的網(wǎng)絡安全設備、以VPN為代表的安全接入產(chǎn)品、以CA/PKI為代表的安全認證技術、以SaaS/IaaS為代表的虛擬系統(tǒng)。這些產(chǎn)品是由一些基礎技術構(gòu)建的，如CPU/芯片、操作系統(tǒng)、加密技術、虛擬技術網(wǎng)絡協(xié)議、數(shù)據(jù)庫等，這些技術基本被美國公司所掌握，如Intel、MicroSoft、RSA、VMWare、Cisco、Oracle等，而這些公司被NSA通過美國國內(nèi)法規(guī)強令留出監(jiān)控接口，或者植入帶有后門的算法?？上攵?，任何使用該技術的設備一旦連接互聯(lián)網(wǎng)，對NSA及掌握相關技術的機構(gòu)或個人，毫無機密可言。

由此可見，在相關的基礎架構(gòu)沒有根本改變、核心技術沒有掌握在國內(nèi)的情況下，只有采用物理隔離，使處理和保持機密數(shù)據(jù)的計算機不和互聯(lián)網(wǎng)連接，才能保證信息免除泄漏的威脅。

基于上述原因，市場上出現(xiàn)了一些隔離產(chǎn)品，如以網(wǎng)閘為代表的網(wǎng)絡隔離設備。計算機終端產(chǎn)品有基于隔離卡的雙網(wǎng)機，它利用操作系統(tǒng)的休眠和睡眠功能，主機分別工作于內(nèi)網(wǎng)或者外網(wǎng)，達到雙網(wǎng)工作的目的。但從原理上，它有一些明顯的安全隱患，如內(nèi)、外網(wǎng)共享CPU和主板，有隱蔽信道；內(nèi)、外網(wǎng)必須在同樣CPU架構(gòu)下工作；內(nèi)、外網(wǎng)不能同時工作；網(wǎng)線易誤插導致泄密等。因此，基于隔離卡的雙網(wǎng)機不能用于較高保密要求的場合。

獨立防護系統(tǒng)的必要性

在普通計算機上安裝殺毒/防護軟件的普通防護方式代價最小。但是來自操作人員和外部網(wǎng)絡的攻擊可以損壞硬件、BIOS操作系統(tǒng)，包括殺毒軟件本身?；诂F(xiàn)有病毒特征庫的防護方式，對于日新月異的0day攻擊，很難做到有效防護。

基于可信計算的防護方式，目前有國際上的TPM和我國自主的TCM兩套體系。它們的原理基本一致，即通過從可信根開始的完整性度量，保證PC從加電起，其上運行的每一個硬件、操作系統(tǒng)以及應用軟件都是可信的，使計算機不會受到病毒、木馬的威脅。具體實現(xiàn)時，它在BIOS層增加了一個硬件模塊，完成加密、Hash計算和產(chǎn)生隨機數(shù)等基本安全相關算法。由于不依賴于主機操作系統(tǒng)及上層軟件，它可以有效驗證和保護從硬件自檢到操作系統(tǒng)引導的過程。但是由于相關設備及軟件支持等問題，在網(wǎng)絡和應用程序?qū)用嫔蠠o法有效的支持，當操作系統(tǒng)引導結(jié)束后，來自操作人員和外部網(wǎng)絡的攻擊仍然可以損壞操作系統(tǒng)到上層軟件，包括建立在操作系統(tǒng)之上的一些防護功能，如數(shù)據(jù)加密等，不能達到有效保護的作用。

鑒于上述兩種防護方式的缺陷，我們建議采用一個獨立的安全防護系統(tǒng)，運行于獨立的硬件和操作系統(tǒng)之上，不受計算機主機本身運行狀態(tài)影響，也不會被普通操作人員行為和外部網(wǎng)絡病毒和攻擊的影響，即使在主機受到侵害的情況下，仍然可以完成設定的防護功能。

超安全計算機架構(gòu)

基于現(xiàn)有網(wǎng)絡基礎架構(gòu)的缺陷，以及現(xiàn)有計算機終端防護方式的不足，我們設計了一種不同于目前計算機終端的超安全計算機架構(gòu)。

該架構(gòu)擁有獨立的、徹底物理隔離的雙主機，在一個機箱內(nèi)嵌入了兩套獨立的主機，分別用于需要處理機密數(shù)據(jù)的內(nèi)部網(wǎng)絡，以及需要大量訪問外部信息并和外界溝通的外部網(wǎng)絡。兩套主機間只共享鍵盤、鼠標和顯示器，其他部件都是獨立的，不存在任何隱蔽信道和共享存儲器，確保雙網(wǎng)的徹底隔離。網(wǎng)口使用防誤插設計，主機1和主機2的網(wǎng)線不能通用，杜絕了誤插造成的泄密。使用異形U口設計，內(nèi)外網(wǎng)的USB存儲器不能通用，杜絕了誤插造成的泄密。

該架構(gòu)擁有獨立于主機的安全防護系統(tǒng)。機箱內(nèi)嵌了一個獨立于主機的安全防護系統(tǒng)，運行于單獨的硬件和操作系統(tǒng)之上。

它獨立完成下列防護功能：身份鑒別。只有通過指紋識別和人臉識別后，才可以給主機上電。這兩種身份鑒別信息都是難以偽造的，達到甚至超過了GBT 22239-2008中8.1.3.1 身份鑒別（S4）的要求；且該認證是在主機上電之前進行的，這個階段任何病毒或漏洞是不起作用的；安全審計。安全防護系統(tǒng)全程審計用戶的操作，由于審計不運行在主機上，這個行為不會因為計算機用戶的操作或者外部網(wǎng)絡的攻擊而中斷。審計日志保存在防護系統(tǒng)中，普通用戶和管理員都不可篡改；達到了GBT 22239-2008中7.1.3.3 安全審計（G3）的要求；物理安全防護。采取了多項措施確保計算機終端本身的物理安全。首先，防護系統(tǒng)具備機箱防破拆功能，當監(jiān)控到試圖非法開啟機箱或者暴力破拆時，進行告警和相關的防護行動。其次，利用衛(wèi)星和基站雙站定位進行機箱位置管控，方便管理員進行集中管控。然后，使用無線數(shù)據(jù)實現(xiàn)主機狀態(tài)掌控。最后，利用短信實時監(jiān)控，進行異常狀態(tài)告警，或者實施如數(shù)據(jù)自毀等防護指令；訪問控制。安全防護系統(tǒng)設置了3種不同的用戶身份：普通用戶只能操作主機，不能改變防護系統(tǒng)的功能；管理員可以并配置安全防護功能；審計員則監(jiān)督普通用戶和管理員的操作。這樣做到了用戶管理，三權分立，達到了GBT 22239-2008中7.1.3.2 訪問控制（S3）的要求。