等保2.0下可信計算研究與測評探討

◆何金軍 王旭 鄒俊

（上海市網(wǎng)絡(luò)技術(shù)綜合應(yīng)用研究所 上海 200336）

隨著新技術(shù)、新應(yīng)用的發(fā)展，系統(tǒng)上云成為一種趨勢，但由于云環(huán)境中虛擬化資源的高度集中、共享，現(xiàn)實網(wǎng)絡(luò)環(huán)境安全漏洞百出，使得建立安全可信且具有主動免疫防御能力的系統(tǒng)成為新安全需求。

1 可信計算簡介

現(xiàn)階段網(wǎng)絡(luò)安全問題多樣，面對這些安全威脅，傳統(tǒng)的防護(hù)手段主要依賴防火墻、入侵檢測系統(tǒng)和惡意代碼防護(hù)工具等被動防御手段。而攻擊者層出不窮的攻擊手段和不斷涌現(xiàn)的新型漏洞，使得傳統(tǒng)的被動防護(hù)措施難以適應(yīng)當(dāng)今復(fù)雜的網(wǎng)絡(luò)環(huán)境。

國內(nèi)外學(xué)者通過多年的研究和實踐，提出了可信計算的基本思想：在計算平臺創(chuàng)建一個可信根，再建立從底層硬件平臺到操作系統(tǒng)直至應(yīng)用系統(tǒng)的信任鏈，逐級別的對每個執(zhí)行環(huán)節(jié)進(jìn)行度量，并驗證系統(tǒng)的可信性是否遭到破壞，從而使系統(tǒng)環(huán)境變得安全可信[1]。可信計算的發(fā)展歷程及主要特征如表1 所示。在可信1.0 階段，主要考慮的是通過冗余備份的方式提高系統(tǒng)的可用性。在可信2.0 階段則通過提供可信組件接口，實現(xiàn)被動度量的防護(hù)能力。當(dāng)今，我國已進(jìn)入可信3.0 時代，由我國自主設(shè)計的運算和防護(hù)并行的雙體系結(jié)構(gòu)，具有對業(yè)務(wù)應(yīng)用透明的特性，通過將被動模式變?yōu)橹鲃幽Ｊ?，增加了網(wǎng)絡(luò)信息系統(tǒng)的主動免疫防護(hù)功能，其思想是“安全可信策略管控下的運算和防護(hù)并存的主動免疫的新計算體系結(jié)構(gòu)”[2]。

表1 可信計算發(fā)展歷程

2 云環(huán)境下可信計算安全框架

云計算作為可信計算當(dāng)前的重點應(yīng)用方向，存在諸多的安全問題，如資源隔離失效、系統(tǒng)漏洞、非法篡改、數(shù)據(jù)泄露、虛擬機(jī)遷移攻擊、虛擬機(jī)逃逸、虛擬機(jī)鏡像攻擊等。針對云環(huán)境下存在的各類安全問題，我國創(chuàng)新性提出一種基于可信計算的云安全框架[3]。該框架以商密算法為基礎(chǔ)構(gòu)建可信計算密碼模塊（TCM），以實現(xiàn)身份鑒別、狀態(tài)度量及加密存儲等功能，特別強(qiáng)調(diào)可信計算的重要作用，為構(gòu)建“自主可信、可管、可控”的防護(hù)能力提供支撐。相對于可信2.0 被動度量的外掛式設(shè)計結(jié)構(gòu)，我國在可信計算領(lǐng)域開創(chuàng)性地構(gòu)建出以硬件可信芯片為支柱、可信網(wǎng)絡(luò)連接（TNC）為紐帶、安全可信策略管控等多重防護(hù)保障的安全可信雙體系結(jié)構(gòu)[2]。雙體系架構(gòu)主要包括計算部件和可信防護(hù)部件兩大塊，目的是通過可信的防護(hù)部件度量并監(jiān)控計算部件的狀態(tài)。該架構(gòu)以商用密碼體系為基礎(chǔ)，進(jìn)而建立可信密碼模塊（TCM）。可信平臺控制模塊（TPCM）是在可信平臺模塊（TPM）的基礎(chǔ)上融合可信源根實現(xiàn)對整個平臺的主動度量控制，TPM 提供了3 個可信根，其中可信度量根（RTM）用于度量檢測對象的狀態(tài)；可信存儲根（RTS）用于保護(hù)存儲在TPM 之外的信息，如度量結(jié)果值和密鑰等；可信報告根則用于對TPM 的狀態(tài)及數(shù)據(jù)信息進(jìn)行簽名校驗[4]?？尚跑浖═SB）對整個體系結(jié)構(gòu)而言起著承上啟下的重要作用，它向上用于保護(hù)宿主操作系統(tǒng)等基礎(chǔ)軟件及應(yīng)用程序的安全，向下則是對TPCM 進(jìn)行管理并承接可信鏈的傳遞[5]。為了使系統(tǒng)具有主動免疫的防護(hù)能力，TSB 通過構(gòu)建雙系統(tǒng)體系結(jié)構(gòu)，同宿主操作系統(tǒng)并行，并在TPCM 的作用下實現(xiàn)系統(tǒng)內(nèi)部進(jìn)行主動攔截和度量保護(hù)等手段，使系統(tǒng)免疫于已知及未知的安全威脅，從而改變了傳統(tǒng)的“封堵查殺”等被動防護(hù)思路。

3 可信驗證測評探討

等保2.0相關(guān)標(biāo)準(zhǔn)的實施使得可信計算作為重大變化映入大眾的視野中，通過對比標(biāo)準(zhǔn)中二、三級可信驗證部分的要求[6-7]，可發(fā)現(xiàn)三級比二級的要求區(qū)別主要體現(xiàn)在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)是否進(jìn)行動態(tài)的可信驗證。可信驗證包括度量、驗證過程，度量即通過如哈希算法等計算所檢測客體或應(yīng)用的消息摘要，針對文件等靜態(tài)信息和系統(tǒng)運行時開啟的進(jìn)程、內(nèi)存變動等又可分為靜態(tài)度量和動態(tài)度量。驗證則是將度量后的值與可信基準(zhǔn)庫中的參考值進(jìn)行比對，一致則表示驗證成功，否則驗證不通過，可信性將會受到破壞。

通過研究具有主動免疫防御能力的可信云安全框架、等保2.0 標(biāo)準(zhǔn)中的可信計算要求，可以明確安全可信產(chǎn)品應(yīng)具備的功能，比如產(chǎn)品基于可信根下具有可信度量驗證、可信審計、可信管理、可信密碼算法等功能。針對云環(huán)境下的可信，云平臺自身的可信性是保證云計算安全的基礎(chǔ)，除了提供可信的服務(wù)外，不僅要保證云平臺自身可信，如設(shè)備固件、虛擬機(jī)、操作系統(tǒng)等，而且還需保證云上的應(yīng)用以及云租戶的運行環(huán)境與應(yīng)用可信[8]。然而，我國目前處于可信計算推廣應(yīng)用的初期階段，對于可信性測評缺乏專門的評測機(jī)構(gòu)和評測工具，而且可信性測評的經(jīng)驗也不夠完善。另一方面，由于無專業(yè)的可信驗證檢測工具，無法去驗證設(shè)備產(chǎn)品或應(yīng)用程序是否滿足可信驗證要求，因此，對于購買了可信產(chǎn)品、可信服務(wù)的用戶，在測評時主要查看其產(chǎn)品的白皮書介紹、查看設(shè)備是否具備公安部頒發(fā)的銷售許可證及國家密碼管理主管部門頒發(fā)的商用密碼產(chǎn)品銷售許可證、日志審計記錄、安全角色劃分情況、可信驗證失敗的告警記錄等信息。總體而言，測評時關(guān)注的點如表2 所示。

表2 等保2.0 中二、三級可信驗證測評關(guān)注點

4 結(jié)束語

無論是云計算系統(tǒng)還是傳統(tǒng)系統(tǒng)，可信并不意味著安全，還需要結(jié)合安全策略、訪問控制策略以及人的因素進(jìn)行綜合考慮，以確保業(yè)務(wù)信息和系統(tǒng)服務(wù)的安全可信。