可信安全體系第1頁/共43頁目錄結(jié)構(gòu)性安全可信安全體系12關(guān)鍵技術(shù)及產(chǎn)品應(yīng)用案例34第2頁/共43頁通訊系統(tǒng)信息的C.I.A信息安全保障計算機系統(tǒng)密碼技術(shù)TCSECTCB安全評估、監(jiān)測、監(jiān)控、容災(zāi)備份、運行安全信息系統(tǒng)安全的發(fā)展關(guān)注信息的CIA、用戶授權(quán)、訪問控制、審計信息系統(tǒng)防火墻、防病毒、入侵檢測、漏洞掃描、IDS…40-70年代70-80年代90年代以來從人員管理、環(huán)境安全、技術(shù)安全多視角關(guān)注第3頁/共43頁公共網(wǎng)絡(luò)網(wǎng)絡(luò)系統(tǒng)節(jié)點主體、客體核心網(wǎng)絡(luò)區(qū)域運營資源網(wǎng)絡(luò)信息系統(tǒng)現(xiàn)狀訪問控制交換遞交第4頁/共43頁脆弱性安全防護(hù)體系技術(shù)路線以對系統(tǒng)脆弱性的安全防護(hù)為出發(fā)點，通過采用不同的技術(shù)方案，實現(xiàn)對系統(tǒng)脆弱性的修補、阻斷或防范，以避免脆弱性被利用或觸發(fā)，從而保障系統(tǒng)的正常運行。2.現(xiàn)有方案補漏洞——補丁、升級增加防護(hù)設(shè)備防火墻防病毒軟件入侵檢測漏洞掃描。。。第5頁/共43頁脆弱性安全的特點面向威脅的防護(hù)技術(shù)以對系統(tǒng)脆弱性的安全防護(hù)為出發(fā)點多樣化的防護(hù)技術(shù)軟件、硬件補丁、設(shè)備、規(guī)章制度、。。。被動防御新的攻擊方式新的防護(hù)方案各自為政頭痛醫(yī)頭，腳痛醫(yī)腳松散的防護(hù)體系缺乏統(tǒng)籌、缺乏關(guān)聯(lián)第6頁/共43頁a、被動式防御手段力不從心現(xiàn)有信息系統(tǒng)的安全體系遠(yuǎn)沒有達(dá)到人們預(yù)期的水平！

b、脆弱性安全防護(hù)模型越來越“脆弱”漏洞越堵越多、防火墻越砌越高策略越來越復(fù)雜桌面系統(tǒng)越來越龐大兼容性越來越差面臨的問題1、系統(tǒng)的問題系統(tǒng)越來越龐大訪問控制越來越復(fù)雜互操作性越來越差運行效益低下管理成本越來越高2、安全的問題第7頁/共43頁技術(shù)原因系統(tǒng)建設(shè)標(biāo)準(zhǔn)不一致，互操作性差PC機軟、硬件結(jié)構(gòu)簡化，導(dǎo)致資源可任意使用通訊協(xié)議存在缺陷對病毒木馬的防護(hù)有滯后性缺陷對合法的用戶沒有進(jìn)行嚴(yán)格的訪問控制，可以越權(quán)訪問脆弱性安全防護(hù)模型強調(diào)安全功能的多樣性和安全保障的強度，而無法保證安全功能的有效性，致使安全機制本身存在被篡改或破壞的可能。第8頁/共43頁2005年（PITAC）

：（CyberSecurity:ACrisisof

Prioritization）報告中談到如下的觀點：PITAC認(rèn)為包括軍隊的信息系統(tǒng)（例如GIG）在內(nèi)所有的可信信息系統(tǒng)和國家基礎(chǔ)設(shè)施信息化系統(tǒng)處在廣泛地危險之中，長期采用的打補丁和消除信息系統(tǒng)脆弱性的安全策略，不但沒有改善信息系統(tǒng)的安全，而且脆弱性正在迅速地擴張。在廣泛系統(tǒng)互聯(lián)及其內(nèi)外界限越來越模糊情況中，傳統(tǒng)區(qū)分內(nèi)外關(guān)系的邊界防護(hù)測量得到了嚴(yán)重挑戰(zhàn)。必須要對信息化極其安全進(jìn)行基礎(chǔ)性、整體性的深入研究，探詢根本上解決問題的方法，探詢新安全理論、模型和方法。

PITAC提出十個方面的問題：研究大范圍、大規(guī)模的認(rèn)證與鑒別技術(shù)對網(wǎng)絡(luò)世界基礎(chǔ)設(shè)施進(jìn)行安全再整理與再研究在軟件工程方面引入安全研究，建立新的軟件工程學(xué)。在系統(tǒng)整體上去解決安全問題（研究如何利用可信與非可信部件來建立安全體系），加強總體學(xué)與體系結(jié)構(gòu)研究實現(xiàn)更加普遍和大范圍的監(jiān)管與監(jiān)控（基于行為檢測模型上網(wǎng)絡(luò)行為監(jiān)管與監(jiān)控）實現(xiàn)更有效地減災(zāi)和恢復(fù)實現(xiàn)基于行為檢測、取證打擊網(wǎng)絡(luò)犯罪支持信息安全新技術(shù)實驗與測試支持開展信息安全測評認(rèn)證工作開展網(wǎng)絡(luò)安全的非技術(shù)問題的廣泛研究（包括社會與網(wǎng)絡(luò)行為學(xué)研究）國際趨勢第9頁/共43頁革新安全思路從關(guān)注面向脆弱性安全到關(guān)注結(jié)構(gòu)性安全。從關(guān)注面向威脅到面向能力的建設(shè)。從關(guān)注數(shù)據(jù)與系統(tǒng)安全防護(hù)到關(guān)注運營安全和可信秩序的建立。安全思路：研究總體和體系結(jié)構(gòu)，把安全建立在不信任和信任的互相懷疑的基本理念基礎(chǔ)之上，采用結(jié)構(gòu)性安全體系，解決整體系統(tǒng)安全。第10頁/共43頁通訊系統(tǒng)信息的C.I.A結(jié)構(gòu)性安全：建立網(wǎng)絡(luò)虛擬世界可信有序環(huán)境信息安全保障計算機系統(tǒng)密碼技術(shù)TCSECTCB安全評估、監(jiān)測、監(jiān)控、容災(zāi)備份、運行安全發(fā)展歷程關(guān)注信息的CIA、用戶授權(quán)、訪問控制、審計信息系統(tǒng)防火墻、防病毒、入侵檢測、漏洞掃描、IDS…40-70年代70-80年代90年代以來從人員管理、環(huán)境安全、技術(shù)安全多視角關(guān)注基于可信計算、密碼、鑒別認(rèn)證、訪問控制、審計、安全管理等技術(shù)構(gòu)建結(jié)構(gòu)性安全第11頁/共43頁不同于脆弱性安全，結(jié)構(gòu)性安全不以對系統(tǒng)脆弱性的安全防護(hù)為出發(fā)點，而是從多個粒度入手，以主動的基礎(chǔ)信任體系作為支撐，從整體的關(guān)聯(lián)關(guān)系角度出發(fā)，定制安全基線，將脆弱性問題的發(fā)生及危害程度限制在一定區(qū)域和范圍，并能對其進(jìn)行精準(zhǔn)的捕獲。

目的：將多種保護(hù)機制相互關(guān)聯(lián)、相互支撐、相互制約、通過相互之間的結(jié)構(gòu)性關(guān)系，提高健壯性。把計算機網(wǎng)絡(luò)這個虛擬世界變成一個有序、可認(rèn)證、可管理且可追蹤控制的空間?？尚虐踩砟?結(jié)構(gòu)性安全第12頁/共43頁13體系化導(dǎo)向變被動為主動關(guān)注于多種保護(hù)機制的緊密關(guān)聯(lián)、相互支撐、相互制約基于數(shù)字標(biāo)簽劃分安全域，實現(xiàn)細(xì)粒度訪問控制一體化安全管理可信安全體系體系化結(jié)構(gòu)性安全的基礎(chǔ)體系化結(jié)構(gòu)性安全第13頁/共43頁

1.細(xì)粒度的訪問控制 主體、客體、節(jié)點、網(wǎng)絡(luò)可標(biāo)識、可認(rèn)證

2.強關(guān)聯(lián) 相互配合，群體作戰(zhàn)3.高整體效益體系化的結(jié)構(gòu)性安全

4.可被驗證的基礎(chǔ)信任體系保障安全機制的有效性

5.精準(zhǔn)的捕獲能力發(fā)現(xiàn)，定位、追蹤、打擊實現(xiàn)目標(biāo)第14頁/共43頁等級保護(hù)體系架構(gòu)——一個中心，三重防護(hù)安全管理中心安全計算環(huán)境安全區(qū)域邊界安全通信網(wǎng)絡(luò)現(xiàn)有架構(gòu)第15頁/共43頁目錄結(jié)構(gòu)性安全可信安全體系12關(guān)鍵技術(shù)及產(chǎn)品應(yīng)用案例34第16頁/共43頁可信安全體系以可信根為基礎(chǔ)，致力于通過可信鏈的建立，通過標(biāo)簽技術(shù)，保障計算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò)的安全，從而實現(xiàn)一個可信、有序、易管理的安全保護(hù)環(huán)境，為信息系統(tǒng)的安全功能和安全保證提供整體解決方案，從根本上提高系統(tǒng)的安全保護(hù)能力；可信安全體系通過實現(xiàn)體系化結(jié)構(gòu)性安全防護(hù)，將脆弱性行為限制在小的區(qū)域，限制脆弱性行為造成的安全危害；可信安全體系第17頁/共43頁可信安全體系結(jié)構(gòu)化TCBTCMLACLab核心擴展結(jié)構(gòu)訪問控制代理可信網(wǎng)關(guān)代理結(jié)構(gòu)訪問控制主體結(jié)構(gòu)訪問控制可信網(wǎng)關(guān)主體可信網(wǎng)關(guān)TCM代理認(rèn)證代理監(jiān)管代理TCM代理管理者可信管理平臺主體資源管理中心監(jiān)管代理管理者可信監(jiān)管平臺主體監(jiān)管中心認(rèn)證代理管理者可信認(rèn)證平臺主體認(rèn)證中心第18頁/共43頁體系目標(biāo)可驗證的基礎(chǔ)信任體系——基于可信技術(shù)，確保用戶身份可信、平臺可信、用戶行為可信細(xì)粒度的訪問控制主體、客體、節(jié)點、網(wǎng)絡(luò)可標(biāo)識、可認(rèn)證。用戶分級、系統(tǒng)分域、網(wǎng)絡(luò)分域、應(yīng)用分域，可實現(xiàn)跨域訪問控制?？尚啪W(wǎng)絡(luò)連接基于可信技術(shù)，集身份認(rèn)證、數(shù)字標(biāo)簽和傳輸控制于一體，從底層開始，實現(xiàn)端到端的統(tǒng)一安全標(biāo)記，在機制上屏蔽了可能的各種未知惡意攻擊可信數(shù)據(jù)交換基于數(shù)字標(biāo)簽是吸納不同安全等級、不同級別的區(qū)域安全可控的互聯(lián)互通。一體化的安全管理，整體安全效應(yīng)最大化不同安全產(chǎn)品相互關(guān)聯(lián)、相互支撐、相互制約，通過相互之間的結(jié)構(gòu)性關(guān)系，來提供系統(tǒng)整體的安全性。第19頁/共43頁操作系統(tǒng)OS裝載程序主引導(dǎo)記錄可信BIOS開機加電可信BIOS主引導(dǎo)記錄OS裝載程序操作系統(tǒng)敏感信息系統(tǒng)工具應(yīng)用程序開機加電用戶身份卡敏感信息應(yīng)用程序

網(wǎng)絡(luò)可信安全模塊TCM可信安全模塊TCM系統(tǒng)加電1.計算環(huán)境的完整性：為系統(tǒng)中的主客體（用戶、BIOS、進(jìn)程、敏感信息、網(wǎng)絡(luò)）打上數(shù)字標(biāo)簽，并為主客體生成預(yù)期值，指定主體的行為規(guī)則；2.信任鏈傳遞機制的度量與評估：對系統(tǒng)中主客體采用基于標(biāo)簽的可信度量，通過一級度量一級，一級驗證一級，確保主體的行為是可被度量，當(dāng)前系統(tǒng)的運行環(huán)境可被計算和證明?？沈炞C的基礎(chǔ)信任體系第20頁/共43頁---可驗證的基礎(chǔ)信任體系可信引導(dǎo)模塊BIOSMBROSLoaderOSKernelService&APP普通計算機普通計算機安全加固可信安全計算機TCM模塊認(rèn)證模塊BIOSMBROSLoaderOSKernelService&APPOSKernelBIOSMBROSLoader完整性度量模塊Service&APP安全起點安全起點可信根系統(tǒng)引導(dǎo)完整性系統(tǒng)應(yīng)用、服務(wù)、內(nèi)核、安全機制完整性沒有任何加固,按照標(biāo)準(zhǔn)方式啟動基于軟件的方式進(jìn)行加固,安全機制會被旁路篡改基于底層的硬件加固,軟件硬件相結(jié)合,無法繞過可驗證的基礎(chǔ)信任體系第21頁/共43頁

用戶B客體1客體n客體1……主體B主體A可信安全計算機

TCM主體D主體C客體1客體1客體n……

用戶A客體n客體n…………用戶A信任的運行環(huán)境用戶B信任的運行環(huán)境不信任運行環(huán)境用戶身份可信:插卡開機用戶行為可信:受信任主體有序管理和運行，非信任主體不運行

受信任主體被攻擊篡改，自動修復(fù)

與平臺身份結(jié)合的文件加密存儲

系統(tǒng)鎖定及端口控制

用戶行為可信監(jiān)管平臺可信:基于TCM模塊的測量可信根、存儲可信根、報告可信根與完整的信任鏈，

保護(hù)安全機制不被旁路。細(xì)粒度訪問控制系統(tǒng)內(nèi)細(xì)粒度（用戶、主體、客體）分級分域和訪問控制第22頁/共43頁安全域A安全域B安全域C安全域訪問控制系統(tǒng)網(wǎng)絡(luò)分級分域安全域的劃分安全域隔離與訪問控制終端準(zhǔn)入控制細(xì)粒度訪問控制第23頁/共43頁可信網(wǎng)絡(luò)連接結(jié)構(gòu)用戶終端可信接入網(wǎng)關(guān)安全策略管理中心安全修補服務(wù)器修補成功發(fā)送安全信息申請上網(wǎng)安全評估需要修補內(nèi)容未通過修補信息庫審核分級分域授權(quán)允許上網(wǎng)訪問控制終端開機認(rèn)證可信校驗與可信鏈傳遞平臺鑒別通過認(rèn)證未通過認(rèn)證采取相應(yīng)安全策略平臺身份完整性獲取權(quán)限通過申請入網(wǎng)第24頁/共43頁中心服務(wù)區(qū)交換區(qū)接入?yún)^(qū)接入報送終端（可信安全終端）交換機交換機交換機路由器可信交換網(wǎng)關(guān)接入終端1、完整性信任評估2、網(wǎng)絡(luò)準(zhǔn)入控制3、訪問控制（標(biāo)簽）4、安全交換（標(biāo)簽）5、受信任主體訪問

代理服務(wù)器（可信安全服務(wù)器）報送服務(wù)器（可信安全服務(wù)器）基于數(shù)據(jù)標(biāo)簽的可信數(shù)據(jù)交換基于數(shù)字標(biāo)簽的可信交換第25頁/共43頁

建立安管中心實現(xiàn)一體化安全管理，包括系統(tǒng)管理、安全管理、審計管理。系統(tǒng)管理實現(xiàn)對系統(tǒng)資源和運行配置的控制和管理；安全管理對系統(tǒng)中用戶和資源進(jìn)行統(tǒng)一的標(biāo)記管理，配置一致的安全策略，進(jìn)行統(tǒng)一的認(rèn)證管理；審計管理對分布在系統(tǒng)各個組成部分的安全審計機制進(jìn)行集中管理。

系統(tǒng)管理、安全管理、審計管理相互關(guān)聯(lián)、相互支撐、相互制約，實現(xiàn)全系統(tǒng)一體化的安全管理。一體化安全管理第26頁/共43頁目錄結(jié)構(gòu)性安全可信安全體系12關(guān)鍵技術(shù)及產(chǎn)品應(yīng)用案例34第27頁/共43頁可信安全體系關(guān)鍵技術(shù)可信計算技術(shù)基于標(biāo)簽的訪問控制技術(shù)基于標(biāo)簽的數(shù)據(jù)交換技術(shù)一體化安全管理等等可信安全體系為安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心的具體實現(xiàn)提供技術(shù)支撐第28頁/共43頁可信計算技術(shù)是可信安全體系的基礎(chǔ)，從可信根出發(fā)，解決計算機結(jié)構(gòu)簡化引起的安全問題。主要思路是在計算機主板上嵌入安全芯片，度量硬件配置、操作系統(tǒng)、應(yīng)用程序等整個平臺的完整性，并采用信任鏈機制和操作系統(tǒng)安全增強等綜合措施，強化軟、硬件結(jié)構(gòu)安全，保證安全機制的有效性，從整體上解決計算機面臨的脆弱性安全問題?？尚庞嬎慵夹g(shù)第29頁/共43頁國際背景

1999年，由Intel、IBM、HP、Microsoft、Compaq發(fā)起TCPA（TrustedComputingPlatformAlliance）組織，推動構(gòu)建一個可信賴的計算環(huán)境，這個組織的成果是定義了一個平臺設(shè)備認(rèn)證的架構(gòu)，以及嵌入在主板上的安全芯片（TPM：TrustedPlatformModule）和上層軟件中間件TSS（TrustedSoftwareStack）的第一個規(guī)范。

可信計算背景第30頁/共43頁體系結(jié)構(gòu)ArchitectureTPM移動設(shè)備Mobile客戶端PCClient服務(wù)器Server軟件包SoftwareStack存儲Storage可信網(wǎng)絡(luò)連接TrustedNetworkConnectTCG對于可信計算平臺的劃分第31頁/共43頁國內(nèi)背景信安標(biāo)委WG3信安標(biāo)委WG1國家密碼管理局可信計算背景第32頁/共43頁平臺組成結(jié)構(gòu)可信密碼模塊（TCM）TCM服務(wù)模塊（TSM）

可信計算技術(shù)第33頁/共43頁1.可信安全計算平臺，利用標(biāo)簽標(biāo)識用戶、節(jié)點、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)敏感度和作用范圍，同時也標(biāo)識了相應(yīng)的安全策略。數(shù)字標(biāo)簽的產(chǎn)生、存儲和使用機制由信任鏈和TCM保證。2.基于標(biāo)簽的訪問控制技術(shù)主要用于系統(tǒng)內(nèi)實現(xiàn)高安全級別要求的強制訪問控制，保證訪問控制機制不能被繞過，本身不能被篡改，抗攻擊，同時足夠小，可以被證明。3.也能據(jù)此辨識應(yīng)用并對不同應(yīng)用的流量進(jìn)行檢測。根據(jù)情況選用加密算法，確保信息在可信通道傳輸過程中的完整性、機密性及不可篡改性?；跇?biāo)簽的訪問控制技術(shù)第34頁/共43頁

利用安全通道技術(shù)、標(biāo)簽技術(shù)和密碼技術(shù)在保障不同安全等級網(wǎng)絡(luò)隔離的基礎(chǔ)上，通過“五指定”，實現(xiàn)各個安全等級網(wǎng)絡(luò)的多級安全互聯(lián)互通；通過對不同安全等級的網(wǎng)絡(luò)劃分安全域的方式，和設(shè)置不同安全等級安全域之間的訪問控制策略，達(dá)到了不同安全等級安全域之間安全隔離以及對指定應(yīng)用數(shù)據(jù)進(jìn)行交換的目的。實現(xiàn)細(xì)粒度的訪問控制（完全實現(xiàn)五指定功能）

控制接入用戶

控制接入終端

控制接入應(yīng)用數(shù)據(jù)

控制接入目標(biāo)節(jié)點

控制接入目標(biāo)節(jié)點上應(yīng)用系統(tǒng)基于標(biāo)簽的數(shù)據(jù)交換技術(shù)第35頁/共43頁芯片系列J3210J3223可信平臺系列強龍系列巨龍系列JTQ-1810-EJTS-110JTQ-1810-QJTS-264JTQ-DNSJTS-464網(wǎng)關(guān)系列安全域訪問控制系統(tǒng)可信交換網(wǎng)關(guān)可信軟件系列可信安全域管理系統(tǒng)安全管理中心可信安全體系芯片系列可信安全體系的基石可信平臺系列節(jié)點可信網(wǎng)關(guān)系列網(wǎng)絡(luò)可信可信軟件系列一體化的安全管理產(chǎn)品體系產(chǎn)品目標(biāo)瑞達(dá)產(chǎn)品體系第36頁/共43頁可信交換網(wǎng)關(guān)J3210強龍可信安全計算機巨龍可信安全服務(wù)器安全域訪問控制系統(tǒng)巨龍可信安全服務(wù)器可信安全體系的基石，作為可驗證信任體系的基礎(chǔ)產(chǎn)品。定制用戶、平臺、主體、客體、節(jié)點的安全基線，實現(xiàn)用戶和平臺身份可認(rèn)證、行為可控制和審計。將安全基線由節(jié)點延伸到網(wǎng)絡(luò)，基于數(shù)字標(biāo)簽技術(shù)，實現(xiàn)用戶分級、系統(tǒng)分域、網(wǎng)絡(luò)分域、應(yīng)用分域、安全域訪問控制及安全域間的可信信息交換。一體化的安全管