沉昌祥院士_构造积极防御的安全保障框架.pptVIP

构造积极防御的安全保障框架 国家信息化专家咨询委员会委员 沈昌祥 院士 2003-10 一、对当前信息安全系统的反思 当前大部分信息安全系统主要是由防火墙、入侵监测和病毒防范等组成 常规的安全手段只能是在网络层（IP）设防，在外围对非法用户和越权访问进行封堵，以达到防止外部攻击的目的 对访问者源端不加控制 操作系统的不安全导致应用系统的各种漏洞层出不穷，无法从根本上解决 封堵的办法是捕捉黑客攻击和病毒入侵的行为特征，其特征是已发生过的滞后信息 恶意用户的攻击手段变化多端,防护者只能: 防火墙越砌越高 入侵检测越做越复杂 恶意代码库越做越大 导 致： 误报率增多， 安全投入不断增加 维护与管理更加复杂和难以实施 信息系统的使用效率大大降低 对新的攻击入侵毫无防御能力（如冲击波） 反思： 老三样、堵漏洞、作高墙、 防外攻、防不胜防 产生安全事故的技术原因： PC机软、硬件结构简化，导致资源可任意使用，尤其是执行代码可修改，恶意程序可以被植入 病毒程序利用PC操作系统对执行代码不检查一致性弱点，将病毒代码嵌入到执行代码程序，实现病毒传播 黑客利用被攻击系统的漏洞窃取超级用户权限，肆意进行破坏 更为严重的是对合法的用户没有进行严格的访问控制，可以进行越权访问，造成不安全事故 如果从终端操作平台实施高等级防范，这些不安全因素将从终端源头被控制。这种情况在工作流程相对固定的重要信息系统显得更为重要而可行。 在电子政务的内外网中 政务内网与政务外网物理隔离，政务外网与Internet逻辑隔离 要处理的工作流程都是预先设计好的 操作使用的角色是确定的 应用范围和边界都是明确的 这类工作流程相对固定的生产系统与Internet网是有隔离措施的，外部网络的用户很难侵入到内部网络来 ，其最大的威胁是来自内部人员的窃密和破坏。 据统计，80%的信息安全事故为内部人员和内外勾结所为，而且呈上升的趋势。因此我们应该以 “防内为主、内外兼防”的模式，从提高使用节点自身的安全着手，构筑积极、综合的安全防护系统。 应该：强机制、高可信、控使用、防内外，积极防御 二、可信赖计算环境 为了解决PC机结构上的不安全，从根本上提高其安全性，在世界范围内推行可信计算技术 1999年由Compaq、HP、IBM、Intel和Microsoft牵头组织TCPA( Trusted Computing Platform Alliance)，目前已发展成员190家，遍布全球各大洲主力厂商 TCPA专注于从计算平台体系结构上增强其安全性，2001年1月发布了标准规范（v1.1），2003年3月改组为TCG(Trusted Computing Group) 其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。 可信计算终端基于可信赖平台模块（TPM）,以密码技术为支持、安全操作系统为核心（如图1所示） 安全应用组件 安全操作系统 安全操作系统内核 密码模块协议栈 主 板 可信赖BIOS TPM(密码模块芯片) 图1：可信赖计算平台 具有以下功能： 确保用户唯一身份、权限、工作空间的完整性/可用性 确保存储、处理、传输的机密性/完整性 确保硬件环境配置、操作系统内核、服务及应用程序的完整性 确保密钥操作和存储的安全 确保系统具有免疫能力，从根本上防止病毒和黑客 安全操作系统是可信计算终端平台的核心和基础，没有安全的操作系统，就没有安全的应用，也不能使TPM发挥应有的作用 三、安全技术保障框架 对工作流程相对固定的重要信息系统 主要由应用操作、共享服务和网络通信三个环节组成。如果信息系统中每一个使用者都通过可信终端认证和授权，其操作都是符合规定的，网络上也不会被窃听和插入，那么就不会产生攻击性共享服务资源的事故，就能保证整个信息系统的安全 可信终端确保用户的合法性和资源的一致性，使用户只能按照规定的权限和访问控制规则进行操作，能做到什么样权限级别的人只能做与其身份规定的访问操作，只要控制规则是合理的，那么整个信息系统资源访问过程是安全的。可信终端奠定了系统安全的基础 应用安全边界设备（如VPN安全网关等）保护共享服务资源，其具有身份认证和安全审计功能，将共享服务器（如数据库服务器、WEB服务器、邮件服务器等）与非法访问者隔离，防止意外的非授权用户的访问（如非法接入的非可信终端）。这样共享服务端主要增强其可靠性，如双机备份、容错、灾难恢复等，而不必作繁重的访问控制，从而减轻服务器的压力，以防拒绝服务攻击 采用IPSec 实现网络通信全程安全保密。IPSec工作在操作系统内核，速度快，几乎可以达到线速处理，可以实现源到目的端的全程通信安全保护，确保传输连接的真实性和数据的机密性、一致性 ，防止