构造积极防御的安全保障框架.pdf

构造积极防御的安全保障框架构造积极防御的安全保障框架 一、、对当前信息安全系统对当前信息安全系统 的反思 当前大部分信息安全系统主要是由防火 墙墙、、入侵监测和病毒防范等组成入侵监测和病毒防范等组成 常规的安全手段只能是在网络层常规的安全手段只能是在网络层 （（IPIP ）） 设防，在外围对非法用户和越权访问进 行封堵行封堵，以达到防止外部攻击的目的以达到防止外部攻击的目的 对访问者源端不加控制 操作系统的不安全导致应用系统的各种 漏洞层出不穷漏洞层出不穷，无法从根本上解决无法从根本上解决 封堵的办法是捕捉黑客攻击和病封堵的办法是捕捉黑客攻击和病 毒入侵的行为特征，其特征是已 发生过的滞后信息发生过的滞后信息 恶意用户的攻击手段变化多端恶意用户的攻击手段变化多端,防护者只能防护者只能::  防火墙越砌越高  入侵检测越做越复杂  恶意代码库越做越大恶意代码库越做越大 导致：  误报率增多误报率增多，  安全投入不断增加  维护与管维护与管理更加复杂和难以实施更加复杂和难以实施  信息系统的使用效率大大降低信息系统的使用效率大大降低  对新的攻击入侵毫无防御能力（如冲 击波击波））  反思： 老三样、堵漏洞、作高墙、 防外攻防外攻、防不胜防防不胜防 产生安全事故的技术原因产生安全事故的技术原因：： PC机软、硬件结构简化，导致资源可任意 使用使用，尤其是执行代码可修改尤其是执行代码可修改，恶意程序可恶意程序可 以被植入 病毒程序利用病毒程序利用PCPC操作系统对执行代码不检操作系统对执行代码不检 查一致性弱点，将病毒代码嵌入到执行代码 程序程序，，实现病毒传播实现病毒传播 黑客利用被攻击系统的漏洞窃取超级用户权 限限，，肆意进行破坏肆意进行破坏 更为严重的是对合法的用户没有进行严格的 访问控制访问控制，，可以进行越权访问可以进行越权访问，，造成不安全造成不安全 事故 如果从终端操作平台实施高等级防如果从终端操作平台实施高等级防 范，这些不安全因素将从终端源头 被控制。这种情况在工作流程相对 固定的重要信息系统固定的重要信息系统显得更为重要显得更为重要 而可行。 在电子政务的内外网中在电子政务的内外网中 政务内网与政务外网物理隔离政务内网与政务外网物理隔离，，政务外政务外 网与Internet逻辑隔离 要处理的工作流程都是预先设计好的要处理的工作流程都是预先设计好的 操作使用的角色是确定的 应用范围和边界都是明确的 这类工作流程相对固定的生产系统与这类工作流程相对固定的生产系统与 Internet 网是有隔离措施的，外部网络的 用户很难侵入到内部网络来用户很难侵入到内部网络来 ，，其最大的其最大的 威胁是来自内部人员的窃密和破坏。 据统计据统计，80%的信息安全事故为内部人的信息安全事故为内部人 员和内外勾结所为，而且呈上升的趋势。 因此我们应该以因此我们应该以 “防内为主防内为主、、内外兼防内外兼防” 的模式，从提高使用节点自身的安全着 手手，，构筑积极构筑积极、、综合的安全防护系统综合的安全防护系统。。 应该应该：强机制、高可信、控使用、防内 外，积极防御 二二、可信赖计算环境可信赖计算环境 为了解决为了解决PCPC机结构上的不安全机结构上的不安全，从根本从根本 上提高其安全性，在世界范围内推行可 信信计算技术算技术 1999年由Compaq、HP、IBM、Intel和 Miicrosofft牵头组织牵头组织TCCPA(A( Trusted Computing Platform Alliance)，目前已 发展成员190家，遍布全球各大洲主力 厂商厂商 TCPA专注于从计算平台体系结构上增 强其安全性强其安全性年11月发布了标准规月发布了标准规 范（v1.1 ），2003年3月改组为 TCG(TrustedTCG(Trusted ComputingComputing Group)Group) 其目的是在计算和通信系统中广泛使用 基于硬件安全模块支持下的可信计算平 台，以提高整体的安全性。 可信计算终端基于可信赖平台模块 （（TPMTPM ））, 以密码技