可信计算技术支撑下的安全设备防护.docx

可信计算打造可信网络安全设备 网络安全设备自身的安全风险 我们都知道，网络安全设备为网络提供安全服务保障，防止外来的攻击对网络内部的主机和服务器发起攻击。但网络安全设备自身是否足够可靠？是否不会成为网络安全中的脆弱点？ 2018年10月思科防火墙Cisco Firepower System Software发现Sourcefire tunnel control channel协议存在权限许可和访问控制漏洞，该漏洞源于受影响的软件对CLI命令未能执行充分的检测。本地攻击者可通过对Firepower传感器和Cisco FMC进行身份验证，然后向Cisco FMC或借助Cisco FMC向其他Firepower传感器发送CLI命令利用该漏洞修改设备配置或删除文件。同年10月，IPFire Firewall 发现部分版本中的backup.cgi文件存在命令注入漏洞，攻击者可利用该漏洞执行任意命令等等。诸如此类事件还有很多，数不胜数。 通过历年观察跟踪，我们发现在网络安全设备中存在着大量的漏洞，这些漏洞随时有被攻击者利用的风险，通常攻击者会取得设备的控制权限，或者关闭安全服务，或者篡改关键配置文件，甚至上传恶意程序将设备作为发起二次攻击的跳板。 为什么会出现这些安全风险 网络安全设备也是基于IT系统进行构建的。由于人们对IT认知逻辑的局限性，由于不能穷尽所有逻辑组合，只能局限于完成计算任务去设计IT系统，必定存在逻辑不全的缺陷，导致了系统出现漏洞，从而被人为利用发起攻击。 可信计算应对系统未知风险的作用 3.1可信计算的提出 我国可信计算先驱沈昌祥院士不止一次提出，“信息安全问题是由设计缺陷而引起，传统的计算机体系结构只强调了计算功能，而没有考虑安全防护，这相当于一个人没有免疫系统，只能生活在无菌状态下。” 因此，只有重建主动免疫可信体系才能有效抵御攻击。 3.2可信计算的定义 可信计算是指计算运算的同时进行安全防护，计算全程可测可控，不被干扰，只有这样方能使计算结果总是与预期一样。与传统的以威胁为驱动的信息安全产品不同，可信计算技术不以检查恶意代码或攻击的出现为主要手段，而是封禁系统中所有异常操作，使缺陷不被攻击者利用，确保完成计算任务的逻辑组合不被篡改和破坏，实现正确计算，这就是主动免疫防御。所以可信计算技术能够建立主动防护体系，有效对抗未知恶意代码和利用0day漏洞进行的攻击。 3.3可信计算技术优势 我国的可信计算3.0是传统访问控制机制在新型信息系统环境下的创新发展。它以密码为基因，通过主动识别、主动度量、主动保密存储,实现数据信息处理可信和系统服务资源可信。可信计算3.0在攻击行为的源头判断异常行为并进行防范，其安全强度较高，可抵御未知病毒、未知漏洞的攻击，能够智能感知系统运行过程中出现的规律安全问题。 利用可信计算技术构建可信网络安全设备 4.1建立可信计算基础环境 从网络设备开机启动开始，通过可信芯片，对BIOS、BootLoader、操作系统、应用程序进行一级一级度量，一级一级验证，构建完整的信任链。通过信任传递建立一个完整的信任链模型。系统在引导程序、操作系统、应用等程序代码依次运行过程中，在每次控制权转移操作前都对下一级可执行代码的真实性和完整性加以验证。从而使信息系统实现自身免疫，构建高安全等级的信息系统。 4.2可信度量机制形成系统免疫能力 结合可信计算技术，采用主动免疫系统防御机制，提供执行程序可信度量，阻止非授权及不符合预期的执行程序运行，实现对已知/未知恶意代码的主动防御，降低操作系统完整性及可用性被破坏的风险。 4.3进程的自我保护机制 采用可信程序保护机制，禁止任何程序或用户对可信程序进行篡改，保障系统中的程序能够稳定运行；支持基于可信计算技术对系统中运行的应用程序或其他可信程序进行防篡改检查；拦截以任何方式对系统中应用程序的删除、修改等危险操作。 4.4系统关键配置文件（安全策略）的完整性保护 提供基于内核层实现的文件强制访问控制，有效解决操作系统自身文件访问控制薄弱和操作系统超级用户带来的安全风险。安全机制采用对用户或进程授权读写权限的方式，限制用户或进程对系统目录、文件的访问权限，权限包括读、读写、拒绝等；通过文件强制访问控制，拒绝攻击者对重要系统文件的篡改和破坏。 4.5系统管理的权限控制 在设备运行中，通常还需要解决越权操作的安全问题。可信计算防护体系中的强制访问控制组件为每一个主、客体提供了基于标记的权限分配功能，按照最小特权原则，保证主体必须严格按照安全策略来访问资源，并通过可信计算的度量功能来保障主、客体标记的完整性，进而从根本上消除系统内部人员越权操作行为的发生。 4.6动态度量实时防护系统 动态度量模块实时监视系统内所有关键进程、模块、执行代码、数据结构、重要跳转表等，对进