等保2.0下可信計算研究與測評探討

◆何金軍 王旭 鄒俊

（上海市網絡技術綜合應用研究所 上海 200336）

隨著新技術、新應用的發展，系統上云成為一種趨勢，但由于云環境中虛擬化資源的高度集中、共享，現實網絡環境安全漏洞百出，使得建立安全可信且具有主動免疫防御能力的系統成為新安全需求。

1 可信計算簡介

現階段網絡安全問題多樣，面對這些安全威脅，傳統的防護手段主要依賴防火墻、入侵檢測系統和惡意代碼防護工具等被動防御手段。而攻擊者層出不窮的攻擊手段和不斷涌現的新型漏洞，使得傳統的被動防護措施難以適應當今復雜的網絡環境。

國內外學者通過多年的研究和實踐，提出了可信計算的基本思想：在計算平臺創建一個可信根，再建立從底層硬件平臺到操作系統直至應用系統的信任鏈，逐級別的對每個執行環節進行度量，并驗證系統的可信性是否遭到破壞，從而使系統環境變得安全可信[1]。可信計算的發展歷程及主要特征如表1 所示。在可信1.0 階段，主要考慮的是通過冗余備份的方式提高系統的可用性。在可信2.0 階段則通過提供可信組件接口，實現被動度量的防護能力。當今，我國已進入可信3.0 時代，由我國自主設計的運算和防護并行的雙體系結構，具有對業務應用透明的特性，通過將被動模式變為主動模式，增加了網絡信息系統的主動免疫防護功能，其思想是“安全可信策略管控下的運算和防護并存的主動免疫的新計算體系結構”[2]。

表1 可信計算發展歷程

2 云環境下可信計算安全框架

云計算作為可信計算當前的重點應用方向，存在諸多的安全問題，如資源隔離失效、系統漏洞、非法篡改、數據泄露、虛擬機遷移攻擊、虛擬機逃逸、虛擬機鏡像攻擊等。針對云環境下存在的各類安全問題，我國創新性提出一種基于可信計算的云安全框架[3]。該框架以商密算法為基礎構建可信計算密碼模塊（TCM），以實現身份鑒別、狀態度量及加密存儲等功能，特別強調可信計算的重要作用，為構建“自主可信、可管、可控”的防護能力提供支撐。相對于可信2.0 被動度量的外掛式設計結構，我國在可信計算領域開創性地構建出以硬件可信芯片為支柱、可信網絡連接（TNC）為紐帶、安全可信策略管控等多重防護保障的安全可信雙體系結構[2]。雙體系架構主要包括計算部件和可信防護部件兩大塊，目的是通過可信的防護部件度量并監控計算部件的狀態。該架構以商用密碼體系為基礎，進而建立可信密碼模塊（TCM）。可信平臺控制模塊（TPCM）是在可信平臺模塊（TPM）的基礎上融合可信源根實現對整個平臺的主動度量控制，TPM 提供了3 個可信根，其中可信度量根（RTM）用于度量檢測對象的狀態；可信存儲根（RTS）用于保護存儲在TPM 之外的信息，如度量結果值和密鑰等；可信報告根則用于對TPM 的狀態及數據信息進行簽名校驗[4]。可信軟件基（TSB）對整個體系結構而言起著承上啟下的重要作用，它向上用于保護宿主操作系統等基礎軟件及應用程序的安全，向下則是對TPCM 進行管理并承接可信鏈的傳遞[5]。為了使系統具有主動免疫的防護能力，TSB 通過構建雙系統體系結構，同宿主操作系統并行，并在TPCM 的作用下實現系統內部進行主動攔截和度量保護等手段，使系統免疫于已知及未知的安全威脅，從而改變了傳統的“封堵查殺”等被動防護思路。

3 可信驗證測評探討

等保2.0相關標準的實施使得可信計算作為重大變化映入大眾的視野中，通過對比標準中二、三級可信驗證部分的要求[6-7]，可發現三級比二級的要求區別主要體現在應用程序的關鍵執行環節是否進行動態的可信驗證。可信驗證包括度量、驗證過程，度量即通過如哈希算法等計算所檢測客體或應用的消息摘要，針對文件等靜態信息和系統運行時開啟的進程、內存變動等又可分為靜態度量和動態度量。驗證則是將度量后的值與可信基準庫中的參考值進行比對，一致則表示驗證成功，否則驗證不通過，可信性將會受到破壞。

通過研究具有主動免疫防御能力的可信云安全框架、等保2.0 標準中的可信計算要求，可以明確安全可信產品應具備的功能，比如產品基于可信根下具有可信度量驗證、可信審計、可信管理、可信密碼算法等功能。針對云環境下的可信，云平臺自身的可信性是保證云計算安全的基礎，除了提供可信的服務外，不僅要保證云平臺自身可信，如設備固件、虛擬機、操作系統等，而且還需保證云上的應用以及云租戶的運行環境與應用可信[8]。然而，我國目前處于可信計算推廣應用的初期階段，對于可信性測評缺乏專門的評測機構和評測工具，而且可信性測評的經驗也不夠完善。另一方面，由于無專業的可信驗證檢測工具，無法去驗證設備產品或應用程序是否滿足可信驗證要求，因此，對于購買了可信產品、可信服務的用戶，在測評時主要查看其產品的白皮書介紹、查看設備是否具備公安部頒發的銷售許可證及國家密碼管理主管部門頒發的商用密碼產品銷售許可證、日志審計記錄、安全角色劃分情況、可信驗證失敗的告警記錄等信息。總體而言，測評時關注的點如表2 所示。

表2 等保2.0 中二、三級可信驗證測評關注點

4 結束語

無論是云計算系統還是傳統系統，可信并不意味著安全，還需要結合安全策略、訪問控制策略以及人的因素進行綜合考慮，以確保業務信息和系統服務的安全可信。