可信计算进展综述(产业篇)
作者:孙瑜 中关村可信计算产业联盟 可信联盟专家
随着攻击技术的不断演进,网络攻击方式已经越来越呈现出自动化、定向化和隐蔽性强的特点,过去几年爆发的“WannaCry”勒索病毒、“熔断”、“幽灵”、委内瑞拉电网攻击、乌克兰电网攻击以及最近的俄乌网络战等都普遍利用了软硬件的设计缺陷进行渗透,进而控制计算机达到其目的,而当前大部分网络安全系统主要是由防火墙、入侵监测和病毒查杀打补丁等组成,这种“封堵查杀”的模式难以有效应对当前的网络攻击,甚至网络安全产品因自身存在的缺陷也越来越多的成为被攻击的对象。要扭转当前网络安全防御的被动局面,必须构建主动应对攻击的防御体系,使缺陷不被攻击者利用,实现攻而无效,能够主动排斥和阻止入侵行为,而可信计算正是国际国内主流厂商为达到此目的普遍所采取的技术手段。
2016年11月发布的《中华人民共和国网络安全法》第十六条提出“加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务。”《国家网络空间安全战略》提出的战略任务“夯实网络安全基础”,强调“尽快在核心技术上取得突破,加快安全可信的产品推广应用”。2019年5月13日网络安全等级保护制度2.0核心标准(基本要求、设计要求、测评要求)正式发布,在等级保护2.0制度中,强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求,并逐级增强。
经过十多年的发展,我国自主创新的可信计算3.0已经形成了完备的国家标准体系、逐步完善的产品检测规范和持续快速扩大的产业生态圈,正在为支撑国家等级保护制度的落地和加强关键信息基础设施的安全保障发挥越来越重要的作用。
【可信计算3.0产品的发展演进历程】
我国的可信计算3.0技术到现在为止已经有三十多年的发展历程,在2007年以前主要应用于特殊领域,用以保障某些关键要害系统的安全,从2007年开始,在沈昌祥院士的亲自组织和指导下,进行可信计算3.0相关国家标准的制定,标志着可信计算3.0技术在通用领域产业化的开始。下图描述了从2007年往后的可信计算产品的发展演进历程。
可信计算产品主要由可信平台控制模块(TPCM,Trusted Platform Control Module)、可信软件基(TSB,Trusted Software Base)和可信安全管理中心三个部件组成(如图2所示)。其中可信根TPCM为硬件部件,在实际构建部署TPCM时,可根据不同场景选择CPU内置式TPCM、外置式TPCM方式(插卡、插卡及修改主板);TSB为软件,部署于操作系统中,根据不同TPCM构建方式进行配套;可信安全管理中心是独立部署的管理部件,可选择可信安全管理中心一体机或软件部署两种方式。CPU内置可信应用实践以海光CPU为例,其利用CPU片内PSP IP核实现TPCM功能,PSP具备独立的存储和运算资源,运行空间不受计算核影响,可直接访问全部内存资源,具备全内存的主动度量能力,且PSP本身就是整个CPU中最先执行的部件,能够实现完整的信任链构建。
图 2 可信计算产品组成示意图【可信计算3.0产品检测认证工作的开展】
为落实《网络安全法》、《国家网络空间安全战略》和国家等级保护2.0制度要求,规范引导可信计算产业的健康发展和构建可持续的可信计算生态,中关村可信计算产业联盟和公安部第三研究所于2021年签署战略合作协议,双方联合开展可信计算产品的检测工作从2022年初正式开始,以《可信计算产品规范》、《网络安全产品安全可信要求》两项团体标准为依据,针对通用计算机和网络安全产品两类产品开展了检测和认证工作,本次产品检测获得了产业界的热烈响应和积极参与,到目前为止,已完成两类(服务器、网络安全产品)14款主流厂商产品的检测,并于2023年1月5日召开了首批可信计算认证产品发布会,后续即将开始办公设备类产品的可信计算检测。
中关村可信计算产业联盟发布的团体标准T/ZTCIA 001—2022《可信计算产品规范》弥补了可信计算技术体系在测评类标准中的空白。标准针对等级保护2.0基本要求(GB/T 22239-2019)对于可信验证的相关要求,依据可信计算功能的强弱,将可信计算产品划分为基本级和增强级,并规定了不同等级的可信计算技术要求和测试评价方法。
如图3所示,该标准面向可信计算产品,从可信根的隔离机制、主动度量能力、与管理中心的接口等方面提出了技术要求,并对各项能力要求和功能的符合性提出了相应的测试方法。可信计算产品检测认证工作的持续深入开展,有力推动了可信计算产业生态体系的快速壮大和健康发展。
【我国可信计算3.0产业生态建设进展】2014年4月,由中国工程院院士沈昌祥院士提议,中国电子信息产业集团、中国信息安全研究院、北京工业大学、中国电力科学研究院等60家单位共同发起,经北京市民政局批准,中关村可信计算产业联盟成立。联盟自成立并发展至今,已经涵盖了300多家会员单位,涉及到国内可信计算产业链的各个环节,覆盖了“产学研用”各界,打造可信计算技术发展应用的良好生态环境,推动可信计算技术、产品研发及产业化发展。
在可信计算产业联盟的推动下,目前,可信计算技术已广泛应用于PC、服务器、智能终端、网络设备等各种通用设备和专用设备,完成了50多款整机产品可信计算3.0的适配,包含服务器、终端、交换机、路由器、边界安全、打印机、存储设备等,能够满足国家等级保护2.0的可信验证指标要求,构建了基础软硬件厂商和网络安全厂商深度融合发展的新型产业生态,为筑牢我国的网络安全底线发挥越来越重要的作用。
2020年10月28日成立了国家等级保护2.0制度与可信计算3.0攻关示范基地,将大力促进可信计算3.0在等级保护中的应用落地,攻关示范基地是基于我国可信计算标准体系,面向通用信息系统和云计算、物联网、移动互联、工业控制系统、大数据等新型信息系统,组织国内产、学、研、用各领域的代表性单位开展等级保护2.0和可信计算3.0联合攻关、适配测试、检测评估和示范应用,建设技术联合攻关平台、系统测试评估平台、系统示范展示平台三个支撑平台,解决我国关键信息基础设施建设所需要的合规产品和服务问题,打造网络安全可信保障基石,建设基础软硬件厂商和网络安全厂商深度融合的新型产业生态,推动安全可信的网络产品和服务产业体系快速构成。
(原创版权所有,引用请标明出处。)
长按识别二维码 即刻关注我们