从被动防御到主动出击，可信计算扮演了什么角色？

主动防御，最近成为了安全圈讨论度极高的热门词。等保2.0时代保护策略要变被动防御为主动防御，《2021全球十大金融科技趋势》也将其列为十大趋势之一。

过去的防御思想是在现有网络体系架构的基础上建立包括防火墙和安全网关、入侵检测、病毒查杀、访问控制、数据加密等多层次的防御体系，根据已知病毒的数据、代码、行为等特征对攻击进行识别。但随着云计算、大数据、5G、物联网等新技术的应用，新的网络安全风险以及不断扩大的攻击面与之俱来。

近年来不断披露的网络安全事件及由此带来的严重后果也逐渐暴露了传统的网络安全防御技术存在的缺陷，尤其是难以有效抵御系统未知的软硬件漏洞攻击，难以预防潜在的各类后门攻击，难以有效应对各类越来越复杂和智能化的渗透式网络入侵。

沈昌祥院士在“开启网络安全主动免疫的新生态”演讲中也提到：“传统‘封堵查杀’已过时，杀病毒、防火墙、入侵检测的传统‘老三样’难以应对人为攻击，且容易被攻击者利用，找漏洞、打补丁的传统思路不利于整体安全。因而需要构建可信计算标准体系，实行免疫机制，确保为完成计算任务的逻辑组合不被篡改和破坏，实现正确计算。”

可信计算的基本概念

可信计算概念最早可以追溯到1983年美国国防部颁布的世界上第一个《可信计算机系统评价标准》（TCSEC），该准则第一次提出了可信计算机和可信计算基（Trusted Computing Base,TCB）的概念，并把TCB作为系统系统安全的基础。

（1）可信的定义

在定义可信计算之前，首先要明确什么是可信。“如果一个实体的行为总是以预期的方式达到既定目标，那么它是可信的”。从这个定义上看，可信强调行为结果可预期，但并不等于行为是安全的，这是两个不同的概念。

（2）信任的获得方法

信任的获得方法主要有直接和间接两种方法。设A和B以前有过交往，则A对B的可信度可以通常考察B以往的表现来确定。我们称这种通过直接交往得到的信任值为直接信任值。设A和B以前没有任何交往，这种情况下，A可以去询问一个与B比较熟悉的实体C来获得B的信任值，并且要求实体C与B有过直接的交往经验。我们称之为间接信任值，或者说是C向A的推荐信任值。有时还可能出现多级推荐的情况，这时便产生了信任链。

（3）可信计算的基本思想

可信计算有两个重要的概念是可信根和信任链。在计算平台中，首先创建一个安全信任根，再建立从硬件平台、操作系统到应用系统的信任链，在这条信任链上从根开始一级测量认证一级，一级信任一级主动防御技术，以此实现信任的逐级扩展，从而构建一个安全可信的计算环境。一个可信计算系统由信任根、可信硬件平台、可信操作系统和可信应用组成，其目标是提高计算平台的安全性。

可信计算体系结构

我国可信计算的发展

八十年代世界上提出可信计算概念，但是只局限于操作系统、数据库等产品的可信计算基（安全功能集合），未涉及计算机原理和体系结构等核心科学技术问题。2000年国际上成立了可信计算组织（TCG），其架构是主机通过外设接口挂接可信计算模块（TPM），以主机调用外部设备功能（软件栈）实现可信等功能，存在单公钥密码体制和串行被动调用等缺陷，未能主动免疫。

中国可信计算源于1992年立项研究的免疫的可信计算综合安全防护系统（智能安全卡），于1995年2月底通过测评鉴定，经过长期军民融合攻关应用，形成了自主创新安全可信体系。

目前，中国可信计算取得了革命性创新发展，主要包括：

其一，创新可信计算标准体系。2010年以前，我国完成了核心的9部国家标准和5部国军标的研究起草工作。截至目前，已发布国家标准3部、国军标3部，即将发布国家标准2部，已发布团体标准（中关村可信计算产业联盟标准）4部。同时，授权专利百余项。

其二，创新可信密码体系。以密码为基因，构建创新可信密码体系，科学地解决了可信密码的问题，纠正了TCG密码体制的缺失，已成为ISO国际标准。可信密码体系创新包括密码算法创新、密码机制创新和证书结构创新三个方面。其中，密码算法的创新在于全部采用国家自主设计的算法，定义了可信计算密码模块（TCM）；密码机制的创新在于采用对称密码与公钥密码相结合，提高了安全性和效率；证书结构的创新在于采用双证书结构，简化证书管理，提高了可用性和可管性。

其三，创新主动免疫体系结构。可信计算以密码技术为基础，通过自主密码方案、控制芯片的主动控制、主板层面的运算防护双能、核心软件的双系统体系结构及三元三层可信连接等多方面创新，组成了创新的主动免疫体系结构。该体系结构克服了TCG部件TPM被动挂接调用的局限性。

可信计算构建了主动免疫体系，确定可信状态后，即使有BUG也不会变成漏洞，使攻击无效，确保安全系统运行。部署可信计算平台后，在原有信息系统建立主动免疫的积极防御可信安全防护体系，实现高安全等级结构化保护，改变原被动防御局面。

可信计算与主动防御结合的应用

1.访问控制

传统的安全保护是以访问控制功能为核心。自主访问控制、强制访问控制是基于访问者（主体）的权限来判定能否访问资源（客体），没有对主客体的真实性进行验证，标记标识没有与实体可信评定，难以防业篡改和假冒的攻击。例如：打印输出驱动程序被篡改为网络接口驱动等攻击时有发生。

可信计算下的访问控制，是将访问控制与基于角色的访问控制相结合，进一步提高用户访问的安全性。这就要求我们首先必须保证用户身份的真实性，用户只有通过了身份认证，成为了系统的合法用户后，才可以访问系统的相关资源。

这个认证过程主要通过可信计算的核心TPM来实现。首先，TPM平台中的背书密钥（EK）在证明时生成平台身份认证密钥（AIK），然后将背书证书、平台证书、一致性证书集中在一起，在可信的第三方PCA进行验证后生产AIK证书。随后将AIK存于存储器中，并在认证服务器中相关的LDAP用户证书目录，便于应用系统对用户的认证。

2.行为分析

可信主要通过度量和验证的技术手段实现。度量就是采集所检测的软件或系统的状态，验证是将度量结果和参考值比对看是否一致，如果一致表示验证通过，如果不一致则表示验证失败。

等保2.0中对系统可信没有明确提出动态的可信验证要求，原因之一是系统（如操作系统）过于复杂，很难形成完整的甚至局部的验证基准值，在工程实现上无法保障规则的完整性，误报、漏报无法控制，严重影响安全和用户体验。基于这个判断，传统的基于静态度量和验证的系统可信启动即可满足。

然而，对于应用可信，等保2.0明确提出需要动态验证。解决这个问题的实质在于如何选择应用的度量对象，确定度量值，以及如何收集和管理验证基准值，或所谓的应用行为白名单。

所谓白名单应用在某个环境下（一般是物理主机、虚拟机上或容器）运行，非白名单应用无法在目标环境中运行；同时白名单应用受到监控，其运行行为一旦被发现异常，系统会根据异常行为的安全危害等级告警。

主动防御也是八分量的主要攻坚方向之一。目前，八分量以可信计算为基础，推出了具备主动防御性质的一套安全管控平台——持续免疫系统。

首先通过身份认证来证实机器是否可信，然后通过持续监测分析，自动化生成每一台服务器的可执行程序白名单，使得即便获得了该服务器最高控制权的入侵者，也无法加载用于实施破坏的恶意程序，如系统后门、病毒、渗透工具。从而极大程度地限制了入侵手段。另外，一旦发现异常可信防护系统会迅速发出告警信息，提升对于已知以及未知威胁的发现能力。

正如开篇所言，打破组织或企业管理边界的主动防御策略，将会在今后的安全管理体系中占据重要一席。在这个大趋势下，如何利用可信计算技术有效展开主动防御，将成为企业亟待思考和解决的重要课题。

（编辑：鹰潭站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!