《《可信安全体系》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《可信安全体系》PPT课件.ppt(42页珍藏版)》请在三一文库上搜索。
1、可信安全体系 -结构性安全的基础和实践,2019年5月,目 录,结构性安全,可信安全体系,1,2,关键技术及产品,应用案例,3,4,信息的C.I.A,信息 安全 保障,计算机 系统,密码技术,TCSEC TCB,安全评估、监测、监控、容灾备份、运行安全,信息系统安全的发展,关注信息的CIA、用户授权、访问控制、审计,信息系统,防火墙、防病毒、入侵检测、漏洞扫描、IDS,40-70年代,70-80年代,90年代以来,从人员管理、环境安全、技术安全多视角关注,核心网络区域,信息系统现状,访问控制,交换,递交,脆弱性安全防护体系,技术路线 以对系统脆弱性的安全防护为出发点,通过采用不同的技术方案,实
2、现对系统脆弱性的修补、阻断或防范,以避免脆弱性被利用或触发,从而保障系统的正常运行。 2.现有方案 补漏洞补丁、升级 增加防护设备 防火墙 防病毒软件 入侵检测 漏洞扫描 。,脆弱性安全的特点,面向威胁的防护技术 以对系统脆弱性的安全防护为出发点 多样化的防护技术 软件、硬件 补丁、设备、规章制度、。 被动防御 新的攻击方式新的防护方案 各自为政 头痛医头,脚痛医脚 松散的防护体系 缺乏统筹、缺乏关联,a、被动式防御手段力不从心,现有信息系统的安全体系远没有达到人们预期的水平!,b、脆弱性安全防护模型越来越“脆弱” 漏洞越堵越多、防火墙越砌越高 策略越来越复杂 桌面系统越来越庞大 兼容性越来越
3、差,面临的问题,1、系统的问题 系统越来越庞大 访问控制越来越复杂 互操作性越来越差 运行效益低下 管理成本越来越高,2、安全的问题,技术原因,系统建设标准不一致,互操作性差 PC机软、硬件结构简化,导致资源可任意使用 通讯协议存在缺陷 对病毒木马的防护有滞后性缺陷 对合法的用户没有进行严格的访问控制,可以越权访问 脆弱性安全防护模型强调安全功能的多样性和安全保障的强度,而无法保证安全功能的有效性,致使安全机制本身存在被篡改或破坏的可能。,2005年(PITAC) :(Cyber Security :A Crisis of Prioritization) 报告中谈到如下的观点: PITAC认为
4、包括军队的信息系统(例如GIG)在内所有的可信信息系统和国家基础设施信息化系统处在广泛地危险之中,长期采用的打补丁和消除信息系统脆弱性的安全策略,不但没有改善信息系统的安全,而且脆弱性正在迅速地扩张。在广泛系统互联及其内外界限越来越模糊情况中,传统区分内外关系的边界防护测量得到了严重挑战。 必须要对信息化极其安全进行基础性、整体性的深入研究,探询根本上解决问题的方法,探询新安全理论、模型和方法。 PITAC提出十个方面的问题: 研究大范围、大规模的认证与鉴别技术 对网络世界基础设施进行安全再整理与再研究 在软件工程方面引入安全研究,建立新的软件工程学。 在系统整体上去解决安全问题(研究如何利用
5、可信与非可信部件来建立安全体系),加强总体学与体系结构研究 实现更加普遍和大范围的监管与监控(基于行为检测模型上网络行为监管与监控) 实现更有效地减灾和恢复 实现基于行为检测、取证打击网络犯罪 支持信息安全新技术实验与测试 支持开展信息安全测评认证工作 开展网络安全的非技术问题的广泛研究(包括社会与网络行为学研究),国际趋势,革新安全思路,从关注面向脆弱性安全到关注结构性安全。 从关注面向威胁到面向能力的建设。 从关注数据与系统安全防护到关注运营安全和可信秩序的建立。 安全思路:研究总体和体系结构,把安全建立在不信任和信任的互相怀疑的基本理念基础之上,采用结构性安全体系,解决整体系统安全。,信
6、息的C.I.A,结构性安全:建立网络虚拟世界可信有序环境,信息 安全 保障,计算机 系统,密码技术,TCSEC TCB,安全评估、监测、监控、容灾备份、运行安全,发展历程,关注信息的CIA、用户授权、访问控制、审计,信息系统,防火墙、防病毒、入侵检测、漏洞扫描、IDS,40-70年代,70-80年代,90年代以来,从人员管理、环境安全、技术安全多视角关注,基于可信计算、密码、鉴别认证、访问控制、审计、安全管理等技术构建结构性安全,不同于脆弱性安全,结构性安全不以对系统脆弱性的安全防护为出发点,而是从多个粒度入手,以主动的基础信任体系作为支撑,从整体的关联关系角度出发,定制安全基线,将脆弱性问题
7、的发生及危害程度限制在一定区域和范围,并能对其进行精准的捕获。 目的:将多种保护机制相互关联、相互支撑、相互制约、通过相互之间的结构性关系,提高健壮性。把计算机网络这个虚拟世界变成一个有序、可认证、可管理且可追踪控制的空间。,可信安全理念:结构性安全,13,体系化导向,变被动为主动 关注于多种保护机制的紧密关联、相互支撑、相互制约 基于数字标签划分安全域,实现细粒度访问控制 一体化安全管理 可信安全体系 体系化结构性安全的基础,体系化结构性安全,1.细粒度的访问控制 主体、客体、节点、网络可标识、可认证 2.强关联 相互配合,群体作战 3.高整体效益 体系化的结构性安全 4.可被验证的基础信任
8、体系 保障安全机制的有效性 5.精准的捕获能力 发现,定位、追踪、打击,实现目标,等级保护体系架构一个中心,三重防护 安全管理中心 安全计算环境 安全区域边界 安全通信网络,现有架构,目 录,结构性安全,可信安全体系,1,2,关键技术及产品,应用案例,3,4,可信安全体系以可信根为基础,致力于通过可信链的建立,通过标签技术,保障计算环境、区域边界和通信网络的安全,从而实现一个可信、有序、易管理的安全保护环境,为信息系统的安全功能和安全保证提供整体解决方案,从根本上提高系统的安全保护能力; 可信安全体系通过实现体系化结构性安全防护,将脆弱性行为限制在小的区域,限制脆弱性行为造成的安全危害;,可信
9、安全体系,可信安全体系,体系目标,可验证的基础信任体系基于可信技术,确保用户身份可信、平台可信、用户行为可信 细粒度的访问控制 主体、客体、节点、网络可标识、可认证。 用户分级、系统分域、网络分域、应用分域,可实现跨域访问控制。 可信网络连接 基于可信技术,集身份认证、数字标签和传输控制于一体,从底层开始, 实现端到端的统一安全标记,在机制上屏蔽了可能的各种未知恶意攻击 可信数据交换 基于数字标签是吸纳不同安全等级、不同级别的区域安全可控的互联互通。 一体化的安全管理,整体安全效应最大化 不同安全产品相互关联、相互支撑、相互制约,通过相互之间的结构性关系,来提供系统整体的安全性。,操作 系统,
10、OS装载程序,主引导记录,可信 BIOS,可信 BIOS,主引导 记录,OS装载 程序,操作 系统,敏感信息,系统工具,应用程序,用户身份卡,敏感信息,应用程序,网络,系统加电,1.计算环境的完整性:为系统中的主客体(用户、BIOS、进程、敏感信息、网络)打上数字标签,并为主客体生成预期值,指定主体的行为规则;,2.信任链传递机制的度量与评估:对系统中主客体采用基于标签的可信度量,通过一级度量一级,一级验证一级,确保主体的行为是可被度量,当前系统的运行环境可被计算和证明。,可验证的基础信任体系,-可验证的基础信任体系,可信 引导模块,BIOS,MBR,OS Loader,OS Kernel,S
11、ervice &APP,普通计算机,普通计算机安全加固,可信安全计算机,TCM模块,认证模块,BIOS,MBR,OS Loader,OS Kernel,Service &APP,OS Kernel,BIOS,MBR,OS Loader,完整性 度量模块,Service &APP,安全起点,安全起点,可信根,系统引导 完整性,系统应用、 服务、 内核、 安全机制 完整性,没有任何加固,按照标准方式启动,基于软件的方式进行加固, 安全机制会被旁路篡改,基于底层的硬件加固,软件硬件相结合,无法绕过,可验证的基础信任体系,用户B,客体1,客体n,客体1,主体B,主体A,可信安全计算机,TCM,主体D,
12、主体C,客体1,客体1,客体n,用户A,客体n,客体n,用户A信任的运行环境,用户B信任的运行环境,不信任运行环境,用户身份可信:插卡开机 用户行为可信:受信任主体有序管理和运行,非信任主体不运行 受信任主体被攻击篡改,自动修复 与平台身份结合的文件加密存储 系统锁定及端口控制 用户行为可信监管 平台可信:基于TCM模块的测量可信根、存储可信根、报告可信根与完整的信任链, 保护安全机制不被旁路。,细粒度访问控制,系统内细粒度(用户、主体、客体)分级分域和访问控制,安全域A,安全域B,安全域C,安全域访问控制系统,网络分级分域,安全域的划分,安全域隔离与访问控制,终端准入控制,细粒度访问控制,可
13、信网络连接结构,修补成功,发送安全信息,申请上网,安全评估,修补信息库,审核,终端开机认证 可信校验 与 可信链传递,平台鉴别,通过认证,申请入网,中心服务区,交换区,接入区,接入报送终端 (可信安全终端),交换机,交换机,交换机,路由器,可信交换网关,接入终端,1、完整性信任评估 2、网络准入控制 3、访问控制(标签) 4、安全交换(标签) 5、受信任主体访问,代理服务器 (可信安全服务器),报送服务器 (可信安全服务器),基于数据标签的可信数据交换,基于数字标签的可信交换,建立安管中心实现一体化安全管理,包括系统管理、安全管理、审计管理。 系统管理实现对系统资源和运行配置的控制和管理; 安
14、全管理对系统中用户和资源进行统一的标记管理,配置一致的安全策略,进行统一的认证管理; 审计管理对分布在系统各个组成部分的安全审计机制进行集中管理。 系统管理、安全管理、审计管理相互关联、相互支撑、相互制约,实现全系统一体化的安全管理。,一体化安全管理,目 录,结构性安全,可信安全体系,1,2,关键技术及产品,应用案例,3,4,可信安全体系关键技术 可信计算技术 基于标签的访问控制技术 基于标签的数据交换技术 一体化安全管理 等等,可信安全体系,为安全计算环境、安全区域边界、安全通信网络和安全管理中心的具体实现提供技术支撑,可信计算技术是可信安全体系的基础,从可信根出发,解决计算机结构简化引起的
15、安全问题。 主要思路是在计算机主板上嵌入安全芯片,度量硬件配置、操作系统、应用程序等整个平台的完整性,并采用信任链机制和操作系统安全增强等综合措施,强化软、硬件结构安全,保证安全机制的有效性,从整体上解决计算机面临的脆弱性安全问题。,可信计算技术,国际背景 1999年,由Intel、IBM、HP、Microsoft、Compaq发起TCPA(Trusted Computing Platform Alliance)组织,推动构建一个可信赖的计算环境,这个组织的成果是定义了一个平台设备认证的架构,以及嵌入在主板上的安全芯片(TPM:Trusted Platform Module)和上层软件中间件T
16、SS(Trusted Software Stack)的第一个规范。,可信计算背景,体系结构Architecture,TPM,移动设备Mobile,客户端PC Client,服务器Server,软件包 Software Stack,存储Storage,可信网络连接 Trusted Network Connect,TCG对于可信计算平台的划分,国内背景 信安标委WG3 信安标委WG1 国家密码管理局,可信计算背景,平台组成结构 可信密码模块(TCM) TCM 服务模块(TSM),可信计算技术,1.可信安全计算平台,利用标签标识用户、节点、网络、应用、数据敏感度和作用范围,同时也标识了相应的安全策略
17、。数字标签的产生、存储和使用机制由信任链和TCM保证。 2.基于标签的访问控制技术主要用于系统内实现高安全级别要求的强制访问控制,保证访问控制机制不能被绕过,本身不能被篡改,抗攻击,同时足够小,可以被证明。 3.也能据此辨识应用并对不同应用的流量进行检测。根据情况选用加密算法,确保信息在可信通道传输过程中的完整性、机密性及不可篡改性。,基于标签的访问控制技术,利用安全通道技术、标签技术和密码技术在保障不同安全等级网络隔离的基础上,通过“五指定”,实现各个安全等级网络的多级安全互联互通;通过对不同安全等级的网络划分安全域的方式,和设置不同安全等级安全域之间的访问控制策略,达到了不同安全等级安全域
18、之间安全隔离以及对指定应用数据进行交换的目的。 实现细粒度的访问控制(完全实现五指定功能) 控制接入用户 控制接入终端 控制接入应用数据 控制接入目标节点 控制接入目标节点上应用系统,基于标签的数据交换技术,可信安全体系,瑞达产品体系,可信交换网关,J3210,强龙可信 安全计算机,巨龙可信安全服务器,安全域访问控制系统,巨龙可信安全服务器,可信安全体系的基石, 作为可验证信任体系的基础产品。,定制用户、平台、主体、客体、节点的安全基线, 实现用户和平台身份可认证、行为可控制和审计。,将安全基线由节点延伸到网络,基于数字标签 技术,实现用户分级、系统分域、网络分域、 应用分域、安全域访问控制及
19、安全域间的可信 信息交换。,一体化的安全管理, 提供系统整体的安全性, 并能精准捕获用户、 主体、节点和网络的危害行为。,低等级安全域,高等级安全域,可信软件,瑞达产品结构,目 录,结构性安全,可信安全体系,1,2,关键技术及产品,应用案例,3,4,产品解决方案,总结,可信安全体系以可信技术为基础,基于数字标签的访问控制、数据交换为核心,一体化的安全管理为手段,将各种安全机制相互关联、相互支撑、相互制约,通过相互之间的结构关系把计算机网络这个虚拟世界变成一个有序、可认证、可管理且可追踪控制的空间,是结构性安全体系架构的基础和实践。 结构性安全体系和传统安全体系并不是对立的,也不是两个发展阶段;而是从不同的角度(单维度与多维度、粗粒度与细粒度、后延与先延、被动与主动)出发的信息安全保障体系和理念,有效的弥补了现有安全体系存在的不足。,