隨著信息技術(shù)的飛速發(fā)展,計(jì)算機(jī)及網(wǎng)絡(luò)在政治���、經(jīng)濟(jì)����、社會(huì)����、文化等各個(gè)領(lǐng)域起著越來(lái)越大的作用。與此同時(shí)�,信息安全與保密的問(wèn)題也已擺到人們的面前,危及計(jì)算機(jī)終端和網(wǎng)絡(luò)信息系統(tǒng)的安全事件時(shí)有發(fā)生����,信息安全問(wèn)題日益突出,已成為關(guān)系國(guó)家安全和經(jīng)濟(jì)發(fā)展的不容忽視的重大問(wèn)題���。近期�����,浪潮特種計(jì)算機(jī)事業(yè)部經(jīng)過(guò)多年潛心研究��,在擁有Tempest防信息泄漏成熟技術(shù)的基礎(chǔ)上�����,突破并集成了操作系統(tǒng)內(nèi)核加固����、安全芯片應(yīng)用等關(guān)鍵技術(shù),推出了面向計(jì)算機(jī)終端信息安全與保密的系統(tǒng)解決方案�。
提起信息安全問(wèn)題,人們往往更多地關(guān)注網(wǎng)絡(luò)邊界和核心資源安全��,即轄內(nèi)所有計(jì)算機(jī)終端要在防火墻內(nèi)部�,同時(shí)安裝統(tǒng)一的防病毒系統(tǒng)、入侵檢測(cè)系統(tǒng)等���。但是�,隨著技術(shù)的發(fā)展�,各種攻擊手段也越來(lái)越高明,人們只能把外圍的封堵或檢查越做越復(fù)雜���,相應(yīng)投入的管理和維護(hù)費(fèi)用也越來(lái)越龐大��。
圖1-1:網(wǎng)絡(luò)三個(gè)層面的防護(hù)措施的常見(jiàn)位置
從圖1-1組成信息系統(tǒng)的服務(wù)器�����、網(wǎng)絡(luò)�����、終端三個(gè)層面來(lái)看���,現(xiàn)有的保護(hù)手段是逐層遞減的����,這說(shuō)明人們已經(jīng)非常重視服務(wù)器和網(wǎng)絡(luò)層面的安全防護(hù)���,而對(duì)終端的安全防護(hù)重視程度不足。信息系統(tǒng)的安全需要全方位的防護(hù)�����,終端安全尤為重要�,主要原因有:
1)計(jì)算機(jī)終端往往是創(chuàng)建和存放重要數(shù)據(jù)的源頭;
2)據(jù)權(quán)威統(tǒng)計(jì)��,信息系統(tǒng)的安全問(wèn)題30%來(lái)自于外部,70%來(lái)自于內(nèi)部�����,絕大多數(shù)的攻擊事件都是從計(jì)算機(jī)終端發(fā)起的�;
3)數(shù)據(jù)泄密和蠕蟲(chóng)病毒感染等往往是由計(jì)算機(jī)終端的脆弱性引起。
因此�����,加強(qiáng)終端安全防護(hù)研究是十分迫切的����,只有立足終端,從源頭抓起���,才能構(gòu)建起真正的全面高效的安全防護(hù)系統(tǒng)�。隨著國(guó)際TCG組織的成立����,提出了“可信計(jì)算”概念,使得研究如何構(gòu)建安全終端以及如何解決終端安全問(wèn)題達(dá)到了高潮�����。
一、計(jì)算機(jī)終端面臨的安全威脅及應(yīng)對(duì)策略
在組成網(wǎng)絡(luò)信息系統(tǒng)的服務(wù)器�、網(wǎng)絡(luò)、計(jì)算機(jī)終端三個(gè)層面里����,計(jì)算機(jī)終端作為創(chuàng)建、處理和存貯重要信息的源頭��,由于其分散性�����、不被重視���、安全手段缺乏等原因����,在信息安全與保密諸多方面存在薄弱環(huán)節(jié)���。影響其安全的因素很多,可能是有意的攻擊�����,也可能是無(wú)意的誤操作;可能是內(nèi)部的破壞�,也可能是外來(lái)攻擊者對(duì)系統(tǒng)資源的非法使用。歸結(jié)起來(lái)��,主要有以下幾個(gè)方面:
1����、數(shù)據(jù)存儲(chǔ)安全問(wèn)題
計(jì)算機(jī)終端作為信息數(shù)據(jù)的主要存儲(chǔ)載體之一,其存儲(chǔ)的安全性越來(lái)越令人擔(dān)憂����。普通計(jì)算機(jī)上的信息大都以明文形式存儲(chǔ),這在很大程度上使得數(shù)據(jù)更容易遭到竊取和破壞�;另一方面硬盤的更換、丟失等造成的信息泄漏也越來(lái)越嚴(yán)重�;再者用戶的誤操作、感染病毒等造成的數(shù)據(jù)丟失以及破壞等現(xiàn)象�����,均給用戶帶來(lái)了極大的煩惱�。
目前,應(yīng)對(duì)數(shù)據(jù)存儲(chǔ)安全的主要策略是數(shù)據(jù)加密技術(shù)��,采用軟件加密或者硬件加密技術(shù)�����,確保計(jì)算機(jī)硬盤數(shù)據(jù)的密文存儲(chǔ),杜絕了因數(shù)據(jù)竊取�、硬盤更換、丟失等造成的數(shù)據(jù)泄密�。軟件加密技術(shù)由于其技術(shù)實(shí)現(xiàn)原理問(wèn)題,依然存在破解的可能��,但隨著我國(guó)可信計(jì)算標(biāo)準(zhǔn)的出臺(tái)����,以及TCM安全芯片的問(wèn)世,基于TCM安全芯片的硬件加密���、解密技術(shù)成為解決存儲(chǔ)安全的最佳解決方案���。
2、惡意攻擊及權(quán)限的非法使用問(wèn)題
病毒�����、蠕蟲(chóng)����、惡意代碼、垃圾郵件���、間諜軟件����、流氓軟件等很容易通過(guò)各種途徑侵入計(jì)算機(jī)�����,使得終端出現(xiàn)運(yùn)行緩慢����、應(yīng)用程序出錯(cuò)、系統(tǒng)崩潰等現(xiàn)象��,給企事業(yè)的業(yè)務(wù)帶來(lái)無(wú)法估量的損失��。用戶安全意識(shí)不強(qiáng)�����、用戶口令選擇不慎���、非法用戶越權(quán)訪問(wèn)�����、用戶帳號(hào)管理不嚴(yán)等也都會(huì)對(duì)信息系統(tǒng)的安全保密帶來(lái)威脅��。
殺毒軟件��、防火墻等安全軟硬件的廣泛應(yīng)用��,對(duì)目前頻繁發(fā)生的病毒�����、蠕蟲(chóng)�、垃圾郵件攻擊等危害終端安全的事件起到了一定的保護(hù)作用,但未從根本上切斷病毒����、蠕蟲(chóng)等的侵入路徑,隨著病毒���、蠕蟲(chóng)等的更新升級(jí)�����,還是會(huì)繞過(guò)殺軟造成對(duì)終端系統(tǒng)的破壞����。所以��,解決這一問(wèn)題����,最核心的還是從操作系統(tǒng)層面,對(duì)涉及系統(tǒng)安全的文件�、注冊(cè)表等進(jìn)行訪問(wèn)控制,切斷病毒侵入路徑��,保護(hù)系統(tǒng)安全�����。
3��、操作系統(tǒng)和應(yīng)用軟件的漏洞問(wèn)題
以微軟Windows為代表的操作系統(tǒng)不斷發(fā)現(xiàn)漏洞���,通常在漏洞被披露的1~2周之內(nèi)����,相應(yīng)的蠕蟲(chóng)病毒就產(chǎn)生了;另外�,軟件的“后門”有些是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的,一般不為外人所知�,但一旦“后門”洞開(kāi),其造成的后果將不堪設(shè)想����。同時(shí)也存在BO、Netbus等諸多專業(yè)黑客后門程序����,一旦被植入計(jì)算機(jī),將大開(kāi)入侵之門��。
浪潮終端操作系統(tǒng)加固采用ROST安全內(nèi)核模塊技術(shù)�����,重構(gòu)操作系統(tǒng)的核心層權(quán)限訪問(wèn)控制模型����,運(yùn)用“三權(quán)分立”原則,實(shí)現(xiàn)了系統(tǒng)操作人員最小授權(quán)管理����、行為安全審計(jì)功能�、重要數(shù)據(jù)庫(kù)����、業(yè)務(wù)系統(tǒng)等核心數(shù)據(jù)資產(chǎn)強(qiáng)制訪問(wèn)控制保護(hù),從信息系統(tǒng)核心層解決了后門����、網(wǎng)絡(luò)病毒����、黑客入侵、內(nèi)部人員違規(guī)操作等安全隱患�。
4、涉密信息的竊取問(wèn)題
計(jì)算機(jī)的寄生輻射和傳導(dǎo)所造成的電磁泄漏具有很寬的頻譜��,它一方面是外部敏感設(shè)備的噪聲源��,對(duì)人體產(chǎn)生輻射危害�����;另一方面也造成計(jì)算機(jī)數(shù)據(jù)信息失密的可能��。測(cè)試結(jié)果表明:CPU�����、內(nèi)存、I/O接口��、視頻���、傳輸線�、電源線等部位都有較強(qiáng)的電磁輻射�。通過(guò)Tempest技術(shù)(可譯為信息電磁泄漏監(jiān)測(cè)和防護(hù)技術(shù)),用靈敏度較高的接收裝置���,在幾百米外就可以有效地截獲���、復(fù)現(xiàn)、破譯電磁輻射信號(hào)中所攜帶的敏感信息��,從而導(dǎo)致軍隊(duì)��、政府機(jī)關(guān)��、企事業(yè)單位涉密信息數(shù)據(jù)的泄漏和丟失�����。
為了盡量減少計(jì)算機(jī)信息電磁泄漏的危險(xiǎn),必須采取完全防護(hù)措施����。目前的防電磁信息泄漏技術(shù)措施主要有三種:即信號(hào)干擾技術(shù)、電磁屏蔽技術(shù)和TEMPEST防護(hù)技術(shù)����。基于此三種技術(shù)的信息安全產(chǎn)品相應(yīng)的主要有三種:干擾器�、電磁屏蔽室及防信息泄漏計(jì)算機(jī)��。
其中����,干擾器是基于信號(hào)干擾技術(shù)的一種信息防護(hù)產(chǎn)品,干擾器發(fā)射出來(lái)的電磁波和計(jì)算機(jī)輻射出來(lái)的電磁波混合在一起����,以掩蓋原泄漏信息的內(nèi)容和特征等,干擾器結(jié)構(gòu)簡(jiǎn)單���、成本低�,但存在安全隱患:信息仍然可以提取�����、會(huì)造成電磁環(huán)境污染、影響其它設(shè)備的正常使用����。
電磁屏蔽室是一個(gè)導(dǎo)電的金屬材料制成的大型六面體,能夠抑制和阻擋電磁波在空中傳播�����。屏蔽室難以廣泛應(yīng)用的主要原因是造價(jià)太高����、受安裝場(chǎng)地等條件的限制。一般二�、三十平方米場(chǎng)地的屏蔽室的造價(jià)即需幾十至上百萬(wàn)元。因此屏蔽室只適用于重要的大型計(jì)算機(jī)設(shè)備或多臺(tái)小型計(jì)算機(jī)集中放置的場(chǎng)合����。
防信息泄漏計(jì)算機(jī)是基于TEMPEST防護(hù)技術(shù)的一種信息安全產(chǎn)品。TEMPEST防護(hù)技術(shù)即低輻射技術(shù)�����。這種技術(shù)是在設(shè)計(jì)和生產(chǎn)計(jì)算機(jī)設(shè)備時(shí)��,就已對(duì)可能產(chǎn)生電磁輻射的元器件、集成電路���、連接線��、顯示器等采取了防輻射措施��,把電磁輻射抑制到最低限度����。使用低輻射計(jì)算機(jī)設(shè)備是防止計(jì)算機(jī)電磁輻射泄密的較為根本的防護(hù)措施�。既可實(shí)現(xiàn)信息安全,又避免了電磁環(huán)境污染��,
面對(duì)計(jì)算機(jī)信息安全的嚴(yán)峻形勢(shì)�����,浪潮以維護(hù)國(guó)家信息安全為已任�,秉承科技報(bào)國(guó)的宗旨��,潛心研究防信息泄漏技術(shù)�����,在多年TEMPEST防護(hù)技術(shù)的研究基礎(chǔ)上,形成了成熟的抑源法和包容法核心技術(shù)�����,有效抑制發(fā)射源和阻塞耦合通道��,并不斷推進(jìn)成熟技術(shù)的產(chǎn)品化�,成為國(guó)內(nèi)安全與加固信息產(chǎn)品的領(lǐng)先供應(yīng)商。
二���、計(jì)算機(jī)安全與保密的綜合解決方案
為了解決計(jì)算機(jī)的信息安全與保密問(wèn)題��,市場(chǎng)上推出了多種安全產(chǎn)品和技術(shù)�����,如殺毒軟件����、網(wǎng)絡(luò)隔離卡�、視頻信息保護(hù)機(jī)、硬盤加密��、USBKey等�;其中��,可信計(jì)算技術(shù)是一個(gè)熱點(diǎn)�����,有別于傳統(tǒng)的安全技術(shù)��?����?尚庞?jì)算技術(shù)通過(guò)增強(qiáng)現(xiàn)有計(jì)算機(jī)終端體系結(jié)構(gòu)的安全性來(lái)保證整個(gè)計(jì)算機(jī)及網(wǎng)絡(luò)的安全�,其主要思想是在硬件平臺(tái)上引入安全芯片(稱作可信平臺(tái)模塊TPM)�����;建立一個(gè)信任根�����,從信任根開(kāi)始到硬件平臺(tái)�、到操作系統(tǒng)���、再到應(yīng)用�����,一級(jí)認(rèn)證一級(jí)��,一級(jí)信任一級(jí)�����,從而把這種信任擴(kuò)展到整個(gè)計(jì)算機(jī)系統(tǒng)���,以達(dá)到增強(qiáng)安全性的目的�����。
2005年����,浪潮��、長(zhǎng)城��、同方等一線電腦廠商率先推出了采用TPM安全芯片的“安全電腦”���。安全電腦的推出受到了高端市場(chǎng)的一定青睞�����。然而�,不同廠商對(duì)安全電腦的認(rèn)識(shí)和關(guān)注點(diǎn)并不統(tǒng)一,其解決方案在某種程度上還是局限于某種安全技術(shù)的應(yīng)用�,沒(méi)有形成系統(tǒng)的解決方案。就TPM本身而言�,要完全發(fā)揮出它的作用,還必須依靠系統(tǒng)軟件和應(yīng)用軟件的配合才能實(shí)現(xiàn)��。
2007年12月����,國(guó)家密碼管理局發(fā)布了我國(guó)自己的《可信計(jì)算密碼支撐平臺(tái)功能與接口規(guī)范》?;谶@一可信計(jì)算規(guī)范的安全芯片被稱為TCM(Trust C Module),與國(guó)際可信計(jì)算規(guī)范的TPM相對(duì)應(yīng)��。我國(guó)可信計(jì)算標(biāo)準(zhǔn)的出臺(tái)���,推動(dòng)了國(guó)內(nèi)安全計(jì)算機(jī)產(chǎn)品的應(yīng)用普及。
浪潮集團(tuán)高度重視開(kāi)展信息安全與保密技術(shù)研究�����,在信息安全保密、數(shù)據(jù)保護(hù)和商用密碼等方面積累了豐富的開(kāi)發(fā)與推廣經(jīng)驗(yàn)�。近期,浪潮特種計(jì)算機(jī)事業(yè)部(即山東超越數(shù)控電子有限公司)經(jīng)過(guò)多年潛心研究�����,在擁有Tempest防信息泄漏成熟技術(shù)的基礎(chǔ)上���,突破并集成了操作系統(tǒng)內(nèi)核加固����、安全芯片應(yīng)用等關(guān)鍵技術(shù)���,并順利實(shí)現(xiàn)了技術(shù)和工藝的產(chǎn)品化�,推出了面向計(jì)算機(jī)終端信息安全與保密的系統(tǒng)解決方案(即浪潮ISAP技術(shù)平臺(tái))��。
浪潮ISAP技術(shù)平臺(tái)基于可信計(jì)算技術(shù)���,從主板�����、BIOS�、TCM安全芯片等底層硬件,到操作系統(tǒng)�,再到上層應(yīng)用軟件,進(jìn)行了軟硬件的集成化設(shè)計(jì)����;有機(jī)地整合了軍用電磁防護(hù)、操作系統(tǒng)安全加固���、安全BIOS���、全盤加密、安全應(yīng)用軟件等信息安全與保密技術(shù)�����,從物理安全�����、網(wǎng)絡(luò)安全�����、主機(jī)安全、應(yīng)用安全��、數(shù)據(jù)安全等五個(gè)層面��,為計(jì)算機(jī)終端提供全方位的信息安全與保密防護(hù)���,解決終端用戶面臨的日益嚴(yán)峻的安全威脅,實(shí)現(xiàn)了涉密信息出不去�����、有害攻擊進(jìn)不來(lái)��、涉密信息偷不走�、信息非法帶走打不開(kāi)。
目前���,浪潮根據(jù)不同領(lǐng)域���、不同行業(yè)的差異化需求,基于ISAP技術(shù)平臺(tái)�����,已成功推出了金盾通用型、專業(yè)型��、保密型安全計(jì)算機(jī)�,可滿足政府、軍隊(duì)��、金融�����、電信等多個(gè)領(lǐng)域的應(yīng)用需求���。
三���、浪潮金盾系列安全產(chǎn)品介紹
浪潮特種計(jì)算機(jī)事業(yè)部,面對(duì)計(jì)算機(jī)信息安全的嚴(yán)峻形勢(shì)�,以維護(hù)國(guó)家信息安全為已任,秉承科技報(bào)國(guó)的宗旨���,多年致力于TEMPEST防護(hù)技術(shù)的研究�。先后突破高難技術(shù)瓶頸�����,取得了多項(xiàng)核心技術(shù),在研制防信息泄漏計(jì)算機(jī)的過(guò)程中積累了豐富的經(jīng)驗(yàn)��,并不斷推進(jìn)成熟技術(shù)的產(chǎn)品化�����。
浪潮防信息泄漏系列產(chǎn)品:
1��、金盾防信息泄漏計(jì)算機(jī)
浪潮金盾防信息泄漏計(jì)算機(jī)�����,是國(guó)家級(jí)信息安全示范工程項(xiàng)目��,獲得國(guó)家保密局GGBB1測(cè)試認(rèn)證���,滿足國(guó)軍標(biāo)GJB151A軍用設(shè)備電磁兼容要求。
主要功能:防信息泄漏�����,有效保證信息安全�����;綠色環(huán)保,無(wú)輻射危害����,有益人體健康;外形美觀�,經(jīng)濟(jì)耐用。
應(yīng)用領(lǐng)域:可廣泛應(yīng)用于有保密要求的辦公領(lǐng)域��,其中主要用于黨���、政��、軍機(jī)關(guān)辦公領(lǐng)域���,其次還可用于金融、保險(xiǎn)��、廠礦等企事業(yè)辦公領(lǐng)域��,也可用于軍工企業(yè)涉密要害部門�。
2、防信息泄漏筆記本
金盾防信息泄漏筆記本電腦是公司最新自主研發(fā)的筆記本產(chǎn)品���,采用全新寬屏設(shè)計(jì)���,陽(yáng)光下可視技術(shù)�����;硬盤可插拔����,配置高�����、速度快���、屏幕大、接口齊全�、分辨率高、圖形效能強(qiáng)�����。
獲得國(guó)家保密局GGBB1測(cè)試認(rèn)證��,滿足國(guó)軍標(biāo)GJB151A軍用設(shè)備電磁兼容要求����。
3����、 金盾S2010安全計(jì)算機(jī)
金盾S2010安全計(jì)算機(jī)是公司在2009年全力打造的一款安全計(jì)算機(jī)領(lǐng)域新產(chǎn)品�,外形美觀,配置高檔�����,具備一系列軟����、硬件安全功能,滿足政府����、軍工、軍隊(duì)���、企事業(yè)等辦公需求��。
S2010采用了具備自主產(chǎn)權(quán)的安全BIOS�,實(shí)現(xiàn)了基于國(guó)產(chǎn)BIOS環(huán)境下的USBKEY身份認(rèn)證、TCM驅(qū)動(dòng)����、硬件端口控制、硬盤鎖等一系列有效的安全功能�����,真正做到從開(kāi)機(jī)第一行代碼開(kāi)始����,保證了計(jì)算機(jī)的安全;同時(shí)對(duì)操作系統(tǒng)進(jìn)行了安全加固����,實(shí)現(xiàn)了系統(tǒng)的實(shí)時(shí)保護(hù)���;結(jié)合TCM可信芯片���,實(shí)現(xiàn)了文件、數(shù)據(jù)的加解密��,文件備份�����、還原、銷毀���,文件監(jiān)控���,網(wǎng)絡(luò)監(jiān)控等上層安全應(yīng)用。
