隨著信息技術(shù)的飛速發(fā)展,計(jì)算機(jī)及網(wǎng)絡(luò)在政治、經(jīng)濟(jì)、社會(huì)、文化等各個(gè)領(lǐng)域起著越來越大的作用。與此同時(shí),信息安全與保密的問題也已擺到人們的面前,危及計(jì)算機(jī)終端和網(wǎng)絡(luò)信息系統(tǒng)的安全事件時(shí)有發(fā)生,信息安全問題日益突出,已成為關(guān)系國家安全和經(jīng)濟(jì)發(fā)展的不容忽視的重大問題。近期,浪潮特種計(jì)算機(jī)事業(yè)部經(jīng)過多年潛心研究,在擁有Tempest防信息泄漏成熟技術(shù)的基礎(chǔ)上,突破并集成了操作系統(tǒng)內(nèi)核加固、安全芯片應(yīng)用等關(guān)鍵技術(shù),推出了面向計(jì)算機(jī)終端信息安全與保密的系統(tǒng)解決方案。
提起信息安全問題,人們往往更多地關(guān)注網(wǎng)絡(luò)邊界和核心資源安全,即轄內(nèi)所有計(jì)算機(jī)終端要在防火墻內(nèi)部,同時(shí)安裝統(tǒng)一的防病毒系統(tǒng)、入侵檢測(cè)系統(tǒng)等。但是,隨著技術(shù)的發(fā)展,各種攻擊手段也越來越高明,人們只能把外圍的封堵或檢查越做越復(fù)雜,相應(yīng)投入的管理和維護(hù)費(fèi)用也越來越龐大。
圖1-1:網(wǎng)絡(luò)三個(gè)層面的防護(hù)措施的常見位置
從圖1-1組成信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)、終端三個(gè)層面來看,現(xiàn)有的保護(hù)手段是逐層遞減的,這說明人們已經(jīng)非常重視服務(wù)器和網(wǎng)絡(luò)層面的安全防護(hù),而對(duì)終端的安全防護(hù)重視程度不足。信息系統(tǒng)的安全需要全方位的防護(hù),終端安全尤為重要,主要原因有:
1)計(jì)算機(jī)終端往往是創(chuàng)建和存放重要數(shù)據(jù)的源頭;
2)據(jù)權(quán)威統(tǒng)計(jì),信息系統(tǒng)的安全問題30%來自于外部,70%來自于內(nèi)部,絕大多數(shù)的攻擊事件都是從計(jì)算機(jī)終端發(fā)起的;
3)數(shù)據(jù)泄密和蠕蟲病毒感染等往往是由計(jì)算機(jī)終端的脆弱性引起。
因此,加強(qiáng)終端安全防護(hù)研究是十分迫切的,只有立足終端,從源頭抓起,才能構(gòu)建起真正的全面高效的安全防護(hù)系統(tǒng)。隨著國際TCG組織的成立,提出了“可信計(jì)算”概念,使得研究如何構(gòu)建安全終端以及如何解決終端安全問題達(dá)到了高潮。
一、計(jì)算機(jī)終端面臨的安全威脅及應(yīng)對(duì)策略
在組成網(wǎng)絡(luò)信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)、計(jì)算機(jī)終端三個(gè)層面里,計(jì)算機(jī)終端作為創(chuàng)建、處理和存貯重要信息的源頭,由于其分散性、不被重視、安全手段缺乏等原因,在信息安全與保密諸多方面存在薄弱環(huán)節(jié)。影響其安全的因素很多,可能是有意的攻擊,也可能是無意的誤操作;可能是內(nèi)部的破壞,也可能是外來攻擊者對(duì)系統(tǒng)資源的非法使用。歸結(jié)起來,主要有以下幾個(gè)方面:
1、數(shù)據(jù)存儲(chǔ)安全問題
計(jì)算機(jī)終端作為信息數(shù)據(jù)的主要存儲(chǔ)載體之一,其存儲(chǔ)的安全性越來越令人擔(dān)憂。普通計(jì)算機(jī)上的信息大都以明文形式存儲(chǔ),這在很大程度上使得數(shù)據(jù)更容易遭到竊取和破壞;另一方面硬盤的更換、丟失等造成的信息泄漏也越來越嚴(yán)重;再者用戶的誤操作、感染病毒等造成的數(shù)據(jù)丟失以及破壞等現(xiàn)象,均給用戶帶來了極大的煩惱。
目前,應(yīng)對(duì)數(shù)據(jù)存儲(chǔ)安全的主要策略是數(shù)據(jù)加密技術(shù),采用軟件加密或者硬件加密技術(shù),確保計(jì)算機(jī)硬盤數(shù)據(jù)的密文存儲(chǔ),杜絕了因數(shù)據(jù)竊取、硬盤更換、丟失等造成的數(shù)據(jù)泄密。軟件加密技術(shù)由于其技術(shù)實(shí)現(xiàn)原理問題,依然存在破解的可能,但隨著我國可信計(jì)算標(biāo)準(zhǔn)的出臺(tái),以及TCM安全芯片的問世,基于TCM安全芯片的硬件加密、解密技術(shù)成為解決存儲(chǔ)安全的最佳解決方案。
2、惡意攻擊及權(quán)限的非法使用問題
病毒、蠕蟲、惡意代碼、垃圾郵件、間諜軟件、流氓軟件等很容易通過各種途徑侵入計(jì)算機(jī),使得終端出現(xiàn)運(yùn)行緩慢、應(yīng)用程序出錯(cuò)、系統(tǒng)崩潰等現(xiàn)象,給企事業(yè)的業(yè)務(wù)帶來無法估量的損失。用戶安全意識(shí)不強(qiáng)、用戶口令選擇不慎、非法用戶越權(quán)訪問、用戶帳號(hào)管理不嚴(yán)等也都會(huì)對(duì)信息系統(tǒng)的安全保密帶來威脅。
殺毒軟件、防火墻等安全軟硬件的廣泛應(yīng)用,對(duì)目前頻繁發(fā)生的病毒、蠕蟲、垃圾郵件攻擊等危害終端安全的事件起到了一定的保護(hù)作用,但未從根本上切斷病毒、蠕蟲等的侵入路徑,隨著病毒、蠕蟲等的更新升級(jí),還是會(huì)繞過殺軟造成對(duì)終端系統(tǒng)的破壞。所以,解決這一問題,最核心的還是從操作系統(tǒng)層面,對(duì)涉及系統(tǒng)安全的文件、注冊(cè)表等進(jìn)行訪問控制,切斷病毒侵入路徑,保護(hù)系統(tǒng)安全。
3、操作系統(tǒng)和應(yīng)用軟件的漏洞問題
以微軟Windows為代表的操作系統(tǒng)不斷發(fā)現(xiàn)漏洞,通常在漏洞被披露的1~2周之內(nèi),相應(yīng)的蠕蟲病毒就產(chǎn)生了;另外,軟件的“后門”有些是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的,一般不為外人所知,但一旦“后門”洞開,其造成的后果將不堪設(shè)想。同時(shí)也存在BO、Netbus等諸多專業(yè)黑客后門程序,一旦被植入計(jì)算機(jī),將大開入侵之門。
浪潮終端操作系統(tǒng)加固采用ROST安全內(nèi)核模塊技術(shù),重構(gòu)操作系統(tǒng)的核心層權(quán)限訪問控制模型,運(yùn)用“三權(quán)分立”原則,實(shí)現(xiàn)了系統(tǒng)操作人員最小授權(quán)管理、行為安全審計(jì)功能、重要數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)等核心數(shù)據(jù)資產(chǎn)強(qiáng)制訪問控制保護(hù),從信息系統(tǒng)核心層解決了后門、網(wǎng)絡(luò)病毒、黑客入侵、內(nèi)部人員違規(guī)操作等安全隱患。
4、涉密信息的竊取問題
計(jì)算機(jī)的寄生輻射和傳導(dǎo)所造成的電磁泄漏具有很寬的頻譜,它一方面是外部敏感設(shè)備的噪聲源,對(duì)人體產(chǎn)生輻射危害;另一方面也造成計(jì)算機(jī)數(shù)據(jù)信息失密的可能。測(cè)試結(jié)果表明:CPU、內(nèi)存、I/O接口、視頻、傳輸線、電源線等部位都有較強(qiáng)的電磁輻射。通過Tempest技術(shù)(可譯為信息電磁泄漏監(jiān)測(cè)和防護(hù)技術(shù)),用靈敏度較高的接收裝置,在幾百米外就可以有效地截獲、復(fù)現(xiàn)、破譯電磁輻射信號(hào)中所攜帶的敏感信息,從而導(dǎo)致軍隊(duì)、政府機(jī)關(guān)、企事業(yè)單位涉密信息數(shù)據(jù)的泄漏和丟失。
為了盡量減少計(jì)算機(jī)信息電磁泄漏的危險(xiǎn),必須采取完全防護(hù)措施。目前的防電磁信息泄漏技術(shù)措施主要有三種:即信號(hào)干擾技術(shù)、電磁屏蔽技術(shù)和TEMPEST防護(hù)技術(shù)。基于此三種技術(shù)的信息安全產(chǎn)品相應(yīng)的主要有三種:干擾器、電磁屏蔽室及防信息泄漏計(jì)算機(jī)。
其中,干擾器是基于信號(hào)干擾技術(shù)的一種信息防護(hù)產(chǎn)品,干擾器發(fā)射出來的電磁波和計(jì)算機(jī)輻射出來的電磁波混合在一起,以掩蓋原泄漏信息的內(nèi)容和特征等,干擾器結(jié)構(gòu)簡單、成本低,但存在安全隱患:信息仍然可以提取、會(huì)造成電磁環(huán)境污染、影響其它設(shè)備的正常使用。
電磁屏蔽室是一個(gè)導(dǎo)電的金屬材料制成的大型六面體,能夠抑制和阻擋電磁波在空中傳播。屏蔽室難以廣泛應(yīng)用的主要原因是造價(jià)太高、受安裝場(chǎng)地等條件的限制。一般二、三十平方米場(chǎng)地的屏蔽室的造價(jià)即需幾十至上百萬元。因此屏蔽室只適用于重要的大型計(jì)算機(jī)設(shè)備或多臺(tái)小型計(jì)算機(jī)集中放置的場(chǎng)合。
防信息泄漏計(jì)算機(jī)是基于TEMPEST防護(hù)技術(shù)的一種信息安全產(chǎn)品。TEMPEST防護(hù)技術(shù)即低輻射技術(shù)。這種技術(shù)是在設(shè)計(jì)和生產(chǎn)計(jì)算機(jī)設(shè)備時(shí),就已對(duì)可能產(chǎn)生電磁輻射的元器件、集成電路、連接線、顯示器等采取了防輻射措施,把電磁輻射抑制到最低限度。使用低輻射計(jì)算機(jī)設(shè)備是防止計(jì)算機(jī)電磁輻射泄密的較為根本的防護(hù)措施。既可實(shí)現(xiàn)信息安全,又避免了電磁環(huán)境污染,
面對(duì)計(jì)算機(jī)信息安全的嚴(yán)峻形勢(shì),浪潮以維護(hù)國家信息安全為已任,秉承科技報(bào)國的宗旨,潛心研究防信息泄漏技術(shù),在多年TEMPEST防護(hù)技術(shù)的研究基礎(chǔ)上,形成了成熟的抑源法和包容法核心技術(shù),有效抑制發(fā)射源和阻塞耦合通道,并不斷推進(jìn)成熟技術(shù)的產(chǎn)品化,成為國內(nèi)安全與加固信息產(chǎn)品的領(lǐng)先供應(yīng)商。
二、計(jì)算機(jī)安全與保密的綜合解決方案
為了解決計(jì)算機(jī)的信息安全與保密問題,市場(chǎng)上推出了多種安全產(chǎn)品和技術(shù),如殺毒軟件、網(wǎng)絡(luò)隔離卡、視頻信息保護(hù)機(jī)、硬盤加密、USBKey等;其中,可信計(jì)算技術(shù)是一個(gè)熱點(diǎn),有別于傳統(tǒng)的安全技術(shù)??尚庞?jì)算技術(shù)通過增強(qiáng)現(xiàn)有計(jì)算機(jī)終端體系結(jié)構(gòu)的安全性來保證整個(gè)計(jì)算機(jī)及網(wǎng)絡(luò)的安全,其主要思想是在硬件平臺(tái)上引入安全芯片(稱作可信平臺(tái)模塊TPM);建立一個(gè)信任根,從信任根開始到硬件平臺(tái)、到操作系統(tǒng)、再到應(yīng)用,一級(jí)認(rèn)證一級(jí),一級(jí)信任一級(jí),從而把這種信任擴(kuò)展到整個(gè)計(jì)算機(jī)系統(tǒng),以達(dá)到增強(qiáng)安全性的目的。
2005年,浪潮、長城、同方等一線電腦廠商率先推出了采用TPM安全芯片的“安全電腦”。安全電腦的推出受到了高端市場(chǎng)的一定青睞。然而,不同廠商對(duì)安全電腦的認(rèn)識(shí)和關(guān)注點(diǎn)并不統(tǒng)一,其解決方案在某種程度上還是局限于某種安全技術(shù)的應(yīng)用,沒有形成系統(tǒng)的解決方案。就TPM本身而言,要完全發(fā)揮出它的作用,還必須依靠系統(tǒng)軟件和應(yīng)用軟件的配合才能實(shí)現(xiàn)。
2007年12月,國家密碼管理局發(fā)布了我國自己的《可信計(jì)算密碼支撐平臺(tái)功能與接口規(guī)范》?;谶@一可信計(jì)算規(guī)范的安全芯片被稱為TCM(Trust C Module),與國際可信計(jì)算規(guī)范的TPM相對(duì)應(yīng)。我國可信計(jì)算標(biāo)準(zhǔn)的出臺(tái),推動(dòng)了國內(nèi)安全計(jì)算機(jī)產(chǎn)品的應(yīng)用普及。
浪潮集團(tuán)高度重視開展信息安全與保密技術(shù)研究,在信息安全保密、數(shù)據(jù)保護(hù)和商用密碼等方面積累了豐富的開發(fā)與推廣經(jīng)驗(yàn)。近期,浪潮特種計(jì)算機(jī)事業(yè)部(即山東超越數(shù)控電子有限公司)經(jīng)過多年潛心研究,在擁有Tempest防信息泄漏成熟技術(shù)的基礎(chǔ)上,突破并集成了操作系統(tǒng)內(nèi)核加固、安全芯片應(yīng)用等關(guān)鍵技術(shù),并順利實(shí)現(xiàn)了技術(shù)和工藝的產(chǎn)品化,推出了面向計(jì)算機(jī)終端信息安全與保密的系統(tǒng)解決方案(即浪潮ISAP技術(shù)平臺(tái))。
浪潮ISAP技術(shù)平臺(tái)基于可信計(jì)算技術(shù),從主板、BIOS、TCM安全芯片等底層硬件,到操作系統(tǒng),再到上層應(yīng)用軟件,進(jìn)行了軟硬件的集成化設(shè)計(jì);有機(jī)地整合了軍用電磁防護(hù)、操作系統(tǒng)安全加固、安全BIOS、全盤加密、安全應(yīng)用軟件等信息安全與保密技術(shù),從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等五個(gè)層面,為計(jì)算機(jī)終端提供全方位的信息安全與保密防護(hù),解決終端用戶面臨的日益嚴(yán)峻的安全威脅,實(shí)現(xiàn)了涉密信息出不去、有害攻擊進(jìn)不來、涉密信息偷不走、信息非法帶走打不開。
目前,浪潮根據(jù)不同領(lǐng)域、不同行業(yè)的差異化需求,基于ISAP技術(shù)平臺(tái),已成功推出了金盾通用型、專業(yè)型、保密型安全計(jì)算機(jī),可滿足政府、軍隊(duì)、金融、電信等多個(gè)領(lǐng)域的應(yīng)用需求。
三、浪潮金盾系列安全產(chǎn)品介紹
浪潮特種計(jì)算機(jī)事業(yè)部,面對(duì)計(jì)算機(jī)信息安全的嚴(yán)峻形勢(shì),以維護(hù)國家信息安全為已任,秉承科技報(bào)國的宗旨,多年致力于TEMPEST防護(hù)技術(shù)的研究。先后突破高難技術(shù)瓶頸,取得了多項(xiàng)核心技術(shù),在研制防信息泄漏計(jì)算機(jī)的過程中積累了豐富的經(jīng)驗(yàn),并不斷推進(jìn)成熟技術(shù)的產(chǎn)品化。
浪潮防信息泄漏系列產(chǎn)品:
1、金盾防信息泄漏計(jì)算機(jī)
浪潮金盾防信息泄漏計(jì)算機(jī),是國家級(jí)信息安全示范工程項(xiàng)目,獲得國家保密局GGBB1測(cè)試認(rèn)證,滿足國軍標(biāo)GJB151A軍用設(shè)備電磁兼容要求。
主要功能:防信息泄漏,有效保證信息安全;綠色環(huán)保,無輻射危害,有益人體健康;外形美觀,經(jīng)濟(jì)耐用。
應(yīng)用領(lǐng)域:可廣泛應(yīng)用于有保密要求的辦公領(lǐng)域,其中主要用于黨、政、軍機(jī)關(guān)辦公領(lǐng)域,其次還可用于金融、保險(xiǎn)、廠礦等企事業(yè)辦公領(lǐng)域,也可用于軍工企業(yè)涉密要害部門。
2、防信息泄漏筆記本
金盾防信息泄漏筆記本電腦是公司最新自主研發(fā)的筆記本產(chǎn)品,采用全新寬屏設(shè)計(jì),陽光下可視技術(shù);硬盤可插拔,配置高、速度快、屏幕大、接口齊全、分辨率高、圖形效能強(qiáng)。
獲得國家保密局GGBB1測(cè)試認(rèn)證,滿足國軍標(biāo)GJB151A軍用設(shè)備電磁兼容要求。
3、 金盾S2010安全計(jì)算機(jī)
金盾S2010安全計(jì)算機(jī)是公司在2009年全力打造的一款安全計(jì)算機(jī)領(lǐng)域新產(chǎn)品,外形美觀,配置高檔,具備一系列軟、硬件安全功能,滿足政府、軍工、軍隊(duì)、企事業(yè)等辦公需求。
S2010采用了具備自主產(chǎn)權(quán)的安全BIOS,實(shí)現(xiàn)了基于國產(chǎn)BIOS環(huán)境下的USBKEY身份認(rèn)證、TCM驅(qū)動(dòng)、硬件端口控制、硬盤鎖等一系列有效的安全功能,真正做到從開機(jī)第一行代碼開始,保證了計(jì)算機(jī)的安全;同時(shí)對(duì)操作系統(tǒng)進(jìn)行了安全加固,實(shí)現(xiàn)了系統(tǒng)的實(shí)時(shí)保護(hù);結(jié)合TCM可信芯片,實(shí)現(xiàn)了文件、數(shù)據(jù)的加解密,文件備份、還原、銷毀,文件監(jiān)控,網(wǎng)絡(luò)監(jiān)控等上層安全應(yīng)用。