一、等保2.0
“等级保护”是在1994年中华人民共和国国务院令147号《中华人民共和国计算机信息系统安全保护条例》中提出的,其中第九条规定“计算机信息系统实行安全等级保护”。1999年发布了国家标准GB17859-1999《计算机信息系统安全保护等级划分准则》,此后又相继发布了一系列信息安全等级保护国家标准,可称之为“等保1.0标准”。
为了配合《中华人民共和国网络安全法》的实施,同时适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作的开展,需对GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》等标准进行修订,修订的思路和方法是调整原内容,针对共性安全保护需求提出安全通用要求,针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准,可称之为“等保2.0标准”
目前已发布的标准有GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》等。相关标准将于2019年12月1日正式实施。
二、可信计算
可信计算组织TCG将可信定义为:一个实体如果它的行为总是以预期的方式,达到预期的目标,则这个实体就是可信的。
ISO/IEC 15408 标准将可信定义为:参与计算的组件,操作或过程在任意的条件下是可预测的,并能够抵御病毒和物理干扰。
可信计算学界对可信的认识:可信计算是指计算的同时进行安全防护,使计算结果总是与预期一样,计算全程可测可控,不被干扰。可以说,可信计算就是一种运算和防护并存的主动免疫的新计算模式。
三、等保2.0与可信计算的关系
《网络安全等级保护条例(征求意见稿)》第十四条指出:国家鼓励利用新技术、新应用开展网络安全等级保护管理和技术防护,采取主动防御、可信计算、人工智能等技术,创新网络安全技术保护措施,提升网络安全防范能力和水平。
等保2.0标准强化了可信计算技术使用的要求,把可信验证功能要求列入各个级别并逐级提出各个环节的具体要求。
如在GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》第三级安全要求中,指出“可基于可信根对设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心”。具体设备包括通信设备、边界设备和计算设备等。
如在GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》中,关于等级保护对象整体安全保护能力的要求中,指出“建立统一的支撑平台”,并具体指出“本标准针对较高级别的等级保护对象,提到了使用密码技术、可信技术等,多数安全功能(如身份鉴别、访问控制、数据完整性、数据保密性等)为了获得更高的强度,均要基于密码技术或可信技术”。
如在GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》中,关于等级保护安全框架和关键技术使用要求中,指出“应在较高基本等级保护对象的安全建设和安全整改中注重使用一些关键技术:可信计算技术”,并具体指出“应针对计算资源构建保护环境,以可信计算基(TCB)为基础,实现软硬件计算资源可信;针对信息资源构建业务流程控制链,基于可信计算技术实现访问控制和安全认证,密码操作调用和资源的管理等,构建以可信计算技术为基础的等级保护核心技术体系”。
四、可信验证
基于可信根对设备的系统引导程序(BIOS、OS Loader等)、系统程序(OS Kernel等)、重要配置参数、应用程序(核心文件和数据等)等进行完整性校验,包括静态验证和动态验证两种,前者主要在设备启动过程中进行,后者主要在应用程序执行环节进行,当检测到完整性发生变化时,证明设备可信性遭到破坏,应进行报警,并将相关审计记录上报至安全管理中心。
等保2.0标准中,各个级别均对安全通信网络、安全区域边界和安全计算环境中设备的可信验证做了要求,但各级别之间的具体要求不一样,如在第一级安全要求中,指出“可基于可信根对设备的系统引导程序、系统程序等进行验证,并在检测到其可信性受到破坏后进行报警”;如在第四级安全要求中,指出“可基于可信根对设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知”;后者显然更为严格。
五、主动防御
等保从1.0时代到2.0时代的变迁,最大的区别就是系统防护从被动防御变成主动防御。主要原因在于,在如今软硬件缺陷和漏洞不可避免的现实条件下,恶意行为持续翻新,恶意代码动态演化,未知威胁泛滥,因此有必要变安全外挂为安全内置,变被动防护为主动防御,有效抵御和处置未知威胁,筑牢网络安全防御根基。
主动防御的实现主要依托于可信计算技术,包括设备/系统/平台启动阶段的可信验证以及运行阶段的可信保护,两者缺一不可,同时,还需要考虑平台的具体情况,在各个层面进行实施。如高鸿信安的可信云平台,主动防御功能贯穿了设备、操作系统、虚拟化层、虚拟化管理层、虚拟机环境,全方位保护能够有效应对各种新型和未知的漏洞、病毒、木马攻击,保护客户信息免受侵害。
在GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》第三级具体要求中,关于“恶意代码防范”,指出“应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断”;在第四级具体要求中,直接指出“应采用主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断”。
六、可信根(信任根)
一般可信计算平台有3种可信根(信任根):可信度量根(Root of Trust for Measurement,RTM)、可信存储根(Root of Trust for Storage,RTS)和可信报告根(Root of Trust for Report,RTR)。
可信度量根RTM包括两种,静态可信度量根(Static RTM,SRTM),它在硬件平台加电时最先运行,能够建立从底层硬件到操作系统甚至应用程序的信任链系统,此种信任链被称为静态信任链;动态可信度量根(Dynamic RTM,DRTM),它能够在系统运行的任意时刻,通过CPU特定指令建立依据少量硬件和软件的信任链系统,此种信任链被称为动态信任链。
可信存储根RTS是安全芯片中维护完整性度量值和度量值顺序的计算引擎。它负责将度量数据保存在日志中,将其散列值保存在PCR中。除此之外,RTS还需要保护委托给安全芯片的密钥和数据。
可信报告根RTR是安全芯片中用于保障完整性数据报告功能的计算引擎,可信报告根有两个功能:首先,显示受安全芯片保护的完整性度量值;其次,在平台身份证明的基础上向远程平台证明其拥有的完整性度量值。
七、安全管理中心
安全管理中心是等保2.0标准相较等保1.0标准新增加的内容,主要针对较高级别的等级保护对象,提出实现集中的安全管理、安全监控和安全审计等要求。为了保证分散于各个层面的安全功能在统一策略的指导下实现,各个安全控制在可控情况下发挥各自的作用,应建立集中的管理中心,集中管理等级保护对象中的各个安全控制组件,支持统一安全管理。