等保2.0下可信計算在網絡安全防御體系中的有效性研究

曹軍奇

摘要： 我國等級保護制度正式進入2.0時代，等保2.0納入了云計算、大數據、AI等方面新內容，由傳統(tǒng)的計算機信息系統(tǒng)防護轉向云計算、移動互聯、工業(yè)控制、物聯網和大數據等新型計算環(huán)境下的網絡空間主動防御體系建設。本文在分析傳統(tǒng)網絡安全防御體系存在問題的基礎上，結合等保2.0新要求，深入分析了可信計算3.0在構建主動防御體系中的作用，并針對網絡安全動態(tài)變化存在的問題給出了切實可行的主動防御實施建議。

關鍵詞： 等保2.0 可信計算3.0 網絡安全防御體系

一、引言

當前網絡攻擊手段層出不窮，網絡安全態(tài)勢依然嚴峻。國家互聯網應急中心發(fā)布的第43次《中國互聯網發(fā)展狀況統(tǒng)計報告》指出，我國網民規(guī)模達8億之多，互聯網普及率達59.6%。發(fā)展迅猛的互聯網在帶來便利的同時，隨之而來的安全挑戰(zhàn)也不容忽視。國家互聯網應急中心發(fā)布的報告顯示，2018年勒索軟件攻擊事件頻發(fā)，變種數量不斷攀升，國家互聯網應急中心捕獲勒索軟件近14萬個，全年總體呈現增長趨勢，關鍵信息基礎設施等面臨的安全風險仍很突出，APT攻擊、數據泄露、分布式拒絕服務攻擊等問題也較為嚴重。云計算、大數據等新興技術興起，更多的信息系統(tǒng)部署到云上，特別是涉及民生的信息系統(tǒng)和基礎設施，假如被攻擊，結果不可想象，被動式的傳統(tǒng)查殺方式已凸顯不足，建立主動防御體系勢在必行。2019年5月，隨著網絡安全等級保護2.0核心標準正式發(fā)布，我國網絡安全等級保護已進入2.0時代。在防御方面，由傳統(tǒng)的被動型信息防護轉向了新型環(huán)境下主動防御體系建設，等保2.0時代下重點對云計算、大數據安全等進行全面安全防護，以此保障信息基礎設施安全。

二、傳統(tǒng)網絡安全防御體系存在的問題

當前網絡安全形勢嚴峻，近年來的網絡安全事件暴露了傳統(tǒng)網絡安全防御技術存在的問題，被動式的防御技術難以抵御和預防未知、潛在攻擊，難以應對越發(fā)復雜智能化網絡入侵，傳統(tǒng)網絡安全防御體系主要存在如下幾個問題：

第一，安全基礎不可控，主動防御缺失。傳統(tǒng)的被動防御難以從根本上保障信息系統(tǒng)安全，例如傳統(tǒng)的網絡安全防御思想是在現有網絡體系架構的基礎上建立，包括防火墻和安全網關、入侵檢測、病毒查殺、訪問控制、數據加密等多層次的防御體系，來提升網絡及應用的安全性。傳統(tǒng)的防御方式，是利用已知的方法防范已知的威脅，相當于在網絡資產寶箱外面加了一把鎖，盡管能夠抵擋一般的攻擊行為，但遇到猛烈而有組織的攻擊會被輕松攻破。

第二，安全管理人員思想認識不夠，缺乏對等級保護工作經驗，自身防范意識不強，相關制度不規(guī)范，缺乏有效的工作流程。在安全管理工作中，尚未形成統(tǒng)一標準，又由于攻擊方式多樣，即使制定應對措施，也會存在管理規(guī)范的漏洞，這些因素都會影響等級保護制度的貫徹落實[1]。

第三，相關標準跟不上技術的發(fā)展。當前云計算、大數據、物聯網等新興技術的快速發(fā)展，所帶來的便捷服務受到更多客戶青睞，在帶來巨大市場機遇的同時，也帶來了安全問題，等級保護相關政策的滯后，安全性方面已不能滿足新型信息系統(tǒng)的需求[2]。

三、等保2.0下新要求

當前，為適應新興領域信息系統(tǒng)的等級保護工作的需要，公安部正式發(fā)布《網絡安全等級保護條例（征求意見稿）》，等級保護正式邁入2.0時代。

新標準包含了網絡安全等級保護定級指南、實施指南、基本要求和測評要求，其中新修訂的《網絡安全等級保護基本要求》包含安全擴展要求六個部分，等保2.0主要呈現以下幾個特點：

（一）可信計算

其基本思想是先建一個信任根，其可信性由物理、技術和管理安全共同確保;然后建一條信任鏈，從信任根開始到軟硬件平臺、到OS、再到應用，逐級上升，最后將信任應用到整個系統(tǒng)，從而確保整個系統(tǒng)可信。對比等保1.0、2.0，3.0增加了可信計算的相關要求?？尚庞嬎阖灤┝说缺?.0四級標準，對通信網絡、區(qū)域邊界有明確要求。

（二）安全監(jiān)測

以事件為基礎，采集網絡安全日志及數據運行日志信息，通過大數據分析等形式，實時監(jiān)測風險點，可實現風險識別、事件報警，同時包含網絡流量、網絡鏈路、網絡攻擊與審計等多維度。

（三）通報預警

新標準中要求構建網絡安全事件預警和通報制度，同時能夠準確把握本領域基礎設施運行情況以及安全風險情況。

（四）應急處置

當信息安全事件發(fā)生，能夠采取一定急救措施，將損失和影響降至最低，這就要求系統(tǒng)具備快速識別能力，其次具有內容信息被篡改、系統(tǒng)不可用時的應急措施。

四、基于可信計算3.0構建主動防御體系

可信計算通過驗證計算機組件的運行狀態(tài)，以啟用計算機組件的冗余備份和故障轉移。但由于純軟件實施的安全機制極易受到攻擊。故出現了以TCG組織為代表，通過向計算機終端來添加硬件以此實現TPM的信任，通過建立信任鏈，以此來實現終端可信，硬件的引入代表可信計算邁入2.0時代[3]。由于通過添加硬件的可信計算是采用主程序調用外部連接的TPM芯片來實現的被動度量。因此，我國提出了一種“主機+可信”雙節(jié)點主動免疫可信計算架構，受信任機器在運行時監(jiān)控和驗證主機。同時，我國可信計算技術將可信驗證對象擴展到整個信息系統(tǒng)，實現主動免疫保護，從此邁入可信計算3.0時代。

積極信任的可信計算架構可以為信息系統(tǒng)構建一個活躍而完整的信任系統(tǒng)，使他們能夠在計算時執(zhí)行安全保護。及時識別“自我”和“非自我”組件，并計算整個過程可測量和可控制而不受干擾。這可確保計算結果始終與預期相同，從而防止已知、未知病毒入侵特洛伊木馬?；谥鲃用庖呖尚庞嬎慵軜?，不僅可以為單個設備構建完整的信任鏈，而且還可以利用可信連接機制，驗證網絡中的其他設備實現計算節(jié)點之間的可信互連，從而進一步擴展了信任機制[4]。為構建可信的信息系統(tǒng)奠定了基礎。

五、對策建議

等級保護2.0實施環(huán)節(jié)要從被動防御的安全體系向事前預防、事中響應、事后審計的動態(tài)保障體系轉變，傳統(tǒng)的網絡安全保護理論已不能適應網絡安全動態(tài)特性?；诘缺?.0主動防御思想，構建以主動免疫為特征的主動防御系統(tǒng)勢在必行。

第一，構建網絡安全技術防御系統(tǒng)，提高可信度和主動防御新標準，解決當前網絡安全保護政策標準的滯后性及難以滿足新信息系統(tǒng)的安全性要求問題。云計算和物聯網新興技術正面臨新的要求，所有行業(yè)都連接到互聯網;新興技術帶來了新的安全威脅，并對信息安全防御提出了新的挑戰(zhàn)。建立新信息系統(tǒng)的主動免疫、主動防御和水平保護標準，并改進對實施分級、評估和管理的技術支持。

第二，加強信息安全學科建設，培養(yǎng)信息安全專業(yè)人才隊伍。尤其需要的是技術熟練的業(yè)務骨干，如網絡安全對抗人才。針對社會缺乏信息安全人才、學科建設不健全等情況，應采取相應措施。

參考文獻：

[1]沈昌祥.可信計算3.0筑牢網絡安全防線[J].信息安全研究，2017（03）.

[2]何占博，王穎，劉軍.我國網絡安全等級保護現狀與2.O標準體系研究[J].信息技術與網絡安全，2019（03）.

[3]陳衛(wèi)平.可信計算3.0在等級保護2.0標準體系中的作用研究[J].信息安全研究，2018（07）.

[4]沈昌祥，陳興蜀.基于可信計算構建縱深防御的信息安全保障體系[J].四川大學學報（工程科學版），2014（01）.

作者單位：中國人民銀行焦作市中心支行