- 快捷搜索
- 全站搜索
3.密码创新
一是密码算法创新,全部采用国家自主设计的算法,提出了可信计算密码模块(TCM);二是密码机制创新,通过对称密码与非对称密码相结合,提高了安全性和效率;三是证书结构创新,采用双证书结构,简化证书管理,提高了可用性和可管性。而密码算法与可信功能的关系则如图6所示。
4.体系创新
中国可信计算经过长期攻关,不仅解决了密码体系的局限性及体系结构的不合理等问题,还形成了自主创新体系,其创新点如图7所示。
三、用可信计算构筑网络安全防护体系
1..坚持自主可控、安全可信
中国可信计算已具备产业化条件。 《国家中长期科学技术发展 (2006-2020年) 》明确提出“以发展高可信网络为重点,开发网络安全技术及相关产品,建立网络安全技术保障体系”;十二五规划有关工程项目都把可信计算列为发展重点;可信计算标准系列逐步制定,核心技术设备形成体系。
此外,由中国工程院多名院士提议,中国电子信息产业集团、中国信息安全研究院、北京工业大学、中国电力科学研究院等60家单位发起,经北京市民政局批准、具有法人资格的社会团体——中关村可信计算产业联盟(以下简称“联盟”)于2014年4月16日正式成立。该联盟经过一年多的运行,取得了较快的发展,且成绩显著。
可信计算已经成为保卫国家网络空间主权的战略核心技术,也是世界网络空间斗争的焦点。而可信计算要做到以下“五可”、“一有”:
可知:对开源系统完全掌握其细节,不能因未知的代码而困惑;
可编:要基于对开源代码的理解,完全自主编写代码;
可重构:面向具体的应用场景和安全需求,对基于开源技术的代码进行重构,形成定制化的新的体系架构;
可信:通过可信计算技术增强自主操作系统免疫性,防范自主系统中的漏洞影响系统安全性;
可用:做好应用程序与操作系统的适配工作,确保自主操作系统能够替代国外产品。
有自主知识产权:要对最终的自主操作系统拥有自主知识产权,并处理好所使用的开源技术的知识产权问题。开源技术要受到GPL协议的约束,目前我国现有基于开源的操作系统尚未遇到知识产权方面的明显纠纷,但这仅仅是因为这些系统尚无规模应用,一旦我国自主操作系统大规模应用,必然会面临这方面的挑战。
2.利用自主创新的可信计算加固现有系统
可信计算平台,硬件上有三种形态:第一种是专用主板上重构可信密码模块;第二种是主板配插PCI可信密码板块;第三种是主板配接USB可信密码模块。该平台可以方便地把现有设备升级为可信计算机系统,而应用系统不用改动,便于推广应用,使系统免受新的恶意代码攻击(可信计算构建主动免疫体系如图8所示)。此外。
部署可信计算平台后,原有信息系统安全防护体系(包括安全计算环境、安全边界、安全通信网络)三部分)建立可信免疫的主动防御安全防护体系和高安全等级结构化保护。
3.全面替代国外产品,构筑高等级安全核心系统
可信架构是安全管理创新支撑下管理的体系,第一个是有系统管理,系统内部的资源主体科技有区别,防止冒充;第二个在安全策略,就是访问者的规则有明确的规定,有检查还有控制;第三个客体运行时的状态要及时的报警,这样可以进行主动的防控。因此,可信架构可以实现主动免疫。
而针对主动免疫系统具有免病毒查杀免打补丁、不用修改应用软件、用户使用完全透明、支持异构环境、以及系统效率损耗不到5%的特点,目前已适配的操作系统:一是windows,包括windowsXP、WINDOWS 7、 Server2003、Sever2008…二是Linux,Redhat、Centos、SuSe、Redflag、中标麒麟、银河麒麟、凝思磐石…三是UNIX,AIX、Solaris、HP—UNIX…四是Android,Android 4.1…此外,可信架构以可信服务替代补丁服务(如图9所示),从而为国产化替代保驾护航。
同时,在我国实施国产化替代战略的过程中,可信防护体系全面支持国产化的硬件、软件,尽管国产化产品存在更多的缺陷和漏洞,可信保障可使这些缺陷和漏洞不被攻击利用,确保比国外产品更安全,为国产化自主可控、安全可信保驾护航。目前,已成功实现全国产化的示范单位有国家电网电力调度系统,该系统通过逐级认证实现系统的主动免疫,达到等级保护四级技术要求;以及中央电视台的电视节目从生产、存储、编排和播出流程的可信环境建设等。
面临日益严峻的国际网络空间形势,我们要立足国情,创新驱动,解决受制于人的问题。坚持纵深防御,构建牢固的网络安全保障体系,为我国建设成为世界网络安全强国而努力奋斗。
(文章来源:《中国金融电脑》杂志)
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信