從被動防禦到主動出擊,可信計算扮演了什麼角色?

主動防禦，最近成為了安全圈討論度極高的熱門詞。等保2.0時代保護策略要變被動防禦為主動防禦，《2021全球十大金融科技趨勢》也將其列為十大趨勢之一。

過去的防禦思想是在現有網絡體系架構的基礎上建立包括防火牆和安全網關、入侵檢測、病毒查殺、訪問控制、數據加密等多層次的防禦體系，根據已知病毒的數據、代碼、行為等特徵對攻擊進行識別。但隨著雲計算、大數據、5G、物聯網等新技術的應用，新的網絡安全風險以及不斷擴大的攻擊面與之俱來。

近年來不斷披露的網絡安全事件及由此帶來的嚴重後果也逐漸暴露了傳統的網絡安全防禦技術存在的缺陷，尤其是難以有效抵禦系統未知的軟硬體漏洞攻擊，難以預防潛在的各類後門攻擊，難以有效應對各類越來越複雜和智能化的滲透式網絡入侵。

沈昌祥院士在「開啟網絡安全主動免疫的新生態」演講中也提到：「傳統『封堵查殺』已過時，殺病毒、防火牆、入侵檢測的傳統『老三樣』難以應對人為攻擊，且容易被攻擊者利用，找漏洞、打補丁的傳統思路不利於整體安全。因而需要構建可信計算標準體系，實行免疫機制，確保為完成計算任務的邏輯組合不被篡改和破壞，實現正確計算。」

可信計算的基本概念

可信計算概念最早可以追溯到1983年美國國防部頒布的世界上第一個《可信計算機系統評價標準》（TCSEC），該準則第一次提出了可信計算機和可信計算基（Trusted Computing Base,TCB）的概念，並把TCB作為系統系統安全的基礎。

（1）可信的定義

在定義可信計算之前，首先要明確什麼是可信。「如果一個實體的行為總是以預期的方式達到既定目標，那麼它是可信的」。從這個定義上看，可信強調行為結果可預期，但並不等於行為是安全的，這是兩個不同的概念。

（2）信任的獲得方法

信任的獲得方法主要有直接和間接兩種方法。設A和B以前有過交往，則A對B的可信度可以通常考察B以往的表現來確定。我們稱這種通過直接交往得到的信任值為直接信任值。設A和B以前沒有任何交往，這種情況下，A可以去詢問一個與B比較熟悉的實體C來獲得B的信任值，並且要求實體C與B有過直接的交往經驗。我們稱之為間接信任值，或者說是C向A的推薦信任值。有時還可能出現多級推薦的情況，這時便產生了信任鏈。

（3）可信計算的基本思想

可信計算有兩個重要的概念是可信根和信任鏈。在計算平臺中，首先創建一個安全信任根，再建立從硬體平臺、作業系統到應用系統的信任鏈，在這條信任鏈上從根開始一級測量認證一級，一級信任一級，以此實現信任的逐級擴展，從而構建一個安全可信的計算環境。一個可信計算系統由信任根、可信硬體平臺、可信作業系統和可信應用組成，其目標是提高計算平臺的安全性。

可信計算體系結構

我國可信計算的發展

八十年代世界上提出可信計算概念，但是只局限於作業系統、資料庫等產品的可信計算基（安全功能集合），未涉及計算機原理和體系結構等核心科學技術問題。2000年國際上成立了可信計算組織（TCG），其架構是主機通過外設接口掛接可信計算模塊（TPM），以主機調用外部設備功能（軟體棧）實現可信等功能，存在單公鑰密碼體制和串行被動調用等缺陷，未能主動免疫。

中國可信計算源於1992年立項研究的免疫的可信計算綜合安全防護系統（智能安全卡），於1995年2月底通過測評鑑定，經過長期軍民融合攻關應用，形成了自主創新安全可信體系。

目前，中國可信計算取得了革命性創新發展，主要包括：

其一，創新可信計算標準體系。2010年以前，我國完成了核心的9部國家標準和5部國軍標的研究起草工作。截至目前，已發布國家標準3部、國軍標3部，即將發布國家標準2部，已發布團體標準（中關村可信計算產業聯盟標準）4部。同時，授權專利百餘項。

其二，創新可信密碼體系。以密碼為基因，構建創新可信密碼體系，科學地解決了可信密碼的問題，糾正了TCG密碼體制的缺失，已成為ISO國際標準。可信密碼體系創新包括密碼算法創新、密碼機制創新和證書結構創新三個方面。其中，密碼算法的創新在於全部採用國家自主設計的算法，定義了可信計算密碼模塊（TCM）；密碼機制的創新在於採用對稱密碼與公鑰密碼相結合，提高了安全性和效率；證書結構的創新在於採用雙證書結構，簡化證書管理，提高了可用性和可管性。

其三，創新主動免疫體系結構。可信計算以密碼技術為基礎，通過自主密碼方案、控制晶片的主動控制、主板層面的運算防護雙能、核心軟體的雙系統體系結構及三元三層可信連接等多方面創新，組成了創新的主動免疫體系結構。該體系結構克服了TCG部件TPM被動掛接調用的局限性。

可信計算構建了主動免疫體系，確定可信狀態後，即使有BUG也不會變成漏洞，使攻擊無效，確保安全系統運行。部署可信計算平臺後，在原有信息系統建立主動免疫的積極防禦可信安全防護體系，實現高安全等級結構化保護，改變原被動防禦局面。

可信計算與主動防禦結合的應用

1.訪問控制

傳統的安全保護是以訪問控制功能為核心。自主訪問控制、強制訪問控制是基於訪問者（主體）的權限來判定能否訪問資源（客體），沒有對主客體的真實性進行驗證，標記標識沒有與實體可信評定，難以防業篡改和假冒的攻擊。例如：列印輸出驅動程序被篡改為網絡接口驅動等攻擊時有發生。

可信計算下的訪問控制，是將訪問控制與基於角色的訪問控制相結合，進一步提高用戶訪問的安全性。這就要求我們首先必須保證用戶身份的真實性，用戶只有通過了身份認證，成為了系統的合法用戶後，才可以訪問系統的相關資源。

這個認證過程主要通過可信計算的核心TPM來實現。首先，TPM平臺中的背書密鑰（EK）在證明時生成平臺身份認證密鑰（AIK），然後將背書證書、平臺證書、一致性證書集中在一起，在可信的第三方PCA進行驗證後生產AIK證書。隨後將AIK存於存儲器中，並在認證伺服器中相關的LDAP用戶證書目錄，便於應用系統對用戶的認證。

2.行為分析

可信主要通過度量和驗證的技術手段實現。度量就是採集所檢測的軟體或系統的狀態，驗證是將度量結果和參考值比對看是否一致，如果一致表示驗證通過，如果不一致則表示驗證失敗。

等保2.0中對系統可信沒有明確提出動態的可信驗證要求，原因之一是系統（如作業系統）過於複雜，很難形成完整的甚至局部的驗證基準值，在工程實現上無法保障規則的完整性，誤報、漏報無法控制，嚴重影響安全和用戶體驗。基於這個判斷，傳統的基於靜態度量和驗證的系統可信啟動即可滿足。

然而，對於應用可信，等保2.0明確提出需要動態驗證。解決這個問題的實質在於如何選擇應用的度量對象，確定度量值，以及如何收集和管理驗證基準值，或所謂的應用行為白名單。

所謂白名單應用在某個環境下（一般是物理主機、虛擬機上或容器）運行，非白名單應用無法在目標環境中運行；同時白名單應用受到監控，其運行行為一旦被發現異常，系統會根據異常行為的安全危害等級告警。

主動防禦也是八分量的主要攻堅方向之一。目前，八分量以可信計算為基礎，推出了具備主動防禦性質的一套安全管控平臺——持續免疫系統。

首先通過身份認證來證實機器是否可信，然後通過持續監測分析，自動化生成每一臺伺服器的可執行程序白名單，使得即便獲得了該伺服器最高控制權的入侵者，也無法加載用於實施破壞的惡意程序，如系統後門、病毒、滲透工具。從而極大程度地限制了入侵手段。另外，一旦發現異常可信防護系統會迅速發出告警信息，提升對於已知以及未知威脅的發現能力。

正如開篇所言，打破組織或企業管理邊界的主動防禦策略，將會在今後的安全管理體系中佔據重要一席。在這個大趨勢下，如何利用可信計算技術有效展開主動防禦，將成為企業亟待思考和解決的重要課題。