隨著信息技術的飛速發展,計算機及網絡在政治、經濟、社會、文化等各個領域起著越來越大的作用。與此同時,信息安全與保密的問題也已擺到人們的面前,危及計算機終端和網絡信息系統的安全事件時有發生,信息安全問題日益突出,已成為關系國家安全和經濟發展的不容忽視的重大問題。近期,浪潮特種計算機事業部經過多年潛心研究,在擁有Tempest防信息泄漏成熟技術的基礎上,突破并集成了操作系統內核加固、安全芯片應用等關鍵技術,推出了面向計算機終端信息安全與保密的系統解決方案。
提起信息安全問題,人們往往更多地關注網絡邊界和核心資源安全,即轄內所有計算機終端要在防火墻內部,同時安裝統一的防病毒系統、入侵檢測系統等。但是,隨著技術的發展,各種攻擊手段也越來越高明,人們只能把外圍的封堵或檢查越做越復雜,相應投入的管理和維護費用也越來越龐大。
圖1-1:網絡三個層面的防護措施的常見位置
從圖1-1組成信息系統的服務器、網絡、終端三個層面來看,現有的保護手段是逐層遞減的,這說明人們已經非常重視服務器和網絡層面的安全防護,而對終端的安全防護重視程度不足。信息系統的安全需要全方位的防護,終端安全尤為重要,主要原因有:
1)計算機終端往往是創建和存放重要數據的源頭;
2)據權威統計,信息系統的安全問題30%來自于外部,70%來自于內部,絕大多數的攻擊事件都是從計算機終端發起的;
3)數據泄密和蠕蟲病毒感染等往往是由計算機終端的脆弱性引起。
因此,加強終端安全防護研究是十分迫切的,只有立足終端,從源頭抓起,才能構建起真正的全面高效的安全防護系統。隨著國際TCG組織的成立,提出了“可信計算”概念,使得研究如何構建安全終端以及如何解決終端安全問題達到了高潮。
一、計算機終端面臨的安全威脅及應對策略
在組成網絡信息系統的服務器、網絡、計算機終端三個層面里,計算機終端作為創建、處理和存貯重要信息的源頭,由于其分散性、不被重視、安全手段缺乏等原因,在信息安全與保密諸多方面存在薄弱環節。影響其安全的因素很多,可能是有意的攻擊,也可能是無意的誤操作;可能是內部的破壞,也可能是外來攻擊者對系統資源的非法使用。歸結起來,主要有以下幾個方面:
1、數據存儲安全問題
計算機終端作為信息數據的主要存儲載體之一,其存儲的安全性越來越令人擔憂。普通計算機上的信息大都以明文形式存儲,這在很大程度上使得數據更容易遭到竊取和破壞;另一方面硬盤的更換、丟失等造成的信息泄漏也越來越嚴重;再者用戶的誤操作、感染病毒等造成的數據丟失以及破壞等現象,均給用戶帶來了極大的煩惱。
目前,應對數據存儲安全的主要策略是數據加密技術,采用軟件加密或者硬件加密技術,確保計算機硬盤數據的密文存儲,杜絕了因數據竊取、硬盤更換、丟失等造成的數據泄密。軟件加密技術由于其技術實現原理問題,依然存在破解的可能,但隨著我國可信計算標準的出臺,以及TCM安全芯片的問世,基于TCM安全芯片的硬件加密、解密技術成為解決存儲安全的最佳解決方案。
2、惡意攻擊及權限的非法使用問題
病毒、蠕蟲、惡意代碼、垃圾郵件、間諜軟件、流氓軟件等很容易通過各種途徑侵入計算機,使得終端出現運行緩慢、應用程序出錯、系統崩潰等現象,給企事業的業務帶來無法估量的損失。用戶安全意識不強、用戶口令選擇不慎、非法用戶越權訪問、用戶帳號管理不嚴等也都會對信息系統的安全保密帶來威脅。
殺毒軟件、防火墻等安全軟硬件的廣泛應用,對目前頻繁發生的病毒、蠕蟲、垃圾郵件攻擊等危害終端安全的事件起到了一定的保護作用,但未從根本上切斷病毒、蠕蟲等的侵入路徑,隨著病毒、蠕蟲等的更新升級,還是會繞過殺軟造成對終端系統的破壞。所以,解決這一問題,最核心的還是從操作系統層面,對涉及系統安全的文件、注冊表等進行訪問控制,切斷病毒侵入路徑,保護系統安全。
3、操作系統和應用軟件的漏洞問題
以微軟Windows為代表的操作系統不斷發現漏洞,通常在漏洞被披露的1~2周之內,相應的蠕蟲病毒就產生了;另外,軟件的“后門”有些是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,但一旦“后門”洞開,其造成的后果將不堪設想。同時也存在BO、Netbus等諸多專業黑客后門程序,一旦被植入計算機,將大開入侵之門。
浪潮終端操作系統加固采用ROST安全內核模塊技術,重構操作系統的核心層權限訪問控制模型,運用“三權分立”原則,實現了系統操作人員最小授權管理、行為安全審計功能、重要數據庫、業務系統等核心數據資產強制訪問控制保護,從信息系統核心層解決了后門、網絡病毒、黑客入侵、內部人員違規操作等安全隱患。
4、涉密信息的竊取問題
計算機的寄生輻射和傳導所造成的電磁泄漏具有很寬的頻譜,它一方面是外部敏感設備的噪聲源,對人體產生輻射危害;另一方面也造成計算機數據信息失密的可能。測試結果表明:CPU、內存、I/O接口、視頻、傳輸線、電源線等部位都有較強的電磁輻射。通過Tempest技術(可譯為信息電磁泄漏監測和防護技術),用靈敏度較高的接收裝置,在幾百米外就可以有效地截獲、復現、破譯電磁輻射信號中所攜帶的敏感信息,從而導致軍隊、政府機關、企事業單位涉密信息數據的泄漏和丟失。
為了盡量減少計算機信息電磁泄漏的危險,必須采取完全防護措施。目前的防電磁信息泄漏技術措施主要有三種:即信號干擾技術、電磁屏蔽技術和TEMPEST防護技術。基于此三種技術的信息安全產品相應的主要有三種:干擾器、電磁屏蔽室及防信息泄漏計算機。
其中,干擾器是基于信號干擾技術的一種信息防護產品,干擾器發射出來的電磁波和計算機輻射出來的電磁波混合在一起,以掩蓋原泄漏信息的內容和特征等,干擾器結構簡單、成本低,但存在安全隱患:信息仍然可以提取、會造成電磁環境污染、影響其它設備的正常使用。
電磁屏蔽室是一個導電的金屬材料制成的大型六面體,能夠抑制和阻擋電磁波在空中傳播。屏蔽室難以廣泛應用的主要原因是造價太高、受安裝場地等條件的限制。一般二、三十平方米場地的屏蔽室的造價即需幾十至上百萬元。因此屏蔽室只適用于重要的大型計算機設備或多臺小型計算機集中放置的場合。
防信息泄漏計算機是基于TEMPEST防護技術的一種信息安全產品。TEMPEST防護技術即低輻射技術。這種技術是在設計和生產計算機設備時,就已對可能產生電磁輻射的元器件、集成電路、連接線、顯示器等采取了防輻射措施,把電磁輻射抑制到最低限度。使用低輻射計算機設備是防止計算機電磁輻射泄密的較為根本的防護措施。既可實現信息安全,又避免了電磁環境污染,
面對計算機信息安全的嚴峻形勢,浪潮以維護國家信息安全為已任,秉承科技報國的宗旨,潛心研究防信息泄漏技術,在多年TEMPEST防護技術的研究基礎上,形成了成熟的抑源法和包容法核心技術,有效抑制發射源和阻塞耦合通道,并不斷推進成熟技術的產品化,成為國內安全與加固信息產品的領先供應商。
二、計算機安全與保密的綜合解決方案
為了解決計算機的信息安全與保密問題,市場上推出了多種安全產品和技術,如殺毒軟件、網絡隔離卡、視頻信息保護機、硬盤加密、USBKey等;其中,可信計算技術是一個熱點,有別于傳統的安全技術。可信計算技術通過增強現有計算機終端體系結構的安全性來保證整個計算機及網絡的安全,其主要思想是在硬件平臺上引入安全芯片(稱作可信平臺模塊TPM);建立一個信任根,從信任根開始到硬件平臺、到操作系統、再到應用,一級認證一級,一級信任一級,從而把這種信任擴展到整個計算機系統,以達到增強安全性的目的。
2005年,浪潮、長城、同方等一線電腦廠商率先推出了采用TPM安全芯片的“安全電腦”。安全電腦的推出受到了高端市場的一定青睞。然而,不同廠商對安全電腦的認識和關注點并不統一,其解決方案在某種程度上還是局限于某種安全技術的應用,沒有形成系統的解決方案。就TPM本身而言,要完全發揮出它的作用,還必須依靠系統軟件和應用軟件的配合才能實現。
2007年12月,國家密碼管理局發布了我國自己的《可信計算密碼支撐平臺功能與接口規范》。基于這一可信計算規范的安全芯片被稱為TCM(Trust C Module),與國際可信計算規范的TPM相對應。我國可信計算標準的出臺,推動了國內安全計算機產品的應用普及。
浪潮集團高度重視開展信息安全與保密技術研究,在信息安全保密、數據保護和商用密碼等方面積累了豐富的開發與推廣經驗。近期,浪潮特種計算機事業部(即山東超越數控電子有限公司)經過多年潛心研究,在擁有Tempest防信息泄漏成熟技術的基礎上,突破并集成了操作系統內核加固、安全芯片應用等關鍵技術,并順利實現了技術和工藝的產品化,推出了面向計算機終端信息安全與保密的系統解決方案(即浪潮ISAP技術平臺)。
浪潮ISAP技術平臺基于可信計算技術,從主板、BIOS、TCM安全芯片等底層硬件,到操作系統,再到上層應用軟件,進行了軟硬件的集成化設計;有機地整合了軍用電磁防護、操作系統安全加固、安全BIOS、全盤加密、安全應用軟件等信息安全與保密技術,從物理安全、網絡安全、主機安全、應用安全、數據安全等五個層面,為計算機終端提供全方位的信息安全與保密防護,解決終端用戶面臨的日益嚴峻的安全威脅,實現了涉密信息出不去、有害攻擊進不來、涉密信息偷不走、信息非法帶走打不開。
目前,浪潮根據不同領域、不同行業的差異化需求,基于ISAP技術平臺,已成功推出了金盾通用型、專業型、保密型安全計算機,可滿足政府、軍隊、金融、電信等多個領域的應用需求。
三、浪潮金盾系列安全產品介紹
浪潮特種計算機事業部,面對計算機信息安全的嚴峻形勢,以維護國家信息安全為已任,秉承科技報國的宗旨,多年致力于TEMPEST防護技術的研究。先后突破高難技術瓶頸,取得了多項核心技術,在研制防信息泄漏計算機的過程中積累了豐富的經驗,并不斷推進成熟技術的產品化。
浪潮防信息泄漏系列產品:
1、金盾防信息泄漏計算機
浪潮金盾防信息泄漏計算機,是國家級信息安全示范工程項目,獲得國家保密局GGBB1測試認證,滿足國軍標GJB151A軍用設備電磁兼容要求。
主要功能:防信息泄漏,有效保證信息安全;綠色環保,無輻射危害,有益人體健康;外形美觀,經濟耐用。
應用領域:可廣泛應用于有保密要求的辦公領域,其中主要用于黨、政、軍機關辦公領域,其次還可用于金融、保險、廠礦等企事業辦公領域,也可用于軍工企業涉密要害部門。
2、防信息泄漏筆記本
金盾防信息泄漏筆記本電腦是公司最新自主研發的筆記本產品,采用全新寬屏設計,陽光下可視技術;硬盤可插拔,配置高、速度快、屏幕大、接口齊全、分辨率高、圖形效能強。
獲得國家保密局GGBB1測試認證,滿足國軍標GJB151A軍用設備電磁兼容要求。
3、 金盾S2010安全計算機
金盾S2010安全計算機是公司在2009年全力打造的一款安全計算機領域新產品,外形美觀,配置高檔,具備一系列軟、硬件安全功能,滿足政府、軍工、軍隊、企事業等辦公需求。
S2010采用了具備自主產權的安全BIOS,實現了基于國產BIOS環境下的USBKEY身份認證、TCM驅動、硬件端口控制、硬盤鎖等一系列有效的安全功能,真正做到從開機第一行代碼開始,保證了計算機的安全;同時對操作系統進行了安全加固,實現了系統的實時保護;結合TCM可信芯片,實現了文件、數據的加解密,文件備份、還原、銷毀,文件監控,網絡監控等上層安全應用。
