今日頭條
官方微信
官方抖音
資訊頻道從2017年一款名為“想哭”的勒索病毒網(wǎng)絡(luò)攻擊席卷全球,到今年年初波及英特爾、ARM、AMD等幾乎所有芯片供應(yīng)商的“芯”臟病,再到近期人們對于芯片安全自主可控的深刻反思,網(wǎng)絡(luò)和信息技術(shù)在為我們創(chuàng)造機(jī)遇的同時(shí),也帶來了嚴(yán)峻的安全挑戰(zhàn)。
沒有網(wǎng)絡(luò)安全就沒有國家安全,而構(gòu)建網(wǎng)絡(luò)安全的“銅墻鐵壁”離不開核心技術(shù)的支撐。可信計(jì)算作為一種“主動(dòng)免疫”型的計(jì)算模式,能在網(wǎng)絡(luò)和信息化設(shè)備中使用基于硬件安全模塊支持的計(jì)算平臺,這就如同給網(wǎng)絡(luò)和信息化設(shè)備加上了“保險(xiǎn)箱”,將大大提升系統(tǒng)的整體安全性。
增加“信任”確保信息真實(shí)
誰能想到,最初專門為軍事領(lǐng)域服務(wù)的互聯(lián)網(wǎng),如今正日益成為“信任陷阱”的重災(zāi)區(qū)。現(xiàn)有的計(jì)算機(jī)體系結(jié)構(gòu)之所以頻出安全問題,就是過于看重計(jì)算性能而輕視防護(hù)功能,這才為各類網(wǎng)絡(luò)病毒提供了可乘之機(jī)。即便是出現(xiàn)了防火墻、病毒檢測和入侵檢測等防護(hù)手段,但這些消極被動(dòng)的封堵防御模式“治標(biāo)不治本”,網(wǎng)絡(luò)安全依舊形勢嚴(yán)峻。
可信計(jì)算的核心思想就是在硬件上“開刀”,通過直接引入可信芯片,從體系結(jié)構(gòu)上解決網(wǎng)絡(luò)安全的脆弱問題。一旦擁有可信計(jì)算,計(jì)算機(jī)系統(tǒng)就會按照硬件設(shè)定的方式運(yùn)行,與此相違背的行為都將被直接扼殺在軟硬件的“搖籃”之中。換句話說,可信計(jì)算就好比計(jì)算機(jī)設(shè)備“體內(nèi)”的免疫系統(tǒng),能及時(shí)識別并阻止有害信息的進(jìn)入,以免軟硬件缺陷被攻擊者利用。這可比“生了病”再“打針吃藥”管用得多。
早在1971年國際容錯(cuò)計(jì)算會議上,可信計(jì)算概念的雛形就已經(jīng)形成。1985年,在“計(jì)算機(jī)保密模型”研究的基礎(chǔ)上,美國國防部國家計(jì)算機(jī)安全中心正式制定并出版了《可信計(jì)算機(jī)安全評估標(biāo)準(zhǔn)》,首次提出可信計(jì)算的相關(guān)概念。從初始的信任根到最后的可信應(yīng)用,可信計(jì)算的每個(gè)環(huán)節(jié)都通過信任鏈“環(huán)環(huán)相扣”,確保了信息應(yīng)用的真實(shí)可信。
目前,以美國和歐盟為代表的西方國家正在加緊進(jìn)行可信計(jì)算技術(shù)研究。2017年底,美國國防部高級研究計(jì)劃局還希望借助“通過硬件和固件實(shí)現(xiàn)系統(tǒng)安全集成”項(xiàng)目研發(fā)網(wǎng)絡(luò)安全和可信計(jì)算硬件設(shè)備,以便在軍用網(wǎng)絡(luò)和信息化設(shè)備中有效應(yīng)對各類網(wǎng)絡(luò)漏洞攻擊,提高網(wǎng)絡(luò)系統(tǒng)的可靠性。
給網(wǎng)絡(luò)安上免疫系統(tǒng)
網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)安全問題,其實(shí)質(zhì)上來源于 “家族遺傳病”。系統(tǒng)任務(wù)難以隔離、內(nèi)存無越界保護(hù),直接導(dǎo)致在網(wǎng)絡(luò)環(huán)境下應(yīng)用的計(jì)算機(jī)設(shè)備存在大量未知安全漏洞。單純把被動(dòng)防御系統(tǒng)的“防火墻”越砌越高、入侵檢測技術(shù)越做越復(fù)雜、惡意代碼庫越做越龐大,僅能增加安全攻擊技術(shù)的“抗藥性”而已。與其疲于奔命封堵漏洞,不如提高自身的免疫能力,可信計(jì)算就是給網(wǎng)絡(luò)安全打造“鋼鐵長城”。
可信計(jì)算是硬件安全模塊支持下的計(jì)算平臺,該平臺主要包括信任根、硬件平臺、操作系統(tǒng)和應(yīng)用系統(tǒng)。其中,可信硬件安全模塊是整個(gè)“誠信銀行”的“信任根”,通過一個(gè)含有密碼運(yùn)算和存儲功能的系統(tǒng),實(shí)現(xiàn)硬件訪問控制、存儲加密等安全保障。
也就是說,從數(shù)據(jù)到達(dá)可信硬件安全模塊開始,經(jīng)過硬件、操作系統(tǒng)直到應(yīng)用系統(tǒng)都有完整的“信任鏈”保障。通過一級認(rèn)證一級、一級信任一級,未獲認(rèn)證的數(shù)據(jù)就得不到 “通行證”,高安全等級的自身免疫系統(tǒng)由此誕生。
可信計(jì)算的一大優(yōu)勢就是“以不變應(yīng)萬變”。由于具備“主動(dòng)防御”的能力,可信計(jì)算雖然與安全攻擊的新變種“素昧平生”,但依舊能夠“嗅到”其體內(nèi)的破壞基因,進(jìn)而阻止非授權(quán)程序的運(yùn)行,確保網(wǎng)絡(luò)和計(jì)算機(jī)設(shè)備的安全。實(shí)踐充分證實(shí),即便遇到了此前來勢洶洶的勒索病毒,裝有可信計(jì)算系統(tǒng)的設(shè)備依舊能在病毒開始攻擊之前進(jìn)行阻止。即便是被感染病毒后用戶才啟用防御機(jī)制,可信計(jì)算也能通過限制特定數(shù)據(jù)訪問權(quán)限的方式,來避免重要信息遭到破壞。
經(jīng)過不斷發(fā)展,目前可信計(jì)算正向著容錯(cuò)計(jì)算、安全操作系統(tǒng)、網(wǎng)絡(luò)安全等領(lǐng)域不斷拓展。從側(cè)重硬件的可靠性、可用性,到硬件平臺和軟件系統(tǒng)服務(wù)的綜合可信,再到網(wǎng)絡(luò)連接、網(wǎng)絡(luò)可信等,可信計(jì)算正一步步適應(yīng)如今的網(wǎng)絡(luò)世界。由于采取運(yùn)算和防御并行的雙體系架構(gòu),可信計(jì)算并不會成為高速運(yùn)算的“絆腳石”,反而為網(wǎng)絡(luò)和計(jì)算機(jī)設(shè)備披上了一件抵御病毒侵襲的“盔甲”。
網(wǎng)絡(luò)安全的“垃圾清道夫”
近年來,隨著信息化建設(shè)的步伐不斷加快,在事關(guān)國家安全的網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施和國防應(yīng)用領(lǐng)域,網(wǎng)絡(luò)安全威脅與日俱增。要扭轉(zhuǎn)受制于人的局面并在網(wǎng)絡(luò)安全核心技術(shù)方面取得突破,可信計(jì)算是一個(gè)重要的突破方向。
事實(shí)上,可信計(jì)算不僅可用于大型軍事信息化系統(tǒng),在各類信息化終端的嵌入式平臺中,也能有力保護(hù)敏感和涉密信息。可信計(jì)算涉及信息化終端嵌入式電子設(shè)備免受物理和遠(yuǎn)程攻擊的技術(shù)方法,即便是信息化終端落入敵手,可信計(jì)算還可通過防篡改機(jī)制保護(hù)關(guān)鍵數(shù)據(jù)不被敵人獲取。
目前,美國國防部高級研究計(jì)劃局、美國國家安全局等機(jī)構(gòu)相繼投入巨資,進(jìn)行可信計(jì)算系統(tǒng)和可信計(jì)算軍用軟件開發(fā)研究。美國海軍研究實(shí)驗(yàn)室也于2017年底發(fā)出關(guān)于“先進(jìn)安全信息處理”項(xiàng)目的信息征求書,旨在尋求新型可信計(jì)算技術(shù),以便構(gòu)建更加安全的軍事信息系統(tǒng)。這些工作涉及到支持指揮控制、通信情報(bào)、偵察監(jiān)視和作戰(zhàn)系統(tǒng)等一系列新能力的可信計(jì)算。無獨(dú)有偶,美國空軍研究實(shí)驗(yàn)室也希望通過更為可靠和可信的微電子解決方案,有效降低芯片領(lǐng)域的軍事安全風(fēng)險(xiǎn)。未來這些系統(tǒng)一旦研制成功并投入使用,勢必在網(wǎng)絡(luò)安全領(lǐng)域再次形成“技術(shù)代差”優(yōu)勢。
同時(shí),可信計(jì)算也開始“飛入尋常百姓家”,成為人們?nèi)粘I罹W(wǎng)絡(luò)安全的“垃圾清道夫”。目前已經(jīng)出現(xiàn)集成有可信芯片的產(chǎn)品,銀行卡與可信支付終端配合,借助可信計(jì)算實(shí)現(xiàn)對敏感信息的加密傳輸,人們就可以更加放心地使用網(wǎng)絡(luò)支持系統(tǒng)。此外,在金融、教育、郵電、制造和公共服務(wù)領(lǐng)域,都出現(xiàn)了可信計(jì)算應(yīng)用的身影,普通百姓的數(shù)字化生活也將逐步走向真正的“信任”與“高枕無憂”。
摘自《解放軍報(bào)》
北京市公安局海淀分局備案號:11010802023656號