【概要描述】

可信計算的背景

     傳統(tǒng)的網(wǎng)絡安全防護系統(tǒng)主要是由被稱為“老三樣”的病毒查殺、防火墻以及入侵監(jiān)測系統(tǒng)組成，其核心手段也就是傳統(tǒng)的“封堵查殺”技術。然而，隨著科技的發(fā)展，道高一尺魔高一丈，這些系統(tǒng)和技術在面對目前層出不窮的網(wǎng)絡安全問題上已經(jīng)顯得越來越力不從心，究其原因，主要在于：傳統(tǒng)技術是通過和已經(jīng)發(fā)生過的攻擊特征庫進行比較之后才給出查殺指令，但是面對不斷涌現(xiàn)的新的攻擊方法和新的漏洞則無能為力；此外，傳統(tǒng)的網(wǎng)絡安全系統(tǒng)本身是以“特權用戶”的身份存在于網(wǎng)絡中的，這違背了基本的網(wǎng)絡安全原則，想象一下，如果這些系統(tǒng)被別有用心者利用或者控制，那整個系統(tǒng)則將毫無任何安全性可言。

什么是可信計算

    可信計算的基本思想是首先創(chuàng)建一個安全信任根，再從信任根開始，一級度量一級，一級信任一級，以此形成一個從硬件到操作系統(tǒng)，再到應用系統(tǒng)的信任鏈，從而構建了一個安全可信的計算環(huán)境。而那些不被信任的組件及應用，可信計算環(huán)境則是天然對其“排斥”的，這些組件和應用是無法在可信環(huán)境中得到執(zhí)行和資源訪問機會的，這也是可信計算技術能夠從根源上杜絕攻擊和惡意程序的基本原理。

云涌科技可信計算平臺介紹

    云涌科技基于可信計算核心思想和基本架構，并依據(jù)等級保護2.0要求，結合自身在工業(yè)信息安全領域多年來的軟硬件技術積累，研發(fā)出業(yè)內較為先進的可信計算平臺。該平臺能夠對通用計算系統(tǒng)中的固件、操作系統(tǒng)、應用軟件及服務等通用部件進行度量和控制，確保這些計算部件不會受到惡意篡改，從根源上建立對惡意程序攻擊的防御機制，從而確保整個計算環(huán)境的可信。

云涌科技可信計算平臺的關鍵功能特性及相關技術：

• 可信引導

    可信引導其目的是確保系統(tǒng)啟動引導階段的可信安全。可信引導模塊從信任根開始逐級度量，確保下一步驟相關固件/軟件可信后，才對其進行加載并執(zhí)行，然后重復上述度量及啟動過程，直至最終系統(tǒng)啟動。云涌科技目前的可信引導模塊具有良好的兼容性，支持和兼容多種引導模式及多種操作系統(tǒng)版本。

• 應用可信

    支持通過靜態(tài)度量和動態(tài)度量技術來保證系統(tǒng)中的應用可信。靜態(tài)度量是基于應用白名單的度量技術，靜態(tài)度量會在系統(tǒng)中的可執(zhí)行文件被訪問或執(zhí)行時對其進行度量，只有在白名單中的文件才能被訪問或者執(zhí)行。動態(tài)度量則是對應用程序運行時關鍵數(shù)據(jù)結構、內核模塊、執(zhí)行代碼等進行度量，保障程序運行可信、可控。

• 重要配置保護

    可信驗證節(jié)點能夠對操作系統(tǒng)、應用程序的重要配置參數(shù)進行可信保護。具體的，當重要的系統(tǒng)配置文件、腳本文件被訪問、執(zhí)行時，可信驗證模塊會對其進行可信驗證，識別并主動阻斷對被保護文件的刪除、篡改等行為。

• 可信審計

    可信驗證節(jié)點能夠對可信引導、靜態(tài)度量、動態(tài)度量、重要配置保護、自保護等模塊的檢測結果及防護動作進行準確及細粒度的審計，并能夠將審計記錄發(fā)送至管理中心，由后者進行集中管理。

• 可信管理中心

    可信計算平臺的可信管理中心具備完善且易用的管理功能，包括可信節(jié)點管理、應用管理、策略管理、審計管理等。它不僅能夠幫助管理員同時管理多個可信驗證節(jié)點，方便查看策略，并完成批量策略下發(fā)、更新，而且還支持完整的應用管理流程和多種應用安裝包格式；除此之外，還能夠同時接收多個節(jié)點的審計日志信息，并快速響應用戶查詢請求。

• 應用軟件源

    雖然可信計算技術能從根源上解決網(wǎng)絡安全問題，提高系統(tǒng)安全性，但是不可避免的會增加系統(tǒng)的運維難度，尤其是增加了系統(tǒng)中的應用軟件的安裝、更新及管理的復雜度。針對該問題，云涌可信團隊在可信計算平臺中開發(fā)并集成了應用軟件源管理系統(tǒng)，結合該系統(tǒng)，平臺能夠管理應用軟件的簽名、發(fā)布、更新、下發(fā)、驗證等全部流程，不僅降低了系統(tǒng)運維難度，而且提高整個平臺的易用性。

• 分類：云涌新聞
• 作者：
• 來源：
• 發(fā)布時間：2021-02-02
• 訪問量：3097