【概要描述】

可信計算的背景

     傳統的網絡安全防護系統主要是由被稱為“老三樣”的病毒查殺、防火墻以及入侵監測系統組成，其核心手段也就是傳統的“封堵查殺”技術。然而，隨著科技的發展，道高一尺魔高一丈，這些系統和技術在面對目前層出不窮的網絡安全問題上已經顯得越來越力不從心，究其原因，主要在于：傳統技術是通過和已經發生過的攻擊特征庫進行比較之后才給出查殺指令，但是面對不斷涌現的新的攻擊方法和新的漏洞則無能為力；此外，傳統的網絡安全系統本身是以“特權用戶”的身份存在于網絡中的，這違背了基本的網絡安全原則，想象一下，如果這些系統被別有用心者利用或者控制，那整個系統則將毫無任何安全性可言。

什么是可信計算

    可信計算的基本思想是首先創建一個安全信任根，再從信任根開始，一級度量一級，一級信任一級，以此形成一個從硬件到操作系統，再到應用系統的信任鏈，從而構建了一個安全可信的計算環境。而那些不被信任的組件及應用，可信計算環境則是天然對其“排斥”的，這些組件和應用是無法在可信環境中得到執行和資源訪問機會的，這也是可信計算技術能夠從根源上杜絕攻擊和惡意程序的基本原理。

云涌科技可信計算平臺介紹

    云涌科技基于可信計算核心思想和基本架構，并依據等級保護2.0要求，結合自身在工業信息安全領域多年來的軟硬件技術積累，研發出業內較為先進的可信計算平臺。該平臺能夠對通用計算系統中的固件、操作系統、應用軟件及服務等通用部件進行度量和控制，確保這些計算部件不會受到惡意篡改，從根源上建立對惡意程序攻擊的防御機制，從而確保整個計算環境的可信。

云涌科技可信計算平臺的關鍵功能特性及相關技術：

• 可信引導

    可信引導其目的是確保系統啟動引導階段的可信安全。可信引導模塊從信任根開始逐級度量，確保下一步驟相關固件/軟件可信后，才對其進行加載并執行，然后重復上述度量及啟動過程，直至最終系統啟動。云涌科技目前的可信引導模塊具有良好的兼容性，支持和兼容多種引導模式及多種操作系統版本。

• 應用可信

    支持通過靜態度量和動態度量技術來保證系統中的應用可信。靜態度量是基于應用白名單的度量技術，靜態度量會在系統中的可執行文件被訪問或執行時對其進行度量，只有在白名單中的文件才能被訪問或者執行。動態度量則是對應用程序運行時關鍵數據結構、內核模塊、執行代碼等進行度量，保障程序運行可信、可控。

• 重要配置保護

    可信驗證節點能夠對操作系統、應用程序的重要配置參數進行可信保護。具體的，當重要的系統配置文件、腳本文件被訪問、執行時，可信驗證模塊會對其進行可信驗證，識別并主動阻斷對被保護文件的刪除、篡改等行為。

• 可信審計

    可信驗證節點能夠對可信引導、靜態度量、動態度量、重要配置保護、自保護等模塊的檢測結果及防護動作進行準確及細粒度的審計，并能夠將審計記錄發送至管理中心，由后者進行集中管理。

• 可信管理中心

    可信計算平臺的可信管理中心具備完善且易用的管理功能，包括可信節點管理、應用管理、策略管理、審計管理等。它不僅能夠幫助管理員同時管理多個可信驗證節點，方便查看策略，并完成批量策略下發、更新，而且還支持完整的應用管理流程和多種應用安裝包格式；除此之外，還能夠同時接收多個節點的審計日志信息，并快速響應用戶查詢請求。

• 應用軟件源

    雖然可信計算技術能從根源上解決網絡安全問題，提高系統安全性，但是不可避免的會增加系統的運維難度，尤其是增加了系統中的應用軟件的安裝、更新及管理的復雜度。針對該問題，云涌可信團隊在可信計算平臺中開發并集成了應用軟件源管理系統，結合該系統，平臺能夠管理應用軟件的簽名、發布、更新、下發、驗證等全部流程，不僅降低了系統運維難度，而且提高整個平臺的易用性。

• 分類：云涌新聞
• 作者：
• 來源：
• 發布時間：2021-02-02
• 訪問量：3084