郭啟全 | 可信計算技術支撐等級保護 2.0 建設與發展
2020年8月7日,公安部網絡安全保衛局一級巡視員、副局長、總工程師郭啟全在2020年北京網絡安全大會“中關村可信計算產業聯盟第二屆網絡空間安全可信技術創新論壇”中,發表了關于“大力加強可信計算技術應用,構建安全可信的網絡安全技術保護生態”的主題演講,提出了將可信計算植入基礎軟硬件和系統,有效提升網絡安全主動免疫能力,迅速落實網絡安全等級保護制度,滿足可信計算技術要求,建立全社會網絡安全良好生態。
郭啟全副局長演講內容摘要
郭啟全副局長在演講中圍繞“應用可信計算技術的重要性和迫切性、將可信計算技術要求植入基礎軟硬件和網絡、大力推廣應用等級保護2.0技術要求與可信計算3.0要求”等三方面詳細解讀了等級保護2.0和可信計算3.0相互間的關系。特別強調“芯片、CPU、服務器、操作系統、數據庫等基礎軟硬件廠商以及安全產品、安全集成、安全建設廠商,要將可信計算融入到產品、設計、研發過程。特別是重要行業、部門,要把可信計算融入到網絡系統的規劃、設計、建設及全生命周期管理過程中,這是國家網絡安全等級保護2.0標準、技術中對各行各業、各部門提出的新要求。”
一、應用可信計算技術的重要性和迫切性
2020年3月中央批準,公安部負責指導監督關鍵信息基礎設施安全保護工作;
近期,公安部印發《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》(公網安[2020]1960號);
組織指導各地區、各部門貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度,建立良好的網絡安全保護生態。
二、將可信計算技術要求植入基礎軟硬件和網絡
把可信驗證要求植入芯片、CPU、服務器、操作系統、數據庫等基礎軟硬件;
把可信驗證要求植入網絡設備、網絡安全產品,解決底層安全問題;
把可信計算技術植入“安全管理中心、安全通信網絡、安全區域邊界、安全計算環境”網絡要素,實現對網絡要素全覆蓋;
把可信計算技術植入整機、云計算平臺、物聯網、工控系統、移動互聯網;
把可信計算技術植入第二級以上網絡。
三、大力推廣應用等保2.0技術要求與可信計算3.0要求
開展基礎軟硬件與網絡安全產品的可信適配性測試和驗證;
將網絡安全等級保護2.0技術要求與可信計算3.0要求緊密結合,開展聯合攻關和驗證;
搭建典型應用系統,大力推廣應用等級保護2.0技術要求與可信計算3.0要求,開展檢測驗證;
建立良好的網絡安全保護生態,大力提升關鍵信息基礎設施的內生安全、主動免疫和主動防御能力。
等級保護2.0制度發展情況
2016年10月,公安部網絡安全保衛局對原有國家標準《信息安全技術信息系統安全等級保護基本要求(GB/T 22239-2008)》等系列標準進行修訂。2017年6月,《網絡安全法》正式出臺,信息安全等級保護過渡到網絡安全等級保護,法規明確要求國家實施等保制度。2019年5月,隨著《信息安全技術網絡安全等級保護基本要求(GB/T 22239-2019)》《信息安全技術網絡安全等級保護測評要求(GB/T28448-2019)》等標準的正式發布,標志著我國等保2.0全面啟動。
網絡安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法;
信息系統運營、使用單位應當選擇符合國家要求的測評機構,依據《信息安全技術網絡安全等級保護基本要求》等技術標準,定期對信息系統開展測評工作;
《網絡安全法》明確規定信息系統運營、使用單位應當按照網絡安全等級保護制度要求,履行安全保護義務,如果拒不履行,將會受到相應處罰。
迄今為止,我國實施等級保護制度已經長達二十多年,在各行各業為我國重要信息系統的安全保駕護航。進入等級保護2.0時代后,新標準將云計算、移動互聯、物聯網、工業控制系統等新技術新應用列入了標準范圍。
同時,由傳統的計算機信息系統防護轉向新型計算環境下的網絡空間主動防御體系建設,并強化了可信計算技術使用的要求,以確保其關鍵信息基礎設施安全。
可信計算技術在等保2.0制度中具體要求
我國的等級保護從1.0傳統的防御時代進入主動防御2.0時代后,被賦予了新的時代特征。除了擴大了等級保護對象范圍、統一了分類結構以外,其最大的變化就是強化了可信計算技術使用的要求,把可信驗證列入各個級別并逐級提出各個環節的主要可信驗證要求。國家網絡安全等級保護標準《網絡安全等級保護基本要求》、《網絡安全等級保護安全設計技術要求》、《網絡安全等級保護測評要求》都對可信計算技術提出了明確要求。
等保2.0標準從當前安全形勢出發,將可信計算3.0列為其核心防御技術,并在此基礎上提出了“一個中心,三重防護”的網絡安全技術設計總體思路,更加注重全方位主動防御、動態防御、整體防控和精準防護。
同時,等級保護2.0標準針對不同安全等級,提出了相應的監管制度和可信保障要求。
由此可見,可信計算3.0是等級保護的關鍵支撐技術,對落實網絡安全等級保護制度發揮著重要作用。因此,在等級保護2.0標準體系中,根據不同等級的安全要求,從第一級到第四級均在“安全通信網絡”、“安全區域邊界”和“安全計算環境”中增加了“可信驗證”控制點,針對訪問控制的主體、客體、操作和執行環境進行不同完備程度的可信驗證,并對三級、四級網絡中的安全管理中心中提出“可信驗證策略配置”的功能需求。
等級保護一級:信任鏈傳遞到可信啟動階段,基于可信根實現對BIOS、引導程序、操作系統內核等實體的可信驗證,每個設備具有唯一的可信身份,利用可信連接機制,在設備加入網絡時對其身份進行認證。
等級保護二級:信任鏈傳遞到靜態度量階段,在等級保護一級可信要求的基礎上,實現對執行程序等實體的可信驗證,并利用可信連接機制,在設備加入網絡時對其身份、執行程序進行認證。
等級保護三級:信任鏈傳遞到動態度量階段,在等級保護二級可信要求的基礎上,實現對安全配置等實體的可信驗證,并在應用程序的關鍵執行環節對系統調用的主體、客體、操作進行可信驗證,并對終端、關鍵內存區域等執行資源進行可信驗證,并將驗證結果形成審計記錄,送到管理中心,并利用可信連接機制,在設備加入網絡時對其身份、執行程序及其關鍵執行環節的執行資源進行認證。
等級保護四級:信任鏈傳遞到動態度量階段,在等級保護三級可信要求的基礎上,將可信驗證的范圍擴展到應用程序的所有執行環節,并對可信驗證結果進行動態關聯感知,以及在檢測到其可信性收到破壞時采取措施恢復。
在等級保護2.0標準體系中,“可基于可信根對設備的系統引導程序、系統程序、重要配置參數和應用程序等進行可信驗證……”,其中可信根和可信驗證功能是一級到四級都必須的要求,但“可信驗證” 是否是基于可信根進行實現,用戶可以根據情況進行選擇;不同級別可信根的實施方式,可信根由可信密碼模塊和可信平臺控制模塊共同組成。
第一、二級:可信根中可信密碼模塊需硬件實現、可信平臺控制模塊可由軟件實現;
第三、四級:可信根中可信密碼模塊和可信平臺控制模塊應由硬件實現。
等級保護2.0標準體系全面采用了具備主動免疫的可信計算3.0技術架構,針對不同等級的安全要求,在計算環境、區域邊界、通信網絡、安全管理中心的各計算節點上實現了不同完備程度的信任傳遞,既符合等級保護的“適度安全”原則,又提升了工程的可實施性,實現了關鍵信息基礎設施、國家重要網絡、重要數據等網絡的“動態防御、主動防御、縱深防御、精準防護、聯防聯控、整體防控”措施要求,落實了常態化、體系化、實戰化要求,將國家等級保護防御體系提升到了一個新的科學高度。
