技术中心
 
 

计算机终端安全形势及综合解决方案

   日期:2010-03-26     来源:浪潮特种计算机事业部安全产品中心:冯磊    作者:管理员    

    随着信息技术的飞速发展,计算机及网络在政治、经济、社会、文化等各个领域起着越来越大的作用。与此同时,信息安全与保密的问题也已摆到人们的面前,危及计算机终端和网络信息系统的安全事件时有发生,信息安全问题日益突出,已成为关系国家安全和经济发展的不容忽视的重大问题。近期,浪潮特种计算机事业部经过多年潜心研究,在拥有Tempest防信息泄漏成熟技术的基础上,突破并集成了操作系统内核加固、安全芯片应用等关键技术,推出了面向计算机终端信息安全与保密的系统解决方案。

    提起信息安全问题,人们往往更多地关注网络边界和核心资源安全,即辖内所有计算机终端要在防火墙内部,同时安装统一的防病毒系统、入侵检测系统等。但是,随着技术的发展,各种攻击手段也越来越高明,人们只能把外围的封堵或检查越做越复杂,相应投入的管理和维护费用也越来越庞大。
 


图1-1:网络三个层面的防护措施的常见位置

    从图1-1组成信息系统的服务器、网络、终端三个层面来看,现有的保护手段是逐层递减的,这说明人们已经非常重视服务器和网络层面的安全防护,而对终端的安全防护重视程度不足。信息系统的安全需要全方位的防护,终端安全尤为重要,主要原因有:

1)计算机终端往往是创建和存放重要数据的源头;
2)据权威统计,信息系统的安全问题30%来自于外部,70%来自于内部,绝大多数的攻击事件都是从计算机终端发起的;
3)数据泄密和蠕虫病毒感染等往往是由计算机终端的脆弱性引起。

    因此,加强终端安全防护研究是十分迫切的,只有立足终端,从源头抓起,才能构建起真正的全面高效的安全防护系统。随着国际TCG组织的成立,提出了“可信计算”概念,使得研究如何构建安全终端以及如何解决终端安全问题达到了高潮。

    一、计算机终端面临的安全威胁及应对策略

    在组成网络信息系统的服务器、网络、计算机终端三个层面里,计算机终端作为创建、处理和存贮重要信息的源头,由于其分散性、不被重视、安全手段缺乏等原因,在信息安全与保密诸多方面存在薄弱环节。影响其安全的因素很多,可能是有意的攻击,也可能是无意的误操作;可能是内部的破坏,也可能是外来攻击者对系统资源的非法使用。归结起来,主要有以下几个方面:

    1、数据存储安全问题

    计算机终端作为信息数据的主要存储载体之一,其存储的安全性越来越令人担忧。普通计算机上的信息大都以明文形式存储,这在很大程度上使得数据更容易遭到窃取和破坏;另一方面硬盘的更换、丢失等造成的信息泄漏也越来越严重;再者用户的误操作、感染病毒等造成的数据丢失以及破坏等现象,均给用户带来了极大的烦恼。

    目前,应对数据存储安全的主要策略是数据加密技术,采用软件加密或者硬件加密技术,确保计算机硬盘数据的密文存储,杜绝了因数据窃取、硬盘更换、丢失等造成的数据泄密。软件加密技术由于其技术实现原理问题,依然存在破解的可能,但随着我国可信计算标准的出台,以及TCM安全芯片的问世,基于TCM安全芯片的硬件加密、解密技术成为解决存储安全的最佳解决方案。

    2、恶意攻击及权限的非法使用问题

    病毒、蠕虫、恶意代码、垃圾邮件、间谍软件、流氓软件等很容易通过各种途径侵入计算机,使得终端出现运行缓慢、应用程序出错、系统崩溃等现象,给企事业的业务带来无法估量的损失。用户安全意识不强、用户口令选择不慎、非法用户越权访问、用户帐号管理不严等也都会对信息系统的安全保密带来威胁。

    杀毒软件、防火墙等安全软硬件的广泛应用,对目前频繁发生的病毒、蠕虫、垃圾邮件攻击等危害终端安全的事件起到了一定的保护作用,但未从根本上切断病毒、蠕虫等的侵入路径,随着病毒、蠕虫等的更新升级,还是会绕过杀软造成对终端系统的破坏。所以,解决这一问题,最核心的还是从操作系统层面,对涉及系统安全的文件、注册表等进行访问控制,切断病毒侵入路径,保护系统安全。

    3、操作系统和应用软件的漏洞问题

    以微软Windows为代表的操作系统不断发现漏洞,通常在漏洞被披露的1~2周之内,相应的蠕虫病毒就产生了;另外,软件的“后门”有些是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。同时也存在BO、Netbus等诸多专业黑客后门程序,一旦被植入计算机,将大开入侵之门。

    浪潮终端操作系统加固采用ROST安全内核模块技术,重构操作系统的核心层权限访问控制模型,运用“三权分立”原则,实现了系统操作人员最小授权管理、行为安全审计功能、重要数据库、业务系统等核心数据资产强制访问控制保护,从信息系统核心层解决了后门、网络病毒、黑客入侵、内部人员违规操作等安全隐患。

    4、涉密信息的窃取问题

    计算机的寄生辐射和传导所造成的电磁泄漏具有很宽的频谱,它一方面是外部敏感设备的噪声源,对人体产生辐射危害;另一方面也造成计算机数据信息失密的可能。测试结果表明:CPU、内存、I/O接口、视频、传输线、电源线等部位都有较强的电磁辐射。通过Tempest技术(可译为信息电磁泄漏监测和防护技术),用灵敏度较高的接收装置,在几百米外就可以有效地截获、复现、破译电磁辐射信号中所携带的敏感信息,从而导致军队、政府机关、企事业单位涉密信息数据的泄漏和丢失。

    为了尽量减少计算机信息电磁泄漏的危险,必须采取完全防护措施。目前的防电磁信息泄漏技术措施主要有三种:即信号干扰技术、电磁屏蔽技术和TEMPEST防护技术。基于此三种技术的信息安全产品相应的主要有三种:干扰器、电磁屏蔽室及防信息泄漏计算机。

    其中,干扰器是基于信号干扰技术的一种信息防护产品,干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起,以掩盖原泄漏信息的内容和特征等,干扰器结构简单、成本低,但存在安全隐患:信息仍然可以提取、会造成电磁环境污染、影响其它设备的正常使用。

    电磁屏蔽室是一个导电的金属材料制成的大型六面体,能够抑制和阻挡电磁波在空中传播。屏蔽室难以广泛应用的主要原因是造价太高、受安装场地等条件的限制。一般二、三十平方米场地的屏蔽室的造价即需几十至上百万元。因此屏蔽室只适用于重要的大型计算机设备或多台小型计算机集中放置的场合。

    防信息泄漏计算机是基于TEMPEST防护技术的一种信息安全产品。TEMPEST防护技术即低辐射技术。这种技术是在设计和生产计算机设备时,就已对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取了防辐射措施,把电磁辐射抑制到最低限度。使用低辐射计算机设备是防止计算机电磁辐射泄密的较为根本的防护措施。既可实现信息安全,又避免了电磁环境污染,

    面对计算机信息安全的严峻形势,浪潮以维护国家信息安全为已任,秉承科技报国的宗旨,潜心研究防信息泄漏技术,在多年TEMPEST防护技术的研究基础上,形成了成熟的抑源法和包容法核心技术,有效抑制发射源和阻塞耦合通道,并不断推进成熟技术的产品化,成为国内安全与加固信息产品的领先供应商。

    二、计算机安全与保密的综合解决方案

    为了解决计算机的信息安全与保密问题,市场上推出了多种安全产品和技术,如杀毒软件、网络隔离卡、视频信息保护机、硬盘加密、USBKey等;其中,可信计算技术是一个热点,有别于传统的安全技术。可信计算技术通过增强现有计算机终端体系结构的安全性来保证整个计算机及网络的安全,其主要思想是在硬件平台上引入安全芯片(称作可信平台模块TPM);建立一个信任根,从信任根开始到硬件平台、到操作系统、再到应用,一级认证一级,一级信任一级,从而把这种信任扩展到整个计算机系统,以达到增强安全性的目的。

    2005年,浪潮、长城、同方等一线电脑厂商率先推出了采用TPM安全芯片的“安全电脑”。安全电脑的推出受到了高端市场的一定青睐。然而,不同厂商对安全电脑的认识和关注点并不统一,其解决方案在某种程度上还是局限于某种安全技术的应用,没有形成系统的解决方案。就TPM本身而言,要完全发挥出它的作用,还必须依靠系统软件和应用软件的配合才能实现。

    2007年12月,国家密码管理局发布了我国自己的《可信计算密码支撑平台功能与接口规范》。基于这一可信计算规范的安全芯片被称为TCM(Trust C Module),与国际可信计算规范的TPM相对应。我国可信计算标准的出台,推动了国内安全计算机产品的应用普及。

    浪潮集团高度重视开展信息安全与保密技术研究,在信息安全保密、数据保护和商用密码等方面积累了丰富的开发与推广经验。近期,浪潮特种计算机事业部(即山东超越数控电子有限公司)经过多年潜心研究,在拥有Tempest防信息泄漏成熟技术的基础上,突破并集成了操作系统内核加固、安全芯片应用等关键技术,并顺利实现了技术和工艺的产品化,推出了面向计算机终端信息安全与保密的系统解决方案(即浪潮ISAP技术平台)。

    浪潮ISAP技术平台基于可信计算技术,从主板、BIOS、TCM安全芯片等底层硬件,到操作系统,再到上层应用软件,进行了软硬件的集成化设计;有机地整合了军用电磁防护、操作系统安全加固、安全BIOS、全盘加密、安全应用软件等信息安全与保密技术,从物理安全、网络安全、主机安全、应用安全、数据安全等五个层面,为计算机终端提供全方位的信息安全与保密防护,解决终端用户面临的日益严峻的安全威胁,实现了涉密信息出不去、有害攻击进不来、涉密信息偷不走、信息非法带走打不开。

    目前,浪潮根据不同领域、不同行业的差异化需求,基于ISAP技术平台,已成功推出了金盾通用型、专业型、保密型安全计算机,可满足政府、军队、金融、电信等多个领域的应用需求。

    三、浪潮金盾系列安全产品介绍

    浪潮特种计算机事业部,面对计算机信息安全的严峻形势,以维护国家信息安全为已任,秉承科技报国的宗旨,多年致力于TEMPEST防护技术的研究。先后突破高难技术瓶颈,取得了多项核心技术,在研制防信息泄漏计算机的过程中积累了丰富的经验,并不断推进成熟技术的产品化。
浪潮防信息泄漏系列产品:

    1、金盾防信息泄漏计算机

    浪潮金盾防信息泄漏计算机,是国家级信息安全示范工程项目,获得国家保密局GGBB1测试认证,满足国军标GJB151A军用设备电磁兼容要求。

    主要功能:防信息泄漏,有效保证信息安全;绿色环保,无辐射危害,有益人体健康;外形美观,经济耐用。

    应用领域:可广泛应用于有保密要求的办公领域,其中主要用于党、政、军机关办公领域,其次还可用于金融、保险、厂矿等企事业办公领域,也可用于军工企业涉密要害部门。

    2、防信息泄漏笔记本

    金盾防信息泄漏笔记本电脑是公司最新自主研发的笔记本产品,采用全新宽屏设计,阳光下可视技术;硬盘可插拔,配置高、速度快、屏幕大、接口齐全、分辨率高、图形效能强。

    获得国家保密局GGBB1测试认证,满足国军标GJB151A军用设备电磁兼容要求。

    3、 金盾S2010安全计算机

    金盾S2010安全计算机是公司在2009年全力打造的一款安全计算机领域新产品,外形美观,配置高档,具备一系列软、硬件安全功能,满足政府、军工、军队、企事业等办公需求。

    S2010采用了具备自主产权的安全BIOS,实现了基于国产BIOS环境下的USBKEY身份认证、TCM驱动、硬件端口控制、硬盘锁等一系列有效的安全功能,真正做到从开机第一行代码开始,保证了计算机的安全;同时对操作系统进行了安全加固,实现了系统的实时保护;结合TCM可信芯片,实现了文件、数据的加解密,文件备份、还原、销毁,文件监控,网络监控等上层安全应用。

 
  
  
  
  
 
更多>同类技术
 
全年征稿 / 资讯合作
 
推荐图文
推荐技术
可能喜欢