有种安全防护系统叫做云涌可信计算
- 分类:云涌新闻
- 作者:
- 来源:
- 发布时间:2021-02-02
- 访问量:2646
有种安全防护系统叫做云涌可信计算
【概要描述】
可信计算的背景
传统的网络安全防护系统主要是由被称为“老三样”的病毒查杀、防火墙以及入侵监测系统组成,其核心手段也就是传统的“封堵查杀”技术。然而,随着科技的发展,道高一尺魔高一丈,这些系统和技术在面对目前层出不穷的网络安全问题上已经显得越来越力不从心,究其原因,主要在于:传统技术是通过和已经发生过的攻击特征库进行比较之后才给出查杀指令,但是面对不断涌现的新的攻击方法和新的漏洞则无能为力;此外,传统的网络安全系统本身是以“特权用户”的身份存在于网络中的,这违背了基本的网络安全原则,想象一下,如果这些系统被别有用心者利用或者控制,那整个系统则将毫无任何安全性可言。
什么是可信计算
可信计算的基本思想是首先创建一个安全信任根,再从信任根开始,一级度量一级,一级信任一级,以此形成一个从硬件到操作系统,再到应用系统的信任链,从而构建了一个安全可信的计算环境。而那些不被信任的组件及应用,可信计算环境则是天然对其“排斥”的,这些组件和应用是无法在可信环境中得到执行和资源访问机会的,这也是可信计算技术能够从根源上杜绝攻击和恶意程序的基本原理。
云涌科技可信计算平台介绍
云涌科技基于可信计算核心思想和基本架构,并依据等级保护2.0要求,结合自身在工业信息安全领域多年来的软硬件技术积累,研发出业内较为先进的可信计算平台。该平台能够对通用计算系统中的固件、操作系统、应用软件及服务等通用部件进行度量和控制,确保这些计算部件不会受到恶意篡改,从根源上建立对恶意程序攻击的防御机制,从而确保整个计算环境的可信。
云涌科技可信计算平台的关键功能特性及相关技术:
- 可信引导
可信引导其目的是确保系统启动引导阶段的可信安全。可信引导模块从信任根开始逐级度量,确保下一步骤相关固件/软件可信后,才对其进行加载并执行,然后重复上述度量及启动过程,直至最终系统启动。云涌科技目前的可信引导模块具有良好的兼容性,支持和兼容多种引导模式及多种操作系统版本。
- 应用可信
支持通过静态度量和动态度量技术来保证系统中的应用可信。静态度量是基于应用白名单的度量技术,静态度量会在系统中的可执行文件被访问或执行时对其进行度量,只有在白名单中的文件才能被访问或者执行。动态度量则是对应用程序运行时关键数据结构、内核模块、执行代码等进行度量,保障程序运行可信、可控。
- 重要配置保护
可信验证节点能够对操作系统、应用程序的重要配置参数进行可信保护。具体的,当重要的系统配置文件、脚本文件被访问、执行时,可信验证模块会对其进行可信验证,识别并主动阻断对被保护文件的删除、篡改等行为。
- 可信审计
可信验证节点能够对可信引导、静态度量、动态度量、重要配置保护、自保护等模块的检测结果及防护动作进行准确及细粒度的审计,并能够将审计记录发送至管理中心,由后者进行集中管理。
- 可信管理中心
可信计算平台的可信管理中心具备完善且易用的管理功能,包括可信节点管理、应用管理、策略管理、审计管理等。它不仅能够帮助管理员同时管理多个可信验证节点,方便查看策略,并完成批量策略下发、更新,而且还支持完整的应用管理流程和多种应用安装包格式;除此之外,还能够同时接收多个节点的审计日志信息,并快速响应用户查询请求。
- 应用软件源
虽然可信计算技术能从根源上解决网络安全问题,提高系统安全性,但是不可避免的会增加系统的运维难度,尤其是增加了系统中的应用软件的安装、更新及管理的复杂度。针对该问题,云涌可信团队在可信计算平台中开发并集成了应用软件源管理系统,结合该系统,平台能够管理应用软件的签名、发布、更新、下发、验证等全部流程,不仅降低了系统运维难度,而且提高整个平台的易用性。
- 分类:云涌新闻
- 作者:
- 来源:
- 发布时间:2021-02-02
- 访问量:2646
可信计算的背景
传统的网络安全防护系统主要是由被称为“老三样”的病毒查杀、防火墙以及入侵监测系统组成,其核心手段也就是传统的“封堵查杀”技术。然而,随着科技的发展,道高一尺魔高一丈,这些系统和技术在面对目前层出不穷的网络安全问题上已经显得越来越力不从心,究其原因,主要在于:传统技术是通过和已经发生过的攻击特征库进行比较之后才给出查杀指令,但是面对不断涌现的新的攻击方法和新的漏洞则无能为力;此外,传统的网络安全系统本身是以“特权用户”的身份存在于网络中的,这违背了基本的网络安全原则,想象一下,如果这些系统被别有用心者利用或者控制,那整个系统则将毫无任何安全性可言。
什么是可信计算
可信计算的基本思想是首先创建一个安全信任根,再从信任根开始,一级度量一级,一级信任一级,以此形成一个从硬件到操作系统,再到应用系统的信任链,从而构建了一个安全可信的计算环境。而那些不被信任的组件及应用,可信计算环境则是天然对其“排斥”的,这些组件和应用是无法在可信环境中得到执行和资源访问机会的,这也是可信计算技术能够从根源上杜绝攻击和恶意程序的基本原理。
云涌科技可信计算平台介绍
云涌科技基于可信计算核心思想和基本架构,并依据等级保护2.0要求,结合自身在工业信息安全领域多年来的软硬件技术积累,研发出业内较为先进的可信计算平台。该平台能够对通用计算系统中的固件、操作系统、应用软件及服务等通用部件进行度量和控制,确保这些计算部件不会受到恶意篡改,从根源上建立对恶意程序攻击的防御机制,从而确保整个计算环境的可信。
云涌科技可信计算平台的关键功能特性及相关技术:
- 可信引导
可信引导其目的是确保系统启动引导阶段的可信安全。可信引导模块从信任根开始逐级度量,确保下一步骤相关固件/软件可信后,才对其进行加载并执行,然后重复上述度量及启动过程,直至最终系统启动。云涌科技目前的可信引导模块具有良好的兼容性,支持和兼容多种引导模式及多种操作系统版本。
- 应用可信
支持通过静态度量和动态度量技术来保证系统中的应用可信。静态度量是基于应用白名单的度量技术,静态度量会在系统中的可执行文件被访问或执行时对其进行度量,只有在白名单中的文件才能被访问或者执行。动态度量则是对应用程序运行时关键数据结构、内核模块、执行代码等进行度量,保障程序运行可信、可控。
- 重要配置保护
可信验证节点能够对操作系统、应用程序的重要配置参数进行可信保护。具体的,当重要的系统配置文件、脚本文件被访问、执行时,可信验证模块会对其进行可信验证,识别并主动阻断对被保护文件的删除、篡改等行为。
- 可信审计
可信验证节点能够对可信引导、静态度量、动态度量、重要配置保护、自保护等模块的检测结果及防护动作进行准确及细粒度的审计,并能够将审计记录发送至管理中心,由后者进行集中管理。
- 可信管理中心
可信计算平台的可信管理中心具备完善且易用的管理功能,包括可信节点管理、应用管理、策略管理、审计管理等。它不仅能够帮助管理员同时管理多个可信验证节点,方便查看策略,并完成批量策略下发、更新,而且还支持完整的应用管理流程和多种应用安装包格式;除此之外,还能够同时接收多个节点的审计日志信息,并快速响应用户查询请求。
- 应用软件源
虽然可信计算技术能从根源上解决网络安全问题,提高系统安全性,但是不可避免的会增加系统的运维难度,尤其是增加了系统中的应用软件的安装、更新及管理的复杂度。针对该问题,云涌可信团队在可信计算平台中开发并集成了应用软件源管理系统,结合该系统,平台能够管理应用软件的签名、发布、更新、下发、验证等全部流程,不仅降低了系统运维难度,而且提高整个平台的易用性。