信息安全研究

沈昌祥

2017, 3(4): 290-298.

摘要 ( )

PDF (1075KB) ( )

相关文章 | 计量指标

当前，网络空间已经成为继陆、海、空、天之后的第五大主权领域空间。网络安全是国际战略在军事领域的演进，对我国网络安全提出了严峻的挑战。解决信息安全核心技术设备受制于人的问题，需要创新发展主动免疫的可信防护体系。2013 年 12 月 20 日，习近平总书记在中国工程院一份建议上的批示中指出：“计算机操作系统等信息化核心技术和信息基础设施的重要性显而易见，我们在一些关键技术和设备上受制于人的问题必须及早解决。要着眼国家安全和长远发展，抓紧谋划制定核心技术设备发展战略并明确时间表，大力发扬‘两弹一星’和载人航天精神，加大自主创新力度，经过科学评估后选准突破点，在政策、资源等各方面予以大力扶持，集中优势力量协同攻关实现突破，从而以点带面，整体推进，为确保信息安全和国家安全提供有力保障”。即将实施的《中华人民共和国网络安全法》第十六条规定，国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。近期发布的《国家网络空间安全战略》提出的战略任务“夯实网络安全基础”，强调“尽快在核心技术上取得突破，加快安全可信的产品推广应用”。因此，创新发展可信计算技术，推动其产业化，是将我国建设成为“技术先进、设备领先、攻防兼备”网络强国的战略任务。

《可信计算体系结构》标准综述

安宁钰

2017, 3(4): 299-304.

摘要 ( )

PDF (4215KB) ( )

参考文献 | 相关文章 | 计量指标

可信计算是一种运算与保护并行结构的计算模式，通过保持计算环境及计算逻辑的完整性，为计算平台提供了对恶意代码、非法操作的自主免疫能力.可信计算体系结构以国产密码体系为基础，以可信平台控制模块为信任根，以可信主板为平台，以软件为核心，以网络作为纽带，对上层应用进行透明可信支撑，从而保障应用执行环境和网络环境安全.介绍了《可信计算体系结构》标准的相关内容，包括可信计算体系结构的基本原理及功能、核心组成部件、可信信息系统以及可信计算规范体系的基本框架.《可信计算体系结构》标准从顶层为可信计算产品的设计和实施提供规范和指南，可以有效促进可信计算技术及其产业化有序发展，并为后续可信计算系列标准的制定和修订提供一个统一的框架.

基于可信计算技术的密码服务平台

刘磊

2017, 3(4): 305-309.

摘要 ( )

PDF (3854KB) ( )

参考文献 | 相关文章 | 计量指标

可信计算是一种主动防御、可信免疫的安全保障体系，从我国金融、电子政务等领域的信息安全实际需求出发，提出了基于可信计算技术的密码服务平台，支持国产SM1,SM2,SM3,SM4密码算法，采用可信计算技术实现对密码设备和密码系统的安全保护.此平台实现了统一的密码运算服务、密钥管理、密码设备管理等功能，具有高可靠性、高安全性、高性能、多机并行、负载均衡等优势，可应用于金融证券、电子政务、电子商务等领域.

TPCM可信平台度量及控制设计

黄坚会

2017, 3(4): 310-315.

摘要 ( )

PDF (4044KB) ( )

参考文献 | 相关文章 | 计量指标

提出一种可信平台控制模块(trusted platform control module, TPCM)平台度量及控制实现方法.该方法在保持主板原有设计的基础上，利用计算机主板已有的接口进行扩展设计，以TPCM为信任根对计算机平台进行可信度量.结合电源控制的实现，该方法可以从根本上解决计算机启动环境不可信问题.该方法在确保启动代码的可信性和完整性基础上，通过启动代码中植入的驱动及保护策略对启动环境进行检查确认.若检测到可信环境遭受破坏或设备固件代码被恶意篡改，则根据预先写在TPCM内部的安全策略进入非可信工作模式或阻止计算机继续启动等.该方法设计的TPCM对计算机有自主的、绝对的控制权.极端情况下可以采取关闭计算机、切断电源等绝对性保护措施.该方法不但可靠有效，而且实现成本低廉，安装简单.

可信软件基技术研究及应用

孙瑜

2017, 3(4): 316-322.

摘要 ( )

PDF (4520KB) ( )

参考文献 | 相关文章 | 计量指标

随着信息科学和技术的发展，作为网络空间安全的关键技术——可信计算技术——已经成为国际网络空间安全斗争的焦点，我国正在大力发展推进其在各领域的应用.可信软件基(trusted software base, TSB)在可信计算体系中处于承上启下的核心地位，对上保护应用，对下管理可信平台控制模块(trusted platform control module, TPCM).通过对可信软件基的核心技术的研究，阐明其功能结构、工作流程、保障能力和交互接口，并介绍其在实际工程中的成功应用，为进一步完善可信计算体系打下坚实的软件基础.

云环境下可信服务器平台关键技术研究

刘刚

2017, 3(4): 323-331.

摘要 ( )

PDF (7035KB) ( )

参考文献 | 相关文章 | 计量指标

云环境中的安全威胁依旧严峻，可信平台控制模块(trusted platform control module, TPCM)技术为建立安全、主动可控的服务器平台提供了有效途径.为了解决基于TPCM的可信服务器实现中存在的两大完备性问题，构建了基于TPCM与可信软件基(trusted software base, TSB)的服务器平台体系结构.在服务器硬件层面，提出了结合带外管理系统(outofband management module, OMM)的上电时序控制及信任链设计方案.同时，对虚拟可信根的基本实现要求与思路进行阐述，并给出了虚拟可信度量根的设计方案.此外，对包括可信迁移在内的其他关键技术进行了探讨.将为云环境下基于TPCM的可信服务器平台提供具有实践意义的设计参考.

可信网络连接架构TCA的实现及其应用

李明

2017, 3(4): 332-338.

摘要 ( )

PDF (5568KB) ( )

参考文献 | 相关文章 | 计量指标

随着计算机网络的深度应用，最突出的威胁是：恶意代码攻击、信息非法窃取、数据和系统非法破坏，其中以用户秘密信息为目标的恶意代码攻击超过传统病毒成为最大安全威胁，这些安全威胁的根源在于缺乏体系架构层次的计算机的恶意代码攻击免疫机制，导致无法实现计算网络平台安全、可信赖地运行.可信网络连接是在此背景下提出的一种技术理念，它通过建立一种特定的完整性度量机制，使网络接入时不仅对用户的身份进行鉴别，还可提供对平台鉴别，就是基于平台完整性评估，具备对不可信平台的程序代码建立有效的防治方法和措施.根据我国已有的可信网络连接国家标准，给出可信连接架构TCA的实现及其相关的支撑技术，最后探讨了可信连接架构TCA技术的应用范围.

基于可信计算的分布式存储的数据保护方法

侯伟超

2017, 3(4): 339-343.

摘要 ( )

PDF (4230KB) ( )

参考文献 | 相关文章 | 计量指标

随着数据时代的到来，数据安全也成为一个越来越重要的主题.在此提出了一种基于可信计算技术的分布式存储系统的数据保护方法.分布式存储系统结构包括了客户端，以及负责记录或者以分布式算法映射数据到实际存储节点的元数据服务器模块.系统使用具有可信增强模块的服务器作为数据以及元数据服务器.为了验证存储系统中各服务器的身份，以及客户端用户的身份，系统增加了认证可信状态的认证中心，该认证中心模块同样运行在具有可信增强模块的服务器上.该数据保护方案是从可信计算技术出发，为分布式存储系统提供了一套行之有效的保护机制.

基于第三方监管的可信云服务评估

杜瑞忠

2017, 3(4): 344-352.

摘要 ( )

PDF (6390KB) ( )

参考文献 | 相关文章 | 计量指标

云服务作为依托于云计算平台的新型网络服务已得到广泛应用.其外包服务模式下的安全风险以及“payasyougo”模式下带来的欺诈性行为也引起了用户对于云服务信任问题，云服务可信性的高低已经成为用户是否向云端迁移数据的基础.针对目前云服务鱼龙混杂的情况，结合云服务特征，提出一种基于第三方监管双向信任的可控云计算平台安全监管服务评估模型，引入体验偏好,根据层次化评价、模糊数学综合评判决策为用户筛选、推荐出既可信又符合用户体验的云服务，同时保证整个云计算平台的安全.实验表明，该模型可以有效地提高交易成功率以及用户整体满意程度，对恶意实体的欺诈行为具有一定的抵御能力.

可信计算技术在电力系统中的研究与应用

安宁钰

2017, 3(4): 353-358.

摘要 ( )

PDF (5080KB) ( )

参考文献 | 相关文章 | 计量指标

电力系统是国家重要基础设施，其安全稳定运行是社会经济发展、国家安全稳定的重要保障.我国电力系统已经按照国家有关部门的相关规定和要求进行了信息安全防护，但面对当前复杂的网络空间安全形势，仍然存在遭受APT等恶意代码攻击的风险.可信计算是指计算运算的同时进行安全防护，使操作和过程行为在任意条件下，其结果总是与预期一样，计算全程可测可控，不被干扰，是改变传统的“封堵查杀”被动防御技术的基础.分析了电力系统所面临的信息安全风险与挑战，介绍了可信计算技术在电力系统中的研究与应用情况，并结合生产实际情况对可信计算的工程化应用给出了建议展望.基于可信计算技术构建电力信息安全免疫系统，开创了我国重要工业生产控制系统和信息基础设施中应用可信计算技术实现高安全等级防护的先河，对其他行业的安全免疫工程建设也给出了值得参考和借鉴的示范.

基于可信计算的电视台网络制播系统

琚宏伟

2017, 3(4): 359-363.

摘要 ( )

PDF (10188KB) ( )

参考文献 | 相关文章 | 计量指标

电视台网络制播系统是安全播出的重要环节.制播业务具有的“大流量、高带宽、低延迟”特点，给传统的“查、杀、封、堵”等被动防御技术带来新的挑战.以可信计算技术为基础，提出一种具有主动防御能力的电视台网络制播系统安全防护体系，给出了可信度量、可信连接和签名验签等各组成关键技术的原理和实现方法.该体系能够从根本上确保制作、播出节目的安全、正确，播出内容或业务内容的完整性和安全交付，对于提升电视台网络制播环境安全防护水平提供了技术参考.

可信计算在保险行业核心系统中的应用研究

姚尧

2017, 3(4): 364-369.

摘要 ( )

PDF (1799KB) ( )

参考文献 | 相关文章 | 计量指标

随着各行各业信息化进程加快，以可信计算为代表的信息安全技术在保障业务安全、提升核心竞争力方面发挥着日益重要的作用.信息系统通过进程白名单机制、文件访问控制机制、系统权限控制机制、动态实时防护机制等一系列主动免疫的可信计算技术建立可信计算环境.通过对可信计算核心技术在某保险公司的应用研究，阐明利用可信计算技术，构建主动防御的网络防护体系的方法.

工控领域安全自主可信产品的应用

李亚楠

2017, 3(4): 370-374.

摘要 ( )

PDF (4361KB) ( )

参考文献 | 相关文章 | 计量指标

针对当前工控系统存在的网络互联、自身的通信网络、主机计算环境、集中管控等方面的风险，介绍了一种在安全防护上自主可控的安全防护体系.通过物理安全、边界安全、集中管控、网络及通信安全、主机安全、应用及数据安全角度的防护设计，全面、自主可控地保护工控系统安全.并介绍了自主可控的典型产品隔离交换产品的应用.该体系目标为实现工控系统在安全防护层面的自主可控，长期来看实现工控系统的可信计算技术应用，是解决工控系统安全的根本所在.

基于等级保护与可信计算构建我国关键信息基础设施保障体系

张宇翔

2017, 3(4): 375-381.

摘要 ( )

PDF (1036KB) ( )

当期目录