中昇国计张学军：云计算与大数据时代的计算机终端安全

　　ZDNET安全频道 05月08日 综合消息： 第十五届中国信息安全论坛今日在北京召开，中昇国计研发部经理张学军带来《云计算与大数据时代的计算机终端安全》的主题演讲。现场文字整理如下：

　　大家上午好!

　　大家知道，在云计算与大数据时代背景下，因为数据更加集中，所以信息泄露会造成更大的危害。

　　这里简单列举一下国内外出现的各种安全威胁事件，比如2011年，中国的CSDN网站中的超过600万的用户信息泄露，填鸭社区四千万用户资料包括明文密码泄露，在去年如家七天酒店两千万条客户开放信息泄露。在上个月，携程的用户信息泄露，有大量用户的身份证号、用户名、胸卡号遭到泄露。

　　以上这些威胁会使个人安全和隐私造成危害，所以信息安全成为国家安全的重要组成部分，这里也列举一些关于国家信息安全的一些事情。

　　NSA监控了122位世界各国领导人，包括两位前任的领导人，包括德国总理默克尔，以及非洲的领导人，NAS入侵中国电信运营商，获取大量的短信内容。2007年起，美国国家安全局启动了一个战略项目，目的是入侵华为服务器，获得华为同军方合作的一些证据。

　　从以上三个事例可以看出，美国国家安全局NSA无所不能，无处不在，上到一些领导人的信息，还有下到一些机构的信息都可以得到。但是很难了解现在哪些国家的机构或者部门能够获得NSA的信息。

　　NSA相关机密被承包商雇员斯诺登获取并公布，堡垒最容易被内部攻破。

　　从以上可以看到，信息安全威胁从来源来分可以分为外部的信息安全和内部的信息安全威胁。

　　外部的信息安全包括黑客攻击，包括各种木马、病毒和蠕虫。其次是网络欺骗攻击，IP欺骗，ARP攻击，DNS攻击，ICMP重定向攻击，包括网络钓鱼。

　　从内部来说，信息安全威胁主要来自于内部员工突破内外网的政策获取和处理机密信息，另外就是离职或者间谍员工的恶意窃取信息行为，斯诺登就是一个典型的案例。还有是笔记本或者移动硬盘或者移动U盘的丢失导致相关信息的一些泄密，比如近几年层出不穷的各种艳照门事件多半因此而起。

　　下面简单介绍一下网络的防范技术。从历史来看，最早出现的防火墙叫Firewall，主要是处理特定端口的网络数据流达到网络监测的目的。然后就是入侵检测和入侵防御。再一个是隔离网闸，它主要是通过两个不同等级的网络，通过阻断网络连接，并同时进行文件或者信息交互。再就是虚拟专用网，VPN主要通过一些数据加密，以及转换，实现通过远程防御、私有或者专用网络的目的。上网行为管理，主要是通过限定流量和对特定网站的访问，达到安全的问题。

　　从中国来讲，通过一些杀毒软件，比如360、金山、瑞星等等一些产品，然后漏洞扫描与补丁分发。再就是访问控制，比如WINDOWS的一些访问控制，还有一些指纹的登录机制。再一个是终端审计，通过控制窗口、网口等等达到信息终端审计的目的。刚才沈院士也提到，基于可信计算的终端增强，它包括国际上的TPM和国内的TCM。另外云计算可以出现大量虚拟终端和虚拟桌面产品。

　　下面简单分析一下现有防范技术的缺陷，首先看一下网络的安全缺陷，可以从两个层次上阐述。首先从网络企业来说，目前网络协议是TIPI的协议，起源于上个世纪末，它的初衷是通过不同的网络，比如IPDI网络等等的，它的立足点是开放和便利，当时基本没有考虑或者没有考虑太多安全的问题。

　　于此相对比的，比如电信网，我们知道从1875年，美国人亚历山大.贝尔打通第一个电话之后，已经有一百多年的历史了，现在的电信网一个是通过语音通信的网络，还有一个信息网。每次我们通过拨电话和手机一个电话号码的时候，通过路口的选择，资源的分配以及示范，都是由控制网进行的。这个信用网不会受用户本身的控制，或者用户通信内容的控制，所以它是一个相对比较安全的网络。

　　另外回到互联网或者是IP网，大家知道IP的控制信息包括一些服务种类，TAS，然后一些服务端口号，所有的信息，无论是用户的失窃信息和控制信息，可以被计算机很轻易地改变。所以为什么出现那么多的IP欺骗，根本就是有原因的。大家可以知道，像TCP的协议存在大量的漏洞，有漏洞，才出现前面各种各样的 IP欺骗。这是一方面。

　　从IP的路由来讲，早期有大量的像CISCO的一些路由协议在使用，这是从协议来说的。

　　从设备来说，大家也听过，以前使用的大量设备，路由器、防火墙等等的，像思科，或者早期的3COM等等公司所涉及。国内采用了大量的网络芯片，以及网络处理器这样一些关键器件，这些器件本身有一些硬件漏洞，所以有很大的安全隐患。

　　另外一个，操作系统存在大量漏洞，比如像早期版本的WINDOWSXP，它能够很容易用一些解决方法获取相关管理人和用户的密码，从而进入那个系统。即便是目前用到的所有的计算机，如果我们不在BIOS里面做一个特殊设置，我们可以通过启动端或者U盘，就可以让应用技师进入里面获取资料。

　　还有一个是病毒的漏洞防范技术只能防范已知安全威胁。严格上来说，它没有办法防范新出现的一些攻击，比如针对一些特定机构进行长期而缓慢的，而且没有一些明显重复特征的攻击，比如说APP攻击基本上也是无能为力的。

　　下面比较关键的，我们现在广泛使用的核心加密技术，比如像各种算法，像DES和AES算法，基本上掌握在美国公司手里。据英国路透社报告，美国REC公司跟NSA达成一个合作，使用这些算法的加密软件或者设备可以轻易进入。

　　另外就是广泛使用的IPSEC等等这样技术存在的漏洞。

　　目前大量使用的很多虚拟技术同样也掌握在国外，比如像MICRSOFT等等是在因特尔手里。我们现在很多服务提供商，用公有云或者私有云，希望通过实现一些部门或者机构的隔离。像微软的EXX这样的软件存在一些漏洞，通过虚拟机直接访问主机，这样就破坏了虚拟机和主机之间的隔离，就破坏了虚拟机与使用用户的隔离，所以使用虚拟系统进行隔离这种方法是非常不可靠的。

　　目前的可信计算机尚未形成完备的体系，主要体现在两个方面，一个是国际上的 TAM和国内的TCM，增加一个系统模块，它能够验证或者检验从硬件自检和一些网络应用方面的检验，但是它的一些应用是无能为力的。所以TCM也有一些连接，和很多网络设备连接，但是这些网络设备，厂家都没有按照规格来做，所以用它无法应对网络上的危机。

　　目前使用的各种各样的防范措施是不可能防范内部人员窃取机密信息。比如斯诺登事件，用一些简单的软件，就把相关的机密弄出来了。

　　另外一个是现在出现的BYOD的现象可以绕开现存各种防范措施，但是有些厂家做了一些增强或者是软件这个事情。

　　下面看看目前的云应用和服务的基础架构。云应用和服务之间的基本安全的一些产品或者是技术上的，比如说以防火墙入侵检测为代表的网络安全设备，以VPM为代表的安全接入设备，以VPN为代表的安全认证系统，和以SNS的虚拟系统和服务，这些虚拟系统和服务，都基于在更底层的基础之上，比如加密技术、虚拟技术、网络协议和数据库。这些基础技术基本上掌握在因特尔、微软、思科、Oracle这些清一色的美国公司手里，后面站着一个巨人就是NSA，通过美国的爱国者法案，强迫这些厂家留一些后门。另外就是直接植入带有特定漏洞的一些算法，比如刚才说的和NSA合作的一些项目。

　　可想而知，任何一个架构的系统产品如果跟互联网相连，对于国家安全局或者掌握相关技术的机构或者个人来说，毫无秘密可言，现有的技术不能完全抵挡外部的攻击，如果我们的关键架构和系统不能抵挡外部的攻击，只能实现物理隔离。

　　有鉴于此，国家相关保密规章制度提出了要求，信息网络必须实现物理隔离。比如基于隔离卡的双网机，利用WINDOWS的休眠技术，达到内网或者外网的状态。同样存在很大的缺陷，网上共享CDM和主网，在主板里面有一些处理器，如果一些特定的攻击程序，做一些切换之间的数据交换，我们目前就形成了一个六网的协同通道，这是很危险的。因为同样一个CPU，必须在同样的CPU下面工作，内外网必须在同样的CPU架构下工作，内外网不能同时工作，网线误差导致泄露。

　　除了物理隔离之外，还要有安全防护本身的功能。其中可靠的用户认证，并对用户操作的全过程进行监控，同时对用户行为以及关键事件进行日志的一些记录。

　　最后必须保证计算机的物理安全以及存储的机密数据安全。

　　中晟国计安全计算机是按照上面所说创造的，具备几个特点，首先是独立双主机，彻底物理隔离，我们在一个机箱内，有两套独立的主机系统，没有共享关键部件。

　　另外，我们采取了网线和USB的防误插设备，因为这个网线等等是不通用的。

　　安全防护系统，首先看看普通防护方式，大家知道普通防护方式，基于普通的计算机安全防护软件，这种方式很方便，代价也很小。但是来自于互联网或者普通用户操作，能够损害所有的部件，包括硬件、操作系统，甚至杀毒软件本身。

　　另外是基于TPM和TCM的防护系统，主要在硬件上面加入一些硬件模块，来完成加密算法，随机生成一些基本的功能。这个完全能够从硬件自检到操作系统引导的一些过程。操作系统运营之后，本身可能会受侵害，所以上面的加密防护本身也是不可靠的。

　　中晟国计采用了独立的安全防护系统，采用了独立于主机之外的单独的硬件或者是操作系统、或者是软件。它和普通用户以及互联网没有任何接口，因此不会受侵害，即便在主机受到侵害的情况下，它还能够通过它设定的防护功能。

　　下面介绍一下防护系统的功能，第一个，具备多重用户身份认证，包括指纹识别和人脸识别，只有通过这两个识别之后，才能够进入。这跟目前所有的笔记本或者电脑上的功能是有区别的。

　　我们对用户操作行为进行全程监控，包括三权分立，用户操作，管理员没有办法管理计算机，审计员负责审计用户和管理员的行为。

　　这个操作过程中，假设发现不到用户进行使用，我们会建立防护系统。

　　这个是用户行为模式全程监控，虽然前面有一个用户在使用，但是如果有一个用户在偷窥这样我们防护系统会进行报警。

　　最后是全程记录操作日志，放在主机上，不会被篡改。

　　在物理安全防护，首先有一个机箱防破拆，任何的破拆，会很兼顾并且采取一些报警行为。

　　我们对机箱位置进行管控，同时对主机状态进行掌控。另外通过短信实时监控，发送一些信息，管理员能够远程掌握计算机的一些精密状态。

　　在数据防护上面，首先所有的防护都是磁盘加密的，如果检测到机箱情况的情况下，我们可以用中晟国计主被动硬盘销毁数据，这些数据被销毁是不可修复的。

　　简单回顾一下中晟国计的安全计算机终端系统，独立双主机，彻底物理隔离，独立的安全防护系统，多重用户身份认证，用户操作行为全程监控，实现了物理安全和数据安全。

　　从上面的表述可以看出，中晟国计的安全计算机终端达到了使用前核实，使用中比对，使用后记录，随时心跳报告，安全的数据保护。可以说是一款超安全计算机终端。

　　我的演讲到此结束，如果大家有什么建议，可以发邮件给我。我们在外面展台也有一个计算机，欢迎大家体验。