中关村可信计算产业联盟订阅号

 

敬请关注

大力推进可信计算协同攻关,加速构建可信计算产业生态

首页    2406新闻动态    2406网安讲堂    大力推进可信计算协同攻关,加速构建可信计算产业生态

 

 
 

导读:随着我国网络安全法和等级保护2.0制度的发布实施,可信计算技术作为基础核心技术,支撑其他安全机制的实施和等级保护2.0的落地,广泛应用于国家重要信息系统和关键信息基础设施安全建设中.本文从可信计算产业现状出发,分析了当前可信计算产业发展存在的问题,指出建设“国家网络安全等级保护制度2.0与可信计算3.0攻关示范基地”必要性和目标意义,并对基地3个业务支撑平台建设内容进行了描述,最后简要介绍了可信计算产业生态的现有成果,并对攻关示范基地的未来发展提出了建议.

 
 

王振宇(中关村可信计算产业联盟

田楠(中国人民解放军91977部队

 


 

1  可信计算产业现状

等级保护制度是我国在网络安全领域的基本制度、基本国策和基本方法,是国家网络安全意志的体现.《中华人民共和国网络安全法》(以下简称《网络安全法》)出台后,等级保护制度更是提升到法律层面.等级保护2.0最为核心的3个标准《GBT 22239—2019 网络安全等级保护基本要求》《GBT 25070—2019 网络安全等级保护设计技术要求》《GBT 28448—2019 网络安全等级保护测评要求》已于2019年12月1日开始实施,依据等级保护2.0系列标准做好等级保护工作是落实《网络安全法》服务于国家网络安全战略和网络强国建设、加强中国网络安全保障工作具有重要意义.
在等级保护2.0制度中强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求.可信计算3.0是等级保护2.0的关键支撑技术,是筑牢我国等级保护的坚固防线,对落实网络安全等级保护制度发挥着重要作用.
可信计算技术发展已久,我国自主创新的可信计算3.0技术经长期攻关,目前虽已取得了一定的成果,但是还有很多不足.在产品方面,目前基于可信计算3.0的可信产品能够为信息系统提供主动防护能力,提高信息系统的安全性.但是目前国内从事相关产品研发的公司并不多,所以产能并不是十分理想.并且基于可信计算3.0 的可信产品种类较少且缺乏标准化的指导,现有可信计算产品缺乏测评支持,尚且不能形成完整的产品链和生态链,产业生态环境构建不完善.在技术方面,可信计算技术对于工业控制、云计算、物联网、移动互联、大数据等新技术有一定的支持能力,但是某些关键问题还没得到很好的解决,尚缺乏技术的产品化;与特殊领域的融合不够彻底,目前并没有专门针对云计算、物联网、工控等领域的专有可信计算产品,对新兴技术的支持不够充分.
为了构建良好的可信计算生态环境,“国家网络安全等级保护制度2.0与可信计算3.0攻关示范基地”于2020年10月28日在北京工业大学揭牌启动,该基地能够有力地推动可信计算3.0的产业生态发展,加速促进国家等级保护2.0制度的落地和推广,切实提升我国网络空间的安全保障能力.
2  等级保护2.0与可信计算3.0攻关示范基地

“国家网络安全等级保护制度2.0与可信计算3.0攻关示范基地”是基于我国可信计算标准体系,进一步落实网络安全法和国家等级保护2.0制度要求,并结合国家信创工程安全需求,面向通用信息系统和云计算、物联网、移动互联、工业控制系统、大数据等新型信息系统,组织国内产、学、研、用各领域的代表性单位开展等级保护2.0和可信计算3.0联合攻关、适配测试、检测评估和示范应用,建设技术联合攻关平台、系统适配测试平台、系统示范展示平台3个支撑平台,解决我国关键信息基础设施建设所需要的合规产品和服务问题,打造网络安全可信保障基石,提升整体主动积极安全防护能力.建设基础软硬件厂商和网络安全厂商深度融合的新型产业生态,推动安全可信的网络产品和服务产业体系快速构成,为加速落实国家等级保护2.0制度、筑牢我国网络安全屏障起示范推动作用.具体包括以下4个部分:

1) 联合攻关重点突破国产基础软硬件与可信计算3.0融合的内生主动免疫防御、基于可信计算的全程动态访问控制支撑框架和针对等级保护2.0安全产品和系统的测评工具等关键技术,支撑等级保护2.0主动防御、动态防御等创新思路的落地;

2) 建设等级保护2.0各类系统的适配测试平台、演示验证系统和网络攻防靶场、典型应用示范平台等,促进等级保护2.0向实战化、体系化、常态化发展;

3) 制定面向各类信息系统不同等级的等级保护参考建设方案,指导用户单位进行等级保护2.0的整改和建设;

4) 制定一系列国产基础软硬件等级保护产品标准、等级保护2.0技术规范和检测标准,实现等级保护2.0技术和产品的规范化、标准化,加速促进等级保护2.0制度的落地和推广.

3  打造3个业务支撑平台,促进可信产业体系发展

基于攻关示范基地,通过打造和构建技术联合攻关平台、系统适配测试平台、系统示范展示平台3个业务支撑平台,实现关键技术的联合攻关以及技术验证环境的搭建;对厂商的各类产品进行全方位测试,确保兼容性、稳定性和安全性,以系统适配测试平台开展产品及系统测评工作;并对基地的产品成果进行动态化展示,建立符合等级保护2.0要求的重点行业示范系统,促进等级保护2.0向实战化、体系化、常态化发展.

3.1技术联合攻关平台建设

联合产学研用各单位进行联合攻关,突破可信计算3.0、5G安全、物联网安全、工业控制系统安全等关键技术,实现等级保护2.0要求的真正落地.主要内容包括:

1) 基于可信计算的全程动态访问控制支撑框架关键技术、面向复杂异构系统和支持IPV6技术的可信互联与安全通信关键技术、基于人工智能和大数据分析的可信安全态势感知与攻击预警、基于区块链的数据安全及隐私保护关键技术等与等级保护2.0相关的关键技术进行联合攻关,为等级保护2.0在各行业各领域的全面落地提供技术支持,具体包括等级保护2.0安全体系设计、关键技术攻关和验证、安全机制协同联动、研发测试工具对相关产品进行功能和性能测试等.

2) 可信计算3.0技术与国产基础软硬件平台的融合和联合技术攻关,在CPU、网络设备、整机设备、安全设备、操作系统、云计算平台、工控设备等基础软硬件中植入“免疫系统”,构建运行与防护并行的可信计算3.0双体系架构,形成等级保护2.0信息系统的基础性保障能力,具体包括可信计算3.0主动免疫防护架构设计、关键技术攻关和验证、制定统一的可信技术规范和接口规范、研发测试工具对相关产品进行功能和性能测试等.

3.2系统适配测试平台建设

对厂商的各类产品进行相互适配性测试,确保系统各部件的兼容性、稳定性,依据相关测评标准对安全产品进行安全检测.主要内容包括:

1) 搭建系统适配测试平台,对厂商的各类产品进行相互适配性测试,确保系统各部件的兼容性、稳定性,具体包括基础软硬件与可信计算产品的适配、可信计算与安全产品的适配等.制定产品的技术规范和接口规范,依据相关测评标准对安全产品进行安全检测,为等级保护2.0要求在实际信息系统落地打下坚实的基础.

2) 依据等级保护2.0基本要求、设计要求和测评要求等相关标准,针对等级保护2.0联合攻关的新技术应用、安全产品和系统,研究相关的测评技术、测评方案、检测规范、检测标准等,开发测评工具、设计测试用例集等;依据制定的测评方案、技术及工具集等,与测评机构协同,对产品和系统进行等级保护合规性测评检验;针对搭建的示范应用系统进行符合性测试和实战化的攻防验证,检验系统的安全防护效果.

3.3系统示范展示平台建设

基于关键技术联合攻关和演示验证的成果,通过场景领域和安全保护等级2个维度,建设基于不同用户及场景、符合不同保护等级和保护要求的应用示范系统,通过应用示范系统指导用户进行相应场景系统的等级保护安全设计和建设.主要内容包括:

1) 联合攻关成果包括基础软硬件产品、可信计算产品、网络安全产品、检测测评工具以及相应的产品技术规范和测评标准,覆盖云计算、移动互联、物联网、大数据、人工智能、可信计算等关键及新兴技术,面向等级保护2.0的通用要求及扩展要求,形成针对不同领域、不同安全等级要求的产品和解决方案.

2) 依据等级保护关键技术联合攻关的技术和产品等成果,依据不同行业和应用场景搭建符合等级保护2.0要求的典型应用仿真系统,包括政府办公系统、重要业务系统、工控系统、云计算平台、大数据、物联网、移动互联等系统.一方面对联合攻关的关键技术成果通过仿真系统进行测试验证;另一方面用于指导用户进行相应场景系统的等级保护安全设计和建设.

4  总结展望

国家网络安全等级保护制度2.0与可信计算3.0攻关示范基地是推动可信计算3.0产业发展和等级保护2.0制度落地的组织机构,由于等级保护2.0安全场景涉及面广而相关的安全问题既多又复杂,攻关示范基地采用整体规划分阶段建设的思路进行建设,自启动成立以来,开展可信计算适配工作,可信计算技术已产业化地应用于PC、服务器、智能终端、网络设备等各种通用设备和专用设备,已完成30多款整机产品可信计算3.0技术研发适配,包含服务器、终端、交换机、路由器、边界安全、打印机、存储等,并搭建完成了可信计算3.0支撑下的满足等级保护2.0三级要求的办公示范系统,可信整机产品完全满足国家等级保护2.0的关键指标要求,能够为我国关键信息化基础设备安全和国产化替代战略推广实行提供有力支撑,同时带动可信计算产业化的发展.

未来,将继续依托该攻关示范基地,组织搭建等级保护2.0示范系统,充分利用行业单位已有的仿真系统进行建设,最终形成覆盖全国重点行业的分布式示范系统体系,并依托测评专业机构针对示范系统进行深度测评,持续反馈迭代,以促进等级保护2.0相关技术和产品的快速成熟,加速等级保护2.0制度各项要求的真正落实.同时,通过产品测评及认证,助力可信计算产品推广,促进等级保护2.0和可信计算3.0生态环境快速成熟.

【参考文献】
[1]沈昌祥. 网络安全与信息战[J]. 网络安全技术与应用, 2001 (2): 69
[2]沈昌祥. 坚持自主创新加速发展可信计算[J]. 计算机安全, 2006 (6): 24, 17
[3]沈昌祥. 大力发展我国可信计算技术和产业[J]. 信息安全与通信保密, 2007 (9): 1921
[4]沈昌祥. 用可信计算构筑网络安全[J]. 求是, 2015 (20): 3334
[5]沈昌祥. 创新和发展我国信息安全等级保护制度[J]. 网络安全技术与应用, 2016 (4): 24
[6]沈昌祥. 网络强国系列用可信计算3.0筑牢网络安全防线[J]. 信息安全研究, 2017, 3(4): 290298
[7]沈昌祥. 推广安全可信产业夯实网络安全基础[J]. 中国工业和信息化, 2019 (11): 2830
[8]沈昌祥, 田楠. 按“等保2.0”用主动免疫可信计算筑牢“新基建”网络安全防线[J]. 信息安全与通信保密, 2020 (10): 29[9]郭启全, 等. 《关键信息基础设施安全保护条例》《数据安全法》和《网络安全等级保护制度》解读与实施[M]. 北京: 电子工业出版社, 2022
 
王振宇,硕士研究生.主要研究方向为网络安全、可信计算.
田楠,硕士,工程师.主要研究方向为网络安全、可信计算.
 
 
 

(本文刊载在《信息安全研究》2022年第8卷增刊2

 

 

 


       中关村可信计算产业联盟是由中国工程院沈昌祥院士提议,中国电子信息产业集团、中国信息安全研究院、北京工业大学、中国电力科学研究院等60家单位发起,经北京市民政局批准、具有法人资格的社会团体,成立于2014年4月16日。目前,联盟发展到300多家会员单位,涉及到国内可信计算产业链的各个环节,覆盖了“产学研用测”各界。

 

 

 

2023年2月13日 09:29
浏览量:0
收藏