中昇國計張學軍：雲計算與大資料時代的電腦終端安全

ZDNET安全頻道 05月08日 綜合消息： 第十五屆中國資訊安全論壇今日在北京召開，中昇國計研發部經理張學軍帶來《雲計算與大資料時代的電腦終端安全》的主題演講。 現場文字整理如下：

大家上午好!

大家知道，在雲計算與大資料時代背景下，因為資料更加集中，所以資訊洩露會造成更大的危害。

這裡簡單列舉一下國內外出現的各種安全威脅事件，比如2011年，中國的CSDN網站中的超過600萬的使用者資訊洩露，填鴨社區四千萬使用者資料包括純文字密碼洩露，在去年如家七天酒店兩千萬條客戶開放資訊洩露。 在上個月，攜程的使用者資訊洩露，有大量使用者的身份證號、使用者名、胸卡號遭到洩露。

以上這些威脅會使個人安全和隱私造成危害，所以資訊安全成為國家安全的重要組成部分，這裡也列舉一些關於國家資訊安全的一些事情。

NSA監控了122位世界各國領導人，包括兩位前任的領導人，包括德國總理默克爾，以及非洲的領導人，NAS入侵中國電信運營商，獲取大量的短信內容。 2007年起，美國國家安全局啟動了一個戰略專案，目的是入侵華為伺服器，獲得華為同軍方合作的一些證據。

從以上三個事例可以看出，美國國家安全局NSA無所不能，無處不在，上到一些領導人的資訊，還有下到一些機構的資訊都可以得到。 但是很難瞭解現在哪些國家的機構或者部門能夠獲得NSA的資訊。

NSA相關機密被承包商雇員斯諾登獲取並公佈，堡壘最容易被內部攻破。

從以上可以看到，資訊安全威脅從來源來分可以分為外部的資訊安全和內部的資訊安全威脅。

外部的資訊安全包括駭客攻擊，包括各種木馬、病毒和蠕蟲。 其次是網路欺騙攻擊，IP欺騙，ARP攻擊，DNS攻擊，ICMP重定向攻擊，包括網路釣魚。

從內部來說，資訊安全威脅主要來自于內部員工突破內外網的政策獲取和處理機密資訊，另外就是離職或者間諜員工的惡意竊取資訊行為，斯諾登就是一個典型的案例。 還有是筆記本或者移動硬碟或者移動U盤的丟失導致相關資訊的一些洩密，比如近幾年層出不窮的各種豔照門事件多半因此而起。

下面簡單介紹一下網路的防範技術。 從歷史來看，最早出現的防火牆叫Firewall，主要是處理特定埠的網路資料流程達到網路監測的目的。 然後就是入侵偵測和入侵防禦。 再一個是隔離網閘，它主要是通過兩個不同等級的網路，通過阻斷網路連接，並同時進行檔或者資訊交互。 再就是虛擬私人網路，VPN主要通過一些資料加密，以及轉換，實現通過遠端防禦、私有或者私人網路絡的目的。 上網行為管理，主要是通過限定流量和對特定網站的訪問，達到安全的問題。

從中國來講，通過一些殺毒軟體，比如360、金山、瑞星等等一些產品，然後漏洞掃描與補丁分發。 再就是存取控制，比如WINDOWS的一些存取控制，還有一些指紋的登錄機制。 再一個是終端審計，通過控制視窗、網口等等達到資訊終端審計的目的。 剛才沈院士也提到，基於可信計算的終端增強，它包括國際上的TPM和國內的TCM。 另外雲計算可以出現大量虛擬終端和虛擬桌面產品。

下面簡單分析一下現有防範技術的缺陷，首先看一下網路的安全缺陷，可以從兩個層次上闡述。 首先從網路企業來說，目前網路通訊協定是TIPI的協定，起源于上個世紀末，它的初衷是通過不同的網路，比如IPDI網路等等的，它的立足點是開放和便利，當時基本沒有考慮或者沒有考慮太多安全的問題。

于此相對比的，比如電信網，我們知道從1875年，美國人亞歷山大.貝爾打通第一個電話之後，已經有一百多年的歷史了，現在的電信網一個是通過語音通信的網路，還有一個資訊網。 每次我們通過撥電話和手機一個電話號碼的時候，通過路口的選擇，資源的分配以及示範，都是由控制網進行的。 這個信用網不會受使用者本身的控制，或者使用者通信內容的控制，所以它是一個相對比較安全的網路。

另外回到互聯網或者是IP網，大家知道IP的控制資訊包括一些服務種類，TAS，然後一些服務埠號，所有的資訊，無論是使用者的失竊資訊和控制資訊，可以被電腦很輕易地改變。 所以為什麼出現那麼多的IP欺騙，根本就是有原因的。 大家可以知道，像TCP的協定存在大量的漏洞，有漏洞，才出現前面各種各樣的 IP欺騙。 這是一方面。

從IP的路由來講，早期有大量的像CISCO的一些路由式通訊協定在使用，這是從協定來說的。

從設備來說，大家也聽過，以前使用的大量設備，路由器、防火牆等等的，像思科，或者早期的3COM等等公司所涉及。 國內採用了大量的網路晶片，以及網路處理器這樣一些關鍵器件，這些器件本身有一些硬體漏洞，所以有很大的安全隱患。

另外一個，作業系統存在大量漏洞，比如像早期版本的WINDOWSXP，它能夠很容易用一些解決方法獲取相關管理人和使用者的密碼，從而進入那個系統。 即便是目前用到的所有的電腦，如果我們不在BIOS裡面做一個特殊設置，我們可以通過啟動端或者U盤，就可以讓應用技師進入裡面獲取資料。

還有一個是病毒的漏洞防範技術只能防範已知安全威脅。 嚴格上來說，它沒有辦法防範新出現的一些攻擊，比如針對一些特定機構進行長期而緩慢的，而且沒有一些明顯重複特徵的攻擊，比如說APP攻擊基本上也是無能為力的。

下面比較關鍵的，我們現在廣泛使用的核心加密技術，比如像各種演算法，像DES和AES演算法，基本上掌握在美國公司手裡。 據英國路透社報告，美國REC公司跟NSA達成一個合作，使用這些演算法的加密軟體或者設備可以輕易進入。

另外就是廣泛使用的IPSEC等等這樣技術存在的漏洞。

目前大量使用的很多虛擬技術同樣也掌握在國外，比如像MICRSOFT等等是在因特爾手裡。 我們現在很多服務提供者，用公有雲或者私有雲，希望通過實現一些部門或者機構的隔離。 像微軟的EXX這樣的軟體存在一些漏洞，通過虛擬機器直接存取主機，這樣就破壞了虛擬機器和主機之間的隔離，就破壞了虛擬機器與使用使用者的隔離，所以使用虛擬系統進行隔離這種方法是非常不可靠的。

目前的可信電腦尚未形成完備的體系，主要體現在兩個方面，一個是國際上的 TAM和國內的TCM，增加一個系統模組，它能夠驗證或者檢驗從硬體自檢和一些網路應用方面的檢驗，但是它的一些應用是無能為力的。 所以TCM也有一些連接，和很多網路設備連接，但是這些網路設備，廠家都沒有按照規格來做，所以用它無法應對網路上的危機。

目前使用的各種各樣的防範措施是不可能防範內部人員竊取機密資訊。 比如斯諾登事件，用一些簡單的軟體，就把相關的機密弄出來了。

另外一個是現在出現的BYOD的現象可以繞開現存各種防範措施，但是有些廠家做了一些增強或者是軟體這個事情。

下面看看目前的雲應用和服務的基礎架構。 雲應用和服務之間的基本安全的一些產品或者是技術上的，比如說以防火牆入侵偵測為代表的網路安全設備，以VPM為代表的安全接入設備，以VPN為代表的安全認證系統，和以SNS的虛擬系統和服務，這些虛擬系統和服務， 都基於在更底層的基礎之上，比如加密技術、虛擬技術、網路通訊協定和資料庫。 這些基礎技術基本上掌握在因特爾、微軟、思科、Oracle這些清一色的美國公司手裡，後面站著一個巨人就是NSA，通過美國的愛國者法案，強迫這些廠家留一些後門。 另外就是直接植入帶有特定漏洞的一些演算法，比如剛才說的和NSA合作的一些專案。

可想而知，任何一個架構的系統產品如果跟互聯網相連，對於國家安全局或者掌握相關技術的機構或者個人來說，毫無秘密可言，現有的技術不能完全抵擋外部的攻擊，如果我們的關鍵架構和系統不能抵擋外部的攻擊，只能實現物理隔離。

有鑑於此，國家相關保密規章制度提出了要求，資訊網路必須實現物理隔離。 比如基於隔離卡的雙網機，利用WINDOWS的休眠技術，達到內網或者外網的狀態。 同樣存在很大的缺陷，網上共用CDM和主網，在主機板裡面有一些處理器，如果一些特定的攻擊程式，做一些切換之間的資料交換，我們目前就形成了一個六網的協同通道，這是很危險的。 因為同樣一個CPU，必須在同樣的CPU下面工作，內外網必須在同樣的CPU架構下工作，內外網不能同時工作，網線誤差導致洩露。

除了物理隔離之外，還要有安全防護本身的功能。 其中可靠的使用者認證，並對使用者操作的全過程進行監控，同時對使用者行為以及關鍵事件進行日誌的一些記錄。

最後必須保證電腦的物理安全以及存儲的機密資料安全。

中晟國計安全電腦是按照上面所說創造的，具備幾個特點，首先是獨立雙主機，徹底物理隔離，我們在一個主機殼內，有兩套獨立的主機系統，沒有共用關鍵部件。

另外，我們採取了網線和USB的防誤插設備，因為這個網線等等是不通用的。

安全防護系統，首先看看普通防護方式，大家知道普通防護方式，基於普通的電腦安全性防護軟體，這種方式很方便，代價也很小。 但是來自于互聯網或者普通使用者操作，能夠損害所有的部件，包括硬體、作業系統，甚至殺毒軟體本身。

另外是基於TPM和TCM的防護系統，主要在硬體上面加入一些硬體模組，來完成加密演算法，隨機生成一些基本的功能。 這個完全能夠從硬體自檢到作業系統引導的一些過程。 作業系統運營之後，本身可能會受侵害，所以上面的加密防護本身也是不可靠的。

中晟國計採用了獨立的安全防護系統，採用了獨立于主機之外的單獨的硬體或者是作業系統、或者是軟體。 它和普通使用者以及互聯網沒有任何介面，因此不會受侵害，即便在主機受到侵害的情況下，它還能夠通過它設定的防護功能。

下面介紹一下防護系統的功能，第一個，具備多重使用者身份認證，包括指紋識別和人臉識別，只有通過這兩個識別之後，才能夠進入。 這跟目前所有的筆記本或者電腦上的功能是有區別的。

我們對使用者操作行為進行全程監控，包括三權分立，使用者操作，管理員沒有辦法管理電腦，審計員負責審計使用者和管理員的行為。

這個操作過程中，假設發現不到使用者進行使用，我們會建立防護系統。

這個是使用者行為模式全程監控，雖然前面有一個使用者在使用，但是如果有一個使用者在偷窺這樣我們防護系統會進行報警。

最後是全程記錄動作記錄，放在主機上，不會被篡改。

在物理安全防護，首先有一個主機殼防破拆，任何的破拆，會很兼顧並且採取一些報警行為。

我們對主機殼位置進行管控，同時對主機狀態進行掌控。 另外通過短信即時監控，發送一些資訊，管理員能夠遠端掌握電腦的一些精密狀態。

在資料防護上面，首先所有的防護都是磁片加密的，如果檢測到主機殼情況的情況下，我們可以用中晟國計主被動硬碟銷毀資料，這些資料被銷毀是不可修復的。

簡單回顧一下中晟國計的安全電腦終端系統，獨立雙主機，徹底物理隔離，獨立的安全防護系統，多重使用者身份認證，使用者操作行為全程監控，實現了物理安全和資料安全。

從上面的表述可以看出，中晟國計的安全電腦終端達到了使用前核實，使用中比對，使用後記錄，隨時心跳報告，安全的資料保護。 可以說是一款超安全電腦終端。

我的演講到此結束，如果大家有什麼建議，可以發郵件給我。 我們在外面展臺也有一個電腦，歡迎大家體驗。