基于可信计算的PKS体系
1. 可信计算
中国可信计算源于1992年立项研制的可信计算综合安全防护系统(智能安全卡),于1995年2月底通过测评和鉴定。经过长期军民融合攻关应用,形成了自主创新安全可信体系,开启了可信计算3.0时代。
主动免疫可信计算是指计算运算的同时进行安全防护,以密码为基因实施身份识别、状态度量、保密存储等功能,及时识别“自己”和“非己”成分,从而破坏不排斥进入机体的有害物质,相当于为网络信息系统培育了免疫能力。
2. PKS可信计算架构
中国电子“十年磨一剑",形成了具有时代性的自主计算机软硬件“PK"体系(飞腾CPU和麒麟操作系统),在全球首创将“可信计算3.0”技术融入到CPU、操作系统和存储控制器中,实现底层构架的本质安全。
PKS可信架构
2.1. PKS架构优势
(1) 国际首次釆用CPU的内置可信技术
飞腾CPU隔离出可信核用于可信计算,将白名单机制嵌入麒麟OS,实现计算和安全防护的双体系结构。
(2) 国际首次采用内存内置物理防护技术
在内食存控制器内置硬件防护芯片,对关键代码和关键数据按需实时权限策略管理。
(3) 终端统一安全中心和云端统一安全管控
终端统一安全防护软件入口、云端统一安全管控接口,使常规安全软件与PK底层核心一体化,提升安全防护效果和效率。
2.2. PKS架构特点
(1)基于飞腾CPU通用核的可信核
在飞腾芯片中设置专门的可信核进行可信计算,将最安全的密码和最可信的信息放到CPU中,以此为基础构建一个行为可信鉴别、资源可信度量、数据可信存储的安全体系架构。
(2) 基于麒麟OS的安全及可信控制
麒麟操作系统的核心组件可以从系统底层以内置驱动的方式进行可信控制,,通过相关安全产品的深度融合,形成立体的安全防护能力,有效保障PK体系安全。 ''
(3) 基于芯片的内存安全防护
工创造性地通过安全内存模组上的安全芯片内的安全区,使芯片在处理内存数据流的同时控制使用,排除恶意指令,加强第二重防控。
(4) 基于安全固件的整机防护
长城安全BIOS固件可通过启动度量方式,在CPU启动时联动获取最安全的初始状态,保证系统启动阶段安全可信,有效防止固件被篡改,防止受外设ROM或第三方UEFI可执行程序实施入侵式安装后门攻击。
(5) 安全隔离环境(可信运行区)
实现可信计算运行环境,提供可信接口,管控系统关键软硬件资源和运行状态,实现内置式主动安全防御机制。
(6) 基于双体系的开放安全架构
构建整体的立体防护和管控体系,把合作方纳入到安全体系内,保障和监控其程序的安全性,给用户带来最佳的安全体验
(7)云端一体安全管控
依托中国电子产业布局和生态优势,立足“PK"体系、可信计算和网络攻防等技术积累,将内生安全、主动防护和体系化对抗进行深度融合,构建基于可信计算的PKS架构。整合多源情报,通过大数据分析、人工智能等技术,提供多重安全防御机制,提升智能监测和协同响应能力。
3. 可信安全管理中心
可信安全管理中心遵循三权分立的管理模式,通过釆用标准化的接口和协议,统一管理计算节点、安全组件和应用系统,可信安全管理平台可以对应用、可信终端软件、系统环境进行统一管理和集中体现。可信安全管理平台提供一套集中管理手段的平台软件,可集中管理区域中的可信终端。
可信安全管理中心统一建设集中化的管理机制,统一完成对各区域、各层面的安全机制的执行与管理。从系统管理、安全管理和审计管理角度出发,通过对应用系统的计算分析从而建立起集中统一的安全管理机制。主要从软件管理、可信执行程序保护、安全标记、访问控制、系统安全审计、边界安全审计等方面着手进行全方位安全设计,建立可信安全管理平台一体化的设备监测和管理平台,进行统一的管理、配置和审计,通过对审计和监测数据的分析,能够对当前系统的危害进行实时响应。
可信安全管理中心是可信软件基和可信平台控制模块的策略、基准值、日志的管理平台,是可信连接的仲裁平台,也是基于可信报告等数据的分析服务协同平台。
可信安全管理中心是主动免疫防御体系的控制中枢,构建了全系统的可信策略库/可信基准库。
可信安全管理中心功能列表
角色 |
功能 |
功能模块 |
功能介绍 |
系统管理员 |
资产管理 |
资产列表 |
对可信资产Linux、Windows终端的连接状态的维护,接受终端的注销、査看、修改、查看进程等。 |
安装部署 |
实现远程自动化安装终端,通过模板,或者基本信息填入,进行远程推送或多选推送,可查看安装信息状态(目前仅支持Linux系统) |
||
系统管理 |
用户管理 |
査看用户信息,并且提供重置密码功能,设置登入次数,登入时间间隔 |
|
磁盘告警 |
选择保留成功日志时间,并且可以设置磁盘告警值 |
||
审计管理员 |
审计管理 |
审计策略 |
设置审计状态、成功、失败、不审计、全审计 |
终端审计 |
审计可信资产Linux、Windows系统白名单日志、动态度量日志、应用防护日志、注册表日志等 |
||
系统审计 |
审计各管理员的操作日志 |
||
安全管理员 |
资产管理 |
资产列表 |
查看可信资产Linux、Windows终端的连接状态,查看终端信息等 |
可信验证 |
动态度量 |
提供策略下发到相应终端,Windows动态度量策略、windows内存度量 |
|
安全防护 |
应用防护 |
提供策略下发到相应终端,应用防护策略、网络控制策略 |
|
策略管理 |
应用防护模板 |
提供应用防护模板的创建和管理 |
|
动态度量模板 |
提供动态度量模板的创建和管理 |
||
软件管理 |
软件管理 |
提供Linux软件包上传和下发策略,白名单模板、白名单策略 |
|
软件安装 |
提供Windows软件安装功能,软件包上传、安装模式、学习模式、软件卸载 |
作者:符利华
基于可信计算的PKS体系相关推荐
- 辰光融信全面推出基于可信计算3.0技术的安全增强型打印机
北京辰光融信技术有限公司是国内较早推出安全增强型打印机的企业,为了进一步提升产品的安全性,自2019年以来专注研究可信计算3.0技术在打印机上的应用,我国可信计算源于1992年立项研制免疫的综合安全防 ...
- 基于Hadoop和Spark体系的大数据分析平台构建
谢谢分享! 转载:http://www.sohu.com/a/249271561_481409 随着大数据.人工智能等技术的快速发展,企业对大数据平台的需求越来越强烈,通过大数据分析技术为企业提供经营 ...
- 基于Gromacs进行膜蛋白体系的分子动力学模拟
随着近年来计算机算力的显著提升,计算机对于微观科学问题的解决发挥了非常重要的作用.目前理论.模拟和实验可谓解决科学问题的三辆并驾齐驱的马车.今天以KALP15蛋白为例,主要介绍基于Gromacs进行膜 ...
- 三种公钥密码体系(传统公开密钥体系 / 基于身份的公开密钥体系 / 基于无证书的公开密钥体系 )
公开密钥体系 分类 基于证书的公开密钥体系 基于身份的公开密钥体系 基于无证书的公开密钥体系 基于证书的公开密钥体系 第一种方案是采用证书机制实现用户的身份和用户的钥匙之间的安全对应.证书机制一般都采 ...
- 01.基于元数据的管理体系构建---统一流程平台
统一流程平台在元数据系统中以控制中枢的形式存在,让业务描述与业务流程串联,最终完成数据的加工/验证/汇集/最终输出等一系列工作. 1.统一流程平台的发展过程 在推进统一流程平台过程中,收到过" ...
- 【ALM】基于Polarion构建GJB5000A体系支撑平台
一.面临挑战 随着全球信息技术的日新月异和国防信息化建设力度加大,军用产品研制过程对于越来越重要的软件研发提出了更高的要求.同时,随着军工电子产品技术的快速迭代升级,软件项目已由单片机加载的小型嵌入式 ...
- 03.基于元数据的管理体系构建---电子签章标准化集成
集成需求 随着企业数据化的推进,电子签章作为一种常用的技术在慢慢替换部分实物章.基于需求与电子签章流程在系统中集成的标准化工序,将推动统一的模型实现不同厂商的电子签章与元数据平台的集成. 名词解释 序 ...
- 世界第一台电脑_2020世界计算机大会今日开幕 给市民带来全方位观展体验 - 三湘万象 - 湖南在线...
计算万物湘约未来 对准矿泉水瓶身可以看到长白山 2020世界计算机大会今日开幕,给市民带来全方位观展体验 11月2日,梅溪湖国际文化艺术中心,2020世界计算机大会布展现场.图/记者谢长贵 潇湘晨报记 ...
- 信管专业c语言考什么,计算机信管专业(毕业论文)参考选题.doc
计算机信管专业(毕业论文)参考选题 PAGE PAGE 1 计算机.信管专业毕业论文参考选题 1.请根据"毕业论文参考选题"的要求,填好"...论文选题登记表" ...
最新文章
- Java程序设计经典习题15道
- 关于TextBox控件字体颜色绑定
- 新一代垃圾回收器ZGC的探索与实践
- Android小结(1)
- 阿里开发者招聘节 | 2019阿里巴巴技术面试题分享:20位专家28道题
- 携程编程大赛 (预赛第二场)第一题【剪刀石头布】
- linux定时任务的用法详解
- CodeForces - 233A Perfect Permutation
- php curl get post请求
- 加密狗映射至虚拟服务器,ESXI 5.1/5.5 主机添加或映射USB设备(加密狗)(示例代码)...
- 嵌入式软件架构的设计
- redis雪崩和穿透、击穿的解决方法
- 基于关系图卷积网络的源代码漏洞检测
- 微信抢票应用-个人总结
- 遇到oracle错误20001,IMP-00003: 遇到 ORACLE 错误 20001
- Excel实用教程-IF函数怎么用
- Google-Hacking语法总结
- 开启子进程的两种方式,孤儿进程与僵尸进程,守护进程,互斥锁,IPC机制,生产者与消费者模型...
- CPU Scaling
- 易地推招生拓客分享:如何让社群招生成为培训机构招生利器?