等保2.0为什么要求强化可信计算

2019-09-18 12:11:59 万方科技 116

  导读:等保2.0的核心已经由被动防御转变为主动防御、动态防御。而要实现这一点就需要加强网络安全分析能力、未知威胁的检测能力。而就目前的情况,通过可信计算来实现,会更可靠。

  等保2.0充分体现了“一个中心三重防御“的思想,一个中心指“安全管理中心”,三重防御指“安全计算环境、安全区域边界、安全网络通信”,同时等保2.0强化可信计算安全技术要求的使用。

  把“安全管理中心”从管理层面提升到技术层面,独立出来进行要求,包括“系统管理、审计管理、安全管理、集中管控“等,这是为了满足等保2.0的核心变化——从被动防御转变为主动防御、动态防御。完善的网络安全分析能力、未知威胁的检测能力将成为等保2.0的关键需求。对于安全企业,部署安全设备但不知道是否真的安全、不知道发生什么安全问题、不知道如何处置安全的“安全三不知”将成为历史。

  可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性。《网络安全等级保护基本要求》中强化了可信计算,充分体现一个中心、三重防御的思想,具体要求变化见下表所示:

等级保护测评不同级别的可信计算要求

  可信计算是基于密码的计算机体系架构安全技术,理论上可很大程度解决恶意软件非授权安装/运行、设备网络假冒等问题,有了可信计算可以避免那些网络安全问题:

  1、保证端计算环境可信,识别非授权软件,防止计算环境完整性受篡改。在确定端计算环境未被篡改的前提下,进行软件升级、安装、运行等。换句话说,就是可以减少流氓软件安装在您的电脑的可能性。

  2、保证端应用行为可控。仅允许白名单程序运行,并按照最小权限实现主体和客体绑定。换句话说,就是可以实现软件运行真正可控,降低一些不知道的软件隐错加载。防止您在不知情的情况下,很多数据就已经被隐藏软件获取了。

  3、保证端网络身份可信,防止网络通信设备假冒。可信芯片有唯一芯片号、公私钥对,可参与通信过程身份认证及加密,比IP/MAC地址的设备网络标识方法可靠。现在很多的WIFI网络诈骗,就是很多网民链接了假冒的公共网络导致的。有了可信计算,可以减少这样的事情发生。

  具体的可信计算技术主要依赖信任根和信任链,具体的技术讲解,小编就不细说了,感兴趣的朋友可以自己查看专业的技术资料。