近日,大唐高鸿信安联合兆芯推出设备(云)可信安全解决方案,助力政务、能源、金融、教育等关键信息基础设施行业企业实现从设备硬件到操作系统、云计算平台及虚拟化环境的安全可信和等保合规,为信创产业的快速发展提供安全支撑。
可信计算护航关键信息基础设施
当前,随着信创生态的进一步丰富完善,信创产品进入大规模应用阶段,逐渐支撑起政务、能源、金融、教育等关键信息基础设施行业应用。然而,智能化、网络化、数字化时代的到来,使得网络空间变得异常脆弱,网络安全事件频繁发生,信创产品面临着前所未有的安全挑战,关键信息基础设施也面临着新的安全风险。
2020年7月,公安部制定出台了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,提出进一步健全完善国家网络安全综合防控体系,切实保障关键信息基础设施、重要网络和数据安全。同时,还指出积极利用新技术开展网络安全保护,构建以可信计算等为核心的网络安全保护体系,不断提升关键信息基础设施的主动防御能力。
无独有偶,于2019年12月正式实施的等保2.0标准也提出了主动防御的思想,并指出“构建以可信计算技术为基础的等保核心技术体系”。工信部《关于促进网络安全产业发展的指导意见(征求意见稿)》中,也提出“积极探索可信计算等网络安全新理念、新架构,推动网络安全理论和技术创新”。
因此,将可信计算技术与信创产品深度融合,是促进信创产业安全体系构建的重要举措,不但能够为信创产品增加主动防御能力,也能够有效提升用户网络和信息系统整体的安全性、可信性及合规性,保障关键信息基础设施运行安全。
有鉴于此,高鸿信安联合兆芯推出设备(云)可信安全解决方案,以兆芯处理器平台和ZX-TCT (Trusted Computing Technology)技术为基础,以高鸿信安系列可信计算软件为核心组件,应用可信(云)计算、机密计算和操作系统安全等技术,解决从设备硬件到操作系统、云计算平台及虚拟化环境整体的安全可信问题,为关键信息基础设施业务应用提供全方位安全支撑。
TCT技术是创建信任根、构建信任链、实现可信计算功能的安全技术。基于TCT 技术的信任根实现于CPU内部,以保证其安全可信;通过TCT技术支持结合可信密码模块,实现静态信任链和动态信任链建立,保证设备启动过程和执行环境的安全可信,以及云计算平台/虚拟化环境的安全可信。
可信计算支撑设备(云)安全运行
设备(云)可信安全解决方案架构组成如下图所示:
图片
01
设备硬件平台
平台硬件层面采用支持TCT技术的兆芯处理器和支持中国商密算法的可信密码模块,确保信任起点的可信性以及静态/动态信任链的建立。本方案支持基于兆芯平台的各类设备,包括计算设备(服务器、台式机、笔记本等)、网络设备(交换机等)、存储设备等可信安全增强及管理。
02
可信计算软件
可信支撑模块,为各类设备实现可信计算功能提供基础的驱动程序、可信启动能力和可信服务支持;
操作系统可信增强系统,可对国产主流操作系统(支持HostOS和GuestOS)进行可信安全增强,支持系统主动度量和控制,增强系统主动防御能力,具备等保2.0标准对“安全计算环境”要求的全部安全功能;
可信安全管理套件,具备等保2.0标准对“安全管理中心”要求的可信/安全功能,帮助用户对各类设备及端到云系统进行统一可信/安全管理;
虚拟信任根模块,利用硬件虚拟化等技术实现物理信任根功能,为虚拟环境提供与硬件信任根相同的安全功能;
云计算可信安全增强模块,提供云计算平台的可信及安全增强功能,符合等保2.0标准对云计算安全扩展要求的相关内容;
云计算密钥管理系统,为云计算平台的管理和业务提供集中的密钥管理功能,显著提升密钥保护强度。
03
可信云计算平台
可信云计算平台包括基础设施层、云资源层、云可信管理层和云应用层。
基础设施层包括服务器等计算设备、交换机等网络设备以及存储设备等,并搭载可信密码模块,基于TCT技术结合可信支撑模块和操作系统可信增强系统,对基础设施进行全面的可信安全增强;
云资源层基于TCT技术并通过可信计算虚拟化系统、可信网络虚拟化系统和可信存储虚拟化系统,构建可信资源池;
云可信管理层嵌入虚拟信任根模块、云计算可信安全增强模块、云计算密钥管理系统和可信安全管理套件,提供云计算平台的统一管理功能、可信安全管理功能等;
云应用层提供云平台服务和应用接口,包括可信云管理门户和可信云开放接口等。
可信云计算平台可有效增强云用户数据隐私性,显著提高云用户数据与资源可感知性、可控性及云用户安全事件的可追溯性,全面提升云平台的安全性和合规性。设备(云)可信安全解决方案支持标准KVM/QEMU、OpenStack、Ceph等架构,满足等保2.0标准安全通用要求和云计算安全扩展要求。
六重优势服务信创产业扎实推进
高鸿信安联合兆芯推出的设备(云)可信安全解决方案,具有自主可控、安全可信、应用广泛以及兼容性好、即插即用、高性价比等优势,可为各类信创产品及关键信息基础设施行业应用提供端到云安全可信支撑。
01
自主可控,安全可信
基于兆芯国产处理器,结合高鸿信安自主研发的系列可信计算软件,构建设备(云)可信安全环境,全方位对标等保2.0标准,实现“可信验证”、“恶意代码防范”等可信/安全功能,实现贯穿硬件设备到操作系统、云计算平台及虚拟化环境的可信链,为关键信息基础设施运行提供安全可信支撑和等保合规保障。
02
兼容性好,即插即用
支持主流的国产固件/操作系统等基础软件,支持Linux/OpenStack/Ceph等多种主流开源软件,已围绕兆芯ZX-C / ZX-C+ / KX-5000 / KX-6000 / KH-20000 / KH-30000 系列处理器,以及服务器 / 存储 / PC / 一体机 / 笔记本等设备进行适配,功能、性能、兼容性、可靠性、稳定性可满足各类用户应用需求,即插即用能力可显著降低用户部署难度。
03
应用广泛,高性价比
可广泛应用于云计算/大数据/工业互联网/物联网/人工智能/区块链/5G等行业,通过主动防御能力有效应对未知威胁,保护关键信息基础设施、重要网络和数据安全;提供模块/组件、系统/套件、设备/平台、行业解决方案等多种交付合作模式,高性价比方案满足合作伙伴、系统集成商及最终用户不同需求。