亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

基于可信計算技術(shù)構(gòu)建的抗惡意代碼攻擊安全結(jié)構(gòu)框架以可信計算技術(shù)為基礎(chǔ)，融合身份認證、授權(quán)訪問控制、備份恢復以及審計等多種安全控制技術(shù)構(gòu)成?？尚虐踩K是抗惡意代碼攻擊的根基，可信計算技術(shù)是抗惡意代碼攻擊的必要條件，各種安全控制技術(shù)使抗攻擊效能最大化。

該框架通過各種技術(shù)的配合，建立了抵抗惡意攻擊的層層防線，并且在系統(tǒng)遭到破壞時能及時發(fā)現(xiàn)并進行恢復，不僅能防范已知惡意代碼，而且能防范未知惡意代碼。惡意代碼包括細菌、蠕蟲、病毒、特洛伊木馬、邏輯炸彈以及陷阱門等。

惡意代碼攻擊計算機系統(tǒng)通常包括偵查、探測、攻擊、獲得立足點、利用溢出手段從非特權(quán)用戶到特權(quán)用戶、隱藏、建立偵聽基地、控制并擴展等步驟。而PC軟硬件存在先天性安全缺陷，為惡意代碼攻擊提供了可利用的安全脆弱點。

首先，硬件的脆弱性。PC硬件雖然具有對代碼段和數(shù)據(jù)段的分段機制，但是沒有提供界限寄存器以及中斷等硬件機制來保護段越界，從而造成惡意代碼通過緩沖區(qū)溢出等機制執(zhí)行非授權(quán)代碼。在Intel X86和X86-64架構(gòu)的計算機中，提供特權(quán)級最高的系統(tǒng)管理模式（System Management Model，SMM），只有BIOS擁有權(quán)限將SMM代碼寫入系統(tǒng)內(nèi)存區(qū)SMRAM，一旦SMRAM被非法訪問，SMM代碼被修改，將能夠隨意獲取系統(tǒng)數(shù)據(jù)。

其次，軟件脆弱性。操作系統(tǒng)存在特權(quán)用戶和特權(quán)進程，操作系統(tǒng)缺乏安全的系統(tǒng)擴展機制，擴展的驅(qū)動程序具有系統(tǒng)權(quán)限，被惡意代碼利用后可隨意操作系統(tǒng)。PC軟硬件結(jié)構(gòu)的脆弱性直接造成PC上執(zhí)行代碼可以被修改，惡意程序容易被植入，重要信息容易被竊取，在平時及戰(zhàn)時極易被敵手利用控制而喪失戰(zhàn)斗能力。惡意代碼歸根結(jié)底只是一種計算機程序。惡意代碼的產(chǎn)生和發(fā)作必然是利用了PC軟硬件安全體系結(jié)構(gòu)的脆弱性。利用PC軟硬件脆弱性，惡意代碼攻擊可分為非法連接、惡意代碼植入、惡意代碼發(fā)作和非授權(quán)操作4種手段。在一次攻擊過程中，上述4種類型手段可能交替使用。

目前，已有的各種抗惡意代碼攻擊的安全技術(shù)手段主要包括終端和網(wǎng)絡安全防護型手段兩種。終端安全防護型手段包括殺病毒軟件、安全增強軟件等，網(wǎng)絡安全防護型手段包括防火墻、入侵檢測、安全隔離等。與目前已有的各種抗惡意代碼攻擊安全技術(shù)手段有著本質(zhì)不同，基于可信計算技術(shù)的抗惡意代碼攻擊安全結(jié)構(gòu)框架解決的是抗惡意代碼攻擊的基礎(chǔ)可信計算基的建立問題，即首先解決各種安全技術(shù)手段不能被繞過和不能被篡改的問題。

可信計算基是實施抗惡意代碼攻擊各種安全保密控制手段的實體，首先要保證其隔離性即不被非法篡改?？尚庞嬎慊牡诙€重要特征是保證其不被繞過。惡意攻擊如果將可信計算基進行篡改或發(fā)現(xiàn)存在一條繞過安全控制的途徑，則任何抗惡意代碼攻擊技術(shù)手段都形同虛設。

1 可信計算平臺安全結(jié)構(gòu)框架

基于可信計算技術(shù)構(gòu)建的可信計算平臺結(jié)構(gòu)框架如圖1所示，包括可信硬件平臺、可信系統(tǒng)軟件以及可信應用層。

圖1 可信計算平臺結(jié)構(gòu)
可信硬件平臺包括可信模塊和可信BIOS?？尚拍K是整個結(jié)構(gòu)框架的根基，為所有上層應用提供可信管理服務，也是整個結(jié)構(gòu)框架的信任根?？尚臖IOS驗證硬件平臺的完整性，主要驗證主引導記錄、操作系統(tǒng)裝載器和操作系統(tǒng)內(nèi)核的完整性?？尚畔到y(tǒng)軟件由可信軟件棧和安全增強操作系統(tǒng)組成?？尚跑浖７謩e向安全增強操作系統(tǒng)和可信典型應用提供調(diào)用可信模塊的接口。安全增強操作系統(tǒng)提供強制訪問控制、強制安全策略和完整性度量驗證功能。

可信網(wǎng)絡連接是對網(wǎng)絡接入的可信計算平臺身份和可信計算平臺的完整性狀態(tài)進行安全性檢測，自動拒絕不安全的主機接入。接入主機必須符合內(nèi)部網(wǎng)絡的安全策略。結(jié)構(gòu)框架的核心是信任鏈的傳遞。信任鏈以可信模塊為信任根?？尚拍K驗證可信BIOS完整性，可信BIOS驗證主引導記錄、操作系統(tǒng)裝載器、操作系統(tǒng)內(nèi)核的完整性，操作系統(tǒng)內(nèi)核驗證系統(tǒng)服務、應用程序及腳本的完整性。

通過信任鏈傳遞，保證核心的功能模塊不被篡改，保障系統(tǒng)按照預期的行為方式運行。

2 基于可信計算技術(shù)的抗惡意代碼攻擊安全結(jié)構(gòu)框架設計

2.1 安全結(jié)構(gòu)框架構(gòu)建原則

設計基于可信計算技術(shù)的抗惡意代碼攻擊安全結(jié)構(gòu)框架時，應遵循以下原則。

2.1.1　最小限度的安全控制和隔離

為了使系統(tǒng)的安全具有高度的可靠性，應該盡可能減小內(nèi)部設計安全相關(guān)部分的規(guī)模和復雜度。由于安全性滲透到可信安全模塊、可信BIOS，尤其是可信系統(tǒng)軟件（即安全操作系統(tǒng)和可信軟件棧）許多不同的功能領(lǐng)域，如文件系統(tǒng)管理、存儲管理、進程控制、輸入/輸出以及其他大量的管理功能中，涉及安全相關(guān)的軟件不僅難以確定和隔離，而且即使所有的安全軟件能以某種方式隔離出來，機制的變化也使得公共的安全系統(tǒng)很難設計。

因此，安全結(jié)構(gòu)框架的構(gòu)建與操作系統(tǒng)的體系結(jié)構(gòu)密切相關(guān)，在操作系統(tǒng)中獲得安全特性比較困難。如果操作系統(tǒng)在設計之初就將安全特性考慮其中，并且安全相關(guān)的機制是簡單的、容易識別的和隔離的，那么就有可能實現(xiàn)附加的安全控制，以保護它免受系統(tǒng)中其他部分的破壞。

2.1.2　最小特權(quán)所謂特權(quán)是指基于系統(tǒng)的訪問控制機制在系統(tǒng)上實施某種行為的能力。恰當特權(quán)是POSIX1003.6中提出的術(shù)語，是基于系統(tǒng)的訪問控制機制，在系統(tǒng)上執(zhí)行一個特殊的、受限制的操作，或者超越某個特殊的訪問控制策略的能力。它被定義為某些進程與特權(quán)的結(jié)合方式，這些進程與需要特殊特權(quán)的功能相關(guān)。

所謂最小特權(quán)就是操作系統(tǒng)應精確確定用戶的任務，不應賦予用戶超過執(zhí)行任務所需權(quán)力以外的特權(quán)。最小特權(quán)的含義包括以下幾個方面。

（1）硬件特權(quán)。當處理器不以特權(quán)方式工作時，最小特權(quán)機制可以限制特殊指令的使用，約束處理器對某些內(nèi)存區(qū)域的訪問。

（2）軟件特權(quán)。軟件特權(quán)允許某些應用程序避開普通用戶程序所必須遵從的正常存取控制而執(zhí)行特定的系統(tǒng)功能。

（3）結(jié)構(gòu)化和模塊設計程序化的方法。

（4）用戶和系統(tǒng)管理者的行為。用戶和系統(tǒng)的管理者不能得到除了應該完成任務之外的存取權(quán)限。

2.1.3　安全相關(guān)功能清晰明確安全結(jié)構(gòu)框架應具有如下特性：系統(tǒng)中安全相關(guān)的各個方面非常容易被確定，以便從總體上很快地對系統(tǒng)進行安全性檢查；安全控制應該被隔離和最小化，從而使得安全相關(guān)的功能有一個清晰和容易確定的接口。

2.1.4　安全性能友好（1）安全不應影響遵守規(guī)則的用戶。對于大多數(shù)用戶及他們所做的工作，安全性應該是透明的。（2）應該便于用戶授權(quán)存取。確保用戶可以訪問他們所需的信息而不再需要建立嚴格檢查的缺省值，以避免過于復雜的檢查過程。（3）應該便于用戶約束存取。要使安全性能“用戶友好”，需要對使用的系統(tǒng)及應用程序有全面的了解。

這對于某些專用系統(tǒng)是容易的，但對通用系統(tǒng)的設計者而言，由于難于確定用戶將要做什么，為了滿足每個用戶的要求，往往提供了不少多余的管理機制，這樣就違反了機制精簡的原則。

2.2 安全結(jié)構(gòu)框架構(gòu)建

針對惡意代碼攻擊模型的類型手段，構(gòu)建基于可信計算技術(shù)的抗惡意代碼攻擊安全結(jié)構(gòu)框架，如圖2所示。

圖2 基于可信計算技術(shù)的抗惡意代碼攻擊安全結(jié)構(gòu)框架基于可信計算技術(shù)的抗惡意代碼攻擊安全結(jié)構(gòu)框架由安全服務器和分布在BIOS、系統(tǒng)軟件和網(wǎng)絡的安全管理器組成。信任鏈傳遞貫穿整個可信安全模塊、可信BIOS、可信系統(tǒng)軟件和可信網(wǎng)絡，保證各安全機制不被非法篡改。

可信安全模塊、可信BIOS、可信系統(tǒng)軟件和可信網(wǎng)絡組成了可信計算基。可信計算基內(nèi)安全相關(guān)的部件包括安全服務器和安全管理器。

其中，安全服務器位于可信安全模塊內(nèi)，安全管理器分別位于可信BIOS、可信系統(tǒng)軟件和可信網(wǎng)絡內(nèi)。安全結(jié)構(gòu)框架建立的核心一方面是信任鏈的傳遞，另一方面是安全服務器和安全管理器如何融入相應的系統(tǒng)軟硬件內(nèi)建立系統(tǒng)的可信計算基。

可信計算基在結(jié)構(gòu)框架設計中需具備以下特點。

（1）在內(nèi)存保護方面，可信計算基可以實現(xiàn)對CPU之外所有設備的受保護應用程序的物理內(nèi)存訪問進行控制。

（2）相對于操作系統(tǒng)而言，可信計算基代碼量較少，且可信計算基提供的功能和實現(xiàn)機制相對簡單，能夠證明可信計算基可以被正確實現(xiàn)，不能被繞過。

（3）可信計算基在磁盤上的執(zhí)行映像及其啟動加載過程可以通過信任鏈傳遞技術(shù)來保護，以保證平臺啟動后進入預期的可信計算環(huán)境。

可信計算基含有系統(tǒng)中所有實施的安全機制，包括安全服務器和相應的安全管理器?？尚庞嬎慊荒苊撾x它所依附的系統(tǒng)，是為系統(tǒng)提供抗惡意代碼攻擊服務的。

因此，安全機制一定要和計算機系統(tǒng)的軟硬件設計同步?？尚虐踩K是安全服務器，應提供可信服務和安全服務。由于安全服務與具體的訪問規(guī)則相關(guān)聯(lián)，訪問控制規(guī)則的多樣性導致目前可信安全模塊提供安全服務的能力較弱。安全管理器需要覆蓋系統(tǒng)中所有的安全控制點，因此安全管理器必須與系統(tǒng)一體化設計，在計算機系統(tǒng)的集中控制點進行安全控制操作。

基于windows系列設計的安全管理器只能起到安全增強作用，這是因為Windows不是自主可控的，沒有對它的整個系統(tǒng)體系結(jié)構(gòu)有深入的了解，安全管理器不可能覆蓋系統(tǒng)中的所有控制點，容易出現(xiàn)安全機制被繞過的情況。在這種情況下，基于可信計算技術(shù)增強計算機操作系統(tǒng)的抗惡意代碼攻擊能力尤為重要。

2.3 安全結(jié)構(gòu)框架特點

基于可信計算技術(shù)的抗惡意代碼攻擊安全結(jié)構(gòu)框架特點如下。

2.3.1　可信安全模塊是抗惡意代碼攻擊的根基

可信安全模塊是信任鏈與可信平臺的基礎(chǔ)，內(nèi)部擁有獨立的處理器和存儲單元，可存儲密鑰和敏感數(shù)據(jù)。可信安全模塊提供完整性驗證、數(shù)據(jù)安全、用戶及策略管理等安全機制。對外提供的安全服務包括用戶/平臺認證服務、訪問控制服務、數(shù)據(jù)安全服務和可信服務。

2.3.2　可信計算技術(shù)是抗惡意代碼攻擊的必要條件

使用可信計算技術(shù)能夠解決系統(tǒng)的完整性，保證系統(tǒng)不被篡改。惡意代碼攻擊必備的手段是植入惡意代碼，植入惡意代碼即是破壞系統(tǒng)的完整性，因此抗惡意代碼攻擊必須借助于可信計算技術(shù)。

2.3.3　融合各種安全控制技術(shù)的可信計算基使抗惡意代碼攻擊效能最大化

可信計算是安全的基礎(chǔ)。沒有可信計算的系統(tǒng)一定是不安全的，這是因為基于可信計算技術(shù)能夠為信息系統(tǒng)構(gòu)建安全的可信計算基?？尚庞嬎悴坏扔诎踩磳嵤┝丝尚庞嬎慵夹g(shù)的系統(tǒng)不一定是安全的。它必須與其他安全技術(shù)結(jié)合在一起，才能為信息系統(tǒng)提供安全可靠的保障。

3 基于可信計算技術(shù)的抗惡意代碼攻擊安全結(jié)構(gòu)框架應用

目前，大部分專用信息系統(tǒng)都是網(wǎng)絡應用，通常具有以下特點。

（1）使用用戶可控。與互聯(lián)網(wǎng)上無組織的用戶不同，專用信息系統(tǒng)通常屬于某個組織。該組織由若干機構(gòu)組成。用戶在組織內(nèi)部有著明確的分工，每個用戶通常屬于組織中某個機構(gòu)的人員，承擔著該機構(gòu)應該履行的任務職責。

（2）網(wǎng)絡邊界明確。專用信息系統(tǒng)網(wǎng)絡拓樸關(guān)系明確，專用網(wǎng)絡和公共網(wǎng)絡的界線明確。

（3）使用專用信息系統(tǒng)的用戶既是資源的生產(chǎn)者又是資源的消費者。某個組織使用的應用系統(tǒng)完成特定的業(yè)務和組織功能，因此應用系統(tǒng)用戶既產(chǎn)生又接收特定的應用資源。專用信息系統(tǒng)的安全管理部門應根據(jù)管理的原則，制定相應的管理制度和采用相應的規(guī)范。

這些工作包括：確定系統(tǒng)的安全等級；根據(jù)確定的安全等級，確定安全管理的范圍；制定相應的計算機系統(tǒng)出入管理制度；制定嚴格的操作規(guī)程；操作規(guī)程要根據(jù)職責分離和多人負責的原則，各自負責各自的工作，不能超越自己的管轄范圍；制定完備的系統(tǒng)維護制度；制定應急措施。專用信息網(wǎng)絡應用的特點是用戶可控、網(wǎng)絡邊界明確，安全需求是防止非授權(quán)用戶進入專用網(wǎng)，防止授權(quán)用戶對專用網(wǎng)內(nèi)資源非法使用。

專用信息網(wǎng)絡應用安全強調(diào)的是整體安全，而不是強調(diào)個體安全——客戶端安全或服務器端安全。在專用網(wǎng)中，服務器是資源的存儲者，而客戶端是資源的生產(chǎn)者和消費者。不管是非授權(quán)用戶還是授權(quán)用戶，非法使用專用網(wǎng)絡必須先繞過終端的安全防護，因此專用信息應用安全必須以客戶端（終端）安全為核心。

理論上，如果專用網(wǎng)網(wǎng)絡邊界安全且終端能夠防止非授權(quán)用戶對網(wǎng)絡的使用，防止授權(quán)用戶對網(wǎng)絡的非法使用，則整個專用網(wǎng)是安全的。專用信息系統(tǒng)按信息系統(tǒng)業(yè)務處理過程可劃分為應用環(huán)境、區(qū)域邊界和通信網(wǎng)絡3部分。應用環(huán)境由終端、服務器等計算節(jié)點以及計算節(jié)點上的專用應用組成?；诳尚庞嬎慵夹g(shù)的抗惡意代碼攻擊系統(tǒng)由可信計算平臺和證書/安全管理系統(tǒng)組成，如圖3所示。

圖3 基于可信計算技術(shù)的抗惡意代碼攻擊系統(tǒng)組成可信計算平臺部署于應用環(huán)境的各計算節(jié)點，確保節(jié)點內(nèi)終端、服務器和應用的安全，防止計算機節(jié)點內(nèi)各類信息的非授權(quán)泄露和修改。證書/安全管理系統(tǒng)管理實施對應用環(huán)境統(tǒng)一的安全策略，確保系統(tǒng)配置完整可信，確定用戶操作權(quán)限，實施全程審計追蹤。

從功能上，它可細分為安全管理系統(tǒng)和證書管理系統(tǒng)。可信節(jié)點系統(tǒng)在操作系統(tǒng)核心層和系統(tǒng)層通過對用戶行為的控制，可以有效防止非授權(quán)用戶訪問和授權(quán)用戶越權(quán)訪問，確保信息和信息系統(tǒng)的機密性和完整性，從而為業(yè)務應用系統(tǒng)的正常運行和免遭惡意破壞提供支撐和保障。通過可信節(jié)點系統(tǒng)的安全機制服務，保障應用業(yè)務處理全過程的安全。通過系統(tǒng)的建立，為專用應用系統(tǒng)用戶建立了達到以下安全目標的環(huán)境。

（1）用戶操作平臺可信：用戶使用的計算機以及操作系統(tǒng)是安全的、可信的。

（2）用戶身份可信：登錄和使用計算機資源（終端、服務器、網(wǎng)絡資源）的用戶身份是合法的，且標識用戶身份信息的載體是唯一的和不可偽造的。

（3）用戶行為可信：用戶的行為是在受控的范圍內(nèi)使用終端、服務器以及網(wǎng)絡資源。

（4）集中控制、分布式管理：為日常管理提供方便、易用的安全管理平臺。

4 結(jié) 語

基于可信計算技術(shù)構(gòu)建的抗惡意代碼攻擊安全結(jié)構(gòu)框架以可信計算技術(shù)為基礎(chǔ)，融合身份認證、授權(quán)訪問控制、備份恢復以及審計等多種安全控制技術(shù)構(gòu)成。該框架是抗惡意代碼攻擊的綜合安全防護框架，通過各種技術(shù)的有機配合，建立了抵抗惡意攻擊的層層防線，并且在系統(tǒng)遭到破壞時能及時發(fā)現(xiàn)并進行恢復，不僅能防范已知惡意代碼，而且能防范未知惡意代碼。

基于可信計算技術(shù)構(gòu)建的抗惡意代碼攻擊安全結(jié)構(gòu)框架中，可信安全模塊是抗惡意代碼攻擊的根基。通過可執(zhí)行代碼安全控制和數(shù)據(jù)授權(quán)控制建立的可信計算基不能被繞過，能夠防止惡意程序發(fā)作，對軟件簽名驗證能夠防止植入惡意代碼，對數(shù)據(jù)授權(quán)訪問控制能夠防止惡意竊取數(shù)據(jù)，對用戶和平臺進行身份認證能夠防止非法連接。

基于可信計算技術(shù)構(gòu)建的抗惡意代碼攻擊安全結(jié)構(gòu)框架中，可信計算技術(shù)是抗惡意代碼攻擊的必要條件。通過信任鏈的傳遞過程，防止實施安全機制的可信計算基被篡改，通過完整性驗證防止惡意代碼發(fā)作，通過完整性度量報告防止非授權(quán)連接。

基于可信計算技術(shù)構(gòu)建的抗惡意代碼攻擊安全結(jié)構(gòu)框架融合各種安全控制技術(shù)，使抗攻擊效能最大化。授權(quán)訪問控制技術(shù)通過全系統(tǒng)統(tǒng)一安全標識，防止非授權(quán)連接以及惡意代碼植入、發(fā)作、竊密和破壞；審計技術(shù)根據(jù)用戶身份標識、軟件標識和平臺身份標識，實現(xiàn)安全事件的可追溯性，有效追蹤攻擊行為；備份恢復技術(shù)增強系統(tǒng)的抗毀性和可用性。

抗惡意代碼攻擊結(jié)構(gòu)框架不是獨立于系統(tǒng)存在的，必須與系統(tǒng)一體化設計，覆蓋到系統(tǒng)所有安全控制點，對系統(tǒng)進行打補丁式的安全增強。