如何通俗解释可信纵深防御

一、可信防御
攻击者在何时何地通过何种攻击手法发起攻击是无法预测的,但是信息系统的运行状态可以基于网络流量、应用日志和系统进程等信息有效地分析刻画,因此在防御思路上需要将不确定的攻击威胁,通过已知的业务状态转换为有效的防御策略来应对威胁,有效规避风险事件的发生。
因此,在安全风险控制上,首先应遵循可信计算理念来建立可信根,再基于可信根构建信任链,进而基于基础设施层、应用层、网络层、移动端和终端层等各层建立可信策略控制点,最后形成可信防护策略,仅允许执行预期内信息系统运行所依赖的资源和行为,确保防护强度达到可信级。

二、纵深防御
纵深防御的理念来自战争学,该理念在信息安全领域得到了广泛的使用和推广。该理念即通过建立多层重叠的安全防护系统构成多道防线,使得即使某一防线失效也能被其他防线弥补,也即通过增加系统防御的层数或将各层之间的漏洞错开的方式防范差错发生。为了避免因单点防御措施失效导致风险事件的发生,须采用纵深防御理念进行可信防御体系的建设。
无论是网络层、应用层、容器主机层、基础设施层还是硬件可信芯片层,需要通过各层的可信管控能力实施数据内视和可信管控,最终建立可信纵深防御体系。每增加一层可信防御能力,所建设的防御体系的防御强度都会大幅增强,同时也意味着投入成本的增加。因此,我们应在威胁有效应对和业务的合规要求、安全成本投入、管控效率上取得最佳平衡,做到既能满足监管合规要求,又可以高效应对面临的高级和未知威胁,同时可以将可信纵深防御体系的建设成本和管控效率控制在合理范围,不会因为防御体系建设过重而带来过多成本、性能和效率的损耗。

三、可信纵深防御
可信纵深防御是一种新的安全防御体系架构, 结合了可信防御、纵深防御、零信任、安全平行切面等多种新技术理念,是主动免疫可信计算在实际业务场景的落地实践,可以做到只允许预期内的行为执行即主动免疫,而且能够实现对所有威胁路径的多层覆盖,大幅降低风险事件发生的概率。同时它还建立了完备的信任链,将信任关系逐级规约至硬件芯片可信根,保障防御体系自身的安全。建立的防御措施做到仅允许信息系统在安全可信的环境下运行预期内的资源和行为加载、执行,且确保内容均是经过安全评估为无风险的;同时根据业务面临的威胁状况,可信防御措施需要多层覆盖,最终形成可信纵深防御体系,有效地应对0Day攻击、社会工程学攻击、软硬件供应链攻击等高级和未知威胁。
可信纵深防御体系以可信根为支撑,以可信软件基为核心,以密码学方法为主要手段,通过度量、检测、证明以及管控等手段,构建贯穿硬件、固件、系统软件、应用软件和网络行为的完整信任链,为信息系统的运行提供安全可信的底座。可信防御措施进行多层覆盖,以大幅降低风险事件发生的概率。最终达成事前高效规避已知(含高级)和未知威胁的目标,兼顾业务效率与体验要求。
可信纵深防御体系整体架构包含四个关键部分:硬件可信芯片、可信策略控制点、信任链和可信管控中心,由安全防护部件形成的可信防护体系与由计算部件形成的计算体系形成双体系结构。其中可信管控中心又由可信策略管控系统、可信策略刻画系统、安全保障系统、稳定性保障系统四部分组成。在整体架构设计上以硬件可信芯片为信任根;以可信软件基为核心,它由基础设施层、应用层、网络层及移动端和终端层等各层构建的可信策略控制点组成;基于硬件可信芯片构建的信任链来保障可信策略控制点的安全可信;基于可信策略刻画系统及密码学技术生成的“免疫基因抗体”对信息系统的运行环境、资源加载和交互行为进行可信管控,有效识别“自己”和“非己”成分,破坏与排斥进入信息系统机体的有害物质,为信息系统加持“免疫能力”​,保障信息系统和数字资产的安全性;安全保障和稳定性保障技术为整体可信纵深防御体系的落地提供支撑,防止在可信纵深防御体系建设中产生安全漏洞和稳定性风险事件,导致业务受损。

四、关键技术
可信计算:通过主动免疫的方法防御不可预测、不可控的攻击与威胁,基于不可篡改的硬件芯片作为可信根,主动逐层检查系统行为是否可信,建立理论可证完备的信任链。
安全平行切面技术:在业务系统中构建安全防御的平行空间,实现与业务解耦、透视、智能评估、精准管控,兼顾业务效率的同时,高效构建安全纵深防御体系。
零信任防御理念:从不信任,始终验证;不信任网络位置;最小化访问权限;记录和监控所有网络访问流量。
可信芯片:作为信任根,可信芯片负责验证硬件设备的启动参数和程序,确保硬件的安全性和完整性。
信任链构建:通过静态和动态的信任链校验机制,确保从硬件到软件各层级的信任关系。
远程证明:允许系统在远程环境中进行身份验证和状态确认,增强系统的可信赖性。
密钥安全保护:包括密钥的安全存储和使用,确保密钥不被非法获取或篡改。

五、实施可信纵深防御的方法包括
基于硬件可信芯片构建信任根:利用硬件可信芯片和密码学方法对物理机的启动参数和启动程序进行可信管控,确保硬件芯片、启动参数、系统OS等均是安全可信的。
基于安全切面构建可信策略控制点:在数字银行IT架构中分析、选型或设计可信策略控制点,实现对风险场景的数据内视和可信管控。
基于信任链保障可信防御产品或能力的安全可信:利用硬件可信芯片提供的可信存储和密码技术,构建完备的信任链,将信任机制由硬件可信芯片逐层传递至基础设施层、应用层和网络层等各个层面的可信策略控制点,保障可信策略控制点的安全性。
基于可信管控中心实施可信管控:可信管控中心负责可信策略的生成、配置下发、事件上报和行为审计等工作,同时为整个可信纵深防御体系的运行提供安全性和稳定性的保障能力。

参考:
《数字银行安全体系构建》

Leave a Reply

Your email address will not be published. Required fields are marked *

*