用可信計算3.0筑牢網(wǎng)絡(luò)安全防線

1科學(xué)的網(wǎng)絡(luò)安全觀案例一：“物聯(lián)網(wǎng)破壞者”杭州制造案例二：第十六條推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》加快安全可信的產(chǎn)品推廣應(yīng)用網(wǎng)絡(luò)安全等級保護制度2.0安全可信的產(chǎn)品和服務(wù)主動免疫的安全目標：以密主動免疫可信計算碼為基因建立免疫、反腐敗子系統(tǒng)主動免疫三重防護框架用戶終端可信邊界可信應(yīng)用計算節(jié)點可信節(jié)點可信網(wǎng)絡(luò)通信“安全辦公室”可信計算環(huán)境“警衛(wèi)室”“安全快遞”“保衛(wèi)部”“保密室”“監(jiān)控室”“WannaCry”、“Mirai”、“黑暗力量”、“震網(wǎng)”、“火焰”、“心臟滴血”等不查殺而自滅2、中國可信計算革命性創(chuàng)新可信計算綜合安全防護系統(tǒng)（智能安中國可信計算全卡）可信計算3.0時代?？尚庞嬎闫脚_通用要求可信服務(wù)器可信存儲器可信計算體系結(jié)構(gòu)可信評估規(guī)范糾正了TCG密碼體制的缺失，已成為ISO國際標準采用對稱與公鑰密碼相結(jié)合體制，提高了安全性和效率全部采用國有自主設(shè)計的算法，定義了可信計算密碼模塊（TCM）采用雙證書結(jié)構(gòu)，簡化了證書管理，提高了可用性和可管性克服了TCG部件TPM被動掛接調(diào)用的局限性容錯組織TCSEC

TCG中國可信計算創(chuàng)新可信1.0（主機）可信2.0（PC）可信3.0（網(wǎng)絡(luò)）世界容錯組織為代表TCG為代表中國為代表主機可靠性計算機部件冗余備份故障診查容錯算法節(jié)點安全性PC單機為主功能模塊被動度量TPM+TSS公鑰、對稱雙密碼主動系統(tǒng)免疫終端、服務(wù)器、存儲系統(tǒng)體系可信宿主+可信雙節(jié)點平行架構(gòu)基于網(wǎng)絡(luò)可信服務(wù)驗證動態(tài)度量實時感知特性對象結(jié)構(gòu)機理形態(tài)分項特性理論基礎(chǔ)計算復(fù)雜性，可信驗證應(yīng)用適應(yīng)面適用服務(wù)器、存儲系統(tǒng)、終端、嵌入式系統(tǒng)安全強度強\可抵御未知病毒、未知漏洞的攻擊、智能感知保護目標統(tǒng)一管理平臺策略支撐下的數(shù)據(jù)信息處理可信和系統(tǒng)服務(wù)資源可信技術(shù)手段密碼為基因，主動識別、主動度量、主動保密存儲防范位置行為的源頭，網(wǎng)絡(luò)平臺自動管理成本低，可在多核處理器內(nèi)部實現(xiàn)可信節(jié)點實施難度易實施，既可適用于新系統(tǒng)建設(shè)也可進行舊系統(tǒng)改造對業(yè)務(wù)的影響不需要修改原應(yīng)用程序代碼，通過制定策略進行主動實時防護/業(yè)務(wù)性能影響3%以下可信計算3.0主動防御免疫特性3用可信計算3.0筑牢網(wǎng)絡(luò)安全呢防線PCIUSB經(jīng)受住了永恒之藍勒索病毒攻擊的考驗，勝利完成了一帶一路世界峰會的保障任務(wù)。中央電視臺電視節(jié)目生產(chǎn)、存儲、編排和播出流程可信環(huán)境建設(shè)示意圖可信通信網(wǎng)絡(luò)交換系統(tǒng)接口節(jié)目管理可信區(qū)域邊界節(jié)目管理系統(tǒng)可信計算環(huán)境可信管理中心私有協(xié)議對 對可信 可信網(wǎng)絡(luò) 區(qū)域

外

內(nèi)邊界 邊界接口可信計算環(huán)境節(jié)目制作可信區(qū)域邊界媒資可信

區(qū)域邊界節(jié)目制作系統(tǒng)可信計算環(huán)境媒資系統(tǒng)

可信計算環(huán)境制作類系統(tǒng)可信通信網(wǎng)絡(luò)播出類系統(tǒng)可信通信網(wǎng)絡(luò)播出整備可信區(qū)域邊界播出整備系統(tǒng)可信計算環(huán)境演播室可信區(qū)域邊界演播室系統(tǒng)可信計算環(huán)境播出可信區(qū)域邊界播出系統(tǒng)可信計算環(huán)境可信管理中心可信管理中心網(wǎng)絡(luò)制播系統(tǒng)統(tǒng)一可信管理中心發(fā)改委14號令決定以可信計算架構(gòu)實現(xiàn)等級保護四級。電力可信計算密碼平臺已在三十四個省級以上調(diào)度控制中心使用，覆蓋上千套地級以上電網(wǎng)調(diào)度控制系統(tǒng)，涉及十幾萬個節(jié)點，約四萬座變電站和一萬座發(fā)電廠，有效抵御各種網(wǎng)絡(luò)惡意攻擊，確保電力調(diào)度系統(tǒng)安全運行。不僅考慮人與人，也考慮人與物、物與物：增強移動寬帶、海量物聯(lián)網(wǎng)、低時延高可

靠物聯(lián)網(wǎng)5G愿景：面向萬物互聯(lián)的愿景設(shè)計網(wǎng)絡(luò)指標：5G之花5G網(wǎng)絡(luò)在傳統(tǒng)電信云的基礎(chǔ)上引入NFV/SDN等技術(shù)進行ICT融合，將移動通信網(wǎng)絡(luò)云化、虛擬化和軟件化，使網(wǎng)絡(luò)變得更靈活、敏捷和開放。虛擬化軟件及網(wǎng)元通用服務(wù)器在5G網(wǎng)絡(luò)的核心云和邊緣云中傳統(tǒng)的網(wǎng)絡(luò)設(shè)備將被通用服務(wù)器及虛擬化網(wǎng)元軟件所代替NFV（Network

Function

Virtualization）于13年在ETSI由13家運營商發(fā)起，是采用虛擬化技術(shù)、基于通用硬件實現(xiàn)電信功能節(jié)點的軟件化，專注于快速部署、應(yīng)用規(guī)模擴展和升級網(wǎng)管系統(tǒng)IMSEPCHSS…虛擬化采用開放和工業(yè)標準的Hypervisor和管理軟件將電信業(yè)務(wù)的軟硬件分離通用基礎(chǔ)設(shè)施標準化計算、存儲、網(wǎng)絡(luò)云化管理應(yīng)用和業(yè)務(wù)的生命周期管理，虛擬資源配置網(wǎng)絡(luò)自動化可與SDN結(jié)合，使用SDN技術(shù)自動化配置網(wǎng)絡(luò)四大基本特征NFV打破傳統(tǒng)電信設(shè)備的豎井式體系，其核心是設(shè)備虛擬化、網(wǎng)元的分層解耦和引入新的MANO集中管理體系實現(xiàn)全生命周期管理通用服務(wù)器及虛擬系統(tǒng)通用服務(wù)器安全：物理可信根啟動度量及可信鏈擴展HostOS+可信軟件基虛擬系統(tǒng)安全：虛擬可信根VMM度量及運行監(jiān)控ＶＭ鏡像度量及啟停監(jiān)控VM可信遷移ＧuestOS+可信軟件基虛擬機可信隔離核心云安全：網(wǎng)絡(luò)編排管理可信切片管理可信外部管理終端可信邊緣云安全：MEC管理可信移動專網(wǎng)管理可信網(wǎng)絡(luò)接入可信可信安全管理平臺虛擬網(wǎng)元安全：虛擬網(wǎng)元度量及運行監(jiān)控虛擬網(wǎng)元配置度量★

網(wǎng)絡(luò)基礎(chǔ)設(shè)施可信防護★

網(wǎng)絡(luò)管理連接可信防護可信宿主TCMTPCM檢驗軟件可信軟件基（TSB）靜態(tài)可信驗證基礎(chǔ)軟件可信建鏈檢驗

應(yīng)用程序可信動態(tài)度量執(zhí)行環(huán)境實時感知關(guān)聯(lián)態(tài)勢BIOS引導(dǎo)OS，裝載系統(tǒng)應(yīng)用加載應(yīng)用執(zhí)行所有執(zhí)行一級二級三級四級You

canBe

likeYou

canBe

likeYoucanBe

like感知計算域讀寫器RFID標簽傳感器節(jié)點智能/

m-m終端傳感器接入網(wǎng)關(guān)應(yīng)用計算域智能電網(wǎng)智能物流智能醫(yī)療智能交通智能家居環(huán)境控制計算節(jié)點應(yīng)用基礎(chǔ)設(shè)施前置處理計算環(huán)境通信網(wǎng)絡(luò)通信網(wǎng)絡(luò)域接入網(wǎng)核心網(wǎng)區(qū)域邊界可信計算環(huán)境