为应对日益严峻的网络安全问题,2019年12月1日,国家正式颁布《GBT22239-2019 信息安全技术网络安全等级保护基本要求》(等保2.0)。其中明确规定了“可信验证”的要求:“可基于可信根对计算节点的BIOS、引导程序、操作系统内核、应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,形成审计记录,上报可信管理中心”。
“可信验证”是等保2.0中新引入的安全特性,基本要求中不仅在“安全区域边界”部分有可信验证的要求,在“安全通信网络”和“安全计算环境”中均新增了可信验证的要求。
天地和兴可信管理平台是天地和兴自主研发产品,作为操作系统级系统防护产品,以模块的方式将可信验证加载到系统内核中,在不改变操作系统内核和业务运行环境的情况下,通过从内核层截取文件访问控制的方式,实现对业务程序的可信验证功能,保证终端计算环境可信,识别恶意软件非授权安装/运行,防止计算环境完整性受篡改。同时对系统运行环境进行动态监控,如系统调用表、中断向量表、进程、内核模块等。
可信软件基与宿主基础软件并行运行的双体系架构,实现了主动度量和实时控制。
可信免疫服务平台通过策略语言描述安全需求,统一制定安全策略。
实现了免疫由单机向整个系统网络的扩展,为整个系统构建了结构化,动态联动的高等级安全防御支撑平台。
系统授权。用于对可信节点进行License导入操作。可信节点在安装之后,有两周的试用期,在试用期结束之后,可信会停止工作,此时需要联系销售人员获取License。
可信卸载。可信节点在安装后,由于其拥有自保护功能,用户无法结束其相关进程或卸载可信程序,需要在可信管理平台授权卸载后方可进行该操作。
删除节点。一台可信节点同时仅能被一台可信管理平台管理,当可信管理平台删除特定节点后,该节点才可被其他平台添加。
可信控制。在安全管理员选定可信节点后,可拥有对相应可信节点进行可信行为控制的能力。未知程序的管控方式,可信对在静态度量基准库之外的可执行文件所采用的管控方式,有“监测模式”和“管控模式”两种动作模式。
静态度量。指文件在执行其行为前,将当前文件使用国密算法计算摘要,与静态度量基准库中的摘要进行比对,从而确定其是否被篡改以及是否允许其执行的过程。
策略构建。目的为重新对当前的文件系统进行扫描,以更新现在的静态度量策略。策略构建有两种模式:更新模式和追加模式。
动态度量。动态度量相当于让对程序的信任传递到运行态。保护的是程序的运行环境,支持以下四种参数的度量:系统调用度量、内核模块度量、中断向量表度量和进程保护。
可信报告。包括报告信息功能模块;报告信息是终端上传的可信报告信息,包括系统启动时间、验签状态、非法程序执行次数、非法文件访问次数、非法内核模块加载次数、内核代码段度量失败次数、内核关键数据度量失败次数、启动度量是否可信、TPCM内部时钟计数、可信报告评分等关键信息。
【产品优势】
1.基于静态度量白名单技术构建的主动防御体系
自动识别和构建主机静态度量白名单,基于静态度量白名单机制构建主机系统主动防御能力与安全管控能力。
2.主动免疫的计算与防护并行的双体系架构
对工控系统业务主机终端构建可信节点时,提出运算同时进行安全防护的新计算模式,设计并实现CPU内置IP核、主板插卡和主板板载芯片三种形态的可信根,可信根将可信源 点与度量控制融为一体,以国产密码为基因抗体实施可信的身份识别、状态度量、保密存储等功能,克服了国际可信计算组织 TPM 被动挂接的局限性。
3.动态度量为核心的可信验证体系
设计了启动时静态可信验证、运行时动态可信验证和可信节点网络连接等主动免疫防护机制,在可信根支撑下依据策略主动实施身份识别、状态度量和加密存储等可信计算功能,在不修改应用代码的情况下透明实施主动防御,实现策略可灵活定义的可信计算防御机制,构建了从节点到网络的全方位综合可信验证体系,做到病毒和木马“不查杀而自灭”。
4.与基础软硬件相融合实现应用无感高效防护
透明支撑应用系统不需要修改应用实现有效防护,无需改变用户使用习惯,让用户在无感的情况下获得高强度的安全保障。可信机制在进行安全运算时不占用业务系统资源,确保在安全防护的同时业务系统仍然能够高性能运转。
5.高度兼容性
在不降低系统运行的同时可以安装于各类型终端设备,兼容主流Windows、Linux操作系统,尤其对于国产操作系统的兼容适配有明显优势。
点击“在看”鼓励一下吧
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...