当今世界,信息技术的快速发展深刻改变了人们的生产和生活方式。中国已成为网络大国,但还不是网络强国,在信息安全方面面临着严峻挑战。比如,棱镜门等事件的披露,暴露了一些国家利用其掌握的互联网基础资源和信息技术优势,实施网络监控并窃取政治、经济、军事秘密、以及企业、个人敏感数据。
风险
在上世纪90年代的海湾战争和科索沃战争中,美国成功使伊拉克和南联盟军队的防空系统瘫痪了,几年前的“震网”病毒使伊朗核设施受到大面积破坏……众多事例显示出关键基础设施已经成为网络武器的真实攻击目标,并有可能引发灾难性后果。试想一下,在危急时刻,如果一个国家涉及国计民生的关键基础设施被人攻击后瘫痪,甚至军队的指挥控制系统被人接管,后果将多么严重。
“棱镜门事件不仅给世界各国敲响了警钟,同时也为我国的政府采购敲响了警钟。目前,由于芯片、操作系统等核心的信息技术并不掌握在中国手中,导致中国各类机构不得不采购大量的核心技术属于海外公司的IT设备。一方面,这类产品可能被预置后门程序,本身也可能带有容易被攻击的漏洞;另一方面,计算机、路由器等硬件产品所携带的软件也存在安全风险。这种情形,无疑对我国信息安全构成了潜在威胁。”中晟国计科技有限公司(下文简称中晟国计)总经理李予温在接受《中国计算机报》记者专访时表示。
显然,对于核心系统采取绝对的物理隔离和严格的安全防护措施毫不为过。但问题是,在目前的技术条件下,如何实现这种严格的隔离和安全防护。目前的物理隔离设备通常只能实现“单活”——即内网端处于工作状态时外网端处于休眠状态,反之亦然,这给用户的正常工作带来不便。另外,除了常见的口令等方式,大多数计算机终端缺乏系统的安全防护措施,让计算机终端这一信息安全防护体系的最前线处于基本不设防的状态。
责任
李予温认为,只有从提高技术自主创新能力入手,才是化解危机的有效手段。“外国的核心技术是买不来的,也是市场换不来的。对于中国来讲,未来要努力改进的不只是某个点上的技术措施,还有综合安全能力的提升,重视和加快自主可控的信息安全建设更是刻不容缓。”李予温说。
“中晟国计自成立以来,就以为国家提供可靠的信息安全屏障为己任。”李予温告诉记者,中晟国计从目前容易被大家忽视的计算机终端安全着手,经过近3年的研发,在30多项自有专利技术的基础上,于2013年初在国内率先推出了具备双主机物理隔离和独立安全防护系统的安全计算机产品——超安全计算机。在目前的网络基础设施不作改动的前提下,它可以大幅度提高计算机终端的安全性。
李予温告诉记者,中晟国计是一家创业企业,它的超安全计算机凝聚了中晟国计的诸多专利技术和一个核心的理念——为中国的信息安全做出贡献。“‘中晟国计这四个字就是我们理念的最好体现,‘中代表中国,‘晟表示光明、兴盛,‘国即国家,‘计就是计算机。”从李予温的话中,记者感到了中晟国计对中国信息安全厚重的责任感。
颠覆
事实上,在互联网化日益明显的今天,用户越来越依赖互联网来进行信息的获取和交换,当然这其中也包括很多核心的关键部门和用户。在这种形势下,一味地阻断互联网并不现实,也不符合发展趋势。但是用户如果没有对来自互联网的各种安全威胁进行有效的防护,轻则影响信息系统的正常运转,降低工作效率,重则导致很多安全泄密事故的发生。
国家相关部门颁布的《GB 17859-1999 计算机信息系统安全保护等级划分准则》等法规和标准,规定了计算机信息系统安全保护能力从用户自主到访问验证的五个等级。政府机构、大型企业等不同机构可以根据国家的要求,遵循不同的等级保护准则。如果在部署信息系统时,从技术和管理上严格遵循国家的等级保护法规,那么信息系统的可靠运行和信息安全就可以得到保障。所以,对互联网的应用与系统的安全并不矛盾,只是应该采取相应的措施,来严格执行相关标准,保障系统能够在安全的前提下使用互联网。
如何保障安全?对于核心系统和应用而言,最有效的办法就是物理隔离。李予温告诉记者,中晟国计的超安全计算机,包括一机双网隔离计算机,它在严格意义上讲是双主机物理隔离计算机。“相对于目前市场上的普通计算机或基于隔离卡的双网计算机和现有的防护产品而言,中晟国计的一机双网隔离计算机在三个方面实现了突破。首先,在一个机箱内嵌入了两套独立的主机,分别用于需要处理机密数据的内部网络和普通数据的外部网络,确保内外网的彻底隔离。第二,它内嵌了独立于主机之外的安全防护系统,运行于独立的硬件和操作系统之上,不受用户操作和外部网络影响,可以有效保护计算机本身和内部数据信息的安全。第三,它具有独特的生物识别加电功能、多重用户身份认证、用户操作行为全程监控、物理安全防护、机密数据防护、主被动自毁等功能。”李予温说。
“这些功能不但是目前多数安全防护产品不具备的,而且超安全计算机在多个方面已经达到或超过了国家安全等级保护相关标准的技术要求。”李予温告诉记者,比如与主机独立的安全防护系统要求指纹认证为计算机开机加电,如果指纹不符,计算机无法开机;指纹、人脸识别等技术加上超安全计算机安全体系中审计员、管理员、操作员“三权分立”的角色设定,保证了计算机的操作安全。再比如,超安全计算机采用了异型网口等设计方式,防止使用者插错接口造成数据泄露。“超安全计算机以安全为核心,在很多方面进行了研发和优化,尽量屏蔽一切不安全因素,让计算机变得安全可靠。同时,通过我们的创新和应用,也可以帮助目前很多单位简化过于繁琐的保密制度和安全操作流程,从而帮助用户达到安全与便捷的统一。”李予温说。
“中晟国计超安全计算机的安全防护理念,是对当前计算机终端安全防护理念的颠覆。当前的计算机安全防护主要是在计算机操作系统层面作应用防护软件或采用可信计算技术,通过底层硬件平台(安全CPU、安全芯片组和嵌入的安全芯片)、BIOS和操作系统的有机结合来控制计算机终端中各种进程的执行,从而提高终端系统的安全性,并在此基础上解决网络环境中终端设备的认证和可信接入问题,最终构建一个相对安全的可信计算环境。这些防护都是基于计算机本体上的软件或软硬件相结合来实现的,由于计算机的核心硬件和操作系统基本都是被国外厂商所把控,这些安全可信仅意味着对普通的用户而言是值得信赖的。”李予温告诉记者,“中晟国计提出了一种超安全计算机的全新的防护理念将计算机的安全防护独立于计算机本体之外,建立不依附于计算机本体的独立安全防护体系,其防护系统不与计算机主机做任何连接。”
李予温介绍,超安全计算机已经得到了广泛应用,取得了良好的效果,该产品应用至今未发生任何安全事件。“三年前,我拿着专利和设计寻找合作伙伴将超安全计算机进行商品化时,很多人形容这是天方夜谭。”李予温回忆创业之初,露出一丝苦涩的微笑。时至今日,天方夜谭已经成真,在核心技术受制于人的情况下,中国的信息安全可能更需要天方夜谭式的创新,才能解决涉及国计民生重要领域的安全问题。endprint