自主创新助力安全信息化建设

《自主创新助力安全信息化建设》由会员分享，可在线阅读，更多相关《自主创新助力安全信息化建设（49页珍藏版）》请在金锄头文库上搜索。

1、自主创新 助力安全信息化建设, 长城安全电脑二代产品介绍,现状篇 回顾篇 应用篇 技术篇 对比篇,要 点,防止信息被未经授权的篡改,对信息及信息系统实施安全监控,保证信息不泄漏给未经授权的人,保证信息确实为授权使用者所用,现状篇,计算机信息安全,所谓信息是指应用计算机处理和存储的如：政府公文、军事机密、商业秘密、人事档案、财务数据、个人隐私等等文件和数据，这些内容需要保密，不能泄露。 而计算机信息安全就是确保信息的保密性、完整性、可用性、可控性，也就是要保障电子信息的有效性。,现状篇,信息安全现状,计算机的开放性、标准化和易用性等特点，使计算机信息具有共享和易于扩散的特性，导致计算机信息在处理

2、、存储、传输和应用过程中很容易被泄露、窃取、篡改和破坏，或者受到计算机病毒的感染。 没有自主知识产权，没有好的解决方案，已成为信息安全的瓶颈。,信息安全攻击构成,现状篇,信息安全防护目标,具有国内唯一的磁记录产品研发和生产能力 硬盘磁头产销量全球排名第二 硬盘盘基片产销量全球排名第二 硬盘产销量全球排名第五,强大而完整的磁记录产业链,长城安全电脑I代回顾,回顾篇,长城安全电脑I代回顾,依托长城完整的磁记录产业链优势，历时三年，投资5000万，研发出长城世恒S系列安全电脑I代产品。2005年6月推出后，获得如：中国人民解放军总后购入长城安全电脑近4000台、山西省公安系统购入长城安全电脑3000

3、余台等，累计销量已达4万多台。,成功案例与销售数据,回顾篇,长城安全电脑I代回顾,荣誉与认证,回顾篇,一夫当关 万夫莫开, 自主创新 长城安全电脑助力安全信息化建设,应用篇,应用篇,长城电脑公司的使命,在信息化建设的过程中，由于技术和管理等原因，我们面临着严峻的信息安全问题，同时涉及信息安全的核心技术并不掌握在我们手中，如何确保信息的安全性，已经成为我们必须面对的难题。 突出自主创新，以清醒的头脑对待国外的先进成果，不依靠、不等待，开发出适合自己国情的创新产品，已成为我们的当务之急。 中国长城计算机深圳股份有限公司以国家信息化安全需求为己任，依托自己强大的研发和制造实力，自主创新，开发出世恒S

4、系列安全电脑，打造信息安全防护新天地。,应用篇,安全电脑产品定位,长城世恒S系列是针对军队、军工、政府、公安和其它有安全需求的行业而开发的桌面办公安全电脑产品，采用底层硬件技术，同时结合上层安全应用，打造整体安全解决方案，是业内领先、填补国内空白的安全电脑产品。,整机加电,BIOS,硬盘,操作系统,驱动程序,应用软件,TPM,安全BIOS,安全存储,VT、安全操作系统,磐盾安全系统,安全平台,应用篇,安全电脑核心技术点,长城安全电脑II代介绍,隐忧一：非法用户进入系统,对于高度机密的信息,一旦被非法用户进入,后果不堪设想,进入系统需要身份认证（操作系统前） 认证方式可以选择使用指纹或口令 认证

5、错误系统自动锁死,一道锁：非法用户进不来,应用篇,隐忧二：在用硬盘失控,硬盘是数据信息存储的载体，硬盘失控的后果同非法进入系统的后果一样严重,独有创新安全平台技术，其它机器无法启动偷到的硬盘 存储数据采用64位硬件底层加密，全盘加密,二道锁：硬盘数据有加密,应用篇,长城安全电脑II代介绍,隐忧三：用户口令不好记,越重要的使用者，口令设置得越复杂，这样就容易遗忘，写下来又留下后门，容易被盗,采用指纹识别技术作为口令，具有唯一性 在系统引导前识别，无法破坏，不用记、不用写 结合TPM芯片进行口令保护,三道锁：唯一生物识别码,应用篇,长城安全电脑II代介绍,隐忧四：淘汰硬盘丢失,数据删除后可通过软件

6、等办法恢复，淘汰硬盘即使删除了数据，如果丢失后果也很严重,独有创新安全擦除技术，数据彻底粉碎 安全平台，其它机器无法启动偷到的硬盘 存储数据采用64位硬件底层加固,四道锁：长城磐盾系统,应用篇,长城安全电脑II代介绍,隐忧五：操作系统留有后门,目前广泛使用的Windows系统是国外的产品，我们没有源码，如留有后门将非常可怕,推荐使用国产Linux操作系统（中标软） 源码在自己手中 X界面，简单易用,五道锁：国产操作系统,应用篇,长城安全电脑II代介绍,隐忧六：内部人员泄密,少数内部人员有意或无意造成涉密信息泄露，危害也很大,日志功能，清楚记录登录等信息，不可抵赖 外部存储设备（如U盘）可禁用，

7、防止非法拷贝 TPM、指纹多重组合加密,六道锁：日志、禁用和加密,应用篇,长城安全电脑II代介绍,隐忧七：BIOS不安全,系统启动最先开始的是BIOS，我们还没有源码，如果BIOS留有后门，那么其它安全都是空中楼阁,国内首款自主知识产权BIOS，自有源码 TPM一致性、完整性校验，保证BIOS内容不被篡改 模块化设计，便于更新，修改,七道锁：首款国产BIOS,应用篇,长城安全电脑II代介绍,隐忧八：有用数据被破坏,误操作、病毒等造成有用信息丢失或系统崩溃，影响使用和正常工作,长城磐盾系统具有备份、恢复功能，保证系统可用 金山毒霸杀毒软件,八道锁：备份、恢复和杀毒,应用篇,长城安全电脑II代介绍

8、,隐忧九：多人使用信息交叉,多人共用一台电脑时，每个客户的私密信息基本是公开的，很容易造成涉密信息泄漏,独有用户空间（最多三个），各空间不可见，信息不能互访，不同用户依靠不同身份来识别 VT虚拟化技术、关机光盘检测提示功能,九道锁：独有多用户技术,应用篇,长城安全电脑II代介绍,隐忧十：机器质量差不稳定,电脑一旦出现大批量质量问题，将影响工作，甚至造成严重的后果,独家MTBF（平均故障间隔时间）超过12万小时 获得整机、电源和显示器三张证书 独家通过防雷认证,十道锁：MTBF 12万来护航,应用篇,长城安全电脑II代介绍,隐忧十一：易用性降低,安全性增加后，易用性可能会降低，将降低使用和工作效

9、率,BIOS采用图形界面，容易设置 智能驱动，驱动程序自动安装 指纹识别，轻轻一刷,护心镜：人性化设计,应用篇,长城安全电脑II代介绍,信息安全防护九重天, 自主创新 长城安全电脑助力安全信息化建设,技术篇,一重天自主创新安全BIOS,BIOS是整个系统安全和可信任的基础，如果没有BIOS的安全，其它安全解决方案就没有了安全的基础，也就成为了安全的空中楼阁。 长城安全BIOS，是具有自主知识产权的创新安全BIOS，采用最新UEFI (Unified Extensible Firmware Interface)安全架构，提出并采用了一系列先进的设计方法和先进技术，是一个具有高安全性、中文化、易使

10、用的安全管理操作平台。,技术篇,一重天自主创新安全BIOS,长城安全BIOS采用基于UEFI框架的模块化设计是与传统BIOS在逻辑结构上最大的创新点。 UEFI BIOS可以同时支持图形化界面和传统的文本界面。 UEFI BIOS系统也包含一个兼容支持模块，它可以在16位实模式下启动计算机以及访问扩展设备的ROM。这样，即便PC平台中的部分硬件没有专门为UEFI BIOS设计，UEFI BIOS的兼容支持模块也可以让它们在整个系统中正常工作。,技术篇,一重天自主创新安全BIOS,拥有自主知识产权和全部源码，防止后门存在 完全的模块化设计，拥有更好的可读性和可维护性 良好的可扩展性，便于扩展和开

11、发新的功能模块 高清晰的中文化、图形化人机界面，大大增强易用性,技术篇,一重天自主创新安全BIOS,安全BIOS定义了类似操作系统的用户和管理员两种角色， 用户和管理员拥有不同的BIOS设置权限 安全BIOS可以进行针对安全存储的用户区创建和删除 安全BIOS可以进行密码（指纹）的设置与清除 安全BIOS可以设置BIOS写保护 安全BIOS可以导出登录日志，进行审计 安全BIOS可以设置密码输入错误次数 安全BIOS可以设置同安全存储的平台绑定 安全BIOS可以进行类似传统BIOS的功能管理设置,技术篇,二重天自主创新安全存储,安全存储是信息安全的核心技术，如果没有存储的安全，信息将很容易失控

12、。 长城安全存储技术采用创新的全硬件设计，通过在硬盘盘体上嵌入专业安全控制芯片，可以实现负磁道功能和数据加密功能。,技术篇,二重天自主创新安全存储,长城安全存储的负磁道技术是利用硬盘加电初始化前的磁头“归零”与寻址特性，通过专业安全芯片，强行实现磁头寻址偏置，形成内部盘基片物理区域隔离（划分“势力范围”），将一个硬盘空间最多可分成三个可引导区域，使用时只能激活一个主引导区，其它引导区将置成负磁道，被保护起来不能访问。,技术篇,二重天自主创新安全存储,软件加密方式不仅存在运算量大，而且易于被软件高手跟踪、破解。而硬件加密则使用专业芯片加密，不但可以减轻CPU的负载，而且在物理上保护了加密算法，不

13、会被轻易地破解。长城安全存储硬盘通过原生的安全芯片提供全盘加密功能，数据流在流经安全芯片只需很小的延迟时间即可完成这整个过程。,技术篇,二重天自主创新安全存储,通过专业安全控制芯片进行硬盘配置管理 最多可实现三用户引导 多用户分区间数据完全物理隔离，相互独立 不同用户分区通过安全BIOS进行身份认证 数据信息均为硬件底层加密存储，加密算法可以替换,技术篇,三重天自主创新安全平台,长城创新安全平台由安全主板（带安全BIOS）和安全存储硬盘一对一绑定构成。 系统开机后先进行长城安全平台绑定认证，如未通过认证，必须先进行重新绑定或重新初始化；如认证通过，则可以进行后续的动作。,技术篇,三重天自主创新

14、安全平台,所谓的绑定有三层含义： 安全存储硬盘必须在安全主板（带安全BIOS）上使用，在普通主板上不能读取安全硬盘数据 绑定后的安全存储硬盘即便是在其它安全主板上，如无安全管理员密码也不能重新绑定，不能读取此安全硬盘数据 在没有安全管理员密码的情况下，安全存储硬盘必须进行初始化，重新初始化后数据将全部消失 这样充分保证了用户数据的安全性，即便安全硬盘失控也不会造成泄密等灾难性损失。,技术篇,四重天自主创新国产TPM,TPM（Trusted Platform Module，可信平台模块）出现的目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，解决信任根的问题，以提高整体的安全

15、性。 长城世恒S安全电脑采用国产TPM安全芯片，即可信平台模块安全芯片硬件，是可信计算技术的核心。TPM 安全芯片在系统平台中的作用是为系统平台和软件提供基础的安全服务，以便建立更为安全可靠的系统平台环境。,技术篇,四重天自主创新国产TPM,内置独立芯片，采用LPC总线接口通讯，安全级别更高 拥有独立的处理和存储单元，可以生成2048位的高强度RSA密钥 为用户密钥等核心信息提供硬件保护存储功能 提供唯一的硬件身份证明，防止身份的非法盗用 对安全电脑进行完整性度量，建立完整的信任链机制 硬件级文件存储和传输加密功能 硬件级虚拟磁盘生成、加密功能,技术篇,存储密钥的保护是由上层密钥保护下层密钥，

16、关系如图，最终的跟密钥SRK（Storage Root Key），SRK是一对非对称密钥，公钥用于保护加密下一级存储密钥，私钥始终在TPM内部被保护。 SRK对下一级SK的加解密都在TPM内部进行，攻击者无法获得SRK的私钥，因此无法破解由SRK所保护的下一级SK，同样无法破解由SK保护的下级密钥，因此数据也无法被破解，保证了数据存储的安全。,四重天自主创新国产TPM,技术篇,TPM内置SHA-1引擎，可实现Hash算法。 TPM在计算机一启动就对BIOS代码、硬件option ROM 进行Hash，并将Hash 值存于TPM的PCR中，程序可读取这些值作为标准值保存。 每次启动过程中会再次做Hash并将Hash 值存于PCR中，程序会判断此次Hash值是否与标准值一致，以判断BIOS代码，option Rom及相关组件是否被篡改。 如果重要组件被篡改，则计算机会阻止继续启动到系统，以保证系统和信息的安全。,四重天自主创新国产TPM,技术篇,五重天自主