自主可控信息系统及信息安全技术研究与应用2015年10月一、概述二、自主可控信息系统示范应用工程建设三、自主可控信息安全技术研究与应用自主可控信息系统及与信息安全技术研究与应用四、后续工作展望一、概述自主可控信息系统的建设事关国家及国防安全,影响深远,势在必行。
国产基础软硬件保证了系统的自主可控,有效解决了预置木马、预设后门等问题;但是,安全漏洞是客观存在的,自主可控并不能消除系统存在的安全漏洞。
因此,亟需开展自主可控信息安全技术的研究,以有效保证自主可控信息系统的安全。
一、概述二、自主可控信息系统示范应用工程建设四、后续工作展望三、自主可控信息安全技术研究与应用自主可控信息系统及与信息安全技术研究与应用航天科工集团秉承“国家利益高于一切”的核心价值观,牢记责任、坚持以国为重、为国家铸造安全基石,在航天科工“一主两翼”产业发展布局下,一方面积极构建国家领土、领海和领空的安全防御体系,另一方面致力于筑造信息安全防护体系,积极推进自主可控计算机产业。
打造集团自主可控计算机及信息系统示范工程⏹示范形成标准规范、突破难点积淀关键技术、提升能力⏹示范引领产业发展,掌握打开市场大门的钥匙建设集团自主可控试验基地⏹攻关平台、测试平台、验证平台、培训平台构建集团自主可控产业联盟⏹为产业发展支撑,形成集群优势国产化存储设备国产网络设备国产化服务器国产化终端基础设施国产外设国产操作系统基础软件国产数据库国产中间件标准规范体系信息安全体系应用软件党建系统网站系统安全邮件档案系统门户系统纸质公文交换打印系统办公系统接入控制文档管理系统示范应用工程建设—总体方案应用系统迁移、适配优化、测试总体工作25341计算机硬件设备国产化替代⏹终端、服务器、存储设备基础软件国产化替代⏹数据库、中间件、开发环境网络系统重构安全体系建设(五)示范应用工程建设—主要工作操作系统实施前实施后Windows 中标麒麟终端Oracle、Mysql 等神通数据库数据库中间件Tomcat ,Weblogic 等东方通应用软件基于Wintel 架构基于国产平台IBM 、HP 、DELL 等基于国产CPU天玥终端服务器IBM 、HP 、DELL 等基于国产CPU天玥服务器示范应用工程建设—实施前后对比•快速迁移重构技术,实现了应用系统在自主可控平台下的快速迁移•异构平台的数据迁移技术,解决了不同格式数据从非国产化平台向国产化平台迁移的问题•面向应用的软硬件深度适配优化技术,从底层解决应用系统运行效率问题•自主可控信息系统测试评价技术,实现了对自主可控信息系统的全面、系统测试和评估示范应用工程建设—突破的关键技术⏹自主可控计算机及信息系统整体方案规划与设计⏹硬件系统:基于国产CPU的终端、服务器、磁盘阵列、安全设备等系列化产品经历了一年实际应用考验,产品可靠性、易用性得到验证⏹软件系统:形成了能够基于国产化平台下运行的门户、邮件等应用软件系统⏹迁移、适配:形成了迁移适配方法,构建了迁移、适配方法库⏹测试、验证:构建了测试标准,形成了测试用例库、测试方法库、测试问题库完成了经营管理类共18个应用系统的迁移、适配、优化,在航天科工总部、航天二院、七〇六所三级试点单位的部署、实施,7月1日开始试运行(五)示范应用工程建设—取得的成果实现了从处理器、整机(终端、服务器、存储、网络设备)、操作完全按照国家权威部门对网络信息系统的安全保密要求进行设计,⏹系统、数据库、中间件、应用系统的全国产系统性替换⏹并进行了增强设计,可满足更高等级的安全防护要求⏹通过独有的迁移适配优化技术,确保系统运行稳定,运行速度快,用户体验好。
面向大型企业经营管理信息系统自主可控建设的需求,航天科工集团率先开展系统设计、迁移、集成部署等工作。
作为国内首个得到实际应用的复杂自主可控涉密信息系统,具有以下特点:2014年下半年,航天科工集团依托自主可控计算机与应用示范项目,在北京长阳建立自主可控实验基地。
⏹全方位验证航天科工集团三级办公应用在自主可控关键软硬件环境下的可迁移性和迁移后的可用性⏹广泛开展国产化基础软硬件与应用系统的适配(六)航天科工自主可控试验基地航天科工自主可控试验基地—功能与特点◆基地功能⏹开发平台:国产化应用软件迁移开发⏹测试平台:迁移后应用系统功能、性能的测试环境⏹集成验证:模拟实际应用环境及业务流程,开展硬件系统和软件功能、性能、稳定性、鲁棒性等测试,确保应用系统在国产化平台下能够稳定运行⏹成果转化:为迁移开发、适配优化、测试验证形成的成果提供转化环境⏹培训平台:模拟航天科工涉密网三级网络架构和应用体系,组织系统用户培训◆基地特点⏹服务开放、技术共享⏹平台体系化、生态多元化⏹测试手段标准化、验证评估科学化自主生态系统。
整合航天科工集团内部自主可控相关软硬件产品研发、设备制造、产业支撑、市场开拓等资源,建立集团自主可控联盟,目标逐步形成覆盖处理器、操作系统、应用软件、配套设备等在内的完整的产业链,构建完善⏹理事单位18个,成员单位35个⏹集团外联盟意向单位50个核心层紧密层半紧密层松散层自主可控产业联盟建设一、概述二、自主可控信息系统示范应用工程建设四、后续工作展望三、自主可控信息安全技术研究与应用自主可控信息系统及与信息安全技术研究与应用三、自主可控信息安全技术研究与应用自主可控是指信息技术及产品完全自主设计研发,基本上可保证关键软硬件不存在恶意预置的后门及陷阱,并能不断地对其进行改进或补丁修补。
但由于一些原因或约束条件限制,信息安全问题不会因信息技术自主可控而消失,将长期持续存在。
(1)目前安全防护机制主要采取外围“打补丁”的被动防护模式,不能满足信息系统对高安全等级防护的要求⏹典型安全防护机制:BIOS安全加固、操作系统安全增强、数据库安全增强等;⏹安全防护模式:外围“打补丁”、静态被动防护;⏹不足:安全防护机制未能结合自主可控信息系统的特点,从处理器、操作系统等基础软硬件层面进行设计,存在被“绕过”的安全风险。
My SQL数据库安全增强软件Windows操作系统补丁安装包(一)面临的问题三、自主可控信息安全技术研究与应用(2)现有信息安全产品主要针对Wintel平台的信息系统设计实现,难以在国产软硬件环境下正常部署使用⏹典型安全防护机制:主机监控、病毒防护、漏洞扫描、数据库访问控制等;⏹不足:产品针对Wintel平台设计实现,在国产软硬件环境下难以正常部署使用,无法有效发挥安全防护效能。
主机监控系统杀毒软件(一)面临的问题三、自主可控信息安全技术研究与应用(3)面向自主可控信息系统的安全测试工作尚未全面开展,系统自身的安全有待进一步评估⏹自主可控杜绝了后门、陷阱,但是自主可控不等于安全;⏹局限于现有认知和技术水平,安全漏洞是不可避免的;⏹不足:缺乏系统的安全性测评理论与技术,自动化的测评手段和系统,无法对自主可控信息系统的安全性进行定性、定量的测试评估。
“棱镜门“事件“心脏出血”漏洞(协议漏洞)(一)面临的问题三、自主可控信息安全技术研究与应用(4)新的安全防护模式与手段缺失,尚不能应对新技术带来的挑战⏹新技术:云计算、虚拟化、大数据、移动互联网等;⏹应用特点:网络结构多样化、用户爆炸性增长、数据快速膨胀;⏹不足:新的安全防护模式与应对手段缺失,难以有效应对新的安全威胁和挑战。
大数据应用云计算应用(一)面临的问题三、自主可控信息安全技术研究与应用三、自主可控信息安全技术研究与应用针对当前自主可控信息系统面临的新安全威胁,适应信息系统的高安全保障要求,依托信息系统自主可控的有力条件,亟需尽快开展一些关键的安全技术研究,为构建多层次、一体化的自主可控信息安全防护体系提供技术支撑。
三、自主可控信息安全技术研究与应用(1)自主可控信息系统安全漏洞规避处理技术⏹研究漏洞激发条件控制技术、漏洞关联关系剪断技术、漏洞传播途径切断技术等;⏹形成全新的安全漏洞规避处理机制,提供有机衔接漏洞发现、漏洞分析与漏洞规避的紧耦合漏洞处理手段。
(二)关键技术研究三、自主可控信息安全技术研究与应用(2)自主可控信息系统脆弱性分析技术⏹研究源代码安全性分析技术、分布式模糊测试技术、动态污点分析技术、漏洞扫描技术、渗透测试技术等;⏹挖掘自主可控信息系统存在的安全漏洞和风险隐患,通过修补漏洞、消除隐患,不断健全自主可控信息系统的安全防护机制。
(二)关键技术研究三、自主可控信息安全技术研究与应用(3)自主高安全关键软硬件设计技术⏹研究自主高安全处理器设计技术、自主高安全固件设计技术、自主高安全操作系统设计技术等;⏹形成高安全等级的自主处理器、固件、基础软件和计算机,为自主可控信息系统的可靠运行提供基础支撑。
(二)关键技术研究三、自主可控信息安全技术研究与应用(4)新型密码理论及应用技术⏹研究量子密码理论、自主密码算法设计技术、大规模密钥动态管理技术和安全认证协议设计技术等;⏹为自主可控信息系统提供高安全等级的密码服务。
(二)关键技术研究三、自主可控信息安全技术研究与应用一、概述二、自主可控信息系统示范应用工程建设四、后续工作展望三、自主可控信息安全技术研究与应用自主可控信息系统及与信息安全技术研究与应用四、后续工作展望◆科工集团希望成为自主可控计算机信息系统的排头兵,产业发展的生力军⏹发挥自身优势,为国家、政府、行业、企业的国产化信息系统应用提供顶层规划和设计服务⏹加大自主可控信息安全基础技术、新一代自主可控信息技术、系统迁移技术、基于模型驱动的自主可控应用系统研发支撑平台的研究投入⏹坚持做好自主可控产品研发,形成技术过硬、性能可靠、功能稳定、体系完备的自主可信产品体系,支撑信息化“换装”需求⏹做好联盟建设,构建自主可控生态圈,做大、做实、做强产业。