搜索
1Confidential产品管理部姚文泽2007年8月自主创新助力安全信息化建设——长城安全电脑二代产品介绍2Confidential现状篇回顾篇应用篇技术篇对比篇要点3Confidential可用性保密性完整性可靠性防止信息被未经授权的篡改对信息及信息系统实施安全监控保证信息不泄漏给未经授权的人保证信息确实为授权使用者所用现状篇计算机信息安全所谓信息是指应用计算机处理和存储的如:政府公文、军事机密、商业秘密、人事档案、财务数据、个人隐私等等文件和数据,这些内容需要保密,不能泄露。而计算机信息安全就是确保信息的保密性、完整性、可用性、可控性,也就是要保障电子信息的有效性。4Confidential现状篇信息安全现状计算机的开放性、标准化和易用性等特点,使计算机信息具有共享和易于扩散的特性,导致计算机信息在处理、存储、传输和应用过程中很容易被泄露、窃取、篡改和破坏,或者受到计算机病毒的感染。没有自主知识产权,没有好的解决方案,已成为信息安全的瓶颈。80%内部12%网络8%病毒等信息安全攻击构成5Confidential进不来拿不走看不到逃不脱读不懂毁不掉现状篇信息安全防护目标6Confidential具有国内唯一的磁记录产品研发和生产能力硬盘磁头产销量全球排名第二硬盘盘基片产销量全球排名第二硬盘产销量全球排名第五强大而完整的磁记录产业链长城安全电脑I代回顾回顾篇7Confidential长城安全电脑I代回顾依托长城完整的磁记录产业链优势,历时三年,投资5000万,研发出长城世恒S系列安全电脑I代产品。2005年6月推出后,获得如:中国人民解放军总后购入长城安全电脑近4000台、山西省公安系统购入长城安全电脑3000余台等,累计销量已达4万多台。成功案例与销售数据回顾篇8Confidential长城安全电脑I代回顾荣誉与认证回顾篇9Confidential一夫当关万夫莫开——自主创新长城安全电脑助力安全信息化建设应用篇10Confidential应用篇长城电脑公司的使命在信息化建设的过程中,由于技术和管理等原因,我们面临着严峻的信息安全问题,同时涉及信息安全的核心技术并不掌握在我们手中,如何确保信息的安全性,已经成为我们必须面对的难题。突出自主创新,以清醒的头脑对待国外的先进成果,不依靠、不等待,开发出适合自己国情的创新产品,已成为我们的当务之急。中国长城计算机深圳股份有限公司以国家信息化安全需求为己任,依托自己强大的研发和制造实力,自主创新,开发出世恒S系列安全电脑,打造信息安全防护新天地。11Confidential应用篇安全电脑产品定位长城世恒S系列是针对军队、军工、政府、公安和其它有安全需求的行业而开发的桌面办公安全电脑产品,采用底层硬件技术,同时结合上层安全应用,打造整体安全解决方案,是业内领先、填补国内空白的安全电脑产品。12Confidential整机加电BIOS硬盘操作系统驱动程序应用软件TPM安全BIOS安全存储VT、安全操作系统磐盾安全系统安全平台应用篇安全电脑核心技术点13Confidential长城安全电脑II代介绍隐忧一:非法用户进入系统对于高度机密的信息,一旦被非法用户进入,后果不堪设想进入系统需要身份认证(操作系统前)认证方式可以选择使用指纹或口令认证错误系统自动锁死一道锁:非法用户进不来应用篇14Confidential隐忧二:在用硬盘失控硬盘是数据信息存储的载体,硬盘失控的后果同非法进入系统的后果一样严重独有创新安全平台技术,其它机器无法启动偷到的硬盘存储数据采用64位硬件底层加密,全盘加密二道锁:硬盘数据有加密应用篇长城安全电脑II代介绍15Confidential隐忧三:用户口令不好记越重要的使用者,口令设置得越复杂,这样就容易遗忘,写下来又留下后门,容易被盗采用指纹识别技术作为口令,具有唯一性在系统引导前识别,无法破坏,不用记、不用写结合TPM芯片进行口令保护三道锁:唯一生物识别码应用篇长城安全电脑II代介绍16Confidential隐忧四:淘汰硬盘丢失数据删除后可通过软件等办法恢复,淘汰硬盘即使删除了数据,如果丢失后果也很严重独有创新安全擦除技术,数据彻底粉碎安全平台,其它机器无法启动偷到的硬盘存储数据采用64位硬件底层加固四道锁:长城磐盾系统应用篇长城安全电脑II代介绍17Confidential隐忧五:操作系统留有后门目前广泛使用的Windows系统是国外的产品,我们没有源码,如留有后门将非常可怕推荐使用国产Linux操作系统(中标软)源码在自己手中X界面,简单易用五道锁:国产操作系统应用篇长城安全电脑II代介绍18Confidential隐忧六:内部人员泄密少数内部人员有意或无意造成涉密信息泄露,危害也很大日志功能,清楚记录登录等信息,不可抵赖外部存储设备(如U盘)可禁用,防止非法拷贝TPM、指纹多重组合加密六道锁:日志、禁用和加密应用篇长城安全电脑II代介绍19Confidential隐忧七:BIOS不安全系统启动最先开始的是BIOS,我们还没有源码,如果BIOS留有后门,那么其它安全都是空中楼阁国内首款自主知识产权BIOS,自有源码TPM一致性、完整性校验,保证BIOS内容不被篡改模块化设计,便于更新,修改七道锁:首款国产BIOS应用篇长城安全电脑II代介绍20Confidential隐忧八:有用数据被破坏误操作、病毒等造成有用信息丢失或系统崩溃,影响使用和正常工作长城磐盾系统具有备份、恢复功能,保证系统可用金山毒霸杀毒软件八道锁:备份、恢复和杀毒应用篇长城安全电脑II代介绍21Confidential隐忧九:多人使用信息交叉多人共用一台电脑时,每个客户的私密信息基本是公开的,很容易造成涉密信息泄漏独有用户空间(最多三个),各空间不可见,信息不能互访,不同用户依靠不同身份来识别VT虚拟化技术、关机光盘检测提示功能九道锁:独有多用户技术应用篇长城安全电脑II代介绍22Confidential隐忧十:机器质量差不稳定电脑一旦出现大批量质量问题,将影响工作,甚至造成严重的后果独家MTBF(平均故障间隔时间)超过12万小时获得整机、电源和显示器三张证书独家通过防雷认证十道锁:MTBF12万来护航应用篇长城安全电脑II代介绍23Confidential隐忧十一:易用性降低安全性增加后,易用性可能会降低,将降低使用和工作效率BIOS采用图形界面,容易设置智能驱动,驱动程序自动安装指纹识别,轻轻一刷护心镜:人性化设计应用篇长城安全电脑II代介绍24Confidential信息安全防护九重天——自主创新长城安全电脑助力安全信息化建设技术篇25Confidential一重天——自主创新安全BIOSBIOS是整个系统安全和可信任的基础,如果没有BIOS的安全,其它安全解决方案就没有了安全的基础,也就成为了安全的空中楼阁。长城安全BIOS,是具有自主知识产权的创新安全BIOS,采用最新UEFI(UnifiedExtensibleFirmwareInterface)安全架构,提出并采用了一系列先进的设计方法和先进技术,是一个具有高安全性、中文化、易使用的安全管理操作平台。技术篇26Confidential一重天——自主创新安全BIOS长城安全BIOS采用基于UEFI框架的模块化设计是与传统BIOS在逻辑结构上最大的创新点。UEFIBIOS可以同时支持图形化界面和传统的文本界面。UEFIBIOS系统也包含一个兼容支持模块,它可以在16位实模式下启动计算机以及访问扩展设备的ROM。这样,即便PC平台中的部分硬件没有专门为UEFIBIOS设计,UEFIBIOS的兼容支持模块也可以让它们在整个系统中正常工作。技术篇27Confidential一重天——自主创新安全BIOS拥有自主知识产权和全部源码,防止后门存在完全的模块化设计,拥有更好的可读性和可维护性良好的可扩展性,便于扩展和开发新的功能模块高清晰的中文化、图形化人机界面,大大增强易用性技术篇28Confidential一重天——自主创新安全BIOS安全BIOS定义了类似操作系统的用户和管理员两种角色,用户和管理员拥有不同的BIOS设置权限安全BIOS可以进行针对安全存储的用户区创建和删除安全BIOS可以进行密码(指纹)的设置与清除安全BIOS可以设置BIOS写保护安全BIOS可以导出登录日志,进行审计安全BIOS可以设置密码输入错误次数安全BIOS可以设置同安全存储的平台绑定安全BIOS可以进行类似传统BIOS的功能管理设置技术篇29Confidential二重天——自主创新安全存储安全存储是信息安全的核心技术,如果没有存储的安全,信息将很容易失控。长城安全存储技术采用创新的全硬件设计,通过在硬盘盘体上嵌入专业安全控制芯片,可以实现负磁道功能和数据加密功能。技术篇30Confidential二重天——自主创新安全存储长城安全存储的负磁道技术是利用硬盘加电初始化前的磁头“归零”与寻址特性,通过专业安全芯片,强行实现磁头寻址偏置,形成内部盘基片物理区域隔离(划分“势力范围”),将一个硬盘空间最多可分成三个可引导区域,使用时只能激活一个主引导区,其它引导区将置成负磁道,被保护起来不能访问。技术篇31Confidential二重天——自主创新安全存储软件加密方式不仅存在运算量大,而且易于被软件高手跟踪、破解。而硬件加密则使用专业芯片加密,不但可以减轻CPU的负载,而且在物理上保护了加密算法,不会被轻易地破解。长城安全存储硬盘通过原生的安全芯片提供全盘加密功能,数据流在流经安全芯片只需很小的延迟时间即可完成这整个过程。技术篇32Confidential二重天——自主创新安全存储通过专业安全控制芯片进行硬盘配置管理最多可实现三用户引导多用户分区间数据完全物理隔离,相互独立不同用户分区通过安全BIOS进行身份认证数据信息均为硬件底层加密存储,加密算法可以替换技术篇33Confidential三重天——自主创新安全平台长城创新安全平台由安全主板(带安全BIOS)和安全存储硬盘一对一绑定构成。系统开机后先进行长城安全平台绑定认证,如未通过认证,必须先进行重新绑定或重新初始化;如认证通过,则可以进行后续的动作。技术篇34Confidential三重天——自主创新安全平台所谓的绑定有三层含义:安全存储硬盘必须在安全主板(带安全BIOS)上使用,在普通主板上不能读取安全硬盘数据绑定后的安全存储硬盘即便是在其它安全主板上,如无安全管理员密码也不能重新绑定,不能读取此安全硬盘数据在没有安全管理员密码的情况下,安全存储硬盘必须进行初始化,重新初始化后数据将全部消失这样充分保证了用户数据的安全性,即便安全硬盘失控也不会造成泄密等灾难性损失。技术篇35Confidential四重天——自主创新国产TPMTPM(TrustedPlatformModule,可信平台模块)出现的目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,解决信任根的问题,以提高整体的安全性。长城世恒S安全电脑采用国产TPM安全芯片,即可信平台模块安全芯片硬件,是可信计算技术的核心。TPM安全芯片在系统平台中的作用是为系统平台和软件提供基础的安全服务,以便建立更为安全可靠的系统平台环境。技术篇36Confidential四重天——自主创新国产TPM内置独立芯片,采用LPC总线接口通讯,安全级别更高拥有独立的处理和存储单元,可以生成2048位的高强度RSA密钥为用户密钥等核心信息提供硬件保护存储功能提供唯一的硬件身份证明,防止身份的非法盗用对安全电脑进行完整性度量,建立完整的信任链机制硬件级文件存储和传输加密功能硬件级虚拟磁盘生成、加密功能技术篇37Confidential存储密钥的保护是由上层密钥保护下层密钥,关系如图,最终的跟密钥SRK(StorageRootKey),SRK是一对非对称密钥,公钥用于保护加密下一级存储密钥,私钥始终在TPM内部被保