基础架构安全弹性技术指南草案（固件安全篇）

基础架构包括计算机体系、物联网设备或其他信息化设备的固件、硬件组件、单元等基础组成部分，如主板Flash、显卡网卡等各类外设板卡的ROM，硬盘、EC、主板CSME/PSP/SMU等。基础架构安全性是整个系统的安全基石。如果基础架构的安全设置不当或存在高危漏洞、受到威胁，会导致整个系统的严重破坏，并且难以检测、恢复。固件的运行级别高于操作系统内核所在的RING 0级，如果用户的威胁模型中包含攻击者持久化这一项，那固件安全就不可忽视，特别在全球高级威胁防护的大趋势下，基础架构及平台固件属于整体防御中核心的环节，为了更好的推进行业对于基础架构整体弹性（Resiliency）水平，赛博堡垒（HardenedVault）和中科院软件所基础安全团队发起了一份关于平台固件安全的技术指南，草案版本由来自跨领域专家组的审阅，指南的alpha预览版发布于HardenedLinux社区（指南下载链接请点击文末“阅读原文”处），希望未来有兴趣的个人和机构可以继续推进。

• 本指南的其他内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。

• 本指南起草单位：赛博堡垒（HardenedVault），中科院软件所

• 本指南主要起草人：Shawn Chang（赛博堡垒），张楠(中科院软件所)

前言

基础架构包括计算机体系、物联网设备或其他信息化设备的固件、硬件组件、单元等基础组成部分，如主板Flash、显卡网卡等各类外设板卡的ROM，硬盘、EC、主板CSME/PSP/SMU等。基础架构安全性是整个系统的安全基石。如果基础架构的安全设置不当或存在高危漏洞、受到威胁，会导致整个系统的严重破坏，并且难以检测、恢复。

固件的运行级别高于操作系统内核所在的RING 0级，如果用户的威胁模型中包含攻击者持久化这一项，那固件安全就不可忽视。这个领域的攻防对抗越来越受到业界的关注，美国国家标准与技术研究院（NIST）早在2011年4月即发布了NIST SP 800-147：BIOS保护指南，2011年12月发布了NIST SP 800-155：BIOS完整性度量指南，2014年8月发布了 NIST SP 800-147B：服务器BIOS保护指南，以及目前最重要的固件安全合规指南：2018年5月发布了 NIST SP 800-193：BIOS平台固件弹性指南。2021年5月26日，美国网络安全和基础设施安全局（CISA）在RSA 2021大会上公开了VBOS（操作系统以下的漏洞）计划，其目的是推动连同操作系统在内以及更底层组件的安全防护，虽然过去的15年固件层面的安全对抗从未停止，VBOS计划是第一次把隐蔽战争放上了桌面。2022年2月23日，美国国防部发布美国信息与通信技术的关键供应链评估报告以回应EO14017，报告中直接指出固件是最薄弱的环节。

欧洲方面，虽然并没有像美国一样有系统性的固件安全合规指南，但从几个方面可以看到其重视程度：欧盟委员会自从2014年发起的“地平线2020”计划中资助了大量的开源芯片和固件安全项目以提升生态的透明度进而更好的实施弹性（防护，检测响应和恢复）方案，德国联邦信息安全办公室（简称BSI）多次公开的提到对开放固件的支持和跟进工作。2019年，BSI认证了德国老牌安全厂商Genua GmbH的网络安全产品（编号：BSI-DSZ-CC-1085-2019）支持开放固件体系实现固件安全特性。2021年10月，欧盟委员会开启了针对消费级市场强制固件安全更新的立法程序，未来可能会扩展到其他领域比如工业4.0以及服务器等。

中国对于保护关键性基础设施方面于2021年4月27日通过了《关键信息基础设施安全保护条例》，并于2021年9月1日实施，条例中明确定义了关键信息基础设施的范畴包括“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域”。而关键性基础设施高度依赖于基础架构安全的保护。

在全球高级威胁防护的大趋势下，基础架构及平台固件属于整体防御中核心的环节之一，本指南目的是为中国企事业单位和机构在构建信息化整体防御体系过程中作为技术参考，可作为涉密信息系统、或高价值信息化节点的技术性基线，对各应用单位尤其是重点防御节点、关键信息基础设施等具有重要参考意义，推进中国信息安全技术性合规更加全面。

草案阶段经过专家组的评审并发布，会继续公开征集意见和建议。

指南的建议和勘误请联系：Shawn Chang: [email protected]，张楠 [email protected]

致谢

感谢发布单位，起草单位以及专家组的共同努力。

特别致敬已故的战友、导师、逐鹿安全沙龙联合发起人、“塔防模式”设计师、纵深防御实践的演绎者黄晟先生（a.k.a “phreaker”，大轴，Joe）对系统安全风险评估中的复杂性威胁模型的指导以及对中国信息安全领域的卓越贡献。

本指南专家组成员：

韩文报，海南大学计算机与网络空间安全学院

李清宝，信息工程大学

张先国，中电科第三十研究所系统工程部

霍玮，中科院信工所

魏强，信息工程大学

方华，中国网络安全联盟

杨秋松，中科院软件所

黄辰林，国防科技大学计算机学院

钟益民，上交所技术有限责任公司

冯涛，上交所技术有限责任公司

成松林，北京战儒科技有限公司

高咏涛，中国船舶集团有限公司第七〇五研究所

吴龙飞，大唐高鸿信安

李冰，浪潮工业互联网产业股份有限公司

本指南的其他内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。

本指南起草单位：赛博堡垒（HardenedVault），中科院软件所

本指南主要起草人：Shawn Chang（赛博堡垒），张楠(中科院软件所)

本文内容转自：赛博堡垒