沈嗣贤 ：信创环境下的系统异构与持续免疫防护实践

近年来，证券行业网络安全发展日新月异，面临的安全挑战也日益严峻：安全边界的弱化、层出不穷的0day、APT攻击、爆发式增长的勒索软件、木马蠕虫以及内部员工意识薄弱带来的安全隐患等时有发生。现有传统的安全防护手段已经逐渐难以满足当前安全需求，如何在原有的安全防护基础上建立新的安全防护体系，将事中事后监测左移到事前防御，是当前值得思考的问题。

基于此，东吴证券股份有限公司与北京八分量信息科技有限公司合作联合开发，在传统安全防护基础上，结合可信计算、区块链与人工智能技术，同时响应国家号召，以信创为基座，建立了从事前防御、事中告警（或阻断）自主抵御到事后溯源的一整套完整的安全防护体系——持续免疫防护体系。

信息技术应用创新发展（简称“信创”）是当今形势下国家经济发展的新动能。信创产业以信息技术产业为根基，通过科技创新，构建国内信息技术产业生态体系。

图1 信创产业发展历程 引自亿欧《2021信创产业应用落地研究报告及供应商60强》

信创产业链主要由基础设施（芯片、存储器、整机（服务器、PC）、固件等)、基础软件（操作系统、中间件、数据库）、应用软件、网络安全四部分组成。信创产业园区、第三方机构、高等院校则是信息技术产业重要的孵化支撑和载体。

图2 信创产业链全景图谱 引自亿欧《2021信创产业应用落地研究报告及供应商60强》

目前，国产CPU主要是三大成长技术路线，自主化程度各自不同，ARM、x86、MIPS多种架构并存。其中龙芯、鲲鹏、飞腾、海光采用指令集授权或自研架构，自主先进程度相对较高。研发自主指令集，进一步打造生态是国产CPU芯片实现飞跃的关键。

图3 主流国产CPU情况及自主化程度 引自亿欧《2021信创产业应用落地研究报告及供应商60强》

国产操作系统应用日益广泛，市场规模稳定增长，初步形成两足鼎立的形势。2020-2023年，国产操作系统将保持30%以上的年均复合增长率，预计到2023年可实现56亿元的市场规模，但目前我国计算机操作系统市场仍被Windows统治，拥有接近90%的市场份额，故用户粘性及使用习惯会增加国产操作系统市场推广的难度。国产操作系统市场格局初定，麒麟、统信占据绝对份额。

国产操作系统在党政、金融、交通、能源、电信等多个行业涌现出应用落地的实例，并逐渐向核心业务领域渗透。

图4 2015-2023国产操作系统市场规模及预测 引自亿欧《2021信创产业应用落地研究报告及供应商60强》

由此可见，在政策与市场双推动下，未来的安全发展或将与信创建设紧密相连。

在此背景驱动下，持续免疫防护系统的建设采用国产芯片、国产服务器操作系统、国产数据库等信创产品，实现自身信创改造的同时完美兼容其他操作系统，真正做到自主可控。

现有传统的安全防护体系由防火墙（下一代防火墙）、IPS、WAF等边界防护，以及旁路入侵检测，主机层面EDR、桌面防病毒等组件构成。主要集中在事中告警拦截或者事后溯源。持续免疫防护系统在原有的传统安全防护体系的基础上引入可信安全框架，结合人工智能、区块链防篡改、用户行为分析等新兴技术，形成从事前防御，到事中告警或者阻断、自主抵御到事后溯源的一整套完整的安全体系，满足未来未知威胁的侵犯，更好更安全地保证业务和服务，是对现有防御体系的补充完善、提升和增强。

系统采用可信框架，确保自身可信的前提下生成被防护主机的白名单文件，通过可信区块链防篡改技术，利用区块链分布式、不可篡改、可溯源的特性，为业务系统重要的数据提供防篡改的保护，利用用户行为分析，结合机器学习算法，迭代算法模型，实现用户行为画像。

图5 持续免疫防护系统建设框架

持续免疫防护系统，其核心底层支撑是一套基于可信密码模块的可信计算技术框架，其设计原理是依托于加固在宿主机主板上的可信密码模块监控网络内所有存活主机可信状态，主机运行程序是否可信，主机是否运行非授权应用程序以及机器程序执行过程是否符合预期的。

可信防护采用以可信证实、可信硬件为基础核心的软硬件架构，通过可信硬件平台（可信根、密码固件），构建主机基本信任基，通过信任链的逐级扩展，得到主机启动时执行的应用程序白名单，利用可信证实机制（控制、判断、信任管理），保护了白名单的完整可信。从而保证了系统在可知、可靠、可控、可信状态下运行。

图6 可信防护技术架构

可信硬件平台采用TCM芯片作为可信核心安全固件。TCM（Trusted Cryptography Module，可信密码模块）是国内为了支持国产可信计算的研究和应用而推出的安全芯片。它采用了国产加密算法，能有效保护用户的计算机，有效防止非法用户的入侵。

TCM芯片不依赖于操作系统运行，同时固化在TCM芯片中的程序也可以保证其安全性，由于TCM芯片可以通过硬件算法对数据、密钥文件进行存储和加密，因此为TCM芯片自身可信提供了极大的保障。

可信防护利用TCM芯片密码模块实现签名、平台身份验证、数据传输加密功能。

可信计算的一个重要环节就是对系统平台进行完整性度量，从系统启动开始，对BIOS、grub、kernel以及操作系统启动后的应用程序等均需进行度量。

图7 完整性度量

持续免疫防护系统以TCM为信任根，利用完整性度量框架逐级拓展可信边界，最终将主机启动时所必须的应用程序文件、文件加载的动态链接库及加载的内核模块，进行一次完整的散列hash运算，为主机构建起以内核为基础的可信边界，从内部形成基础保护屏障，从而将不在可信边界内的应用程序拒之门外，以达到未知应用程序拒绝运行、已知应用程序篡改拒绝运行的基础保护效果。

传统区块链技术用作存储的时候，存在着共识速度慢、读写性能差的问题，出现这个问题的根本原因是区块链没有对运行区块链的节点有任何限制——任何节点包括恶意节点都能够加入到区块链共识过程中，这就要求共识的算法（POW工作量证明等）必须能够有较强的抗恶意节点的能力，且如果存在恶意节点的话共识的时间和成本明显上升。

基于区块链存在的这个问题，持续免疫防护系统结合了可信计算的技术，通过可信计算筛选出可信的节点，从而降低恶意节点对共识过程的干扰；同时为了解决POW算法资源消耗大、共识效率低的问题，引入了PBFT实用拜占庭容错算法，明显提高了共识速度。在此基础上引入国密算法，避免基于传统加密算法漏洞导致的攻击，有效地保护系统的安全运行。

图8 可信区块链框架

可信区块链作为底层基础设施，在原有区块链基础之上在共识效率、节点安全等问题得到了有效提升，从而保证了链上数据的安全性、上链存储效率。

持续免疫防护系统采用深度学习加组合学习的方式，对被保护的主机运行的程序行为进行人工智能分析。默认对系统一段时间的操作行为进行数据建模，一旦有机器违反了正常行为数据的建模将立刻告警。同时也支持管理员通过编写规则红线，定义机器管理规范。比如限制对于被保护系统的数据库文件、日志等的拷贝行为。

用户行为分析过程分为数据采集与接入、数据处理、数据可视化等几个部分，基本流程为：数据采集层采集系统所需数据并将数据存入数据源，数据源将数据导出到大数据处理层以供其分析和处理数据，服务层获取到处理完成的结果并发送到数据可视化层将数据呈现到页面。

图9 用户行为分析功能架构

用户行为分析功能建立了大量模型来对采集到的数据进行分析，根据数据时效性分为离线计算模型和实时计算模型。

实时计算模型使用Spark作为流处理引擎，实时消费处理用户数据。对从数据接入平台接收到的数据首先进行数据清洗，过滤掉与主机或用户特征无关的冗余数据和异常信息；然后把清洗过后的用户数据加工成能够被用户建模使用的数据；发送给Kafka。实时数据分析组件和数据消费者可以通过Kafka得到实时数据，进行实时分析和计算，挖掘用户的行为偏好等信息。

图10 实时计算模型

离线计算模型通过对离线历史数据的去重和解析，利用数据完成各模型的训练，将被训练得到的模型参数进行存储，供异常检测部分读取使用。训练过程首先加载知识库并对其进行处理，然后对训练数据进行预处理，最后完成基于服务类型、基于命令类型、核心算法以及深度学习算法的四类模型的训练。

图11 离线计算模型

用户行为分析是整个持续免疫防护系统的大数据处理与学习黑白事务的大脑，通过对数据的处理与采集，将被探测主机的内部、外部行为进行分析，从而让系统具备识别黑白事务的能力。

等保2.0新标准对新型安全攻击检测能力、网络安全分析能力、用户行为分析能力等提出了更高的要求，也正呼应了证券行业信息安全对抗高级威胁、内部威胁，升级安全体系从被动防护到主动防御、动态防御的实际需求。

持续免疫防护系统在传统安全理念基础上引入可信技术、区块链、用户行为分析等技术，结合人工智能建立新的安全防护体系。同时已与多个主要信创产品完成适配，完成信创改造。

传统安全体系升级的建设方案很多，本文仅对自身实践过的持续免疫防护体系建设进行介绍。希望可以与行业内同仁产生共鸣，起到抛砖引玉的作用。