构筑基于芯片的网络安全体系

　　以软件保护或硬件电路板保护为主的网络安全方案，已不能满足新形势下的安全需求。鉴于黑客攻击手段的日新月异，美国、欧盟等国家和地区均制定了以芯片为主的国家安全准入规范和行业安全准入规范。我国可借鉴这一做法，在现有网络安全方案的基础上，持续大力构筑基于芯片的高等级网络安全防护体系，不断强化芯片企业的安全资质认证和芯片产品的安全评测，以应对日益复杂的安全环境和无所不在的安全挑战。

　　全球网络安全方案演进趋势

　　早期阶段：基于软件的网络安全方案。基于软件的网络安全方案是发展最早、成本最低的安全防护方案，目前我国大部分信息技术产品仍主要采用此种方案。

　　在系统底层，主要是确保操作系统内核的安全，加固内核，并实时监控线程异常情况，防止被非法刷机。在中间层，主要是防止代码漏洞被恶意利用，并进行网络入侵检测、密钥和证书管理、应用鉴权和数字版权保护，保证沙箱或虚拟机的安全。在应用层，主要是对用户关键信息的保护，防止被非法窃取。每一层的安全都是建立在其下一层的安全基础之上，即应用层建立在中间层的安全基础上，中间层建立在底层操作系统和内核的安全基础上，而最底层内核则建立在根密钥的安全基础上。由于缺乏芯片和硬件支持，软件安全方案的根密钥相对容易被破解，并致使整个网络安全方案被破解。

　　当前阶段：基于板级硬件的网络安全方案。基于硬件的网络安全方案，安全机制和保护流程与软件安全方案基本一致，但在设备的硬件电路板上增加了一颗专门的安全加密芯片，如计算机主板上的TPM（Trusted Platform Module，可信计算模块）安全芯片。此类芯片包含唯一的序列号，以及硬件加解密算法，可提供启动文件校验、系统完整性校验、数据传输加密等功能。

　　截至2014年，约10亿台电子产品采用了TPM安全芯片，其中6亿台为计算机设备。虽然专门的安全加密芯片大幅提升了设备的安全等级，但由于其主要目的是解决根密钥的安全存储问题，因而仍存在较严重的安全隐患。如在加密和解密过程中，安全芯片与主芯片间的通信信息容易被非法窃取，解密后的密钥等明文信息一般保存在系统内存中，也易被黑客非法读取。

　　未来发展：基于芯片的网络安全方案。随着工艺的提升和SOC（System On Chip，系统级芯片或片上系统）芯片的广泛应用，业界越来越倾向于采用基于芯片的系统安全方案，将原外置于主板的安全加密芯片集成到系统主芯片里去。在这种方案中，系统上电后，主芯片里的安全模块首先启动并完成对底层引导加载程序的校验，然后再对操作系统文件和分区进行校验，通过后才加载进入系统。

　　由于安全模块被集成到主芯片里面，密钥与加解密均在安全模块里完成，而且该模块作为一个独立子系统，主CPU不能读取其安全相关数据，因而安全性得到了大幅提升。Intel公司从2008年起，开始主推支持硬件加密的vPro技术，在CPU中集成TPM安全芯片功能，进一步提升了安全性。另外，在广播数字电视和移动支付等领域，主芯片内部集成独立的安全子模块并通过第三方实验室认证测试，早已成为行业准入的基本要求。

　　美欧积极强化从芯片到系统的网络安全管理

　　（一）完善国家安全准入规范的制定和管理。1985年美国国防部发布可信计算机系统评价准则（TCSEC），在此基础上，其它国家和地区开始相继制订各自的信息技术安全评价标准。如欧盟的信息技术安全评价标准（ITSEC）、加拿大的可信计算机产品评价标准（CTCPEC）、美国的信息技术安全联邦标准（FC）、我国的计算机信息系统安全保护等级划分准则（GB17859）。这些标准均借鉴了TCSEC的安全框架和模式，将信息系统安全定义成不同等级，规定不同安全等级需对应实现的安全功能。

　　为解决各标准在概念和技术上的差异，1990年国际标准化组织（ISO）开始启动制订信息技术安全公共评价标准（CC)，并于1996年发布CC1.0版本，1999年12月正式将CC批准为国际标准ISO15408。从此，CC标准在全球范围内被广泛接受，并成为各国国家层面信息技术产品安全准入的基础标准规范。我国在CC标准基础上，制订了信息技术安全性评估准则GB/T18336。

　　（二）制定行业相关安全强制准入标准规范。美欧各国不但针对信息技术产品制订基本的国家安全要求，同时还针对银行卡、广播数字电视、移动支付、智能电表等众多领域制订了行业安全强制准入标准。一般情况下，美欧国家的行业安全准入标准主要依托于行业标准组织或者大企业来完成。例如，银行卡领域的EMV标准和EMVCo标准组织，主要由MasterCard和Visa主导。EMV标准涵盖芯片、智能卡、POS机，以及银行系统设备之间的安全认证测试和流程评估，同时定义了EMV LEVEL 1和EMV LEVEL两种安全等级认证，并从2005年起开始强制推行EMV迁移计划。中国银联PBOC标准基于EMV标准，二者定义的芯片卡物理结构和外观完全一致，主要差别在于加密算法和密钥。

　　又如广播数字电视领域最核心的CA条件接收标准，同样由NDS、Nagra、Irdeto、Conax、Viaccess等全球前五大厂商把持。该标准早期采用软件方案，但从2005年起就已开始采用基于SOC芯片的高级安全芯片方案，所有入网销售的数字电视芯片和设备必须强制通过认证测试，并符合安全等级要求。

　　（三）推动芯片企业安全评估和产品安全评测。网络安全是一个系统工程，不但包含从机房侧、网络侧到用户侧的端到端软硬件安全，而且也包含了芯片和设备从开发、生产、安装、调试到运维等全流程的各个环节。因而美欧各国均大力推动从芯片到系统的安全评估，并主要围绕两个方面开展工作：一是针对芯片和相关企业的安全评估，二是针对芯片产品的安全评测。

　　目前全球芯片领域的专业安全评测机构主要有30多家，分别位于荷兰、德国、法国和西班牙等国家。在芯片企业安全评估方面，主要是针对企业研发环境的安全检查，以及研发管理相关流程的安全评估。同时，还会针对企业的上下游关键合作伙伴进行安全评估，例如芯片设计企业的下游代工厂和封装测试厂。

　　在芯片产品安全评测方面，美欧各国的规范要求均覆盖了从芯片到系统的整体安全，不但对芯片进行认证，而且还对使用芯片做出来的整机进行认证。这主要是由于设备系统的安全性建立在一个自上向下的依赖关系之上，应用层的安全依赖于操作系统层的安全，操作系统层的安全依赖于底层硬件和芯片的安全，并最终归结于芯片的安全。

　　构筑基于芯片的安全体系

　　我国亟须构筑起基于芯片的网络安全体系，覆盖从芯片到系统、从企业到产品、从开发到入网与维护的全方位、全流程、全产品生命周期的安全，才能实现以技术对技术，以技术管技术，做到“魔高一尺，道高一丈”。

　　（一）完善从芯片到系统的安全评估准则。目前，我国已在国际标准基础上，制订了信息技术安全性评估准则（GB/T18336～2008）。该标准强化了在集成电路行业的落地实施。

　　（二）建立针对芯片企业的安全评估体系。遵循CC国际标准和我国信息技术安全性评估准则（GB/T18336～2008），并借鉴软件企业CMM资质认证评估体系，建立覆盖芯片设计、制造、封测全产业流程的企业安全评估体系，确保芯片开发和生产过程安全。

　　在评估芯片企业安全体系建设时，可从公司资质、开发环境、研发团队、设计方法、设计流程、内部管理等多个方面进行考量。

　　（三）建立覆盖重点行业的芯片安全产品评测体系。建立科学公正的芯片安全产品基础评价指标体系，包括芯片和系统漏洞风险评估、芯片和系统安全等级评估等。知道风险在哪里，是什么样的风险，什么时候发生风险。

　　在此基础上，再形成针对不同行业需求的扩展评价指标体系，为芯片和设备生产企业提供安全指导，从而实现为政府提供技术支撑，为行业选型提供技术保障。

　　（四）成立国家级的芯片安全评测机构。依托现有专业从事安全评测、具备行业资源优势又较为熟悉芯片和系统的机构（例如中国软件评测中心），成立3～5家国家级的芯片安全评测实验室，为新形势下的网络安全提供评测服务。

　　一是参与和跟踪国际主流网络安全标准，二是建立针对芯片企业和产品的全方位安全评估体系，三是开展相应的安全认证测试。

　　■赛迪智库集成电路所 霍雨涛