延伸拓展——没法从根源上阻止网络安全事件发生的原因:
1.普遍使用国外操作系统,在“封堵查杀”模式下,系统漏洞无法及时修复、新型病毒防不胜防;
2.传统防护体系(防火墙、防病毒、IDS)存在被动防御滞后、安全机制脆弱、管理分散低效等缺陷;
3.计算机结构简化,硬件环境中每一个运行节点没有安全筛查、病毒查杀、安全防护的过程,使得可执行程序、进程在非授权情况下也可任意执行。
【DCS技术方案是什么】
针对当下网络安全防御现状,浙公院联合沈昌祥院士,基于可信计算技术体系的研究构建了网络主动免疫体系——可信数据交换监管(DCS)技术方案。
此方案可运用于公安、国安、应急、金融、电力等政府部门和行业。可根据行业客户需求,定制数据交换策略及业务开发策略。
DCS技术方案由【可信安全管理平台】+【双体系结构硬件设备】+【可信安全跨域数据交换监管审计平台】构成,实现了:
1、基于“可信计算主动防御机制,免补丁升级,免病毒、木马查杀;
采用可信计算主动防御机制,阻止非授权及不符合预期的执行程序运行,实现对已知/未知恶意代码的主动防御,可以做到免补丁升级,免病毒、木马查杀。
2、通过动态度量架构,保障系统资源全生命周期的安全可信;
3、支持在线、离线管理模式,实现异构环境下的集中统一管理;
针对不同的用户环境,支持在线、离线两种管理模式,兼容现有主流的Windows系列、Linux系列和Unix系列的操作系统,并且可以实现异构环境下的集中统一管理。
下面小阿姨从非专业的角度,用货币流转来打一个不完全贴切的比方,阐述DCS技术方案的运作原理:
【可信安全管理平台】相当于一家中央银行,它将各个国家流通到此的货币,换作统一货币后,再进入流通环节。
在货币流通的过程中【双体系结构硬件设备】中的计算部件充当了检测者的角色,而防护部件则是执法者,一旦出现假钞或它国货币影响交易,计算部件和防护部件会立马联手--阻止其流通,强制将其清除。交易过程依然保持最初的统一货币流通状态。
与此同时,【可信安全跨域数据交换监管审计平台】在全过程中扮演银监会的角色,实时对交易程序、交易数据、交易行为进行监管核查,及时上报、拦截、阻止非正常交易,保证整个流通环节的持续平稳。
【DCS跟公安的那些事儿】
北京移动警务
通过在【北京移动警务平台】部署可信计算安全组件,实现了对不同区域、不同警种、不同专业的70多个系统数据及操作行为的全监控。通过可信安全方式,实现了内网与互联网的互联互通,充分保证了传送效率。
智慧监所服务总线
通过为浙江省宁波市监管总队开发【智慧监所服务总线】项目,以及提供的安全服务,实现以系统底层为出发点,可信计算技术为基础、访问控制为核心,安全服务为辅助,构建具有主动防御能力的计算安全防护体系,保证计算环境的安全,形成严密的安全保护环境,有效抵御恶意代码的入侵、资源越权使用等恶意行为。