中关村可信计算产业联盟是由中国工程院沈昌祥院士提议，中国电子信息产业集团、中电长城网际、中国信息安全研究院、北京工业大学、中国电力科学研究院等60家单位发起，经北京市民政局批准、具有法人资格的社会团体，目前已有包括华为、中国电子、浪潮在内的200多家成员单位。产业联盟旨在依托联盟成员构建高效、互补、良性循环发展的可信计算产业链，打造可信计算技术发展应用的良好生态环境，推动可信计算技术、产品研发及产业化发展，提升我国IT产品的自主可控、安全可信水平。

北京可信华泰信息技术有限公司是中国可信计算产业联盟副理事长单位。是中国电子信息产业集团有限公司（CEC）控股下的、专业从事操作系统安全和信息应用系统安全的信息安全企业，是中国电子“信息安全工程”核心支撑企业。以可信计算为主要研究方向，在PC、笔记本、服务器、智能终端均有可信相关产品和服务。

一、从“wannacry”蠕虫看网络安全现状

本周五，一次迄今为止最大规模的勒索病毒网络攻击席卷全球。据卡巴斯基周六发布的统计，在过去的十几个小时里，全球共有74个国家的至少4.5万Windows系统电脑中招。到了周日，欧洲刑警组织公布，这种名为WannaCry的勒索病毒已至少攻击了150个国家，受害者超过20万个。 据统计：仅周五，中国就有数十万的机器报告感染，受害者包括教育、交通、能源、医疗及政府各要害行业。

网民与国家政府现在对网络安全的关注越来越高，这次“wannacry”蠕虫的爆发更是将网络安全的热度提高到了一个新的水平。这个勒索病毒由于带有“NSA、比特币、传奇黑客”等一系列吸引眼球的标签，在极短时间内吸引了各大媒体和民众的注意力，造成了巨大影响。

这次“wannacry”蠕虫的爆发，充分体现了现有安全防护软件的两个问题：一是重点关注第三方应用、对于操作系统核心服务完全信任，在这次操作系统服务被攻破后攻击者如入无人之境，导致“灯下黑”、“只打苍蝇不打老虎”的问题。二是传统安全软件和服务的工作逻辑是“找坏人”，需要先收集到病毒样本、提取样本特征、将特征加入病毒库之后才能实现对病毒的查杀。而这次的蠕虫病毒传播和扩散速度极快，在传统安全软件反应之前就造成了巨大影响。总之，这次安全事件充分反映了传统安全手段的被动、滞后，无论打上什么标签，依然是头痛医头、脚痛医脚。但在这次事件中，可信华泰的“白细胞”可信免疫平台实现了在没有补丁、不作特别配置的前提下完全免疫攻击，可见主动免疫防御的可信计算3.0技术将是信息安全产业的未来方向。

二、主动免疫的可信计算技术

以沈院士倡导的可信计算3.0理论认为，安全问题的根源在于攻击者利用系统设计逻辑缺陷，使系统运行偏离了正常逻辑。而这个步骤的实现必然伴随着外来可执行实体的介入。可信计算能够全面可靠的记录合法的可执行实体，一旦发现未知实体即阻止其运行，并对实体的各种行为进行细粒度审计，并与强制访问控制策略相结合，实现对重要数据的安全受控访问，从而保证系统漏洞不被利用，数据不被破坏，保证系统和数据安全。

可信计算3.0技术致力于建设包括硬件、固件、操作系统、应用在内的安全可信的计算环境，实现“边计算、边监控”的双体系结构，消除系统特权，能够在系统存在漏洞时有效防护系统安全和数据安全，是一种运算和防护并存的主动免疫的新计算模式，用密码实施身份识别、状态度量、保密存储，及时识别“自己”和“非已”成份，主动破坏与排斥进入机体的有害物质。

三、可信计算技术完美防御“wannacry”蠕虫病毒

针对此次事件，采用可信计算3.0技术的可信华泰“白细胞”操作系统免疫平台（以下简称平台）充分体现了其主动免疫技术的先进性，展示了对未知病毒木马以及系统漏洞的防御能力，能够根本阻止未来的攻击事件。其具体技术路线如下：

1. 基于可信度量技术形成系统免疫能力，保证恶意代码无法执行

采用主动免疫系统防御机制，提供执行程序实时可信度量，阻止非授权及不符合预期的执行程序运行，实现对已知/未知恶意代码的主动防御。对于本次勒索病毒爆发，部署平台的终端能够实时阻止病毒主体的运行，从根本解决未知恶意代码的危害。通过实际测试，20余种病毒变种样本均被拦截，拦截率100%。

病毒样本运行拦截

病毒样本拦截审计

病毒样本运行后释放文件运行拦截日志

2. 数据文件的完整性保护

“白细胞”平台支持根据业务访问需求授权进程对数据文件的访问权限，确保受保护的文件不被其他进程违规访问；同时支持设置进程对授权文件以外的文件访问权限，强制限制进程只拥有合理的业务访问权限。即使用户由于误操作或被欺骗，为此病毒赋予了可执行权限，平台也可以通过为数据文件指定合法的访问进程，阻止病毒破坏关键数据。真正实现“进不来、拿不走、改不了”。

图策略配置图

受保护措施文件与无保护措施文件攻击效果对比

文件加密篡改审计日志

3. 系统关键配置文件的完整性保护

提供基于内核层实现的文件强制访问控制，有效解决操作系统自身文件访问控制薄弱和操作系统超级用户带来的安全风险。安全机制采用对用户或进程授权读写权限的方式，限制用户或进程对系统目录、文件的访问权限，权限包括读、读写、拒绝等；通过文件强制访问控制，拒绝攻击者对重要系统文件的篡改和破坏。本次攻击中，病毒会删除系统还原文件，造成系统修复困难。使用文件访问控制机制，可以拒绝WMIC.exe，vssadmin.exe和cmd.exe删除受害主机上的还原文件。

4. 计算节点的可信互联

“白细胞”平台，不仅对网络内的每一台主机颁发数字来标示主机的唯一身份，在网络主机之间通信时，还要对通信双方进行身份认证，只有通过认证后，才允许主机之间建立通信会话。

同时，实时监控网络中每台主机的可信状态，主机可信状态值较低时，将自动断开该主机与网络内其他主机的网络连接，避免系统被植入病毒木马后向其他业务主机发起通信而导致的威胁扩散。

在本次安全事件中，当系统发现蠕虫的传播机制不符合预制的安全策略时，将自动降低受威胁的主机可信状态评估值，从而关闭该主机的网络通信，将受害主机隔离起来。

可信华泰的“白细胞”平台，不仅对网络内的每一台主机颁发数字来标示主机的唯一身份，在网络主机之间通信时，还要对通信双方进行身份认证，只有通过认证后，才允许主机之间建立通信会话。同时，实时监控网络中每台主机的可信状态，主机可信状态值较低时，将自动断开该主机与网络内其他主机的网络连接，避免系统被植入病毒木马后向其他业务主机发起通信而导致的威胁扩散。在本次安全事件中，当系统发现蠕虫的传播机制不符合预制的安全策略时，将自动降低受威胁的主机可信状态评估值，从而关闭该主机的网络通信，将受害主机隔离起来。

四、结论

从以上真实病毒样本测试效果来看，基于可信计算3.0技术研发的“白细胞”平台，完全能够抵御融合了美国国家级网际空间攻击工具的蠕虫病毒的攻击，有能力保护我国关键信息基础设施的安全，有效捍卫我国网际空间主权。