摘要:基礎架構安全彈性技術指南草案(固件安全篇)
基礎架構包括計算機體系、物聯網設備或其他資訊化設備的韌體、硬體元件、單元等基礎組成部分,如主機板Flash、顯卡網卡等各類外設板卡的ROM,硬碟、EC、主機板CSME/PSP/SMU等。 基礎架構安全性是整個系統的安全基石。 如果基礎架構的安全設置不當或存在高危漏洞、受到威脅,會導致整個系統的嚴重破壞,並且難以檢測、恢復。 固件的運行級別高於操作系統內核所在的RING 0級,如果使用者的威脅模型中包含攻擊者持久化這一項,那固件安全就不可忽視,特別在全球高級威脅防護的大趨勢下,基礎架構及平臺固件屬於整體防禦中核心的環節,為了更好的推進行業對於基礎架構整體彈性(Resiliency)水準, 賽博堡壘(HardenedVault)和中國科學院軟件研究所基礎安全團隊發起了一份關於平臺固件安全的技術指南,草案版本由來自跨領域專家組的審閱, 指南的alpha預覽版發佈於HardenedLinux社區(下載PDF),希望未來有興趣的個人和機構可以繼續推進。
本指南的其他內容可能涉及專利,本文件的發佈機構不承擔識別這些專利的責任。
本指南起草單位:賽博堡壘(HardenedVault),中國科學院軟件研究所
本指南主要起草人:Shawn Chang(賽博堡壘),張楠(中國科學院軟件研究所)
前言
基礎架構包括計算機體系、物聯網設備或其他資訊化設備的韌體、硬體元件、單元等基礎組成部分,如主機板Flash、顯卡網卡等各類外設板卡的ROM,硬碟、EC、主機板CSME/PSP/SMU等。 基礎架構安全性是整個系統的安全基石。 如果基礎架構的安全設置不當或存在高危漏洞、受到威脅,會導致整個系統的嚴重破壞,並且難以檢測、恢復。
固件的運行級別高於操作系統內核所在的RING 0級,如果使用者的威脅模型中包含攻擊者持久化這一項,那固件安全就不可忽視。 這個領域的攻防對抗越來越受到業界的關注,美國國家標準與技術研究院(NIST)早在:
- 2011年4月即發佈了NIST SP 800-147:BIOS保護指南
- 2011年12月發佈了NIST SP 800-155:BIOS完整性度量指南
- 2014年8月發佈了NIST SP 800-147B:伺服器BIOS保護指南
- 以及目前最重要的固件安全合規指南:2018年5月發佈了NIST SP 800-193:BIOS平臺固件彈性指南。
2021年5月26日,美國網路安全和基礎設施安全域(CISA)在RSA 2021大會上公開了VBOS(操作系統以下的漏洞)計劃,其目的是推動連同操作系統在內以及更底層元件的安全防護,雖然過去的15年固件層面的安全對抗從未停止,VBOS計劃是第一次把隱蔽戰爭放上了桌面。 2022年2月23日,美國國防部發佈美國資訊與通信技術的關鍵供應鏈評估報告以回應EO14017,報告中直接指出固件是最薄弱的環節。
歐洲方面,雖然並沒有像美國一樣有系統性的固件安全合規指南,但從幾個方面可以看到其重視程度:歐盟委員會自從2014年發起的“地平線2020”計劃中資助了大量的開源晶元和固件安全專案以提升生態的透明度進而更好的實施彈性(防護,檢測回應和恢復)方案,德國聯邦資訊安全辦公室(簡稱BSI) 多次公開的提到對開放固件的支持和跟進工作。 2019年,BSI認證了德國老牌安全廠商Genua GmbH的網路安全產品(編號:BSI-DSZ-CC-1085-2019)支持開放固件體系實現固件安全特性。 2021年10月,歐盟委員會開啟了針對消費級市場強制固件安全更新的立法程式,未來可能會擴展到其他領域比如工業4.0以及伺服器等。
中國對於保護關鍵性基礎設施方面於2021年4月27日通過了《關鍵資訊基礎設施安全保護條例》,並於2021年9月1日實施,條例中明確定義了關鍵資訊基礎設施的範疇包括“公共通信和資訊服務、能源、交通、 水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域“。 而關鍵性基礎設施高度依賴於基礎架構安全的保護。
在全球高級威脅防護的大趨勢下,基礎架構及平臺固件屬於整體防禦中核心的環節之一,本指南目的是為中國企事業單位和機構在構建資訊化整體防禦體系過程中作為技術參考,可作為涉密資訊系統、或高價值資訊化節點的技術性基線,對各應用單位尤其是重點防禦節點、關鍵資訊基礎設施等具有重要參考意義,推進中國資訊安全技術性合規更加全面。
草案階段經過專家組的評審併發佈,會繼續公開徵集意見和建議。
指南的建議和勘誤請聯繫:Shawn Chang: [email protected],張楠 [email protected]
致謝
感謝發佈單位,起草單位以及專家組的共同努力。
特別致敬的戰友、導師、逐鹿安全沙龍聯合贊助者、“塔防模式”設計師、縱深防禦實踐的演繹者黃晟先生(a.k.a “phreaker”,大軸,Joe)對系統安全風險評估中的複雜性威脅模型的指導以及對中國資訊安全領域的卓越貢獻。
本指南專家組成員:
韓文報,海南大學計算機與網路空間安全學院
李清寶,信息工程大學
張先國,中電科第三十研究所系統工程部
霍瑋,中國科學院信息工程研究所
魏強,信息工程大學
方華,中國網路安全聯盟
楊秋松,中國科學院軟件研究所
黃辰林,國防科技大學計算機學院
鍾益民,上交所技術有限責任公司
馮濤,上交所技術有限責任公司
成松林,北京戰儒科技有限公司
高詠濤,中國船舶集團有限公司第七十五研究所
吳龍飛,大唐高鴻信安
李冰,浪潮工業互聯網產業股份有限公司