固守信息安全最后防線：以終極安全為目標

申請免費試用、咨詢電話：400-8352-114

中國已經錯過了發(fā)展具有自主知識產權的CPU和操作系統(tǒng)的最好機會，因此，建立獨立自主的可信計算技術體系是我國信息安全最后的防線。

目標：終極安全

傳統(tǒng)的信息安全措施主要是堵漏洞、做高墻、防外攻等“老三樣”，但最終的結果是防不勝防。產生這種局面的主要原因是我們沒有去控制產生不安全問題的根源，而總是在外圍進行封堵。所有的計算機入侵攻擊都是從個人計算機終端上發(fā)起的：黑客利用被攻擊系統(tǒng)的漏洞竊取超級用戶權限，肆意進行破壞;注入病毒也是從終端發(fā)起的，病毒程序利用個人計算機操作系統(tǒng)對執(zhí)行代碼不檢查一致性的弱點，將病毒代碼嵌入到執(zhí)行代碼程序，從而造成病毒的傳播;更為嚴重的是對合法的用戶沒有進行嚴格的訪問控制，可以進行越權訪問，造成了許多不安全事件。因此，我們應該以“防內為主、內外兼防”的模式，從提高使用節(jié)點自身的安全著手，構筑積極、綜合的電腦安全防護系統(tǒng)。

要解決來自電腦內部的安全威脅，就需要建立一個信息的可信傳遞模式。只有實現(xiàn)終端的“可信”，才能從源頭上解決人與程序之間、人與機器之間的信息安全傳遞。因此，“可信計算”成為信息安全發(fā)展的必由之路。

有別于傳統(tǒng)的安全技術，可信計算技術從終端開始防范攻擊?？尚庞嬎愕闹饕笇枷胧窃谟布脚_上引入安全芯片(稱作可信平臺模塊——TPM)架構來提高終端系統(tǒng)的安全性，從而將部分或整個計算平臺變?yōu)椤翱尚拧钡挠嬎闫脚_。

可信計算平臺的安全性根植于具有一定安全防護能力的安全硬件。它基于安全硬件實現(xiàn)隔離計算、計算環(huán)境完整性保證和遠程安全性質證明等服務，以保證平臺上計算實體行為的可信性，從而解決遠程信任問題。其主要目的是通過增強現(xiàn)有的PC終端體系結構的安全性來保證整個計算機網絡的安全。意義就是在計算機網絡中搭建一個誠信體系，每個終端都具有合法的網絡身份并能夠被認可，而且終端具有對惡意代碼(病毒、木馬等)的免疫能力。

在這樣的可信計算環(huán)境中，任何終端出現(xiàn)問題，都能保證合理取證，方便監(jiān)控和管理。增加可信密碼模塊的可信計算機可以實現(xiàn)：抵御病毒攻擊，識別假冒平臺，盜取密鑰不可行，受保護數(shù)據拷不走等功能。

中興集成電路設計有限公司經理趙立生在接受采訪時說：“可信計算可以理解為推動信息安全技術向第三階段發(fā)展的一次革命。作為可信計算的基礎，需要在每個終端平臺上植入一個信任根，這是一種基于信任鏈的技術。建立一個信任鏈需要從BIOS到操作系統(tǒng)的內核，再到應用層，構建出每一層之間的可信任關系。當信任鏈形成后，就有機會實現(xiàn)第四階段，即安全免疫計算時代?！?/P>

體現(xiàn)終端安全思想的可信技術已成為信息安全的重要組成部分。建立自主可信計算平臺被專家們認為是有望從根本上解決信息安全問題的“良方”。而涉及可信計算的標準之爭也成為影響國家安全及整個產業(yè)發(fā)展的重中之重。

TCM勝出

說到可信計算，就不能不提TPM安全芯片。所謂TPM安全芯片，是指符合TPM標準的安全芯片，它能有效地保護PC，防止非法用戶訪問。TPM標準由可信賴計算組織(Trusted Computing Group，TCG)制定。TCG的前身是多家IT巨頭聯(lián)合發(fā)起成立的可信賴運算平臺聯(lián)盟(TCPA)，在2003年3月，TCPA改組為可信賴計算組織。

TCG是專門致力于制定可信計算標準的非贏利性機構，它從安全的BIOS、安全的硬件、安全的操作系統(tǒng)、安全的網絡連接等PC平臺的各個方面入手，來重新構建一個可信的計算機平臺標準，作為安全產業(yè)基礎的TCG標準將滲透到IT各個領域。包括：PC平臺(臺式和筆記本)、手機平臺、可信網絡接入及應用中間件、服務器平臺、存儲系統(tǒng)、應用軟件等所有環(huán)節(jié)。

TCG提出了TPM標準，目前最新版本為1.2。符合TPM標準的芯片首先必須具有產生加解密密匙的功能，此外還必須能夠進行高速的資料加密和解密，以及充當保護BIOS和操作系統(tǒng)不被修改的輔助處理器。

盡管TCG是非贏利性機構，TPM的技術也是開放的，但由于掌握核心技術的仍是Microsoft、Intel、IBM等國際巨頭，因此，采用TPM標準的安全設備會使國家信息安全面臨巨大威脅。

從安全戰(zhàn)略方面分析，如果采用國外的TPM技術，我國的安全體系就會控制在別人手上，中國將來的標準計算機上產生的所有信息對外國人來說將不存在秘密，這樣安全技術的主導權，產業(yè)的主導權就更談不上了。另外我們肯定要為該專利買單。因此，國內產業(yè)界、學術界發(fā)出共同的心聲：必須要建立獨立自主的可信計算技術體系和標準。只有我們擁有獨立自主的可信計算技術體系，為國家信息安全基礎建設打下堅實基礎，才能保證未來我們有能力、有辦法保護秘密，保護主權。只有掌握這些關鍵技術，才能提升我國信息安全核心競爭力。

雖然我國的信息化技術同國際先進技術相比，存在一定的差距。但是，中國和國際上其他組織幾乎是同步在進行可信計算平臺的研究和部署工作。其中，部署可信計算體系中，密碼技術是最重要的核心技術。具體的方案是以密碼算法為突破口，依據嵌入芯片技術，完全采用我國自主研發(fā)的密碼算法和引擎來構建一個安全芯片，我們稱之為可信密碼模塊(Trusted Cryptography Module，TCM)。

這是按照我國密碼算法自主研制的、具有完全自主知識產權的可信計算標準產品。有業(yè)內人士表示，中國錯過了發(fā)展具有自主知識產權的CPU和操作系統(tǒng)的機會，TCM是我國信息安全最后的防線。

同方股份有限公司超揚產品經理周桂彬對記者表示，現(xiàn)在電腦硬件和操作系統(tǒng)都由國外廠商控制，而我們所能做的是掌控運行規(guī)則。可信計算標準就是這個運行規(guī)則。對于國家來說，只有讓國外軟件、系統(tǒng)提供商按照中國的TCM可信計算標準來運行和受到控制，才談得上信息安全。