固守信息安全的最后防线

　　作者: 边歆, 　出处:网界网,　责任编辑: 张宾,　 2008-09-08 02:30

　　中国已经错过了发展具有自主知识产权的CPU和操作系统的最好机会，因此，建立独立自主的可信计算技术体系是我国信息安全最后的防线。

　　目标：终极安全

　　传统的信息安全措施主要是堵漏洞、做高墙、防外攻等“老三样”，但最终的结果是防不胜防。产生这种局面的主要原因是我们没有去控制产生不安全问题的根源，而总是在外围进行封堵。所有的计算机入侵攻击都是从个人计算机终端上发起的：黑客利用被攻击系统的漏洞窃取超级用户权限，肆意进行破坏;注入病毒也是从终端发起的，病毒程序利用个人计算机操作系统对执行代码不检查一致性的弱点，将病毒代码嵌入到执行代码程序，从而造成病毒的传播;更为严重的是对合法的用户没有进行严格的访问控制，可以进行越权访问，造成了许多不安全事件。因此，我们应该以“防内为主、内外兼防”的模式，从提高使用节点自身的安全着手，构筑积极、综合的电脑安全防护系统。

　　要解决来自电脑内部的安全威胁，就需要建立一个信息的可信传递模式。只有实现终端的“可信”，才能从源头上解决人与程序之间、人与机器之间的信息安全传递。因此，“可信计算”成为信息安全发展的必由之路。

　　有别于传统的安全技术，可信计算技术从终端开始防范攻击。可信计算的主要指导思想是在硬件平台上引入安全芯片(称作可信平台模块——TPM)架构来提高终端系统的安全性，从而将部分或整个计算平台变为“可信”的计算平台。

　　可信计算平台的安全性根植于具有一定安全防护能力的安全硬件。它基于安全硬件实现隔离计算、计算环境完整性保证和远程安全性质证明等服务，以保证平台上计算实体行为的可信性，从而解决远程信任问题。其主要目的是通过增强现有的PC终端体系结构的安全性来保证整个计算机网络的安全。意义就是在计算机网络中搭建一个诚信体系，每个终端都具有合法的网络身份并能够被认可，而且终端具有对恶意代码(病毒、木马等)的免疫能力。

　　在这样的可信计算环境中，任何终端出现问题，都能保证合理取证，方便监控和管理。增加可信密码模块的可信计算机可以实现：抵御病毒攻击，识别假冒平台，盗取密钥不可行，受保护数据拷不走等功能。

　　中兴集成电路设计有限公司经理赵立生在接受采访时说：“可信计算可以理解为推动信息安全技术向第三阶段发展的一次革命。作为可信计算的基础，需要在每个终端平台上植入一个信任根，这是一种基于信任链的技术。建立一个信任链需要从BIOS到操作系统的内核，再到应用层，构建出每一层之间的可信任关系。当信任链形成后，就有机会实现第四阶段，即安全免疫计算时代。”

　　体现终端安全思想的可信技术已成为信息安全的重要组成部分。建立自主可信计算平台被专家们认为是有望从根本上解决信息安全问题的“良方”。而涉及可信计算的标准之争也成为影响国家安全及整个产业发展的重中之重。

　　IT专家网搜索搜 索

　　您现在的位置： IT专家网>网络子站>网络资讯

　　固守信息安全的最后防线

　　作者: 边歆, 　出处:网界网,　责任编辑: 张宾,　 2008-09-08 02:30

　　中国已经错过了发展具有自主知识产权的CPU和操作系统的最好机会，因此，建立独立自主的可信计算技术体系是我国信息安全最后的防线。

　　TCM胜出

　　说到可信计算，就不能不提TPM安全芯片。所谓TPM安全芯片，是指符合TPM标准的安全芯片，它能有效地保护PC，防止非法用户访问。TPM标准由可信赖计算组织(Trusted Computing Group，TCG)制定。TCG的前身是多家IT巨头联合发起成立的可信赖运算平台联盟(TCPA)，在2003年3月，TCPA改组为可信赖计算组织。

　　TCG是专门致力于制定可信计算标准的非赢利性机构，它从安全的BIOS、安全的硬件、安全的操作系统、安全的网络连接等PC平台的各个方面入手，来重新构建一个可信的计算机平台标准，作为安全产业基础的TCG标准将渗透到IT各个领域。包括：PC平台(台式和笔记本)、手机平台、可信网络接入及应用中间件、服务器平台、存储系统、应用软件等所有环节。

　　TCG提出了TPM标准，目前最新版本为1.2。符合TPM标准的芯片首先必须具有产生加解密密匙的功能，此外还必须能够进行高速的资料加密和解密，以及充当保护BIOS和操作系统不被修改的辅助处理器。

　　尽管TCG是非赢利性机构，TPM的技术也是开放的，但由于掌握核心技术的仍是Microsoft、Intel、IBM等国际巨头，因此，采用TPM标准的安全设备会使国家信息安全面临巨大威胁。

　　从安全战略方面分析，如果采用国外的TPM技术，我国的安全体系就会控制在别人手上，中国将来的标准计算机上产生的所有信息对外国人来说将不存在秘密，这样安全技术的主导权，产业的主导权就更谈不上了。另外我们肯定要为该专利买单。因此，国内产业界、学术界发出共同的心声：必须要建立独立自主的可信计算技术体系和标准。只有我们拥有独立自主的可信计算技术体系，为国家信息安全基础建设打下坚实基础，才能保证未来我们有能力、有办法保护秘密，保护主权。只有掌握这些关键技术，才能提升我国信息安全核心竞争力。

　　虽然我国的信息化技术同国际先进技术相比，存在一定的差距。但是，中国和国际上其他组织几乎是同步在进行可信计算平台的研究和部署工作。其中，部署可信计算体系中，密码技术是最重要的核心技术。具体的方案是以密码算法为突破口，依据嵌入芯片技术，完全采用我国自主研发的密码算法和引擎来构建一个安全芯片，我们称之为可信密码模块(Trusted Cryptography Module，TCM)。

　　这是按照我国密码算法自主研制的、具有完全自主知识产权的可信计算标准产品。有业内人士表示，中国错过了发展具有自主知识产权的CPU和操作系统的机会，TCM是我国信息安全最后的防线。

　　同方股份有限公司超扬产品经理周桂彬对记者表示，现在电脑硬件和操作系统都由国外厂商控制，而我们所能做的是掌控运行规则。可信计算标准就是这个运行规则。对于国家来说，只有让国外软件、系统提供商按照中国的TCM可信计算标准来运行和受到控制，才谈得上信息安全。

　　共3页。 9123:

　　本文关键词：

　　网友评论

　　登录 取消

　　笔名

　　请输入评论

　　请您注意：遵守国家有关法律、法规，尊重网上道德，承担一切因您的行为而直接或间接引起的法律责任。 IT专家网友拥有管理笔名和留言的一切权利。

　　作者: 边歆, 　出处:网界网,　责任编辑: 张宾,　 2008-09-08 02:30

　　中国已经错过了发展具有自主知识产权的CPU和操作系统的最好机会，因此，建立独立自主的可信计算技术体系是我国信息安全最后的防线。

　　可信平台固若金汤

　　2007年底，我国可信密码模块芯片的问世，以及2008年初可信计算密码技术规范之一《可信计算密码支撑平台功能与接口规范》、《含有密码技术的信息产品政府采购规定》等法规政策的颁布，为解决目前的安全难题打下了坚实基础。

　　TCM由长城、中兴、联想、同方、方正、兆日等十二家厂商联合推出，得到国家密码管理局的大力支持，TCM安全芯片在系统平台中的作用是为系统平台和软件提供基础的安全服务，建立更为安全可靠的系统平台环境。以可信密码模块为基础，中间通过TCM的服务模块来构建可信计算的密码支撑平台。最终，在这个平台中形成了可以有效防御恶意攻击，支撑计算机在整个运行过程中的三个安全体系：第一，防御病毒攻击的体系，通过一种可信链来防御攻击;第二，建立一个可信的身份体系，识别假冒的平台;第三，高安全性的数据保护体系，使数据能够密封在非常安全的一个区域中，达到非法用户进不来，保密数据无泄露的目的。

　　瑞达信息安全产业股份有限公司市场总监朱凌云形象地描绘了可信计算在信息安全中的作用：进不去、看不见、拿不走和赖不掉。

　　进不去：电脑现有的用户密码容易被破解，而插卡开机的电脑需要IC卡和用户账户双重认证。看不见：安全计算机所有的“文件保密柜”通过加密算法，使其他用户无法看见自己“保密柜”里的文件。拿不走：禁用USB等端口，堵住窃取资料的主要途径。赖不掉：审计日记精确而又不可篡改，发生事情时可以迅速找出责任人。

　　TCM安全芯片通过三个主要功能保护用户的数据信息。首先是保证平台的可信性。也就是在开机的时候，安全芯片就会监控应用程序的装载，如果发现某程序已被篡改，该软件就不能启动了;第二是用户身份的唯一性。TCM芯片里有一个标识平台身份的密钥，如果我们在浏览网页的时候一旦需要身份验证，芯片就会通过签名或者数字证书的相关机制，向外界表明自己的身份，而且标识号是全球唯一的，这样就很好地实现了用户身份的可管理性;第三个功能就是加密保护。经过TCM芯片进行加密后的数据，就只能在该平台上解密、处理，即便别人获得失主的密钥，拿到别的平台上也无法解开。因为TCM芯片中加入了指纹的指令。

　　对用户来说，这三种功能在运行时是透明的，并不会加大用户的操作难度。

　　编看编想

　　除了TCM，我们别无选择

　　可信计算模块里包含密码算法，芯片和密码算法可以分别看成信息安全大门的锁和钥匙。世界上所有装有TPM芯片的电脑都是由TCG提供安全锁和钥匙的。

　　由于可信计算芯片有校验功能，芯片和机器一一对应，相当于给每个设备上户口。人的户口是由公安局来管理，如果我国的金融、政府等领域使用有TPM的电脑，那么相当于中国设备的户口由国外TCG来管理，哪台机器由哪个部门使用，TCG可能比我们自己都清楚。

　　可信计算芯片还有信息搜集功能，如果说没有TPM的时代，只能是一些单打独斗的偷盗行为，要想获取成千上万台电脑终端的所有信息几乎是不可能的。那么有了TPM之后，大规模的信息掠夺已经成为了可能。

　　虽然我们使用的操作系统、CPU、搜索引擎等都是国外的技术，但我们只要建立独立自主的可信计算技术体系和标准，研发生产自主知识产权的可信计算芯片，即可掌控信息主权。发展自主知识产权的可信计算是我国信息安全的最后一块阵地。