固守信息安全最后防線：以終極安全為目標(biāo)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

中國已經(jīng)錯(cuò)過了發(fā)展具有自主知識(shí)產(chǎn)權(quán)的CPU和操作系統(tǒng)的最好機(jī)會(huì)，因此，建立獨(dú)立自主的可信計(jì)算技術(shù)體系是我國信息安全最后的防線。

目標(biāo)：終極安全

傳統(tǒng)的信息安全措施主要是堵漏洞、做高墻、防外攻等“老三樣”，但最終的結(jié)果是防不勝防。產(chǎn)生這種局面的主要原因是我們沒有去控制產(chǎn)生不安全問題的根源，而總是在外圍進(jìn)行封堵。所有的計(jì)算機(jī)入侵攻擊都是從個(gè)人計(jì)算機(jī)終端上發(fā)起的：黑客利用被攻擊系統(tǒng)的漏洞竊取超級(jí)用戶權(quán)限，肆意進(jìn)行破壞;注入病毒也是從終端發(fā)起的，病毒程序利用個(gè)人計(jì)算機(jī)操作系統(tǒng)對(duì)執(zhí)行代碼不檢查一致性的弱點(diǎn)，將病毒代碼嵌入到執(zhí)行代碼程序，從而造成病毒的傳播;更為嚴(yán)重的是對(duì)合法的用戶沒有進(jìn)行嚴(yán)格的訪問控制，可以進(jìn)行越權(quán)訪問，造成了許多不安全事件。因此，我們應(yīng)該以“防內(nèi)為主、內(nèi)外兼防”的模式，從提高使用節(jié)點(diǎn)自身的安全著手，構(gòu)筑積極、綜合的電腦安全防護(hù)系統(tǒng)。

要解決來自電腦內(nèi)部的安全威脅，就需要建立一個(gè)信息的可信傳遞模式。只有實(shí)現(xiàn)終端的“可信”，才能從源頭上解決人與程序之間、人與機(jī)器之間的信息安全傳遞。因此，“可信計(jì)算”成為信息安全發(fā)展的必由之路。

有別于傳統(tǒng)的安全技術(shù)，可信計(jì)算技術(shù)從終端開始防范攻擊。可信計(jì)算的主要指導(dǎo)思想是在硬件平臺(tái)上引入安全芯片(稱作可信平臺(tái)模塊——TPM)架構(gòu)來提高終端系統(tǒng)的安全性，從而將部分或整個(gè)計(jì)算平臺(tái)變?yōu)椤翱尚拧钡挠?jì)算平臺(tái)。

可信計(jì)算平臺(tái)的安全性根植于具有一定安全防護(hù)能力的安全硬件。它基于安全硬件實(shí)現(xiàn)隔離計(jì)算、計(jì)算環(huán)境完整性保證和遠(yuǎn)程安全性質(zhì)證明等服務(wù)，以保證平臺(tái)上計(jì)算實(shí)體行為的可信性，從而解決遠(yuǎn)程信任問題。其主要目的是通過增強(qiáng)現(xiàn)有的PC終端體系結(jié)構(gòu)的安全性來保證整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的安全。意義就是在計(jì)算機(jī)網(wǎng)絡(luò)中搭建一個(gè)誠信體系，每個(gè)終端都具有合法的網(wǎng)絡(luò)身份并能夠被認(rèn)可，而且終端具有對(duì)惡意代碼(病毒、木馬等)的免疫能力。

在這樣的可信計(jì)算環(huán)境中，任何終端出現(xiàn)問題，都能保證合理取證，方便監(jiān)控和管理。增加可信密碼模塊的可信計(jì)算機(jī)可以實(shí)現(xiàn)：抵御病毒攻擊，識(shí)別假冒平臺(tái)，盜取密鑰不可行，受保護(hù)數(shù)據(jù)拷不走等功能。

中興集成電路設(shè)計(jì)有限公司經(jīng)理趙立生在接受采訪時(shí)說：“可信計(jì)算可以理解為推動(dòng)信息安全技術(shù)向第三階段發(fā)展的一次革命。作為可信計(jì)算的基礎(chǔ)，需要在每個(gè)終端平臺(tái)上植入一個(gè)信任根，這是一種基于信任鏈的技術(shù)。建立一個(gè)信任鏈需要從BIOS到操作系統(tǒng)的內(nèi)核，再到應(yīng)用層，構(gòu)建出每一層之間的可信任關(guān)系。當(dāng)信任鏈形成后，就有機(jī)會(huì)實(shí)現(xiàn)第四階段，即安全免疫計(jì)算時(shí)代?！?/P>

體現(xiàn)終端安全思想的可信技術(shù)已成為信息安全的重要組成部分。建立自主可信計(jì)算平臺(tái)被專家們認(rèn)為是有望從根本上解決信息安全問題的“良方”。而涉及可信計(jì)算的標(biāo)準(zhǔn)之爭也成為影響國家安全及整個(gè)產(chǎn)業(yè)發(fā)展的重中之重。

TCM勝出

說到可信計(jì)算，就不能不提TPM安全芯片。所謂TPM安全芯片，是指符合TPM標(biāo)準(zhǔn)的安全芯片，它能有效地保護(hù)PC，防止非法用戶訪問。TPM標(biāo)準(zhǔn)由可信賴計(jì)算組織(Trusted Computing Group，TCG)制定。TCG的前身是多家IT巨頭聯(lián)合發(fā)起成立的可信賴運(yùn)算平臺(tái)聯(lián)盟(TCPA)，在2003年3月，TCPA改組為可信賴計(jì)算組織。

TCG是專門致力于制定可信計(jì)算標(biāo)準(zhǔn)的非贏利性機(jī)構(gòu)，它從安全的BIOS、安全的硬件、安全的操作系統(tǒng)、安全的網(wǎng)絡(luò)連接等PC平臺(tái)的各個(gè)方面入手，來重新構(gòu)建一個(gè)可信的計(jì)算機(jī)平臺(tái)標(biāo)準(zhǔn)，作為安全產(chǎn)業(yè)基礎(chǔ)的TCG標(biāo)準(zhǔn)將滲透到IT各個(gè)領(lǐng)域。包括：PC平臺(tái)(臺(tái)式和筆記本)、手機(jī)平臺(tái)、可信網(wǎng)絡(luò)接入及應(yīng)用中間件、服務(wù)器平臺(tái)、存儲(chǔ)系統(tǒng)、應(yīng)用軟件等所有環(huán)節(jié)。

TCG提出了TPM標(biāo)準(zhǔn)，目前最新版本為1.2。符合TPM標(biāo)準(zhǔn)的芯片首先必須具有產(chǎn)生加解密密匙的功能，此外還必須能夠進(jìn)行高速的資料加密和解密，以及充當(dāng)保護(hù)BIOS和操作系統(tǒng)不被修改的輔助處理器。

盡管TCG是非贏利性機(jī)構(gòu)，TPM的技術(shù)也是開放的，但由于掌握核心技術(shù)的仍是Microsoft、Intel、IBM等國際巨頭，因此，采用TPM標(biāo)準(zhǔn)的安全設(shè)備會(huì)使國家信息安全面臨巨大威脅。

從安全戰(zhàn)略方面分析，如果采用國外的TPM技術(shù)，我國的安全體系就會(huì)控制在別人手上，中國將來的標(biāo)準(zhǔn)計(jì)算機(jī)上產(chǎn)生的所有信息對(duì)外國人來說將不存在秘密，這樣安全技術(shù)的主導(dǎo)權(quán)，產(chǎn)業(yè)的主導(dǎo)權(quán)就更談不上了。另外我們肯定要為該專利買單。因此，國內(nèi)產(chǎn)業(yè)界、學(xué)術(shù)界發(fā)出共同的心聲：必須要建立獨(dú)立自主的可信計(jì)算技術(shù)體系和標(biāo)準(zhǔn)。只有我們擁有獨(dú)立自主的可信計(jì)算技術(shù)體系，為國家信息安全基礎(chǔ)建設(shè)打下堅(jiān)實(shí)基礎(chǔ)，才能保證未來我們有能力、有辦法保護(hù)秘密，保護(hù)主權(quán)。只有掌握這些關(guān)鍵技術(shù)，才能提升我國信息安全核心競爭力。

雖然我國的信息化技術(shù)同國際先進(jìn)技術(shù)相比，存在一定的差距。但是，中國和國際上其他組織幾乎是同步在進(jìn)行可信計(jì)算平臺(tái)的研究和部署工作。其中，部署可信計(jì)算體系中，密碼技術(shù)是最重要的核心技術(shù)。具體的方案是以密碼算法為突破口，依據(jù)嵌入芯片技術(shù)，完全采用我國自主研發(fā)的密碼算法和引擎來構(gòu)建一個(gè)安全芯片，我們稱之為可信密碼模塊(Trusted Cryptography Module，TCM)。

這是按照我國密碼算法自主研制的、具有完全自主知識(shí)產(chǎn)權(quán)的可信計(jì)算標(biāo)準(zhǔn)產(chǎn)品。有業(yè)內(nèi)人士表示，中國錯(cuò)過了發(fā)展具有自主知識(shí)產(chǎn)權(quán)的CPU和操作系統(tǒng)的機(jī)會(huì)，TCM是我國信息安全最后的防線。

同方股份有限公司超揚(yáng)產(chǎn)品經(jīng)理周桂彬?qū)τ浾弑硎?，現(xiàn)在電腦硬件和操作系統(tǒng)都由國外廠商控制，而我們所能做的是掌控運(yùn)行規(guī)則。可信計(jì)算標(biāo)準(zhǔn)就是這個(gè)運(yùn)行規(guī)則。對(duì)于國家來說，只有讓國外軟件、系統(tǒng)提供商按照中國的TCM可信計(jì)算標(biāo)準(zhǔn)來運(yùn)行和受到控制，才談得上信息安全。