固守信息安全最后防线：以终极安全为目标

申请免费试用、咨询电话：400-8352-114

中国已经错过了发展具有自主知识产权的CPU和操作系统的最好机会，因此，建立独立自主的可信计算技术体系是我国信息安全最后的防线。

目标：终极安全

传统的信息安全措施主要是堵漏洞、做高墙、防外攻等“老三样”，但最终的结果是防不胜防。产生这种局面的主要原因是我们没有去控制产生不安全问题的根源，而总是在外围进行封堵。所有的计算机入侵攻击都是从个人计算机终端上发起的：黑客利用被攻击系统的漏洞窃取超级用户权限，肆意进行破坏;注入病毒也是从终端发起的，病毒程序利用个人计算机操作系统对执行代码不检查一致性的弱点，将病毒代码嵌入到执行代码程序，从而造成病毒的传播;更为严重的是对合法的用户没有进行严格的访问控制，可以进行越权访问，造成了许多不安全事件。因此，我们应该以“防内为主、内外兼防”的模式，从提高使用节点自身的安全着手，构筑积极、综合的电脑安全防护系统。

要解决来自电脑内部的安全威胁，就需要建立一个信息的可信传递模式。只有实现终端的“可信”，才能从源头上解决人与程序之间、人与机器之间的信息安全传递。因此，“可信计算”成为信息安全发展的必由之路。

有别于传统的安全技术，可信计算技术从终端开始防范攻击。可信计算的主要指导思想是在硬件平台上引入安全芯片(称作可信平台模块——TPM)架构来提高终端系统的安全性，从而将部分或整个计算平台变为“可信”的计算平台。

可信计算平台的安全性根植于具有一定安全防护能力的安全硬件。它基于安全硬件实现隔离计算、计算环境完整性保证和远程安全性质证明等服务，以保证平台上计算实体行为的可信性，从而解决远程信任问题。其主要目的是通过增强现有的PC终端体系结构的安全性来保证整个计算机网络的安全。意义就是在计算机网络中搭建一个诚信体系，每个终端都具有合法的网络身份并能够被认可，而且终端具有对恶意代码(病毒、木马等)的免疫能力。

在这样的可信计算环境中，任何终端出现问题，都能保证合理取证，方便监控和管理。增加可信密码模块的可信计算机可以实现：抵御病毒攻击，识别假冒平台，盗取密钥不可行，受保护数据拷不走等功能。

中兴集成电路设计有限公司经理赵立生在接受采访时说：“可信计算可以理解为推动信息安全技术向第三阶段发展的一次革命。作为可信计算的基础，需要在每个终端平台上植入一个信任根，这是一种基于信任链的技术。建立一个信任链需要从BIOS到操作系统的内核，再到应用层，构建出每一层之间的可信任关系。当信任链形成后，就有机会实现第四阶段，即安全免疫计算时代。”

体现终端安全思想的可信技术已成为信息安全的重要组成部分。建立自主可信计算平台被专家们认为是有望从根本上解决信息安全问题的“良方”。而涉及可信计算的标准之争也成为影响国家安全及整个产业发展的重中之重。

TCM胜出

说到可信计算，就不能不提TPM安全芯片。所谓TPM安全芯片，是指符合TPM标准的安全芯片，它能有效地保护PC，防止非法用户访问。TPM标准由可信赖计算组织(Trusted Computing Group，TCG)制定。TCG的前身是多家IT巨头联合发起成立的可信赖运算平台联盟(TCPA)，在2003年3月，TCPA改组为可信赖计算组织。

TCG是专门致力于制定可信计算标准的非赢利性机构，它从安全的BIOS、安全的硬件、安全的操作系统、安全的网络连接等PC平台的各个方面入手，来重新构建一个可信的计算机平台标准，作为安全产业基础的TCG标准将渗透到IT各个领域。包括：PC平台(台式和笔记本)、手机平台、可信网络接入及应用中间件、服务器平台、存储系统、应用软件等所有环节。

TCG提出了TPM标准，目前最新版本为1.2。符合TPM标准的芯片首先必须具有产生加解密密匙的功能，此外还必须能够进行高速的资料加密和解密，以及充当保护BIOS和操作系统不被修改的辅助处理器。

尽管TCG是非赢利性机构，TPM的技术也是开放的，但由于掌握核心技术的仍是Microsoft、Intel、IBM等国际巨头，因此，采用TPM标准的安全设备会使国家信息安全面临巨大威胁。

从安全战略方面分析，如果采用国外的TPM技术，我国的安全体系就会控制在别人手上，中国将来的标准计算机上产生的所有信息对外国人来说将不存在秘密，这样安全技术的主导权，产业的主导权就更谈不上了。另外我们肯定要为该专利买单。因此，国内产业界、学术界发出共同的心声：必须要建立独立自主的可信计算技术体系和标准。只有我们拥有独立自主的可信计算技术体系，为国家信息安全基础建设打下坚实基础，才能保证未来我们有能力、有办法保护秘密，保护主权。只有掌握这些关键技术，才能提升我国信息安全核心竞争力。

虽然我国的信息化技术同国际先进技术相比，存在一定的差距。但是，中国和国际上其他组织几乎是同步在进行可信计算平台的研究和部署工作。其中，部署可信计算体系中，密码技术是最重要的核心技术。具体的方案是以密码算法为突破口，依据嵌入芯片技术，完全采用我国自主研发的密码算法和引擎来构建一个安全芯片，我们称之为可信密码模块(Trusted Cryptography Module，TCM)。

这是按照我国密码算法自主研制的、具有完全自主知识产权的可信计算标准产品。有业内人士表示，中国错过了发展具有自主知识产权的CPU和操作系统的机会，TCM是我国信息安全最后的防线。

同方股份有限公司超扬产品经理周桂彬对记者表示，现在电脑硬件和操作系统都由国外厂商控制，而我们所能做的是掌控运行规则。可信计算标准就是这个运行规则。对于国家来说，只有让国外软件、系统提供商按照中国的TCM可信计算标准来运行和受到控制，才谈得上信息安全。