[周报全文]固守信息安全的最后防线

查看评论  发表评论2008年08月20日 09:15分         作者：     来源：

可信平台固若金汤

2007年底，我国可信密码模块芯片的问世，以及2008年初可信计算密码技术规范之一《可信计算密码支撑平台功能与接口规范》、《含有密码技术的信息产品政府采购规定》等法规政策的颁布，为解决目前的安全难题打下了坚实基础。

TCM由长城、中兴、联想、同方、方正、兆日等十二家厂商联合推出，得到国家密码管理局的大力支持，TCM安全芯片在系统平台中的作用是为系统平台和软件提供基础的安全服务，建立更为安全可靠的系统平台环境。以可信密码模块为基础，中间通过TCM的服务模块来构建可信计算的密码支撑平台。最终，在这个平台中形成了可以有效防御恶意攻击，支撑计算机在整个运行过程中的三个安全体系：第一，防御病毒攻击的体系，通过一种可信链来防御攻击；第二，建立一个可信的身份体系，识别假冒的平台；第三，高安全性的数据保护体系，使数据能够密封在非常安全的一个区域中，达到非法用户进不来，保密数据无泄露的目的。

瑞达信息安全产业股份有限公司市场总监朱凌云形象地描绘了可信计算在信息安全中的作用：进不去、看不见、拿不走和赖不掉。

进不去：电脑现有的用户密码容易被破解，而插卡开机的电脑需要IC卡和用户账户双重认证。看不见：安全计算机所有的“文件保密柜”通过加密算法，使其他用户无法看见自己“保密柜”里的文件。拿不走：禁用USB等端口，堵住窃取资料的主要途径。赖不掉：审计日记精确而又不可篡改，发生事情时可以迅速找出责任人。

TCM安全芯片通过三个主要功能保护用户的数据信息。首先是保证平台的可信性。也就是在开机的时候，安全芯片就会监控应用程序的装载，如果发现某程序已被篡改，该软件就不能启动了；第二是用户身份的唯一性。TCM芯片里有一个标识平台身份的密钥，如果我们在浏览网页的时候一旦需要身份验证，芯片就会通过签名或者数字证书的相关机制，向外界表明自己的身份，而且标识号是全球唯一的，这样就很好地实现了用户身份的可管理性；第三个功能就是加密保护。经过TCM芯片进行加密后的数据，就只能在该平台上解密、处理，即便别人获得失主的密钥，拿到别的平台上也无法解开。因为TCM芯片中加入了指纹的指令。

对用户来说，这三种功能在运行时是透明的，并不会加大用户的操作难度。

编看编想

除了TCM，我们别无选择

可信计算模块里包含密码算法，芯片和密码算法可以分别看成信息安全大门的锁和钥匙。世界上所有装有TPM芯片的电脑都是由TCG提供安全锁和钥匙的。

由于可信计算芯片有校验功能，芯片和机器一一对应，相当于给每个设备上户口。人的户口是由公安局来管理，如果我国的金融、政府等领域使用有TPM的电脑，那么相当于中国设备的户口由国外TCG来管理，哪台机器由哪个部门使用，TCG可能比我们自己都清楚。

可信计算芯片还有信息搜集功能，如果说没有TPM的时代，只能是一些单打独斗的偷盗行为，要想获取成千上万台电脑终端的所有信息几乎是不可能的。那么有了TPM之后，大规模的信息掠夺已经成为了可能。

虽然我们使用的操作系统、CPU、搜索引擎等都是国外的技术，但我们只要建立独立自主的可信计算技术体系和标准，研发生产自主知识产权的可信计算芯片，即可掌控信息主权。发展自主知识产权的可信计算是我国信息安全的最后一块阵地。

关键字：