为什么需要可信计算（转）--梦飞翔的地方(梦翔天空)

载入中。。。 'S bLog

载入中。。。

为什么需要可信计算（转）

[ 2009/7/1 20:10:00 | By: 梦翔儿 ]

前言
当前，信息安全、网络安全和个人计算机的安全是一个迫切需要解决的问题，越来越多的用户开始从传统的被动的“防”、“堵”等安全手段向积极防御的“可信计算”过渡。当前大部分信息安全系统主要是由防火墙、入侵监测和病毒防范等组成，这些常规的安全手段只能是以共享信息资源为中心，在外围对非法用户和越权访问进行封堵，以达到防止外部攻击的目的，对共享源的访问者源端不加控制。恶意用户的攻击手段越来越高明，防护者只能将防火墙越“砌”越高、入侵检测越做越复杂、恶意代码库越做越大，从而导致误报率增多、安全投入不断增加、维护与管理更加复杂和难以实施以及信息系统的使用效率大大降低。

1.防火墙的作用
置于不同网络安全域之间，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。防火墙只是简单的给用户提供一种判定机制，即用户可自己选择是否运行程序，但该程序是否安全，防火墙无法做出判断，因此无法防止恶意程序的攻击。如图1所示：

                   图1 ：防火墙原理图
2.入侵检测系统的作用
入侵检测系统(Intrusion Detection System)通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统中最关键的就�**菇ㄈ肭中形卣骺猓捎谀壳懊挥幸恢趾玫幕评磁卸隙褚庑形虼酥荒芊乐共糠值亩褚庑形Ｍ�2 为入侵检测的流程图，图3为可检测到的部分攻击类型

                        图2：入侵检测的流程图

                     图3：可检测到的攻击类型

4总结
恶意用户的攻击手段变化多端,防护者只能:
防火墙越砌越高
入侵检测越做越复杂
恶意代码库越做越大
导致：
误报率增多，
安全投入不断增加
维护与管理更加复杂和难以实施
信息系统的使用效率大大降低
对新的攻击入侵毫无防御能力（如冲击波）
反思：老三样、堵漏洞、作高墙、防外攻、防不胜防

产生这种局面的主要原因是不去控制发生不安全问题的根源，而仅在外围进行封堵。入侵攻击的源头是PC终端上，黑客利用被攻击系统的漏洞窃取超级用户权限，肆意进行破坏；注入病毒也是从终端发起的，病毒程序利用PC操作系统在执行代码时不检查其一致性的弱点，将病毒代码嵌入到执行代码程序，实现病毒传播；更为严重的是终端对用户没有进行严格的访问控制，侵入者可以进行越权访问，造成不安全事故。
如果从终端操作平台就开始实施高等级防范，这些不安全因素将从终端源头被控制。为了解决PC机结构上的不安全，从根本上提高其安全性，在世界范围内推行可信计算技术，1999年由Compaq、HP、IBM、Intel和Microsoft牵头组织TCPA( Trusted Computing Platform Alliance)，目前已发展成员190家，遍布全球各大洲主力厂商。TCPA专注于从计算平台体系结构上增强其安全性，并于2001年1月发布了可信计算平台标准规范（v1.1）。2003年3月TCPA改组为TCG(Trusted Computing Group)，其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。

5.TPM优越的安全特性
可信计算以及相似概念所受到的推崇，究其根本源自于日益复杂的计算环境中层出不穷的安全威胁，传统的安全保护方法无论从构架还是从强度上来看已经力有未逮。目前业内的安全解决方案往往侧重于先防外后防内、先防服务设施后防终端设施，而可信计算则反其道而行之，首先保证所有终端的安全性。
可信计算技术是针对目前计算系统不能从根本上解决安全问题而提出的，通过在计算系统中集成专用硬件模块建立信任源点，利用密码机制建立信任链，构建可信赖的计算环境，使从根本上解决计算安全问题成为可能。可信计算的核心是称为TPM（可信平台模块）的安全芯片，作为可信计算技术的底层核心固件，TPM被业内喻为安全PC产业链的“信任原点”。在实际应用中，TPM安全芯片被嵌入到PC主板之上，可为平台提供完整性度量与验证，数据安全保护和身份认证等功能。
通过完整性度量与验证，保证PC从加电时刻起，一直到在其上运行的每一个硬件、操作系统以及应用软件都是可信得。
通过数据安全保护，给各种应用提供基于硬件的存储，从根上保证数据的安全，同时通过数据封装等功能实现数据与平台的绑定，比如用户丢了笔记本电脑，即使别人通过安装其它的操作系统查看到磁盘，但由于磁盘数据已经与平台绑定，而平台的信息已经发生了变化，因此其它用户也无法获取磁盘数据。微软的最新操作系统vista中提供的磁盘保护工具bitlocker就是基于数据封装实现磁盘数据的安全保护。
通过身份认证，向外部实体提供系统平台身份证明和应用身份证明服务。现有的计算机在网络上是依靠不固定的也不唯一的IP 地址进行活动，导致网络黑客泛滥和用户信用不足。而具备由权威机构颁发的唯一的身份证书的可信计算平台具备在网络上的唯一的身份标识，从而为电子商务之类的系统应用奠定信用基础，对互联网的应用具有巨大的促进作用。
5、市场分析
可信计算概念的提出到发展在全球也就几年左右的时间，这几年时间正是信息安全技术得以飞速发展，呈现令人眼花缭乱局面的重要时期。面对层出不穷的信息威胁和攻击，以往的防范措施不断累加，依然不尽如人意。专家们分析认为，旧有的防御手段在体系设计上就存在着一些问题，可信计算的设计思想必将成为国际信息安全发展的主流。
据艾瑞数据分析，全球的信息安全发展速度正在以每年%以上的数值增长。据IDC的另一项研究结果显示，到2007年，全球所有PC中将有% 都会加上安全芯片和可信软件；

转自：http://sec.hebei.com.cn/blog_read.do?postID=182

阅读全文 | 回复(0) | 引用通告 | 编辑

标签：可信计算

上一篇：winxp vista/win7 有线网卡，无线网卡共享上网的方案
下一篇：[新闻]我国可信计算将走强（转）

发表评论：

梦翔儿网站梦飞翔的地方 http://www.dreamflier.net
中华人民共和国信息产业部TCP/IP系统备案序号：辽ICP备09000550号