可信計(jì)算

目前大部分網(wǎng)絡(luò)安全系統(tǒng)主要由防火墻、檢測(cè)、病毒防范等組成。這種常規(guī)的安全手段只能在網(wǎng)絡(luò)層、邊界層設(shè)防，在外圍對(duì)用戶和越權(quán)訪問(wèn)進(jìn)行封堵，以達(dá)到防止外部攻擊的目的。由于這些安全手段缺少對(duì)訪問(wèn)者源端—客戶機(jī)的控制，加之操作系統(tǒng)的不安全導(dǎo)致應(yīng)用系統(tǒng)的各種漏洞層出不窮，其防護(hù)效果正越來(lái)越不理想。

如果有問(wèn)題歡迎 來(lái)咨詢！?。。。。。。?！

可信計(jì)算發(fā)展概括

早在20世紀(jì)60年代，為了提高硬件設(shè)備的安全性，人們?cè)O(shè)計(jì)了具有高可靠性的可信電路，可信的概念開(kāi)始萌芽。到20世紀(jì)70年代初期，Anderson提出來(lái)了可信系統(tǒng)的概念，為美國(guó)后續(xù)的TCSEC（彩虹系列），可信計(jì)算機(jī)、可信計(jì)算基（TCB）、可信網(wǎng)絡(luò)、可信數(shù)據(jù)庫(kù)等的提出奠定了基礎(chǔ)。彩虹系列是早的一套可信計(jì)算技術(shù)文件，標(biāo)志著可信計(jì)算的出現(xiàn)，也使系統(tǒng)的可信不斷豐富可信的內(nèi)涵，可信計(jì)算的理念和標(biāo)準(zhǔn)初具雛形。

1、所有模塊或組件，除了CRTM（信任鏈構(gòu)建起點(diǎn)，段運(yùn)行的用于可信度量的代碼），在沒(méi)有經(jīng)過(guò)度量以前，均認(rèn)為是不可信的。同時(shí)，只有通過(guò)可信度量且與預(yù)期數(shù)據(jù)相符的模塊或組件，才可歸入可信邊界內(nèi)。

2、可信邊界內(nèi)部的模塊或組件，可以作為驗(yàn)證代理，對(duì)尚未完成驗(yàn)證的模塊或組件進(jìn)行完整性驗(yàn)證。

3、只有可信邊界內(nèi)的模塊或組件，才可以獲得相關(guān)的TPM 控制權(quán)，可信邊界以外的模塊或組件無(wú)法控制或使用可信平臺(tái)模塊。

操作系統(tǒng)安全升級(jí)，如防范UEFI中插入rootkit、防范OS中插入rootkit、以及防范病毒和攻擊驅(qū)動(dòng)注入等。應(yīng)用完整性保障，如防范在應(yīng)用中插入木馬。安全策略強(qiáng)制實(shí)現(xiàn)，如防范安全策略被繞過(guò)/篡改、強(qiáng)制應(yīng)用只能在某個(gè)計(jì)算機(jī)上用、強(qiáng)制數(shù)據(jù)只能有某幾種操作等?？梢?jiàn)，可信計(jì)算則相當(dāng)于重構(gòu)一套系統(tǒng)，原理是這樣的：我的地盤(pán)我做主，不管什么應(yīng)用程序，只要想在開(kāi)啟了可信計(jì)算的操作系統(tǒng)上運(yùn)行，就必須經(jīng)過(guò)我的允許。這個(gè)允許的過(guò)程就是將這個(gè)可執(zhí)行文件的哈希度量值存儲(chǔ)到可信計(jì)算基當(dāng)中。理論上，開(kāi)啟了可信計(jì)算的操作系統(tǒng)，任何病毒、木馬都無(wú)法在其上運(yùn)行的。國(guó)家去年底推出的《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（等保2.0）也強(qiáng)化了對(duì)可信計(jì)算的要求。