福建可信计算组报价即时留言「多图」

可信计算

此外，封堵的办法是攻击和病毒的特征信息，而这些特征是已发生过的滞后信息，属于“事后防御”。随着恶意用户的攻击手段变化多端，防护者只能把防火墙越砌越高、检测越做越复杂、恶意代码库越做越大，误报率也随之增多，使得安全的投入不断增加，维护与管理变得更加复杂和难以实施，信息系统的使用效率大大降低，而对新的攻击毫无防御能力。近年来，“震网”“火焰”“Mirai”“黑暗力量”“WannaCry病毒”等重大安全事件频频发生，显然，传统防火墙、检测、病毒防范等“老三样”封堵查杀的被动防御已经过时，网络空间安全正遭遇严峻挑战 。

①信任芯片是否支持国产密码算法，国家密码局主导提出了中国商用密码可信计算应用标准，并禁止加载国际算法的可信计算产品在国内销售；

②信任芯片是否支持板卡层面的优先加电控制，国内部分学者认为提出的CPU先加电、后依靠密码芯片建立信任链的模式强度不够，为此，提出基于TPCM芯片的双体系计算安全架构，TPCM芯片除了密码功能外，必须先于CPU加电，先于CPU对BIOS进行完整性度量；

③可信软件栈是否支持操作系统层面的透明可信控制，国内部分学者认为需要程序被动调用可信接口，不能在操作系统层面进行主动度量，为此，提出在操作系统内核层面对应用程序完整性和程序行为进行透明可信判定及控制思路。

可信计算原理介绍

传统信息安全厂商的做法有点像医生给，感冒了给其治感冒，受伤了给其治伤。信息安全厂商的做法是，你的操作系统也漏洞，我给你打上补丁。你的操作系统上病毒了，我通毒软件给你清除病毒。病毒也是通特征码的方式来实现，即毒厂商先捕获了这个病毒，分析这个病毒的特征码，加上病毒库，这样毒软件才能查某个病毒。如果毒软件没有及时更新病毒库，则无法查杀这个新的病毒了。这也是为什么传统杀毒软件只要我们一开机就让我们更新的原因。以上的方法，更存在一定的滞后性。而可信计算使用一种新的思路实现信息安全，即从操作系统底层入手，应用程序想在操作系统上运行，必须经信计算基的认证，只有经认证的程序才可以在操作系统上运行，未经认证的程序不能运行

以PC机可信计算举例。操作系统首先将系统上所有的可执行程序做一个哈希度量，将这个度量值存储在可信计算基中。系统启动时检测BIOS和操作系统的完整性和正确性，保障你在使用PC时硬件配置和操作系统没有被篡改过，所有系统的安全措施和设置都不会被绕过。然后系统要运行应用程序，除了经过传统的操作系统的权限判断之外，还要与可信计算基中存储的度量值做一个对比，如果或是恶意程序修改了可执行文件的内容，就可以检测到应用程序已经发生了更改，则禁止程序运行。