安全慎用“拿来主义” 防范应从终端开始

魔高一尺，道高一丈

安全问题在信息技术领域一直是“热点”，层出不穷且威力越来越大的“魔”—— 恶意用户的攻击手段变化多端，病毒木马造成的危害不断升级；作为安全软件的“道”也是见招拆招升级不断，新产品推陈出新。结果是防火墙越砌越高、入侵检测越做越复杂、恶意代码库越做越大，安全投入不断增加、维护与管理更加复杂、信息系统的使用效率大大降低。

一般用户夹在“魔”、“ 道”争斗中深受其害。而作为国家重要部门的金融、政府、军队、通信等来说，这场争斗还涉及国家安全。因为信息安全核心技术BIOS、操作系统等都掌握在外国公司手里，信息产品“后门”的隐患普遍存在。

由老三样（防火墙、入侵监测和病毒防范）为主要构成的传统信息安全系统以防外为重点，把过多的注意力放在对服务器和网络设备的保护上，而忽略了对终端的保护，且其采用的封堵办法特征是已发生过的滞后信息，不能科学预测未来的攻击和入侵。

有别于传统的安全技术，可信计算技术从终端开始防范攻击，它通过在计算机硬件平台上引入安全芯片架构来提高系统的安全性。其目的主要是通过增强现有的PC终端体系结构的安全性来保证整个计算机网络的安全，意义就是在计算机网络中搭建一个诚信体系，每个终端都具有合法的网络身份，并能够被认可，而且终端具有对恶意代码，如病毒、木马等有免疫能力。在这样的可信计算环境中，任何终端出现问题，都能保证合理取证，方便监控和管理。增加可信密码模块的可信计算机可以实现：抵御病毒攻击、识别假冒平台、盗取密钥不可行、受保护数据拷不走等功能。如果用比喻说明：传统的安全体系如银行的一般粗放式管理体系，很难完全防范呆坏账发生，而可信技术体系类似与信用社会里的信用管理体系。

近年来，体现终端安全思想的可信技术已成为发展信息安全的重要理念，建立自主可信计算平台被专家们认为是有望从根本上解决信息安全问题的“济世良方”。 而涉及可信计算的标准之争也成为影响国家安全及整个产业发展的重中之重，是“拿来主义”还是“自主创新”？

“独立自主”势在必行

国际可信计算组织（TCG）是专门致力于制定可信计算标准的非营利性机构，它从安全的BIOS、安全的硬件、安全的操作系统、安全的网络连接等PC平台的各个方面入手来重新构建一个可信的计算机平台标准，作为安全产业基础的TCG标准将渗透到IT每个领域：PC平台(台式和笔记本)、手机平台、可信网络接入及应用中间件、服务器平台、存储系统、应用软件等所有环节。

TCG在计算机系统中广泛使用的是基于硬件安全模块(TPM)安全技术，其不依赖上层的操作系统而独立工作，以TPM为核心来建立PC各模块间的信任链，使PC平台整体的安全性得到显著提高，可以说TPM是未来基础设施中的基础部件。

尽管TCG是非营利性机构，TPM的技术也是开放的，但由于掌握核心技术的仍是Microsoft、Intel、IBM等国际巨头，因此采用TCG标准的安全设备会使国家信息安全面临巨大威胁。

据IDC2007年年初预测(全球PC市场)：笔记本08年70%装配TPM ，到10年将达100%；台式机08年40%装配TPM，到10年将达96%。中国可信计算平台标准是采用TCG标准还是建立自己的标准关系着产业的安全与发展前景，对未来影响深远。

对可信计算标准是采用“拿来主义”还是独立自主发展？国内产业界、学术界发出共同的心声：必须要建立独立自主的可信计算技术体系和标准。从安全战略方面分析： TPM安全芯片是支持所有IT系统的根基，它在一定程度上还涉及国家主权问题，信息主权如同国家的领空领地权一样重要，因为一个国家产生的信息，经济地理信息，人口经济数据是要受国家的严格控制保护的。如果采取国外TPM技术，我们国家的安全体系就会控制在别人手上，中国将来的标准计算机上产生的所有信息对外国人来说不存在秘密，这样安全技术的主导权、产业的主导权就更谈不上了，另外我们肯定要为该专利买单。只有我们拥有独立自主的可信计算技术体系，为国家信息安全基础建设打下坚实基础，才能保证未来我们有能力、有办法保护秘密，保护主权。只有掌握这些关键技术，才能提升我国信息安全核心竞争力。

自主创新推动产业进程

目前正是可信计算技术和产业形成期，建立创新型的自主可信技术标准并推动产业化，也是中国IT企业走向IT核心技术领域的一个重大发展机遇。

未来，将在中国政府的倡导下，打造我国可信计算技术产业链，形成和完善中国可信计算标准。目前，中国可信计算研究核心成员已涵盖产业链上下游主要企业，包括：联想、兆日、瑞达、中兴集成电路、卫士通、江南所、吉大正元、同方、中科院软件所、方正集团、长城电脑、国防科技大学、同方微电子等13家国内民族IT企业和重要科研院所。而2007年底我国可信密码模块TCM芯片的问世，以及《可信计算密码支撑平台功能与接口规范》、《含有密码技术的信息产品政府采购规定》等法规政策的颁布，都为解决目前的安全难题打下坚实基础。

总而言之，“拿来主义”的核心是取其精华，去其糟粕，但何谓精华？有一个甄别的过程。在安全信息领域最主要的还是国家的主导权，决不能因为精华而牺牲整个产业的自主权。信息安全领域的拿来主义要慎行！