您好,歡迎來到易龍商務網!
發布時間:2021-10-21 02:47
【廣告】
可信計算
此外,封堵的辦法是攻擊和病毒的特征信息,而這些特征是已發生過的滯后信息,屬于“事后防御”。隨著惡意用戶的攻擊手段變化多端,防護者只能把防火墻越砌越高、檢測越做越復雜、惡意代碼庫越做越大,誤報率也隨之增多,使得安全的投入不斷增加,維護與管理變得更加復雜和難以實施,信息系統的使用效率大大降低,而對新的攻擊毫無防御能力。近年來,“震網”“火焰”“Mirai”“黑暗力量”“WannaCry病毒”等重大安全事件頻頻發生,顯然,傳統防火墻、檢測、病毒防范等“老三樣”封堵查殺的被動防御已經過時,網絡空間安全正遭遇嚴峻挑戰 。
①信任芯片是否支持國產密碼算法,國家密碼局主導提出了中國商用密碼可信計算應用標準,并禁止加載國際算法的可信計算產品在國內銷售;
②信任芯片是否支持板卡層面的優先加電控制,國內部分學者認為提出的CPU先加電、后依靠密碼芯片建立信任鏈的模式強度不夠,為此,提出基于TPCM芯片的雙體系計算安全架構,TPCM芯片除了密碼功能外,必須先于CPU加電,先于CPU對BIOS進行完整性度量;
③可信軟件棧是否支持操作系統層面的透明可信控制,國內部分學者認為需要程序被動調用可信接口,不能在操作系統層面進行主動度量,為此,提出在操作系統內核層面對應用程序完整性和程序行為進行透明可信判定及控制思路。
以PC機可信計算舉例。操作系統首先將系統上所有的可執行程序做一個哈希度量,將這個度量值存儲在可信計算基中。系統啟動時檢測BIOS和操作系統的完整性和正確性,保障你在使用PC時硬件配置和操作系統沒有被篡改過,所有系統的安全措施和設置都不會被繞過。然后系統要運行應用程序,除了經過傳統的操作系統的權限判斷之外,還要與可信計算基中存儲的度量值做一個對比,如果或是惡意程序修改了可執行文件的內容,就可以檢測到應用程序已經發生了更改,則禁止程序運行。
