ＴＣＭ标准申请成为国家标准的建议稿获得通过，预示着今后在政府、金融、国企等对信息安全要求较高的领域将采用我国自主研发的ＴＣＭ安全标准，这将为国内ＰＣ行业带来新的机遇。

　　本报记者 张伟报道　　

　　ＰＣ软件、硬件结构的不断简化，使得资源可以任意使用，导致执行代码被修改以及恶意程序植入的风险加大。病毒程序利用ＰＣ操作系统不会对执行代码进行一致性检查的弱点，将病毒代码嵌入执行代码实现病毒传播。黑客利用被攻击操作系统的漏洞窃取超级用户权限，植入攻击程序，肆意进行破坏。操作系统对合法用户没有进行严格的访问控制，越权访问造成安全事故。

　　“可信计算平台的广泛应用关系到国家信息安全。”在日前举办的中国可信计算（ＴＣＭ）联盟成立仪式上，国家信息化专家咨询委员会委员、中国工程院院士沈昌祥表示，这些频发的信息安全事故凸显出可信计算技术的重要性，有关部门早在上世纪９０年代便研制出微机安全保护卡，目的就是监控终端的所有安全事故。

　　间谍与反间谍的拉锯战

　　据统计，我国互联网用户数量从２００６年的１．３７亿迅速增长到２００７年的２．１亿，增幅高达５３％。与此同时，互联网用户遭到黑客攻击的次数也以年均至少１０％的速度上升。面对数量如此庞大且逐年上升的计算机终端，网络和数据的安全保障有些力不从心。

　　据记者了解，传统的防御方式主要借助防火墙、病毒检测、ＶＰＮ及加密锁等安全体系，都是以被动防御为主，大有兵来将挡、水来土掩之势。结果，各种防御措施花样层出，防火墙越砌越高，入侵检测越来越复杂，恶意代码库越做越大，信息安全却得不到有效保障。

　　间谍与反间谍永远是一场持久而激烈的拉锯战，可信计算是这场战役中“正义”方的一把利剑。可信计算的主要思想是在硬件平台上引入安全芯片架构，提高终端系统的安全性，从而将部分或整个计算平台变为“可信”的计算平台。

　　据悉，我国与国际上其他组织几乎是在同步进行可信计算平台的研究和部署。部署可信计算体系，密码技术是最重要的核心技术。具体方案是以密码算法为突破口，依据嵌入芯片技术，完全采用我国自主研发的密码算法和引擎构建安全芯片，也就是可信密码模块。２００７年１２月，国内１３家包括民族ＩＴ企业和软件研究所在内的重要单位在北京联合发布我国首次自主研发的可信计算系列产品，其中可信密码模块ＴＣＭ芯片被誉为“中国可信计算的安全ＤＮＡ”。

　　ＴＣＭ标准“亮剑”

　　据沈昌祥透露，我国ＴＣＭ标准申请成为国家标准的建议稿日前已获通过。一些大型国企及事业单位的招标、政府采购、大型信息化项目已经把ＴＣＭ功能作为ＰＣ的必备功能。随着我国拥有自主知识产权的ＴＣＭ标准成为国家标准，越来越多的政府采购会考虑采购采用ＴＣＭ标准的产品。 

　　据了解，早在２００５年１２月，由北京工业大学牵头组织，国内知名芯片厂商和国内可信计算产品研发企业、科研单位就组成可信计算密码支撑平台联合工作组，沈昌祥任组长。在北京工业大学进行长达９个月阶段性封闭式集中攻关后，该工作组编写出可信计算平台密码方案，解决了可信计算平台中的密码核心问题。２００６年８月，国家密码管理局召开课题验收会对这一成果进行验收，验收意见指出：“《可信计算平台密码规范》和《可信计算平台密码测评规范》体现了以我为主、自主创新的研究目的，为我国形成可信计算平台密码相关标准和专利奠定了良好基础，为推动我国可信计算产业发展提供了有力的密码技术支撑。”

　　２００６年１０月，国家信息化专家咨询委员会委员、信息安全国家重点实验室主任冯登国和联想集团等企业对《可信计算平台密码规范》进行工程验证，工程实践证明该规范具有创新性、科学性和可行性。２００７年２月，全国信息安全标准化技术委员会下达《可信计算关键技术标准》，由北京工业大学联合中国电子技术标准化研究所、华为技术有限公司、中国长城计算机集团、上海中标软件有限公司等１３家单位研究制定的《可信平台控制模块规范》等４项面向主机的标准，解决了芯片、软件栈、主机平台和网络连接基本结构等主要问题。目前，项目组已经完成《可信计算平台密码规范》、《可信平台控制模块规范》、《可信计算基础支撑软件》、《可信平台主机规范》、《可信网络连接规范》等草案，形成可信计算标准系列的主体框架。有了标准引导，芯片厂商和整机厂商就可以按照相应的密码规范、芯片规范和软件接口，进行产品规划，研究设计方案，开发出相应的产品。

　　沈昌祥表示，可信计算密码规范与标准的制定，将为我国可信计算的发展方向和广泛应用起到基础性的引导和促进作用。

　　国内厂商的新机遇

　　ＴＣＭ标准申请成为国家标准的建议稿获得通过，预示着今后在政府、金融、国企等对信息安全要求较高的领域将采用我国自主研发的ＴＣＭ安全标准，这将为国内ＰＣ行业发展带来新的机遇。 

　　曙光公司工程中心总经理曾宇介绍说，可信计算除应用在ＰＣ领域外，在服务器领域和虚拟计算领域均有广泛应用。目前服务器可信计算框架尚在研究和完善中，虚拟化技术的普及和发展对可信计算也提出全新的挑战，如虚拟环境下的用户空间和系统空间的隔离与安全、虚拟机的安全迁移等。 

　　曾宇表示，服务器可信计算的框架及标准目前尚未形成，在一定程度上制约了我国服务器产业的发展，也不利于在国家关键行业推广国产服务器，因此曙光公司将积极参与和推动服务器可信计算标准的拟定。 

　　同方股份有限公司副总裁李健航介绍说，同方在商用电脑、家用电脑、笔记本电脑、高性能工作站和服务器等全线产品上均植入了我国自主研发的可信计算技术，形成系统化和规模化的产业体系，并研发出可用性很高的技术平台。

　　另据了解，在ＴＣＭ标准发布前，国内市场上已经销售了不少搭载ＴＰＭ芯片的电脑，其中以国际品牌居多，而ＴＰＭ和指纹识别被当作两大安全卖点。联想、中兴集成电路、同方、中科院软件所、方正科技、长城电脑等１３家单位共推的可信密码模块ＴＣＭ芯片横空出世以后，惠普、宏基等ＰＣ厂商开始与ＴＣＭ展开初步合作。戴尔在４月底宣布，其推出的首个商务平台Ｂｕｓｉｎｅｓｓ Ｃｌａｓｓ搭载了ＴＣＭ模块。 

　　曾宇表示，可信计算在我国已取得一定成果，包括可信计算芯片、可信ＯＳ等。中国可信计算联盟可以发挥协调作用，整合可信计算产业链上下游企业，形成合力，共同打造健康良性的可信计算产业生态；同时还将引导企业制定行业标准，保障国家关键领域的信息安全。“总之，整合产学研用等产业链资源，形成互动，有利于打造可信计算产业大生态圈”。 

      记者观察

　　走出属于自己的可信计算之路

　　张伟

　　一名期货交易员的虚假交易令法国兴业银行在２００８年年初损失７０．１４亿美元，几乎触发了法国乃至整个欧洲的金融震荡，而１９９５年发生的同类事件使拥有２３３年历史的巴林银行倒闭。这些事情使人们相信，现代金融链条中最重要的一环是信息安全。信息安全不仅是金融安全的核心，而且是国家经济安全的基础，在一定意义上甚至等同于国家安全。

　　微软、英特尔、Ｇｏｏｇｌｅ分别在软件、硬件、网络搜索行业引领世界风潮，人们是否想过：“微软＋英特尔＋Ｇｏｏｇｌｅ”的组合将会带来什么？在国外的可信计算模块芯片成为电脑标准配件后，这３家公司的组合可以通过互联网获取世界上所有装有该芯片的电脑中的任何信息。试想，如果这类计算机在国防、政府、金融等重要领域使用，国家的信息安全将会如何？

　　发展拥有自主知识产权的可信计算技术是我国信息安全的最后一块阵地。针对国内发展态势，信息安全产业界、学术界提出：中国的信息安全主权须自己掌握。

　　理论上说，只要建立独立自主的可信计算技术体系和标准，研发、生产拥有自主知识产权的可信计算芯片，即可掌控信息主权。可喜的是，２００７年年底，我国可信密码模块ＴＣＭ芯片问世；２００７年年底至２００８年３月，由我国政府支持的可信计算密码技术规范也陆续推出，包括《可信计算密码支撑平台功能与接口规范》、《含有密码技术的信息产品政府采购规定》，这为解决信息安全难题打下坚实基础。

　　尽管目前国内开发的操作系统和ＣＰＵ还无法与微软、英特尔等国外巨头的产品相比，但即使我们现在还不能完全独立地建一座高耸的信息大厦，也要给信息大厦安装上一把自己的锁，并掌握配钥匙的能力。研发、生产拥有自主知识产权的可信计算芯片就是让自己有能力配钥匙。

　　配备有ＴＣＭ芯片的可信计算机可以抵御病毒攻击，识别假冒平台，阻止盗取密钥的行为，确保受保护的数据不会被窃走。在一些重点领域和主要行业使用我国拥有自主知识产权的可信计算机，国家的信息安全将得到有效维护。

　　作为安全基础设施的可信计算芯片将渗透到ＩＴ行业的每个领域：ＰＣ平台（台式电脑和笔记本电脑）、手机平台、可信网络接入及应用中间件、服务器平台、存储系统、应用软件等。目前，中国可信计算研究核心成员已涵盖产业链上下游主要企业，包括联想、兆日、瑞达、中兴集成电路、卫士通、吉大正元、同方、中科院软件所、方正集团、长城电脑、同方微电子等１３家国内民族ＩＴ企业和重要科研院所。

　　我国建立独立自主的可信计算体系，开发出中国标准的可信计算芯片后，在下一个新的技术发展浪潮中，就可能逐步做到操作系统、核心芯片一直到整套软件都由国内自主研发和生产，通过掌握核心技术的自主知识产权，建立一个安全、完整的产业链，走出一条属于自己的可信计算之路。