信息安全 化“被動”為“主動”

    相信很多人都認為防病毒軟件、防火墻等本身是安全的。但實際上，安全軟件產品屬于被動防御性體系，對病毒庫的依賴性很強，導致其永遠不可能殺掉所有病毒、永遠滯后于最新的計算機病毒！另一方面，安全軟件產品也是由程序員編寫的，同樣會形成漏洞，比如，在2006年“BigYellow蠕蟲”就利用賽門鐵克殺毒軟件的漏洞竊取系統權限，近期我們也不斷聽到關于HBGary，RSA以及Comodo被攻擊的報道。

    對于普通單機用戶而言，安全軟件尚可繼續發揮自身價值，但企業用戶僅靠防火墻、防病毒軟件已不足以應付日益嚴峻的網絡安全形勢。部署主動防御性的 “可信安全”環境，則顯得尤為重要。“可信安全”是指通過在硬件平臺中引入安全芯片架構，建立起一種信任機制。對于企業用戶來講，根據需求的不同，可分為結構化的“可信安全內網” 環境或為關鍵數據提供“可信存儲和傳輸”兩種模式。

    “可信內網”實現大型企業內外網安全隔離

    在金融、醫療、政府、科研、軍工等單位，一部分涉密資料必須處于安全環境下，但日常工作中還需接入Internet，這樣就無法保證單位內部局域網的安全。“可信安全網絡”則是針對這部分需求，推出的規模化可信安全應用。通過在電腦、服務器中內置相同安全芯片，實現內網從服務端到終端的統一安全標記。同方電腦作為中國可信聯盟的核心成員，推出了諸多可信安全解決方案，其中“可信安全接入”系統可解決大型企業的現實難題。

可信接入系統模型圖

    從模型圖中可以看出，同方電腦“可信接入系統”以國產TCM芯片為基礎，通過服務器對含有TCM芯片的其他終端機群同時進行“用戶身份認證”和“硬件授權認證”。如果其中有一個認證沒有通過，則該終端將無法接入內部網絡訪問數據。這樣，通過基于TCM硬件芯片的雙重身份認證，能最大程度地保證內網的信息安全。

    同方“可信接入系統”的根本價值在于實現了內、外網物理隔離。如果某客戶來企業拜訪，接上網線可以正常訪問Internet，只是無法訪問涉密的企業內網。在不干擾正常辦公需要的前提下，實現了企業內網接入安全。

    保障企業安全存儲與傳輸

    中小企業或大型企業的某些關鍵數據防護，并不需要大規模可信網絡架構。因此，以部署成本低廉、操作靈活為主要特點的“可信安全存儲與傳輸”則具備獨特優勢。這種優勢主要體現在三點，即“安全輸入輸出”、“密封存儲”和“儲存器屏蔽”。

    “儲存器屏蔽”主要用于單機用戶的數據安全，它區別于由軟件實現的儲存保護技術。通過安全芯片為底層基礎，提供獨立的加密存儲區域，若沒有合法授權（通常采用指紋識別），該存儲區域不可見。比如同方TST2.0安全平臺中的“個人密盤”功能，就是典型的“存儲器屏蔽”模式。

    數據傳輸作為日常工作重要環節，其安全性更是重中之重。“安全輸入輸出”可創建一條用戶與其他軟硬件間信息交互的安全路徑。某種程度上，跟“可信接入系統”類似，只是范圍更小、部署難度更低，可隨時生成或取消這個安全路徑。同方TST2.0安全平臺所提供的“授權密網”功能，則是這種方式的代表之一，它可以建立一個小型的加密內網，密網內的用戶可以共享傳輸數據或協同工作。另一方面，通過硬件級加密移動存儲設備與終端電腦之間的數據交換也屬于“安全輸入輸出”的范疇，而對此又可以引申出“密封存儲”概念。

    “密封存儲”是針對移動存儲設備所做的安全防護概念，將數據與存儲設備捆綁在一起進行保護。比如擁有獨立CPU和操作系統的同方“移動數據保密機”或基于同方“高速流加密”芯片的加密移動硬盤、加密U盤、高速流加密器、USB端口管控等系統。它們或利用指紋識別、或利用密鑰等形式，將機密信息完全“鎖定”在移動硬件中，外界無論通過任何手段都無法破解。

    得益于大批民族企業的鼎力相助，現在中國可信安全技術發展很快，甚至接近或趕超國際先進水平。例如同方已成為國際先進的芯片級可信安全提供商，其產品方案已突破終端領域，正向服務器端發展。相信不久的將來，在中間接、數據庫、SAN\\NAT等領域也會建立一條可信安全產業鏈。民族的信息安全，始終要靠民族科研成果才行，在安全軟件不再安全的當下，民族可信安全產業正在蓬勃發展。這勢必為國家現代信息化建設，注入更強動力。