《最新发展可信计算加强信息安合保障ppt课件》由会员分享,可在线阅读,更多相关《最新发展可信计算加强信息安合保障ppt课件(63页珍藏版)》请在金锄头文库上搜索。
1、发展可信计算加强信息安合发展可信计算加强信息安合保障保障 提提纲纲一、一、信息安全形势呼唤可信计算信息安全形势呼唤可信计算Trust computing is the requirement of new situation in information security 二、可信计算能够保障信息安全二、可信计算能够保障信息安全Trust computing is one of the main measure to be able to guarantee the information security信息安全形势总体不容乐观信息安全形势总体不容乐观l公安部网站最近公布的全国信息网络安全状
2、况暨计算机病毒疫情调查公安部网站最近公布的全国信息网络安全状况暨计算机病毒疫情调查的结果显示,我国信息网络安全事件发生比例连续的结果显示,我国信息网络安全事件发生比例连续3 3年呈上升趋势,年呈上升趋势,今年已经达到今年已经达到65.765.7,较去年上升,较去年上升11.711.7。 l调查结果显示,我国信息网络安全事件的主要类型是:感染计算机病调查结果显示,我国信息网络安全事件的主要类型是:感染计算机病毒,收到垃圾电子邮件,遭到网络攻击和网页篡改、失密和被窃现象毒,收到垃圾电子邮件,遭到网络攻击和网页篡改、失密和被窃现象多有发生等。多有发生等。l调查认为,近年来信息网络安全事件持续上升的主
3、要原因是,随着信调查认为,近年来信息网络安全事件持续上升的主要原因是,随着信息化的快速发展,信息网络使用单位的安全防范意识虽有增强,但信息化的快速发展,信息网络使用单位的安全防范意识虽有增强,但信息网络安全管理人员不足、专业素质不高,一些安全防范措施没有发息网络安全管理人员不足、专业素质不高,一些安全防范措施没有发挥应有作用。同时,信息安全服务业发展明显滞后于信息网络发展的挥应有作用。同时,信息安全服务业发展明显滞后于信息网络发展的要求。要求。l在网络信息技术高速发展的今天,信息安全已变得至关重要。计算机在网络信息技术高速发展的今天,信息安全已变得至关重要。计算机系统的安全一旦遭到破坏,不仅会
4、带来巨大经济损失,也会导致社会系统的安全一旦遭到破坏,不仅会带来巨大经济损失,也会导致社会的混乱的混乱信息安全是信息化新形势下的老问题信息安全是信息化新形势下的老问题n信息化发展的结果信息化发展的结果n计算设施的大大提高计算设施的大大提高存储系统的普及存储系统的普及数据中心的飞速发展数据中心的飞速发展n截至截至20072007年年1212月月, ,上网计算机数量为上网计算机数量为78007800万台(不包万台(不包含服务器),年增长率为含服务器),年增长率为31%31%。中国网站数量已达。中国网站数量已达150150万个,比去年同期增长了万个,比去年同期增长了6666万个,增长率达到万个,增长
5、率达到78.4%78.4%。n20072007年度全国信息网络安全状况调查显示中国信年度全国信息网络安全状况调查显示中国信息网络安全事件发生比例连续息网络安全事件发生比例连续3 3年呈上升趋势,年呈上升趋势,65657 7的被调查单位发生过信息网络安全事件,比的被调查单位发生过信息网络安全事件,比20062006年上升年上升1515个百分点;其中发生过个百分点;其中发生过3 3次以上的占次以上的占3333,较,较20062006年上升年上升11117 7。n其中存储类设备发生安全事件呈快速上升态势,其中存储类设备发生安全事件呈快速上升态势,较较20062006年上升年上升38%38%n存储类设
6、备被人植入木马病毒类事件占安全事件存储类设备被人植入木马病毒类事件占安全事件比例高达比例高达45%45%Securityhole安全漏洞安全漏洞nWindows 2000 和 Windows XP 的源代码估计分别约有3500万和 4500万行。 平均每1500行会有一个已知的bug 或缺陷, Windows 2000 和 Windows XP 的bug 或缺陷将分别达到2.3万和3万个。报告的报告的安全漏洞数安全漏洞数全球报告的安全漏洞数全球报告的安全漏洞数美国国防部认为广域网失效原因中美国国防部认为广域网失效原因中45%是是人为错误,人为错误,65%的攻击针对误配置系统的攻击针对误配置系统
7、Securityevents我国报告的安全事件数我国报告的安全事件数从从2002到到2005年年,我国有关部门接到网络安全我国有关部门接到网络安全事件报告从事件报告从1767件增加到件增加到123473件件10倍病毒等网络欺诈行为导致全球经济病毒等网络欺诈行为导致全球经济损失惊人损失惊人n最近最近GartnerGartner组织公布了一项研究报告:每年由于病毒等组织公布了一项研究报告:每年由于病毒等网络欺诈行为导致全球经济损失高达网络欺诈行为导致全球经济损失高达160160多亿美元。多亿美元。 n“表哥,你最近还好吗?知道我是谁吗?看了我的相片表哥,你最近还好吗?知道我是谁吗?看了我的相片你就
8、知道了!你就知道了!” ” 这是在上海某银行上班的杨先生收到一这是在上海某银行上班的杨先生收到一封邮件,谁知邮件还未打开,电脑出现了黑屏。杨先生封邮件,谁知邮件还未打开,电脑出现了黑屏。杨先生还没有弄清是哪个还没有弄清是哪个“表妹表妹”发来的玉照便丢失了大量银发来的玉照便丢失了大量银行保密资料,给单位造成的损失无法估量。行保密资料,给单位造成的损失无法估量。 n去年去年6 6月浙江警方破获一起月浙江警方破获一起“黑客窃取网游密码案黑客窃取网游密码案”,单,单单一个黑客就窃取网游账号单一个黑客就窃取网游账号6 6万多个,价值上百万元。万多个,价值上百万元。 n去年去年6 6月月3 3日至日至9
9、9月月1919日,就发现较大规模僵尸网络日,就发现较大规模僵尸网络5959个,个,平均每天发现平均每天发现3 3万个受黑客控制的万个受黑客控制的“僵尸僵尸”计算机。计算机。 n包含间谍软件、恶意插件和浏览器劫持在内的流氓软件包含间谍软件、恶意插件和浏览器劫持在内的流氓软件也大行其道,它们侵入用户电脑安装插件和后门程序,也大行其道,它们侵入用户电脑安装插件和后门程序,窃取个人信息,一年之内使自己的流量上升窃取个人信息,一年之内使自己的流量上升600%600%;而通;而通过设立搏彩、低价网络购物等欺诈性网站直接骗取用户过设立搏彩、低价网络购物等欺诈性网站直接骗取用户钱财等等,更是数不胜数。钱财等等
10、,更是数不胜数。近年来集中的典型安全事件近年来集中的典型安全事件n数据窃取,例如超过数据窃取,例如超过94009400万名用户的万名用户的VisaVisa和和MasterCardMasterCard信用卡信息被黑客窃取。信用卡信息被黑客窃取。nWindows VistaWindows Vista安全问题日益突出,更多的安全问题日益突出,更多的恶意软件作者会把目光集中在恶意软件作者会把目光集中在VistaVista身上。身上。n垃圾邮件,今年的垃圾邮件比例创下了历垃圾邮件,今年的垃圾邮件比例创下了历史新高。史新高。n黑客工具成为赚钱工具,今年,不仅黑客黑客工具成为赚钱工具,今年,不仅黑客的攻击手
11、段越来越高明,而且还通过出售的攻击手段越来越高明,而且还通过出售黑客工具获取利润黑客工具获取利润n“钓鱼钓鱼”式攻击依然肆虐,式攻击依然肆虐,n知名网站成为黑客攻击目标知名网站成为黑客攻击目标n僵尸程序,一种偷偷安装在用户计算机上使未经僵尸程序,一种偷偷安装在用户计算机上使未经授权的用户能远程控制计算机的程序,成为黑客授权的用户能远程控制计算机的程序,成为黑客窃取受保护信息的主要手段。窃取受保护信息的主要手段。n Web Web插件攻击。插件攻击。ActiveXActiveX控件是最易遭受攻击的控件是最易遭受攻击的WebWeb插件插件n黑客在网上拍卖软件漏洞黑客在网上拍卖软件漏洞n虚拟机安全问
12、题突出虚拟机安全问题突出 安全趋势预测安全趋势预测n感染感染U U盘、利用盘、利用ARPARP方式感染局域网和网页挂马,成为其中方式感染局域网和网页挂马,成为其中最流行的三种途径最流行的三种途径利用应用软件漏洞攻击再掀高潮,利用应用软件漏洞攻击再掀高潮,ARPARP攻击持续,特别是在在中小攻击持续,特别是在在中小型组织将继续泛滥。型组织将继续泛滥。网站挂马攻击将会在网站挂马攻击将会在0808年延续,将会继续成为病毒的主要传播途年延续,将会继续成为病毒的主要传播途径径n病毒数量会持续增加,去年某单位截获新病毒样本病毒数量会持续增加,去年某单位截获新病毒样本917839917839个,比去年增加个
13、,比去年增加70.7%70.7%。其中木马病毒。其中木马病毒580992580992个,后门病个,后门病毒毒194581194581个,两者之和超过个,两者之和超过 77 77万,占总体病毒的万,占总体病毒的84.5%84.5%。n黑客与反病毒厂商之间的技术对抗发展到新阶段,从原来黑客与反病毒厂商之间的技术对抗发展到新阶段,从原来单纯的逃避追杀,发展到利用加壳、变形等进行全面对抗。单纯的逃避追杀,发展到利用加壳、变形等进行全面对抗。而且,有的黑客组织甚至开始进行而且,有的黑客组织甚至开始进行“前瞻性的研究前瞻性的研究”n以往漏洞最多的是以往漏洞最多的是WindowsWindows系统,但现在百
14、度搜霸、暴风系统,但现在百度搜霸、暴风影音、影音、realplayerrealplayer等流行软件的漏洞成为病毒利用的新对等流行软件的漏洞成为病毒利用的新对象,本年度新出现的网页木马中,利用百度搜霸漏洞的占象,本年度新出现的网页木马中,利用百度搜霸漏洞的占据总体比例的据总体比例的39%39%。n流氓网站,流氓网站,20082008年,与流氓软件类似的年,与流氓软件类似的“流氓网站流氓网站”给用给用户带来极大安全隐患,他们利用网站注册、网络交友等流户带来极大安全隐患,他们利用网站注册、网络交友等流程上的设计,以欺骗的手段获取用户隐私资料,强迫注册、程上的设计,以欺骗的手段获取用户隐私资料,强迫
15、注册、骚扰用户及其好友,获取了大量有商业价值的用户隐私,骚扰用户及其好友,获取了大量有商业价值的用户隐私,成为近期发展最快的灰色网络行业成为近期发展最快的灰色网络行业安全事件之一:先行破坏,再乘人安全事件之一:先行破坏,再乘人之危、网络敲诈开始出现之危、网络敲诈开始出现n去年以来先后发生去年以来先后发生“敲诈敲诈(Win32.Hack.SnuHay.aWin32.Hack.SnuHay.a)”木马,通过木马,通过“网络抢网络抢劫劫”,以劫持等手段敲诈用户该病毒会中止用户系,以劫持等手段敲诈用户该病毒会中止用户系统中常见的杀毒软件进程,并试图隐藏用户文档,统中常见的杀毒软件进程,并试图隐藏用户文
16、档,让用户误以为文件丢失,病毒乘机以帮用户恢复数让用户误以为文件丢失,病毒乘机以帮用户恢复数据的名义要求用户向指定的银行账户内汇入定额款据的名义要求用户向指定的银行账户内汇入定额款项,以达到敲诈钱财的目的。该木马已经相继出现项,以达到敲诈钱财的目的。该木马已经相继出现了多个变种了多个变种n之后还有之后还有“新敲诈新敲诈”木马病毒,在未经用户许可情木马病毒,在未经用户许可情况偷偷将硬盘上文档文件上传,造成用户资料泄漏,况偷偷将硬盘上文档文件上传,造成用户资料泄漏,对用户信息资产机密造成极大威胁。对用户信息资产机密造成极大威胁。安全事件之一:盗取虚拟财产转化安全事件之一:盗取虚拟财产转化为流通货币
17、黑色产业链正在形成为流通货币黑色产业链正在形成n偷:网游,网银盗号现象愈演愈烈,在偷:网游,网银盗号现象愈演愈烈,在0606年截获的各类病年截获的各类病毒中,专门盗取网银、网游等网络财产和毒中,专门盗取网银、网游等网络财产和QQQQ号的木马占了号的木马占了5151,n这类病毒相对去年有明显增长,已经成为众多网民面临的这类病毒相对去年有明显增长,已经成为众多网民面临的第一大威胁。第一大威胁。“经济利益经济利益”毫无疑问已经成为病毒制造者毫无疑问已经成为病毒制造者最大的驱动力,病毒制造者已经不再是以炫耀自己的技术最大的驱动力,病毒制造者已经不再是以炫耀自己的技术为目的,也不再是单打独斗,而是结成了
18、团伙,有的人负为目的,也不再是单打独斗,而是结成了团伙,有的人负责盗取银行或网游帐号,有的人负责销赃,从而形成了一责盗取银行或网游帐号,有的人负责销赃,从而形成了一整条的黑色产业链。整条的黑色产业链。n这类病毒的传播不再是漫无目的,而是具有鲜明的指向性。这类病毒的传播不再是漫无目的,而是具有鲜明的指向性。例如通过游戏网站、网游外挂传播木马病毒、盗取用户的例如通过游戏网站、网游外挂传播木马病毒、盗取用户的相关信息。相关信息。 安全事件之一:网络钓鱼层出不穷安全事件之一:网络钓鱼层出不穷n网络钓鱼层出不穷,骗:利用钓鱼网站等形式诈骗网络钓鱼层出不穷,骗:利用钓鱼网站等形式诈骗用户资产,该类病毒占病
19、毒总数的用户资产,该类病毒占病毒总数的5.45 5.45 。诈骗。诈骗者通常利用伪装的电子邮件和欺骗性网址,专门骗者通常利用伪装的电子邮件和欺骗性网址,专门骗取用户财务数据。据分析,网络钓鱼今后将成为困取用户财务数据。据分析,网络钓鱼今后将成为困扰个人用户的安全问题一大热点。扰个人用户的安全问题一大热点。n目前网络钓鱼出现了一种新的伎俩,他们使用一种目前网络钓鱼出现了一种新的伎俩,他们使用一种动态的动态的JavaScriptJavaScript代码,而不仅是过去所用的静态代码,而不仅是过去所用的静态的假地址栏图像。攻击者通过的假地址栏图像。攻击者通过JAVAJAVA程序更改地址栏,程序更改地址
20、栏,修改中毒用户的浏览器,从而可将其诱骗到显示为修改中毒用户的浏览器,从而可将其诱骗到显示为银行官方站点的假网站,欺骗用户登录达到盗取帐银行官方站点的假网站,欺骗用户登录达到盗取帐号的目的。号的目的。安全事件之一:流氓软件与病毒相安全事件之一:流氓软件与病毒相互捆绑,牟取非法利益互捆绑,牟取非法利益n去年以来,年病毒的传播渠道呈现更加多样化的趋势。在去年以来,年病毒的传播渠道呈现更加多样化的趋势。在商业利益驱动下,恶意软件和病毒结成联盟,互相捆绑,商业利益驱动下,恶意软件和病毒结成联盟,互相捆绑,对用户造成极大困扰,致使对用户造成极大困扰,致使9999的互联网用户,都受到过的互联网用户,都受到
21、过流氓软件的侵扰。流氓软件的侵扰。n恶意软件虽然不具有象病毒一样自动传播和恶意破坏的行恶意软件虽然不具有象病毒一样自动传播和恶意破坏的行为。但它通常通过网页下载、软件捆绑安装等方式悄悄的为。但它通常通过网页下载、软件捆绑安装等方式悄悄的侵入用户系统。并且具有自动升级、高度隐藏、难以卸载侵入用户系统。并且具有自动升级、高度隐藏、难以卸载等特点。许多病毒、木马与恶意软件相互捆绑,前者利用等特点。许多病毒、木马与恶意软件相互捆绑,前者利用后者无孔不入地侵入用户地系统,后者则借助前者极强的后者无孔不入地侵入用户地系统,后者则借助前者极强的传播性在更大地范围内扩散。传播性在更大地范围内扩散。n流氓软件越
22、来越多地利用底层驱动保护等技术来对抗防病流氓软件越来越多地利用底层驱动保护等技术来对抗防病毒软件地查杀,这也说明两者在进一步互相渗透与融合。毒软件地查杀,这也说明两者在进一步互相渗透与融合。从鸩酒到慢药:从鸩酒到慢药:“混合性威胁混合性威胁”的时代的时代已经到来已经到来n根据根据IDCIDC最新的调查结果,如今计算机用户面临的三项最最新的调查结果,如今计算机用户面临的三项最严重的安全威胁依次是垃圾邮件、严重的安全威胁依次是垃圾邮件、DdoSDdoS攻击和网上欺诈。攻击和网上欺诈。与前些年安全威胁大多来自病毒和蠕虫等的大规模猛烈与前些年安全威胁大多来自病毒和蠕虫等的大规模猛烈爆发不同,近年来各种
23、各样的爆发不同,近年来各种各样的“谍件谍件”或恶意代码开始或恶意代码开始在网上肆虐,其疯狂程度已超过了传统的病毒威胁。在网上肆虐,其疯狂程度已超过了传统的病毒威胁。n倘若把病毒比作剧毒的鸩酒,那么倘若把病毒比作剧毒的鸩酒,那么“间谍软件间谍软件”就如同就如同小说里的小说里的“慢药慢药”,毒性更强,中毒后还不易被察觉。,毒性更强,中毒后还不易被察觉。由于利益驱动,由于利益驱动,“间谍软件间谍软件”大都采用巧妙的形式潜伏大都采用巧妙的形式潜伏于用户的个人电脑中,它们更难被被发现,却能窃取用于用户的个人电脑中,它们更难被被发现,却能窃取用户宝贵个人资料,以非法获利,这就是户宝贵个人资料,以非法获利,
24、这就是“网上欺诈网上欺诈”。n今天用户面对的安全威胁更复杂,经常是由多种善变的今天用户面对的安全威胁更复杂,经常是由多种善变的威胁组成的威胁组成的“混合型威胁混合型威胁”,包括病毒、蠕虫、间谍软,包括病毒、蠕虫、间谍软件、拒绝服务攻击等。网络安全问题正日益严峻。件、拒绝服务攻击等。网络安全问题正日益严峻。Threat EvolutionMultiandBlendedattacks are now a common practice.Email is the most common delivery mechanism.nThe motive and intent is changingMovi
25、ng from notoriety to financial gain.Theft of financial and personal information.nTraditional security isnt enoughnMalicious code exposing confidential data has increased significantly由重视边界防护到更加注重数据防护由重视边界防护到更加注重数据防护l传统上,我们谈到信息安全防护时,首先考虑到的就是网传统上,我们谈到信息安全防护时,首先考虑到的就是网络边界防护,也就是通过防火墙络边界防护,也就是通过防火墙/VPN/V
26、PN、网关安全技术给自、网关安全技术给自己的网络安装一道防护的己的网络安装一道防护的“闸门闸门”,通过网络访问控制技,通过网络访问控制技术来实现对内部网络的保护。术来实现对内部网络的保护。l “ “可是,这种防护的负面影响甚至超过了它能带来的利可是,这种防护的负面影响甚至超过了它能带来的利益,给用户的限制要多于其所能消除的安全隐患。益,给用户的限制要多于其所能消除的安全隐患。” l随着互联网的大量普及,我们的网络和信息系统不可避免随着互联网的大量普及,我们的网络和信息系统不可避免地要对外开放,要开放给客户,要越来越多地共享应用系地要对外开放,要开放给客户,要越来越多地共享应用系统和数据库给合作
27、伙伴,在这种情况下,保护数据本身比统和数据库给合作伙伴,在这种情况下,保护数据本身比建一堵围墙重要得多也有效得多。建一堵围墙重要得多也有效得多。 边界不再是网络设备,而是应用网络的人边界不再是网络设备,而是应用网络的人n“我们在数据周围建了很高的墙,但是却忽略了数据是流我们在数据周围建了很高的墙,但是却忽略了数据是流动的,不会呆在墙内原先的地方,我们要保护的是国王而动的,不会呆在墙内原先的地方,我们要保护的是国王而不是城堡,而国王是要到处走动的。不是城堡,而国王是要到处走动的。” ” n“人们建起了更宽的护城河和更厚的城墙,但很多人却忘人们建起了更宽的护城河和更厚的城墙,但很多人却忘记在君主打
28、开城门走出城堡时保护他记在君主打开城门走出城堡时保护他这恰恰是一个公这恰恰是一个公司最重要的资产。司最重要的资产。”-”-盖茨盖茨n整体上来看,目前的安全思想整体已不能应对这个无论在整体上来看,目前的安全思想整体已不能应对这个无论在公司内外都可以接入公司网络的互联网时代,利用公司内外都可以接入公司网络的互联网时代,利用“高打高打墙深挖壕墙深挖壕”方法护卫网络的传统思想需要改变了。因此,方法护卫网络的传统思想需要改变了。因此,人们必须转变观念,将原本清晰的网络边界更加模糊化。人们必须转变观念,将原本清晰的网络边界更加模糊化。n准确来讲,今天的网络边界与以往不同,它不再是数据中准确来讲,今天的网络
29、边界与以往不同,它不再是数据中心中的物理资产,也不是办公室中的桌面电脑,而是应用心中的物理资产,也不是办公室中的桌面电脑,而是应用网络的人。网络的人。“用户才是真正的网络边界。用户才是真正的网络边界。”他说。他说。 Web2.0Web2.0带来的互联网变化,使安全攻击带来的互联网变化,使安全攻击更加变化多端,也使更加变化多端,也使CSOCSO夜不能寐夜不能寐n经过经过1010多年的发展,互联网已经迎来第二个发展浪潮多年的发展,互联网已经迎来第二个发展浪潮Web2Web20 0时代。由于时代。由于Web2Web20 0的基础架构是无边际的信息沟的基础架构是无边际的信息沟通,因此在整个互联网平台,
30、成千上万的用户正面临日益通,因此在整个互联网平台,成千上万的用户正面临日益严峻的安全威胁。严峻的安全威胁。n目前,对计算机系统造成大范围感染的病毒入侵行为越来目前,对计算机系统造成大范围感染的病毒入侵行为越来越恶劣和复杂。今后,对病毒攻击的担心将促使人们不断越恶劣和复杂。今后,对病毒攻击的担心将促使人们不断地升级杀毒软件以最大限度地保障信息安全。地升级杀毒软件以最大限度地保障信息安全。 n从全球杀毒软件市场就可以看到形势的严峻。据统计,从全球杀毒软件市场就可以看到形势的严峻。据统计,20072007年,全球杀毒软件市场的销售收入将从年,全球杀毒软件市场的销售收入将从20022002年的年的19
31、197 7亿美元增长到接近亿美元增长到接近39398 8亿美元,亿美元,PCPC杀毒软件的销售收入也杀毒软件的销售收入也将从将从20022002年的年的11117373亿美元增长到亿美元增长到15154343亿美元。其中,亿美元。其中,企业市场将从企业市场将从1414448448亿美元增长到亿美元增长到3030407407亿美元亿美元; ;消费者消费者市场将从市场将从20022002年的年的5 52525亿美元增长到亿美元增长到9 9387387亿美元,复合亿美元,复合年增长率为年增长率为11116 6。 n目前还缺乏了适合目前还缺乏了适合Web2Web20 0形势下、完整的信息安全战略和形势
32、下、完整的信息安全战略和信息安全架构信息安全架构Web2.0Web2.0下的网络安全趋势下的网络安全趋势nWeb2.0Web2.0丰富了互联网,又给互联网带来了安全挑战丰富了互联网,又给互联网带来了安全挑战nBbsBbs,snssns社交网络、视频分享、博客、维基百科、社交网络、视频分享、博客、维基百科、社区网络等社区网络等Web2.0Web2.0颠覆了门户、颠覆了门户、用户创造内容用户创造内容用户间交流互动并形成群体智慧用户间交流互动并形成群体智慧自组织、去中心化和长尾化自组织、去中心化和长尾化以个人为中心以个人为中心信息传播的速度和广度,前所未有信息传播的速度和广度,前所未有网络游戏网络游
33、戏webweb化应用化应用- -社区社区提供新的信息交流机制提供新的信息交流机制n趋势不可阻挡趋势不可阻挡Web2.0Web2.0给网络安全出了新课题给网络安全出了新课题n网络应用环境更复杂网络应用环境更复杂n给网络安全带来了许多新挑战给网络安全带来了许多新挑战木马、黑客组织已经木马、黑客组织已经web2.0web2.0化化n黑客木马制作已经形成人民战争黑客木马制作已经形成人民战争n黑客木马代码开源化黑客木马代码开源化n黑客木马培训更加职业化、专业化黑客木马培训更加职业化、专业化社区分享促进了木马的发展社区分享促进了木马的发展n木马制作难度低、成本低木马制作难度低、成本低n社区的虚拟性、自组织
34、、分散性社区的虚拟性、自组织、分散性n小众化、针对性强,难以采集,难以查杀小众化、针对性强,难以采集,难以查杀我国是木马重灾区我国是木马重灾区n木马传播极为容易,传播方式多样木马传播极为容易,传播方式多样木马不需要像病毒一样感染文件即可大规模传木马不需要像病毒一样感染文件即可大规模传播,通过网站进行漏洞攻击,浏览网页便可中播,通过网站进行漏洞攻击,浏览网页便可中招,网页上的恶意脚本利用漏洞攻击即可植入招,网页上的恶意脚本利用漏洞攻击即可植入木马木马中招常常在不经意之间,无孔不入、防不胜防中招常常在不经意之间,无孔不入、防不胜防移动介质传播木马移动介质传播木马局域网局域网arparp攻击蔓延迅速
35、攻击蔓延迅速n木马爆炸型增长木马爆炸型增长传统防御为主的安全技术面临挑战传统防御为主的安全技术面临挑战n面对恶意软件和木马这类最大威胁,传统面对恶意软件和木马这类最大威胁,传统安全面临巨大挑战安全面临巨大挑战特征码扫描技术属于事后查杀,损失可能已经特征码扫描技术属于事后查杀,损失可能已经发生发生传统防御技术对用户的打扰太多,不实用传统防御技术对用户的打扰太多,不实用过多的安全威胁通过终端从内部侵入,网络安过多的安全威胁通过终端从内部侵入,网络安全设备无法过滤全设备无法过滤用可信计算技术打赢一场网络安全用可信计算技术打赢一场网络安全保卫战保卫战n面对面对Web2.0Web2.0下的网络安全新形势
36、下的网络安全新形势n可以充分利用可信技术,打一场反对木马、可以充分利用可信技术,打一场反对木马、保障安全的人民战争保障安全的人民战争n利用可技术提供安全服务、尽可能降低网利用可技术提供安全服务、尽可能降低网络安全服务的成本,将每一个用户武装起络安全服务的成本,将每一个用户武装起来,压缩木马的空间来,压缩木马的空间我国信息安全问题呼唤可信计算我国信息安全问题呼唤可信计算n我国面临的信息安全问题已不再是一个局部性和我国面临的信息安全问题已不再是一个局部性和技术性的问题,而是一个跨领域、跨行业、跨部技术性的问题,而是一个跨领域、跨行业、跨部门的综合性安全问题。门的综合性安全问题。确保信息网络安全也正
37、在成为新世纪国家安全确保信息网络安全也正在成为新世纪国家安全的重要基石和基本内涵。的重要基石和基本内涵。信息安全呼唤可信计算信息安全呼唤可信计算 提提纲纲一、一、信息安全形势呼唤可信计算信息安全形势呼唤可信计算二、可信计算能够保障信息安全二、可信计算能够保障信息安全安全事故的技术原因:安全事故的技术原因:nPC机软、硬件结构简化,导致资源可任意机软、硬件结构简化,导致资源可任意使用,尤其是执行代码可修改,恶意程序可使用,尤其是执行代码可修改,恶意程序可以被植入以被植入n病毒程序利用病毒程序利用PC操作系统对执行代码不检操作系统对执行代码不检查一致性弱点,将病毒代码嵌入到执行代码查一致性弱点,将
38、病毒代码嵌入到执行代码程序,实现病毒传播程序,实现病毒传播n黑客利用被攻击系统的漏洞窃取超级用户权黑客利用被攻击系统的漏洞窃取超级用户权限,植入攻击程序,肆意进行破坏限,植入攻击程序,肆意进行破坏n更为严重的是对合法的用户没有进行严格的更为严重的是对合法的用户没有进行严格的访问控制,可以进行越权访问,造成不安全访问控制,可以进行越权访问,造成不安全事故事故身份管理和可信计算将成安全核心身份管理和可信计算将成安全核心n理念的变化将带来安全防护方式的巨大变化。我们不仅要对自己的信理念的变化将带来安全防护方式的巨大变化。我们不仅要对自己的信息系统的安全负责,还要对与自己网络紧密相连的客户、合作伙伴的
39、息系统的安全负责,还要对与自己网络紧密相连的客户、合作伙伴的信息系统的安全负责。因此,防护系统不能仅仅局限在网络边缘,而信息系统的安全负责。因此,防护系统不能仅仅局限在网络边缘,而应该融入到所有的信息系统之中,这样才能作到应该融入到所有的信息系统之中,这样才能作到“Keep it open, “Keep it open, Keep it safe(Keep it safe(保持开放,保持安全保持开放,保持安全)”)”。 n微软提出了一种新的计划确保安全的数据访问微软提出了一种新的计划确保安全的数据访问在在IPv6IPv6网络中采用网络中采用联合身份认证方式、采用数据权限管理保护文件和数据、在线
40、身份确联合身份认证方式、采用数据权限管理保护文件和数据、在线身份确认采用智能卡的方式而不是口令的方式。认采用智能卡的方式而不是口令的方式。n随着网络边界的模糊,连接向合作伙伴、供应商、客户扩展,基于网随着网络边界的模糊,连接向合作伙伴、供应商、客户扩展,基于网络拓扑的权限分配模式将不再发生变化,这意味着我们可以通过一个络拓扑的权限分配模式将不再发生变化,这意味着我们可以通过一个标准化的方式,创建实现可信和可互操作性目标的简单的模式。标准化的方式,创建实现可信和可互操作性目标的简单的模式。 n基于基于IPv6IPv6的的IPsecIPsec技术是一项未来非常具有前景的技术,采用技术是一项未来非常
41、具有前景的技术,采用IPsecIPsec技技术,在连接的两端可以实现重要的身份认证,不管网络边界或者网络术,在连接的两端可以实现重要的身份认证,不管网络边界或者网络拓扑是怎样的,你都能定义策略,从逻辑上控制访问而不是从物理上拓扑是怎样的,你都能定义策略,从逻辑上控制访问而不是从物理上控制访问。控制访问。 可信计算等新型技术发展迅速可信计算等新型技术发展迅速n可信计算平台是一个以可信计算芯片为基础的通用安全体系结构,也是当前计算机安全领域的主要发展方向,该平台已不可篡改的物理安全芯片,增强计算机的系统启动、操作系统运行、应用软件执行、密钥和数据存储及可信网络连接等环节的安全性n欧美等主流厂商与科
42、研机构已经建立了国际可信计算组织TCG,指责推进其产业标准,并推行网络n产业界正在陆续推出一批可以商用的成果和产品, 如微软推出的NCSGB可信计算,已经用于Vista;Intel公司推出的LaGrande结构,将用于下一代处理器,IBM正在推出一完整性度量架构为核心的可信Linux系统可信离彻底解决信息安全问题还远吗?可信离彻底解决信息安全问题还远吗?n目前安全事件层次不穷,几乎让人焦头烂额,防火墙越砌目前安全事件层次不穷,几乎让人焦头烂额,防火墙越砌越高,入侵检测越做越复杂,病毒库也越来越庞大,却依越高,入侵检测越做越复杂,病毒库也越来越庞大,却依然无法应对层出不穷的恶意攻击和病毒,尤其是
43、无法禁止然无法应对层出不穷的恶意攻击和病毒,尤其是无法禁止已在电脑中驻存的恶意程序网上肆意传播。已在电脑中驻存的恶意程序网上肆意传播。n安全软件越来越大,对硬件环境的要求也越来越高,但安安全软件越来越大,对硬件环境的要求也越来越高,但安全事件还是越来越多全事件还是越来越多n这些状况根子是信息安全产品的被动性。信息安全是使用这些状况根子是信息安全产品的被动性。信息安全是使用信息系统的过程中才发现的。信息系统的过程中才发现的。 由于设计信息系统的时候由于设计信息系统的时候没有做事前措施,导致安全事件不断发生。没有做事前措施,导致安全事件不断发生。 因此,现在因此,现在的信息安全大部分产品以及采取的
44、措施都不是从根本上解的信息安全大部分产品以及采取的措施都不是从根本上解决问题,都在修补,效果可向而知。决问题,都在修补,效果可向而知。n如何从本原上解决信息安全问题呢?如何从本原上解决信息安全问题呢?就是可信。就是可信。 就是要就是要发放发放“良民证良民证” ” 并且,并且,“良民证良民证”可以从技术上保证不会可以从技术上保证不会被复制,可以随时验证真实性。被复制,可以随时验证真实性。 对于信息系统,其主体应对于信息系统,其主体应该是可信,那样我们离彻底解决信息安全问题还远吗?该是可信,那样我们离彻底解决信息安全问题还远吗?未来安全走向何方?未来安全走向何方?- - 可信计算可信计算n今天全球
45、都对安全已经引发了普遍忧虑,大家都今天全球都对安全已经引发了普遍忧虑,大家都在思考一个问题:未来的安全应走向何方?在思考一个问题:未来的安全应走向何方?n我们认为我们认为“可信计算平台可信计算平台”能够成为安全问题的能够成为安全问题的下一个答案。下一个答案。n我们把可信作为一种期望,在这种期望下设备按我们把可信作为一种期望,在这种期望下设备按照特定的目的以特定的方式运转。并以平台形式照特定的目的以特定的方式运转。并以平台形式制订出了一系列完整的规范,包括个人电脑、服制订出了一系列完整的规范,包括个人电脑、服务器、移动电话、通信网络、软件等等,这些规务器、移动电话、通信网络、软件等等,这些规范所
46、定义的可信平台模块(范所定义的可信平台模块(Trusted Platform Trusted Platform ModuleModule,TPMTPM)通常以硬件的形式被嵌入到各种计)通常以硬件的形式被嵌入到各种计算终端以用于提供更可信的运算基础。算终端以用于提供更可信的运算基础。 n可信计算平台就是在整个计算设施中建立起一个可信计算平台就是在整个计算设施中建立起一个验证体系,通过确保每个终端的安全性提升整个验证体系,通过确保每个终端的安全性提升整个计算体系的安全性计算体系的安全性可信化可信化可信化可信化从传统计算机安全理念过渡到以可信从传统计算机安全理念过渡到以可信从传统计算机安全理念过渡到
47、以可信从传统计算机安全理念过渡到以可信计算理念为核心的计算机安全计算理念为核心的计算机安全计算理念为核心的计算机安全计算理念为核心的计算机安全l近近年年来来计计算算机机安安全全问问题题愈愈演演愈愈烈烈,传传统统安安全全理理念念很很难难有有所所突突破破,人人们们试试图图利利用用可可信信计计算算的的理理念念来来解解决决计计算算机机安安全全问问题题,其其主主要要思思想想是是在在硬硬件件平平台台上上引引入入安安全全芯芯片片,从从而而将将部部分分或或整整个个计计算算平平台台变变为为“可可信信”的的计计算算平平台台。要要解解决的问题包括:决的问题包括:基于基于基于基于TCPTCPTCPTCP的访问控制的访
48、问控制的访问控制的访问控制基于基于基于基于TCPTCPTCPTCP的安全操作系统的安全操作系统的安全操作系统的安全操作系统基于基于基于基于TCPTCPTCPTCP的安全中间件的安全中间件的安全中间件的安全中间件基于基于基于基于TCPTCPTCPTCP的安全应用的安全应用的安全应用的安全应用n为了解决计算机和网络结构上的不安为了解决计算机和网络结构上的不安全,从根本上提高其安全性,必须从全,从根本上提高其安全性,必须从芯片、硬件结构和操作系统等方面综芯片、硬件结构和操作系统等方面综合采取措施,由此产生出可信计算的合采取措施,由此产生出可信计算的基本思想,其目的是在计算和通信系基本思想,其目的是在
49、计算和通信系统中广泛使用基于硬件安全模块支持统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高整体的安下的可信计算平台,以提高整体的安全性。全性。可信计算的基本思路可信计算的基本思路n可信计算的基本思路是在硬件平台上引入安全芯片可信计算的基本思路是在硬件平台上引入安全芯片(可信平台模块)来提高终端系统的安全性,也就(可信平台模块)来提高终端系统的安全性,也就是说是在每个终端平台上植入一个信任根,让计算是说是在每个终端平台上植入一个信任根,让计算机从机从BIOS到操作系统内核层,再到应用层都构建到操作系统内核层,再到应用层都构建信任关系;以此为基础,扩大到网络上,建立相应信任关系;以此为基
50、础,扩大到网络上,建立相应的信任链,从而进入计算免疫时代;的信任链,从而进入计算免疫时代;n当终端受到攻击时,可实现自我保护、自我管理和当终端受到攻击时,可实现自我保护、自我管理和自我恢复;自我恢复;n可信计算涉及:可信计算安全芯片,密码技术和密可信计算涉及:可信计算安全芯片,密码技术和密钥体系,钥体系,PKI/PMI技术,身份、权限管理(包括系技术,身份、权限管理(包括系统管理员),认证体系,可信接入安全服务平台,统管理员),认证体系,可信接入安全服务平台,以及相应的法律、政策支撑等以及相应的法律、政策支撑等着力打造可信计算平台着力打造可信计算平台n着力打造可信计算平台是信息安全保障的重要使
51、着力打造可信计算平台是信息安全保障的重要使命,通过平台,实现:命,通过平台,实现:n保护指定的数据存储区,防止敌手实施特定类型的物保护指定的数据存储区,防止敌手实施特定类型的物理访问理访问n赋予所有在平台上执行的代码以证明它在一个未被篡赋予所有在平台上执行的代码以证明它在一个未被篡改环境中运行的能力改环境中运行的能力n可信计算平台为网络用户提供了一个更为宽广的可信计算平台为网络用户提供了一个更为宽广的安全环境,它从安全体系的角度来描述安全问题,安全环境,它从安全体系的角度来描述安全问题,确保用户的安全执行环境,突破被动防御打补丁确保用户的安全执行环境,突破被动防御打补丁方式方式可信平台基本功能
52、:n可信平台需要提供三个基本功能:数据保护身份证明完整性测量、存储与报告n可信计算是安全的基础,从可信根出发,解可信计算是安全的基础,从可信根出发,解决决PC机结构所引起的安全问题机结构所引起的安全问题确保用户唯一身份、权限、工作空间的完整性确保用户唯一身份、权限、工作空间的完整性/可用性可用性确保存储、处理、传输的机密性确保存储、处理、传输的机密性/完整性完整性确保硬件环境配置、操作系统内核、服务及应确保硬件环境配置、操作系统内核、服务及应用程序的完整性用程序的完整性确保密钥操作和存储的安全确保密钥操作和存储的安全确保系统具有免疫能力,从根本上阻止病毒和确保系统具有免疫能力,从根本上阻止病毒
53、和黑客等软件的攻击。黑客等软件的攻击。基于可信赖平台模块(基于可信赖平台模块(TPMTPM)的可信计算终端)的可信计算终端安全应用组件安全应用组件安全操作系统安全操作系统安全操作系统内核安全操作系统内核密码模块协议栈密码模块协议栈主主板板可信可信BIOSTPM(密码模块芯片密码模块芯片)图:可信计算平台图:可信计算平台可信任链传递与可信任环境可信任链传递与可信任环境本地应用本地应用服务提供者(服务提供者(TSP)远程应用远程应用服务提供者(服务提供者(TSP)RPC客户客户RPC服务服务TSS 核心服务层核心服务层 (TCS)设备驱动库(设备驱动库(TDDL)TPM设备驱动设备驱动可信平台模块
54、(可信平台模块(TPM)可信平台体系结构可信平台体系结构核心模式核心模式系统进系统进程模式程模式用户进用户进程模式程模式应用应用程序程序可信计算平台的价值可信计算平台的价值n可信计算之所以受到推崇,究其根本源自于日益复杂的计可信计算之所以受到推崇,究其根本源自于日益复杂的计算环境中层出不穷的安全威胁,传统的安全保护方法无论算环境中层出不穷的安全威胁,传统的安全保护方法无论从构架还是从强度上来看已经力有未逮。目前业内的安全从构架还是从强度上来看已经力有未逮。目前业内的安全解决方案往往侧重于先防外后防内、先防服务设施后防终解决方案往往侧重于先防外后防内、先防服务设施后防终端设施,而可信计算则反其道
55、而行之,首先保证所有终端端设施,而可信计算则反其道而行之,首先保证所有终端的安全性,即透过确保安全的组件来组建更大的安全系统。的安全性,即透过确保安全的组件来组建更大的安全系统。n 可信计算平台在更底层进行更高级别防护,通过可信赖的可信计算平台在更底层进行更高级别防护,通过可信赖的硬件对软件层次的攻击进行保护可以使用户获得更强的保硬件对软件层次的攻击进行保护可以使用户获得更强的保护能力和选择空间。传统的安全保护基本是以软件为基础护能力和选择空间。传统的安全保护基本是以软件为基础附以密钥技术,事实证明这种保护并不是非常可靠而且存附以密钥技术,事实证明这种保护并不是非常可靠而且存在着被篡改的可能性
56、。在着被篡改的可能性。n 可信计算平台将加密、解密、认证等基本的安全功能写入可信计算平台将加密、解密、认证等基本的安全功能写入硬件芯片,并确保芯片中的信息不能在外部通过软件随意硬件芯片,并确保芯片中的信息不能在外部通过软件随意获取。在这种情况下除非将硬件芯片从系统中移除,否则获取。在这种情况下除非将硬件芯片从系统中移除,否则理论上是无法突破这层防护的,这正是构建可信的基础。理论上是无法突破这层防护的,这正是构建可信的基础。可信计算正在走向实际应用可信计算正在走向实际应用n可信计算正在国内外走向实用可信计算正在国内外走向实用n通过系统硬件执行底层的安全功能,能保证一通过系统硬件执行底层的安全功能
57、,能保证一些软件层的非法访问和恶意操作无法完成,同些软件层的非法访问和恶意操作无法完成,同时这也为生产更安全的软件系统提供了支持。时这也为生产更安全的软件系统提供了支持。可信计算平台的应用可以为建设安全体系提供可信计算平台的应用可以为建设安全体系提供更加完善的底层基础设施,并为需要高安全级更加完善的底层基础设施,并为需要高安全级别的用户提供更强有力的解决方案。别的用户提供更强有力的解决方案。 n对于安全要求较高的场合,可信计算平台能够对于安全要求较高的场合,可信计算平台能够为用户提供更加有效的安全防护。无论是要保为用户提供更加有效的安全防护。无论是要保护私密性数据,还是要控制网络访问,以及系护
58、私密性数据,还是要控制网络访问,以及系统可用性保障等等统可用性保障等等. . 应用可信计算技术之后都应用可信计算技术之后都能够获得更高的保护强度和更灵活的执行方式。能够获得更高的保护强度和更灵活的执行方式。n已发布的已发布的WindowsVista版本全面实现版本全面实现可信计算功能,运用可信计算功能,运用TPM和和USBKEY实实现密码存储保密、身份认证和完整性验现密码存储保密、身份认证和完整性验证。证。n实现了版本不能被篡改、防病毒和黑客实现了版本不能被篡改、防病毒和黑客攻击等功能。攻击等功能。n我国在可信计算技术研究方面起步较早,技我国在可信计算技术研究方面起步较早,技术水平不低。在安全
59、芯片、可信安全主机、术水平不低。在安全芯片、可信安全主机、安全操作系统、可信计算平台应用等方面都安全操作系统、可信计算平台应用等方面都先后开展了大量的研究工作,并取得了可喜先后开展了大量的研究工作,并取得了可喜的成果,特别是沈昌祥院士为代表的一批学的成果,特别是沈昌祥院士为代表的一批学者为此作了突出的贡献者为此作了突出的贡献n今天到会的专家、学者和企业代表就使我国今天到会的专家、学者和企业代表就使我国可信计算领域的先行者、探路者和开拓者可信计算领域的先行者、探路者和开拓者我国可信计算还面临挑战我国可信计算还面临挑战: :n理论研究相对滞后理论研究相对滞后理论滞后于技术理论滞后于技术缺少软件的动
60、态可信性的度量理论与方法。缺少软件的动态可信性的度量理论与方法。信任在传递过程中的损失度量尚需要深入研究信任在传递过程中的损失度量尚需要深入研究n关键技术尚待攻克关键技术尚待攻克n操作系统、网络、数据库和应用的可信操作系统、网络、数据库和应用的可信机制配套亟待完善机制配套亟待完善n可信计算的应用需要开拓可信计算的应用需要开拓自主创新自主创新自主创新自主创新就是从增强国家创新能力出发,加强原始创新、集就是从增强国家创新能力出发,加强原始创新、集就是从增强国家创新能力出发,加强原始创新、集就是从增强国家创新能力出发,加强原始创新、集成创新和引进消化吸收再创新。成创新和引进消化吸收再创新。成创新和引
61、进消化吸收再创新。成创新和引进消化吸收再创新。重点跨越重点跨越重点跨越重点跨越就是坚持有所为、有所不为,选择具有一定基础和就是坚持有所为、有所不为,选择具有一定基础和就是坚持有所为、有所不为,选择具有一定基础和就是坚持有所为、有所不为,选择具有一定基础和优势、关系国计民生和国家安全的关键领域,集中优势、关系国计民生和国家安全的关键领域,集中优势、关系国计民生和国家安全的关键领域,集中优势、关系国计民生和国家安全的关键领域,集中力量、重点突破,实现跨越式发展。力量、重点突破,实现跨越式发展。力量、重点突破,实现跨越式发展。力量、重点突破,实现跨越式发展。支撑发展支撑发展支撑发展支撑发展就是从现实
62、的紧迫需求出发,着力突破重大关键、就是从现实的紧迫需求出发,着力突破重大关键、就是从现实的紧迫需求出发,着力突破重大关键、就是从现实的紧迫需求出发,着力突破重大关键、共性技术,支撑经济社会的持续协调发展。共性技术,支撑经济社会的持续协调发展。共性技术,支撑经济社会的持续协调发展。共性技术,支撑经济社会的持续协调发展。引领未来引领未来引领未来引领未来就是着眼长远,超前部署前沿技术和基础研究,创就是着眼长远,超前部署前沿技术和基础研究,创就是着眼长远,超前部署前沿技术和基础研究,创就是着眼长远,超前部署前沿技术和基础研究,创造新的市场需求,培育新兴产业,引领未来经济社造新的市场需求,培育新兴产业,
63、引领未来经济社造新的市场需求,培育新兴产业,引领未来经济社造新的市场需求,培育新兴产业,引领未来经济社会的发展。会的发展。会的发展。会的发展。v安安全全测测试试评评估估v。v可可生生存存性性v。v网网络络监监控控与与安安全全管管理理v病病毒毒与与垃垃圾圾信信息息防防范范v应应急急响响应应与与数数据据恢恢复复v。v可可信信计计算算v逆逆向向分分析析与与可可控控性性v密密码码与与认认证证授授权权v高高安安全全等等级级系系统统v。国家网络基础设施国家网络基础设施国家网络基础设施国家网络基础设施和重要信息系统和重要信息系统和重要信息系统和重要信息系统信息安全产业发展还赶不上发展和需要信息安全产业发展还
64、赶不上发展和需要n应该说信息安全学科的最早发展是由于军事应该说信息安全学科的最早发展是由于军事的需要。在二战,海湾战争中等重要战争中,的需要。在二战,海湾战争中等重要战争中,对信息的窃取对信息的窃取. .破坏破坏. .伪装等信息攻击手段对伪装等信息攻击手段对战争的最终胜利起了决定作用。所以越来越战争的最终胜利起了决定作用。所以越来越多的国家开始意识到信息安全在国防建设中多的国家开始意识到信息安全在国防建设中的重要作用的重要作用n随着近年来信息和通信产业的迅猛发展,以随着近年来信息和通信产业的迅猛发展,以及全球化的网络黑客的破坏性的强烈攻击,及全球化的网络黑客的破坏性的强烈攻击,很多国家更加重视
65、信息安全产业的发展很多国家更加重视信息安全产业的发展积极探索,加强信息安全自主创新积极探索,加强信息安全自主创新n可信计算技术的攻关和研究有待突破可信计算技术的攻关和研究有待突破n目前急需建立一种产学研更好结合的新机制目前急需建立一种产学研更好结合的新机制n我国正在大力发展信息安全产业,其中可信我国正在大力发展信息安全产业,其中可信计算亟待国家扶持计算亟待国家扶持n要尽快实现科技成果的产业化要尽快实现科技成果的产业化我国可信计算取得了进展我国可信计算取得了进展n在发改委、科技部、原信息产业部和国家密码管理局的支在发改委、科技部、原信息产业部和国家密码管理局的支持下,我国可信计算研究与产业化工作
66、取得了长足的进步持下,我国可信计算研究与产业化工作取得了长足的进步n联想、兆日、华为、浪潮、瑞达、方正等企业先后研制了联想、兆日、华为、浪潮、瑞达、方正等企业先后研制了机遇机遇TCGTCG标准、符合可信平台标准标准、符合可信平台标准TPMTPM的安全芯片或整机的安全芯片或整机n中科院国家信息安全重点实验室、武汉大学、北京工业大中科院国家信息安全重点实验室、武汉大学、北京工业大学等在完整性度量、远程证明、标准制定进行了深入研究,学等在完整性度量、远程证明、标准制定进行了深入研究,取得了一批成果取得了一批成果n国家密码管理局已经制定了一批国家标准,包括可信计算国家密码管理局已经制定了一批国家标准,
67、包括可信计算密码支撑平台功能与接口规范等密码支撑平台功能与接口规范等n今年在沈昌祥院士积极推动下,由主要从可信计算的产学今年在沈昌祥院士积极推动下,由主要从可信计算的产学研单位共同组建的中国可信计算联盟于研单位共同组建的中国可信计算联盟于5 5月正式宣布成立,月正式宣布成立,目前秘书处设在中心网络安全部,我担任了理事长,吴亚目前秘书处设在中心网络安全部,我担任了理事长,吴亚非同志担任秘书长非同志担任秘书长建设独立自主、可信计算技术支撑体系建设独立自主、可信计算技术支撑体系n举国家之力,支持建设独立自主、与国际标举国家之力,支持建设独立自主、与国际标准接轨的可信计算技术支撑体系。准接轨的可信计算
68、技术支撑体系。建设国家可信计算研发、生产、测评的基础设施建设国家可信计算研发、生产、测评的基础设施和基础环境;和基础环境;落实开发相关技术和产品的攻关项目。通过研发落实开发相关技术和产品的攻关项目。通过研发自主关键技术和设备,满足国家网络基础设施和自主关键技术和设备,满足国家网络基础设施和重要信息系统的需求重要信息系统的需求展望展望n我国可信计算正在经历从起步、初步到更高水平的我国可信计算正在经历从起步、初步到更高水平的发展的新阶段,机遇和挑战并存发展的新阶段,机遇和挑战并存. .n建议建议: :开展我国可信计算产业发展现状、问题的调研开展我国可信计算产业发展现状、问题的调研编制我国可信计算产业发展规划,将其作为国家重点支持编制我国可信计算产业发展规划,将其作为国家重点支持的产业的产业 国家支持建设我国可信计算科研、生产和评测的基础环国家支持建设我国可信计算科研、生产和评测的基础环境境在政府投资的项目中,积极推进我国自主可信计算技术与在政府投资的项目中,积极推进我国自主可信计算技术与产品的示范应用,尽快提高应用水平,并加大推广力度。产品的示范应用,尽快提高应用水平,并加大推广力度。限于水平,可能还有许多限于水平,可能还有许多不妥之处,欢迎批评指正不妥之处,欢迎批评指正! !谢谢 谢谢!结束语结束语谢谢大家聆听!谢谢大家聆听!63
