信息安全：化“被动”为“主动”

　　相信很多人都认为防病毒软件、防火墙等本身是安全的。但实际上，安全软件产品属于被动防御性体系，对病毒库的依赖性很强，导致其永远不可能杀掉所有病毒、永远滞后于最新的计算机病毒!另一方面，安全软件产品也是由程序员编写的，同样会形成漏洞，比如，在2006年“BigYellow蠕虫”就利用赛门铁克杀毒软件的漏洞窃取系统权限，近期我们也不断听到关于HBGary，RSA以及Comodo被攻击的报道。

　　对于普通单机用户而言，安全软件尚可继续发挥自身价值，但企业用户仅靠防火墙、防病毒软件已不足以应付日益严峻的网络安全形势。部署主动防御性的 “可信安全”环境，则显得尤为重要。“可信安全”是指通过在硬件平台中引入安全芯片架构，建立起一种信任机制。对于企业用户来讲，根据需求的不同，可分为结构化的“可信安全内网” 环境或为关键数据提供“可信存储和传输”两种模式。

　　“可信内网”实现大型企业内外网安全隔离

　　在金融、医疗、政府、科研、军工等单位，一部分涉密资料必须处于安全环境下，但日常工作中还需接入Internet，这样就无法保证单位内部局域网的安全。“可信安全网络”则是针对这部分需求，推出的规模化可信安全应用。通过在电脑、服务器中内置相同安全芯片，实现内网从服务端到终端的统一安全标记。同方电脑作为中国可信联盟的核心成员，推出了诸多可信安全解决方案，其中“可信安全接入”系统可解决大型企业的现实难题。

可信接入系统模型图

　　从模型图中可以看出，同方电脑“可信接入系统”以国产TCM芯片为基础，通过服务器对含有TCM芯片的其他终端机群同时进行“用户身份认证”和“硬件授权认证”。如果其中有一个认证没有通过，则该终端将无法接入内部网络访问数据。这样，通过基于TCM硬件芯片的双重身份认证，能最大程度地保证内网的信息安全。

　　同方“可信接入系统”的根本价值在于实现了内、外网物理隔离。如果某客户来企业拜访，接上网线可以正常访问Internet，只是无法访问涉密的企业内网。在不干扰正常办公需要的前提下，实现了企业内网接入安全。

　　保障企业安全存储与传输

　　中小企业或大型企业的某些关键数据防护，并不需要大规模可信网络架构。因此，以部署成本低廉、操作灵活为主要特点的“可信安全存储与传输”则具备独特优势。这种优势主要体现在三点，即“安全输入输出”、“密封存储”和“储存器屏蔽”。

　　“储存器屏蔽”主要用于单机用户的数据安全，它区别于由软件实现的储存保护技术。通过安全芯片为底层基础，提供独立的加密存储区域，若没有合法授权(通常采用指纹识别)，该存储区域不可见。比如同方TST2.0安全平台中的“个人密盘”功能，就是典型的“存储器屏蔽”模式。

　　数据传输作为日常工作重要环节，其安全性更是重中之重。“安全输入输出”可创建一条用户与其他软硬件间信息交互的安全路径。某种程度上，跟“可信接入系统”类似，只是范围更小、部署难度更低，可随时生成或取消这个安全路径。同方TST2.0安全平台所提供的“授权密网”功能，则是这种方式的代表之一，它可以建立一个小型的加密内网，密网内的用户可以共享传输数据或协同工作。另一方面，通过硬件级加密移动存储设备与终端电脑之间的数据交换也属于“安全输入输出”的范畴，而对此又可以引申出“密封存储”概念。

　　“密封存储”是针对移动存储设备所做的安全防护概念，将数据与存储设备捆绑在一起进行保护。比如拥有独立CPU和操作系统的同方“移动数据保密机”或基于同方“高速流加密”芯片的加密移动硬盘、加密U盘、高速流加密器、USB端口管控等系统。它们或利用指纹识别、或利用密钥等形式，将机密信息完全“锁定”在移动硬件中，外界无论通过任何手段都无法破解。

　　得益于大批民族企业的鼎力相助，现在中国可信安全技术发展很快，甚至接近或赶超国际先进水平。例如同方已成为国际先进的芯片级可信安全提供商，其产品方案已突破终端领域，正向服务器端发展。相信不久的将来，在中间接、数据库、SANNAT等领域也会建立一条可信安全产业链。民族的信息安全，始终要靠民族科研成果才行，在安全软件不再安全的当下，民族可信安全产业正在蓬勃发展。这势必为国家现代信息化建设，注入更强动力。