信息技术是一把“双刃剑”，一方面推动着全球信息化浪潮，提高人们工作及生活的数字化水平，另一方面也带来了挥之不去的担忧和烦恼。各种网络病毒和黑客狼奔豕突，攻击网络，盗取机密，轮番侵袭着网络和信息安全，造成难以估量的运行风险和经济损失。信息安全问题日益突出，已上升为事关国家政治、经济和国防安全的重要战略课题。如何保障网络和信息安全，一直作为国际性的技术和社会问题被广泛关注。“兵来将挡，水来土掩”，各种防御技术相继推出。可信计算技术，就是信息安全领域一支异军突起的“队伍”，它的防御机制和所体现的防御理念具有重要的意义。

　　从源头设防，建立节点信任

　　当前，大部分信息安全系统主要是由防火墙、入侵检测、入侵防御和病毒防范等措施组成。常规的安全手段是在网络层设防，在外围对非法用户和越权访问进行封堵，以达到防御外部攻击的目的。封堵的办法是捕捉黑客攻击和病毒入侵的特征信息，由于其特征是已发生过的滞后信息，因而不能准确预测未来的侵袭变化，更不能防止来自内部和操作层面上的“内患”发生，其结果往往是顾此失彼，防不胜防。

　　可信计算技术弥补了上述防御手段的缺陷。它立足于入侵源头设防，对网络上的每一个节点实施认证和控制，建立点对点的信任机制。基于这个信任系统，实施身份认证、授权访问控制和安全责任审计等防御手段，突破了传统的“堵漏洞、做高墙、防外攻”的被动方式。可信计算技术从节点上建立信息的可信传递模式，保障了信息在用户、程序与机器之间的安全传递，通过前移防御关口，有效抵制了病毒和黑客针对节点的攻击，从而维护了网络和信息安全。

　　嵌入安全芯片，铸就金色盾牌

　　可信计算技术的独特优势，是在个人计算机硬件平台上引入安全芯片(TPM)架构，通过其所提供的安全策略来提高节点计算机的安全性。TPM系统构建了一个可抵制篡改的可信平台模块和独立计算引擎，使非法用户无法对其内部数据进行更改，从而确保了身份认证和数据加密的安全性。“可信平台模块”实际上是一个含有密码运算部件和存储部件的小型片上系统，在检测到系统数据被非法篡改后能够立即自动恢复，确保系统平台的安全和完整。

　　通过在计算机硬件平台(主板)上嵌入安全芯片，从物理结构上提高了节点计算机自身的免疫力，弥补了计算机的先天不足，能够主动预防多种黑客和病毒的侵袭和攻击。一是“进不去”。在开机时采用双因子身份认证技术，实现插卡开机与密码认证相结合，确保本机用户身份的惟一性，防止非法登录，没有通过身份验证的陌生人无法进入电脑系统。二是“看不见”。通过基于安全芯片的密钥管理，防止加密密钥的泄漏，并为用户提供文件保密柜和文件加、解密，防止机密文件被非法打开。文件一旦被机主设置为保密，即便是硬盘被偷走，也无法在其他机器上读出。三是“拿不走”。利用基于底层的I/O端口防泄密技术，防止机密文件通过I/O渠道外泄。一旦机主设置了输入输出限制，别人就无法用闪存、光盘、磁盘、打印等任何方式从电脑中取出数据。四是“赖不掉”。对用户操作行为进行多层次审计，及时发现非法操作并提供追查记录，监控和纠正非法操作;提供审计信息保护，防止监控记录被非法打开或篡改。可信计算机的日志记载了每个持卡人操作的日期、项目、事件等，而且人工无法删除这些记录。

　　凤凰涅磐，可信技术前景可期

　　可信计算技术的产生和发展，有一定的历史背景和根源。在入侵攻击与防御技术相互对峙处于胶着状态的时候，人们终于认识到，仅仅依靠增强外围防御是远远不够的，“堵漏洞、做高墙、防外攻”的被动方式存在结构性缺陷和难以弥补的短板。一是计算机软、硬件结构简化，导致资源可任意使用，尤其是执行代码可修改，恶意程序可以被植入;二是操作系统对合法的用户没有进行严格的访问控制，可以进行越权访问;对执行代码不进行一致性检查，病毒代码可以嵌入到执行代码程序中实现病毒传播;三是黑客利用被攻击系统的漏洞窃取超级用户权限，可以植入攻击程序，肆意进行窃取和破坏，信息安全事故难以杜绝。

　　上述背景因素使可信计算技术应运而生。1999年，由惠普、微软、IBM等IT巨头一起牵头，成立了“可信计算平台联盟(TCPA)”，首次提出了“可信计算”的概念。TCPA联盟在2003年改组为“可信计算组织(TCG)”，目前成员已扩大到数百个，遍布全球各大洲。可信计算技术从芯片、硬件结构和操作系统等方面综合采取措施，逐步解决计算机和网络结构上内在的不安全因素，通过建立基于硬件安全模块支持下的可信计算平台，从根本上提高了系统整体的安全性。

　　目前，可信计算技术已从学术界进入产业界。我国基于自主创新的商用可信计算机已直面市场。当然，可信计算技术还有一些关键问题等待攻克，软件系统配套机制还不健全，但它的设计规划和发展理念迎合了信息安全的预期和潮流。尤其是以安全芯片为核心构建的可信平台模块，使用户一开机就进入到安全可信的运行环境中，提高了安全信心指数。可以相信，不远的将来，内嵌“可信平台模块”安全芯片的个人计算机，将高擎信息安全的大旗，成为新一代安全终端的主流和拐点。