近日,美国一份报告显示,一项对107个计算机因错误行为导致信息损失的分析报告中指出,目前对电脑中存放信息产生最大威胁的攻击来自窃取用户名和密码,而且此种攻击也是目前发生频率最高的。 这份美国调查报告的出现为一些高可靠性计算支持者的观点提供了极为有力的支持,其观点是植入TPM(Trusted Platform Module,可信平台模块)安全芯片的网络终端设备将有望解决绝大多数的信息安全问题,持此观点者因TPM技术的出现对信息安全问题的未来表示出乐观的态度。 这是因为高可靠性计算的支持者对这份报告分析后认为,若将安全硬件植入网络终端系统中,此技术会在网络内部建立一套完善的身份认证系统,使网络终端成为安全终端,该设备将可以拦截84%的非法用户,禁止其非法进入企业内部网络之中。因此,一些可靠性计算的支持者乐观的推定,植入安全硬件的网络终端将使网络中的安全隐患大大减少。 果真如此吗?恐怕未必。让我们先来看看所谓的“安全终端”到底为何物。 安全芯片只是终端的身份证 对于安全网络终端来说,TPM安全芯片是基础和核心。TPM是一项基于硬件安全的核心技术。TPM安全芯片是一个可独立进行密钥生成、加解密的装置,内部拥有独立的处理器和存储单元,可存储密钥和敏感数据,为各种计算平台提供完整性度量、数据安全保护和身份认证服务。而将安全硬件植入每台计算机系统中,就相当于企业为其网络每个终端设备均配备了“身份证”。 有了TPM“安全基因”的终端设备,尤其是PC和笔记本电脑等,TMP技术可以对其BIOS、操作系统、设备驱动等进行数据记录,通过将启动过程中收集到的数据与原来存储的数据进行比较来检查安全状态,将结果报告给使用者。假如有第三方的人对平台进行访问,TPM将及时报告安全状态,第三方在此时也只能经过允许方可访问,进一步确保用户平台运行环境、应用程序和网络环境下平台间交易等计算环境的可信性。 就目前市场发展来看,越来越多的台式机和笔记本电脑均可以装载这一技术,截至2005年,大多数笔记本电脑上都可运行了这一平台。不过这里需要说明的是,TPM技术并非强加于人,毕竟有些消费者会认为一旦采用此技术,在使用范围等方面会受到影响,这里可以告诉大家,即便购买了采用TPM技术的电脑,只要不开启这项功能,它和其它的普通电脑便毫无差别。 TPM在信息安全中的作用有限 马杰作为业内资深信息安全专家,对采用TPM技术安全芯片的看法是:“TPM安全芯片在信息安全中体现的作用在于群体效应,即企业内部网络中,绝大多数网络终端设备均采用TPM技术,并且在使用过程中终端用户的的确确开启了此项功能。只有这样,这个网络则成为一个建立了信用体系的网络,其终端设备的可信赖性将有很大提高。” 然而马杰同时提醒用户,因为TPM技术并非强制使用,建立一个具有信用体系的网络在实际应用中具有一定的困难。 或许你会想,作为网络管理者,甚至是作为单位IT部门的主管领导,在申请得到许可的情况下,可以采用行政手段要求网络每个终端设备不仅采用TPM安全芯片的产品,还将要求每一个使用者均要开启此项功能。这样就可以建立一个具有高信用体系的网络,相关网络随之安全。 咱们先不说这种设想能否真正实现,即便是在一个十分理想环境下,植入TPM安全芯片和相应的底层安全软件工具之后,安全网络终端设备搭建起一个具有较强信用体系的网络,那么这又对信息安全起到多少实际作用呢?相信无论是你还是安全终端厂商,恐怕都不会妄加论断。 当然,笔者这里所指的信息安全是传统意义上的网络安全,是指病毒、间谍软件、垃圾邮件以及黑客攻击等网络威胁会破坏会企业网络通讯,影响其正常业务的运营,对员工生产力造成影响。 目前安全威胁之从前花样翻新:黑客的攻击已经丛求名开始向求利转变,未来黑客攻击手段越来越隐蔽,其具备破坏力也将越来越大,攻击手段随之变得越来越复杂和难于防范;隐藏在电子邮件或网页中的威胁消耗着企业有限的系统和网络资源,同时增加了企业运营维护的成本;网络钓鱼攻击会使用虚假电子邮件窃取身份,而一些间谍软件则偷取财务或其他保密资料。 而从信息安全威胁的发展趋势看,这些安全威胁攻击手段越来越趋于融合。那些采用了TPM安全芯片的网络终端,在抵御这些极据融合性的混合型安全威胁攻击时,能起到多大作用,不得而知。 不过据国外资料显示,目前美国军队选购的计算机全部配置TPM最新版本,同样苹果电脑公司也为其新推出的Mac机型装载了这一技术。由此也可以看出,从广义上的信息安全防护作用来说,采用了TPM安全芯片的网络终端还是能起到一定的作用。 因为终端设备可将用户密钥和其它敏感数据保存于该芯片内。TPM独立于设备的传统存储系统(如硬盘),传统的软件攻击方式一般是无法窃取此设备中用户密钥和其他敏感数据。换句话说,即便你将装有企业商业机密的笔记本电脑不慎被窃或者丢失,而不具备合法身份的获取者也同样无法获得其中的数据。