08-29：可信计算到底有啥用？

你好，我是你的朋友晓兵。又到了周四的时间，这里是锐安全《安全到底》栏目的第168篇、总第225篇原创文章《可信计算到底有啥用？》，今天大约需要4分钟时间，希望能给你带来启发。

可信计算的出发点，其实是基于风险的。

沈昌祥院士认为：安全风险的实质，从科学原理上看，是人们对IT认知逻辑的局限性，由于不能穷尽所有逻辑组合，只能局限于完成计算任务去设计IT系统，必定存在逻辑不全的缺陷，从而形成了“难以应对人为利用缺陷进行攻击”的网络安全命题，也是永远的主题。

沈昌祥院士认为：杀病毒、防火墙、入侵检测的传统“老三样”难以应对人为攻击，且容易被攻击者利用。找漏洞、打补丁的传统思路不利于整体安全，传统“封堵查杀”已过时。因此，为了防御对方攻击，必须从逻辑正确验证理论、计算体系结构和计算工程应用模式等方面进行科学技术创新，以解决逻辑缺陷不被攻击者利用的问题，形成攻防矛盾的统一体。

于是，可信计算便从“主机可信”的1.0时代、发展到了“PC可信”的2.0时代”，如今已经进入到“网络可信”的3.0时代。

从体系架构上看，可信1.0主要考虑通过备份等机制增强系统可靠性，不考虑遭受恶意攻击的情况；可信2.0在应用、操作系统和系统硬件中插入可信机制，由这些可信机制访问可信元件，获得可信计算服务；可信3.0有一个逻辑上可以独立运行的可信子系统，可信子系统与计算子系统并行运行，以主动的方式向宿主信息系统提供可信支撑功能。

可信计算3.0,其实就是安全可信的计算节点双体系结构，访问控制的执行点仍在计算部件中，接收访控策略，执行访控并输出审计信息，可称为防护代理，防护部件与防护代理对接，通过策略管理和审计分析实现主动可信监控。

最终的结果，就是能够通过可信安全管理中心的管理，从而构建一个由可信计算环境、可信边界、可信通信网络构成的主动免疫三重防护框架。

从而实现攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工作瘫不成、攻击行为赖不掉等安全效果。让那些病毒和黑客攻击等不查杀而自灭。

在安全体系里，站在客户的角度，效力与效率永远是一对矛盾体。比如安全产品中有些功能常说要“安全优先”，就是基于效力目标来考虑的；有些功能常说要“业务优先”就是基于效率目标来考虑的。

基于效力目标，就是要用“高误报”的负向指标来实现“低漏报”的正向指标，经常会“杀敌一千、自损八佰”；而基于效率目标，就是要用“高漏报”的负向指标来实现“低误报”的正向指标，属于“带毒作业，一边开飞机、一边修飞机”。

可信计算是基于效力角度来考虑的安全体系，从系统运行的始点开始构建可信根，每一步的可信都由前一步的可信机制做保证，结果就是实施和改造成本大、运行起来效率低，所以很难大规模商用。

恭喜你，又看完了一篇文章。从今天起，和我一起洞察安全本质，这里是锐安全，今天就到这里，咱们下周四再见。

参考资料：

----------------------

[1]  沈昌祥.信息安全研究.用主动免疫可信计算 3.0 筑牢网络安全防线营造清朗的网络空间,2018-04.

[2]  苏一.可信计算概述.https://zhuanlan.zhihu.com/p/80413237

[3]  旋极安辰.可信计算3.0技术产品与服务提供商.https://xjac.com.cn/about-introduce.html

[4]  可信华泰.关于我们.https://www.httc.com.cn/

[5]  可信华泰.《“白细胞”可信主动免疫防御系统V1.0》创新产品荣获权威认可！,2022-09-20.https://www.httc.com.cn/show/15/72.html

[6]  北京海淀官方发布.科创中心“核”动力｜可信华泰：网络安全环境的“守护者”,2022-11-28.https://baijiahao.baidu.com/s?id=1750700983239708444&wfr=spider&for=pc

[7]  旋极安辰.沈昌祥院士：为网络安全创造“疫苗”，一起聊“可信计算”,2022-05-06.https://mp.weixin.qq.com/s/bJ5b9cx_MRj_hji0uDf0TQ

[8]  信息安全研究.【专家观点】中国工程院院士沈昌祥：可信计算筑牢网络强国底座,2022-11-23.https://mp.weixin.qq.com/s/OyPPuybNlodUCEAu0xk6Xw

[9]  赵妍.沈昌祥院士：构建可信计算3.0产业新生态,2023-05-24.https://mp.weixin.qq.com/s/R15c5TK5cQgB1xDOEDrP6A

[10]         沈昌祥，田楠.专家论坛丨沈昌祥院士：主动免疫可信计算打造安全可信网络产业生态体系,2022-09-14.https://mp.weixin.qq.com/s/3i0o7fhovfD9z2hL7PWH6g