可信終端技術

黃蘇

可信終端以系統(tǒng)安全作為核心目標，承載各種應用，給系統(tǒng)中的關鍵應用提供安全運行平臺。

功能總體概況：

采用國產TPM芯片，通過可信引導、可信啟動、可信運行實現可信鏈的建立，并進一步實現了內核級的進程動態(tài)度量、基于TPM的身份認證、基于TPM的文件簽名、基于TPM的文件加密。操作系統(tǒng)提供圖形化的可信管理中心軟件，方便用戶靈活高效的完成可信功能管理。

啟動安全

在開機過程中，通過對BIOS 固件，操作系統(tǒng)加載器，操作系統(tǒng)內核的層層校驗，保障開機啟動過程的安全，有效預防rootkit級別的惡意程序對系統(tǒng)的攻擊、。

系統(tǒng)安全

提供核心數據加密存儲，進程級最小權限，細粒度的安全審計。所有操作系統(tǒng)組件程序，以及第三方應用程序，全部在監(jiān)控范圍之內，實時報告當前程序運行的狀態(tài)是否安全，有效攔截未知風險程序的運行，以及對木馬病毒破壞系統(tǒng)進行及時攔截，支持安全管理模式切換，針對特定應用的安全策略定制。

硬件級別文件加密

采用高強度密碼算法對系統(tǒng)中的個人文件進行加密保護，并且加密所采用的秘鑰，保存在可信平臺模塊中，將安全提升到硬件級別，無論是少量數據還是大量數據都可進行加密，具有加密速度快，安全度高等特點

可視化界面管理

可信管理中心為系統(tǒng)安全應用程序，主要功能對系統(tǒng)安全功能進行管理和配置，保障系統(tǒng)安全同時，簡單易用。可信管理中心為管理員提供了靈活、易用、高效的安全管理界面，易用性與安全性上達到了平衡。對安全策略進行靈活配置?？尚殴芾碇行膶ο到y(tǒng)進行集中式管理。一鍵式安裝步驟下，無需用戶安裝細節(jié)，即可達到安裝目的。安裝完成后，用戶可通過可信管理中心對系統(tǒng)進行安裝配置和管理。

可定制擴展

安全定制主要提供合理的系統(tǒng)環(huán)境、嚴謹的系統(tǒng)資源訪問策略、全面的安全加固方案，并針對用戶服務優(yōu)化系統(tǒng)性能，在部署和管理上提供靈活的安全解決方案

可定制性：可根據客戶生產業(yè)務需求進行應用安全策略定制，以及內核安全監(jiān)控，環(huán)境變量、功能模塊等系統(tǒng)定制，有效控制系統(tǒng)權限和保障應用服務安全。

可擴展性：精細定制和鎖定服務，針對系統(tǒng)及用戶環(huán)境加以性能調整，旨在高效運行環(huán)境。

高安全性：安全的機制，高級別的保護，有效抵御經常被利用的安全漏洞。

易管理性：易于部署和管理，靈活定制安裝鏡像，安全的遠程管理和審計系統(tǒng)