可信计算

此外，封堵的办法是攻击和病毒的特***息，而这些特征是已发生过的滞后信息，属于“事后防御”。随着恶意用户的攻击手段变化多端，防护者只能把防火墙越砌越高、检测越做越复杂、恶意代码库越做越大，误报率也随之增多，使得安全的投入不断增加，维护与管理变得更加复杂和难以实施，信息系统的使用效率大大降低，而对新的攻击毫无防御能力。近年来，“震网”“火焰”“Mirai”“黑暗力量”“WannaCry病毒”等重大安全事件频频发生，显然，传统防火墙、检测、病毒防范等“老三样”封堵查杀的被动防御已经过时，网络空间安全正遭遇严峻挑战 。

可信计算概述

可信计算概念早可以追溯到美国部颁布的TCSEC准则。1983年，美国部制定了世界上个《可信计算机系统评价标准》，次提出了可信计算机和可信计算基的概念，并把TCB作为系统系统安全的基础。

化***与国际电子技术ISO/IEC在其发布的目录服务系列标准中基于行为预期性定义了可信性：如果第2个实体完全按照个实体的预期行动时，则个实体认为第2个实体 是可信的。

可信计算发展概括

早在20世纪60年代，为了提高硬件设备的安全性，人们设计了具有高可靠性的可信电路，可信的概念开始萌芽。到20世纪70年代初期，Anderson提出来了可信系统的概念，为美国后续的TCSEC（彩虹系列），可信计算机、可信计算基（TCB）、可信网络、可信数据库等的提出奠定了基础。彩虹系列是早的一套可信计算技术文件，标志着可信计算的出现，也使系统的可信不断丰富可信的内涵，可信计算的理念和标准初具雏形。

1、所有模块或组件，除了CRTM（信任链构建起点，段运行的用于可信度量的代码），在没有经过度量以前，均认为是不可信的。同时，只有通过可信度量且与预期数据相符的模块或组件，才可归入可信边界内。

2、可信边界内部的模块或组件，可以作为验证代理，对尚未完成验证的模块或组件进行完整性验证。

3、只有可信边界内的模块或组件，才可以获得相关的TPM 控制权，可信边界以外的模块或组件无法控制或使用可信平台模块。