可信计算平台与终端加固系统功能对比

1、可信计算平台与传统终端加固系统对比可信计算平台在底层进行高级别防护，通过可信赖的硬件对软件层次的攻击进行保护可以使用户获得更强的保护能力和选择空间。采用USBKEY的终端加固系统的安全保护基本是以软件为基础附以密钥技术，事实证明这种保护并不是 非常可靠而且存在着被篡改的可能性。可信计算平台将加密、解密、认证等基本的安全功能写入硬件芯片，并确保 芯片中的信息不能在外部通过软件随意获取。在这种情况下除非将硬件芯片从系 统中移除，否则理论上是无法突破这层防护的， 这也是构建可信的计算机设备以 及建立可信的计算机通信的基础。在硬件层执行保护的另外一个优势是能够获得 独立于软件环境的安全保护，这使得可以

2、设计出具有更高安全限制能力的硬件系 统。通过系统硬件执行相对基础和底层的安全功能，能保证一些软件层的非法访问和恶意操作无法完成，同时这也为生产更安全的软件系统提供了支持。综合来看，可信计算平台的应用可以为建设安全体系提供更加完善的底层基础设施， 并为需要高安全级别的用户提供更强有力的解决方案。从功能上讲有如下区别：1. ESM管理功能项目功能要求可信计算平台终端加固系统用户卡管理对能够使用 可信可信安 全计算机客 户端的用户 卡进行控制有无ESM时间设置设置标准时 间，用户无法 自行修改有无可信效验管理系统引导对BIOS、MBR、OS加载结合IC卡进行可 信校验有无恢复出厂设置恢复初始安全设置

3、有无2. 终端资源管理功能项目功能要求可信计算平台软件版终端加固系统新增资源有有删除资源有有终端锁定在用户拔出 智 能卡（USB-KEY）后系统锁 定，系统保持 运行，其他人 无法操作。有有实时控制可信客户端重启、关机、锁定、发送即时消息有有截屏可信客户端有有3. 授权管理功能项目功能要求可信计算平台软件版终端加固系统授权用户管理受控终端指定用户所 能使用的终 端。未被授权用户信息写入本地 ESM中，实现开 机身份认证只能实现系统级认证（接管WINDOWS认证）的用户将无 法使用该终 端修改授权属性有有删除授权有有光驱管理只有拥有光 驱使用权限 的用户才能 使用光驱可以实现硬件级（总线级）控制

4、，在终端启动时不给该设备加电在系统级控制软驱管理只有拥有软 驱使用权限 的用户才能 使用软驱可以实现硬件级（总线级）控制，在终端启动时不给该设备加电在系统级控制硬盘逻辑分区管理只有拥有相 应硬盘逻辑 分区使用权 限的用户才 能使用该分 区。（系统所 安装的分区 除外）有有USB存储设备管理只有拥有USB端口使用权限的用户才能使用USB外接设备可以实现硬件级（总线级）控制，在终端启动时不给该端口加电在系统级控制打印设备管理只有拥有打 印端 口（LPT）使用 权限的用户 才能使用打可以实现硬件级（总线级）控制，在终端启动时不给该端口加电在系统级控制印设备4. 审计管理功能项目功能要求可信计算平台终

5、端加固系统审计员操作审计中心只 能由审计员 进行管理操 作有有系统审计能够对受控 终端的系统 操作行为加 以审计有有管理员审计能够对管理 员的登录及 操作行为进 行记录；并能 按照管理员ID、时间、范 围对管理日 志进行检索。有有审计员登录确认应对用户登录本机的次 数进行限制，并对登录情 况进行审计有有审计信息导出能够实现审 计信息的导 出有有审计信息导入能够实现审计信息的导入有有查询审计日志可读性 好，审计信息 应包括源 IP 地址、事件类 型、时间等所有日志带有ESM时间，此时间用户不能更改，时间审计性强日志时间使用系统时间审计信息存储二级存储，重要信息存储在ESM中，一般信息存于硬盘所有

6、信息存于硬盘5. 可信接入、可控接出管理功能项目功能要求可信计算平台终端加固系统可控上网防止受控终端脱离受控网络有有带网络连 接的安全 模式（通过 认证允许 进入计算 机）在IC卡+口 令认证本机 层面之上，通 过服务器对 可信可信安 全计算机客 户端进行网 络集中认证。有有6. 文件保护功能项目功能要求可信计算平台终端加固系统文件加密能够对文件进行加密加密过程在ESM中实现，密钥不出ESM，密钥存于IC卡中在系统内存中实现，密钥存于 USB-KEY中文件解密只有文件的加密者能够解密过程在ESM中实现，密钥不出ESM，密钥存于IC卡中在系统内存中实现，密钥存于 USB-KEY对文件进行解密中文件保密柜能够创建虚 拟磁盘，只有 创建者才能 使用该虚拟 磁盘。加密过程在ESM中实现，密钥不出ESM，密钥存于IC卡中在系统内存中实现，密钥存于 USB-KEY中文件保密柜的保护虚拟磁盘的 创建者能够 删除该虚拟 磁盘有有硬盘保护非法更换硬盘报警有报警，无法启动系统无7. 其他功能功能项目功能要求可信计算平台终端加固系统正常登录用户身份识别开机身份认证，在系统启动之前系统