可信计算保障企业信息安全(3) 可信计算产品导购
企业采购
在可信计算领域,自TCM可信密码模块推出以来,可信计算产品也得到了初步量产。对于企业用户来说,为了数据安全的考虑,无论是存储、财务管理,还是网络支付、局域网办公,部署可信计算产品已经成为发展趋势,而如何选购可信计算产品就成了企业用户时下最关注的问题。
可信服务器导购
对于金融、邮电、教育、制造等行业用户,不仅要在内部搭建办公局域网,同时还要建立自己的邮件系统、视频系统、传输系统等,甚至包括电子政务专网、企业电子商务信息系统、金融行业信息系统、营销系统、客服系统、财务审计系统等。此时通常需要在局域网上搭配一台服务器,遗憾的是,尽管局域网会部署硬件防火墙、杀毒软件,但依旧无法完全抵御来自局域网内或外网的安全威胁,但在采用可信服务器后,将彻底解决办公网络的安全问题。
在实际应用中,可信服务器通常不是单独使用的,它在局域网中充当认证服务器的角色,往往需要配合可信办公电脑、可信U盘、可信刷卡器等设备使用,例如在可信网络接入方案中,可信服务器要验证内网或外网的电脑访问,只有通过身份认证的电脑才能接入局域网。从功能上来看,可信服务器是搭载了可信安全模块的专用服务器或高端商务台式机。可信服务器往往内置了可信服务器管理系统软件,提供了密钥的安全管理、平台证书支持、电子签章、可信校验、安全审计、高速加解密、操作系统安全增强、进程监管等功能。
目前,同方、长城、联想、浪潮、方正等国内厂商都推出了可信服务器或适合做服务器的高端可信商务台式机。用户在选购时要注意,如果需要部署电子政务系统、邮件系统、ERP系统等,建议选择专用的可信服务器,尽管价格比较贵,但稳定性、扩展能力更加出众,而如果是小型局域网,只是用于单纯的局域网管理维护,选择高端可信商务台式机即可。
产品推荐:浪潮英信NF5280M2
参考价格:29999元
备选产品:麒麟应用安全服务器
参考价格:不详
浪潮英信NF5280M2采用了具有自主知识产权的高速安全芯片,在不影响服务器性能的情况下,对流经服务器的数据实现深度过滤和访问控制。它搭配了 Intel Xeon E5506四核处理器和2GB DDR2内存,并最大支持144GB内存,标配320GB SATA硬盘,最大支持8个热插拔3.5英寸SATA/SAS硬盘,集成千兆双网卡,集成BMC+IKVM芯片,支持浪潮睿杰管理套件,采用浪潮高级服务器管理模块,提供远程管理和远程诊断功能,适合政府、企业、文教卫生、电信增值、高校、互联网等行业用户购买。
可信台式机导购
在可信网络接入、可信网络支付、可信邮件系统、可信存储系统等应用领域,可信服务器必须搭配可信安全终端才能发挥作用,作为时下行业用户最基本的办公工具,办公电脑的可信功能就显得格外重要,例如党、政、军及大中型企(事)业单位的涉密信息系统网络、企业数据安全保险柜、可信网络支付系统的刷卡计算机,都会使用到可信办公电脑。
从产品分类来看,目前可信办公电脑包括可信台式机、可信笔记本电脑,对于不要求移动性能的用户,可信台式机具有更出色的性能、更实惠的价格,更加适合在企业内部使用,而且可信台式机的可选产品更丰富,目前同方、方正、联想、长城等国内厂商都推出了可信台式机,例如同方超翔Z系列、同方理财电脑、长城商用世恒SⅡ系列、方正君逸M580/M530、联想ThinkCentre M4000t/M8000t安全电脑,都是非常典型的可信安全台式机。
从功能上来看,可信安全台式机只是在普通商务机基础上,搭载了中国自主开发的TCM可信密码模块,甚至有的机型会采用自主创新的安全BIOS或安全存储硬盘等可信部件,从而为行业用户提供更可靠的可信安全平台,例如长城电脑世恒SⅡ系列在搭配TCM芯片的基础上,还采用了UEFI安全架构、安全存储硬盘、网络隔离卡和指纹识别系统,满足了军队、军工、政府、公安和大型企业(事业)的办公需求。
推荐产品:同方超翔 Z8000
参考价格:9999元
备选产品:联想ThinkCentre M4000t
参考价格:8899元
同方超翔Z8000采用了基于国密系统认证的TCM芯片,同时具备系统和数据的备份、恢复功能,可高效保障数据信息安全。在配置方面,同方超翔Z8000搭配了酷睿i5 650处理器、2GB DDR3内存、500GB硬盘、DVD刻录机、512MB独立显卡和20英寸宽屏液晶显示器,预装了Windows 7专业版,满足了行业用户的主流应用需求,通过了15万小时平均无故障时间(MTBF)测试,具有双网隔离、防雷设计、UPS电源断电保护等扩展能力,非常适合行业用户使用。
小贴士:可信外部设备导购
不论是网络办公、财务管理,还是网络支付、数据存储,在整个可信网络体系中,用户经常会遇到各种可信外部设备,例如为了让财务电脑更安全,往往要配合可信指纹U盘使用,而为了在理财电脑上实现网络支付(例如同方理财电脑),还需要搭配可信刷卡器才能完成支付任务,而商务人士要在办公网络内部交换数据,也只有使用可信U盘、可信移动硬盘,才能确保交换数据时办公网络不受来自内网和外网的安全威胁。
可信笔记本导购
在国防、公安、石油、船舶、勘探等行业,很多时候需要使用笔记本电脑在户外作业,并随时要与企业内部网络进行数据传输,这时可信台式机就显得无能为力,而笔记本电脑俨然成为最佳终端办公设备。遗憾的是,尽管很多高端商务笔记本电脑拥有出色的性能和稳定性,并可借助无线网络完成协同作业,却无法满足行业用户的应用需求,因为此时的数据安全存在很多隐患,而当笔记本拥有了可信技术后,数据安全就“固若金汤”了。
在产品选择上,市面上的可信笔记本电脑比较多,但大多搭配了国外厂商开发的TPM安全芯片,仅能满足中小企业用户的基本安全需求,而对于政府机关、事业单位、石油、船舶、勘探等行业用户而言,由于数据信息要求百分百安全保密,因而国产TCM安全芯片才是上上之选,遗憾的是,目前只有联想推出了搭载TCM安全芯片的笔记本电脑,例如联想昭阳K系列和联想昭阳R系列笔记本,前者适合大型企业、政府机构等移动办公使用,而后者适合石油、船舶、勘探等特殊行业用户使用。
推荐产品:联想昭阳K46A
参考价格:18888元
备选产品:联想昭阳R2000
参考价格:42800元
联想昭阳K46A在搭载TCM安全芯片的基础上,还内置了联想独有的LTT五维安全技术,其中包括指纹识别、数据安全保护、硬盘悬浮+APS等技术,可确保行业用户的数据安全可靠。在配置方面,联想昭阳K46A采用了酷睿双核处理器i5450m、2GB DDR3内存、320GB硬盘、RAMBO光驱、Quadro NVS 3100M显卡和14英寸LED显示屏(1280×800),内置无线网卡、1394接口、4合1读卡器、3G天线和扩展口,整机重量为2.2kg。
可信软件平台导购
对于行业用户来说,在部署可信服务器、可信计算机后,要让可信技术完全发挥作用,还要配合相应的可信软件平台,例如可信操作系统、可信安全终端管理系统、可信移动存储设备使用管理系统、可信指纹识别系统、可信安全支付系统等等。因而对于IT设备制造商(包括PC制造商、存储设备制造商等)来说,如果没有开发自己的可信软件平台,在可信硬件设备上内置了TCM安全芯片后,还必须批量采购对应的可信软件平台进行部署。
例如针对金融行业、政府机构、石油、船舶、勘探等行业用户,PC制造商要推出可信计算机,应该为可信计算机预装可信操作系统,此时就需要进行OEM采购。而针对高速商务用户推出的可信U盘、可信移动硬盘、可信指纹设备,同样需要OEM对应的可信管理软件,将可信管理软件捆绑在可信硬件设备上后,才方便最终用户进行实际部署使用。
推荐产品:麒麟可信操作系统
麒麟可信操作系统采用了KACF强制访问控制框架和RBA角色权限管理机制,支持管理员分权、最小特权、结合角色的基于类型的访问控制、安全目录保护等多项安全功能,符合Posix系列标准,兼容联想、浪潮、曙光、惠普、IBM等服务器,兼容达梦数据库、Oracle10/11g和Oracle 10/11g RAC数据库、IBM Websphere、DB2 UDB数据库、MQ、Bea Weblogic、BakBone备份软件等,非常适合搭配可信服务器使用。
推荐产品:北信源网络接入控制管理系统
北信源网络接入控制管理系统可以保护整个企业内部网络,包括可管理的(企业台式机、手提电脑、服务器)和不可管理的终端(外部访客、合作伙伴、客户)。它能够强制提升企业网络终端的安全,保证企业网络保护机制不间断,配置正确无误,以及补丁拥有最新的时效性,使网络安全得到更有效的提升。与此同时,基于设备接入控制网关,还可以对远程接入企业内部网络的计算机进行身份、唯一性及安全性认证。■
编后>>
可信计算保障企业信息安全系列选题到此结束了。如今中国IT已步入可信计算时代,未来关键岗位使用的计算机都会配备一个可信密码模块,这代表着新一代计算机技术和产业的发展方向。可信计算技术是目前为解决计算机安全问题而提出的一种行之有效的解决方法,它通过在计算机主板上嵌入一款可信密码模块,从体系结构上构建计算机的内在安全机制,从而系统化地解决平台恶意代码防护、可信身份标志和敏感数据保护等关键安全问题。