可信计算平台和终端加固系统功能对比.docVIP

可信计算平台与传统终端加固系统对比 可信计算平台在底层进行高级别防护，通过可信赖的硬件对软件层次的攻击进行保护可以使用户获得更强的保护能力和选择空间。采用USBKEY的终端加固系统的安全保护基本是以软件为基础附以密钥技术，事实证明这种保护并不是非常可靠而且存在着被篡改的可能性。 可信计算平台将加密、解密、认证等基本的安全功能写入硬件芯片，并确保芯片中的信息不能在外部通过软件随意获取。在这种情况下除非将硬件芯片从系统中移除，否则理论上是无法突破这层防护的，这也是构建可信的计算机设备以及建立可信的计算机通信的基础。在硬件层执行保护的另外一个优势是能够获得独立于软件环境的安全保护，这使得可以设计出具有更高安全限制能力的硬件系统。 通过系统硬件执行相对基础和底层的安全功能，能保证一些软件层的非法访问和恶意操作无法完成，同时这也为生产更安全的软件系统提供了支持。综合来看，可信计算平台的应用可以为建设安全体系提供更加完善的底层基础设施，并为需要高安全级别的用户提供更强有力的解决方案。 从功能上讲有如下区别： ESM管理 功能项目 功能要求 可信计算平台 终端加固系统 用户卡管理 对能够使用可信可信安全计算机客户端的用户卡进行控制 有 无 ESM时间设置 设置标准时间，用户无法自行修改 有 无 可信效验管理 系统引导对BIOS、MBR、OS加载结合IC卡进行可信校验 有 无 恢复出厂设置 恢复初始安全设置 有 无 终端资源管理 功能项目 功能要求 可信计算平台 软件版终端加固系统 新增资源 有 有 删除资源 有 有 终端锁定 在用户拔出智能卡（USB-KEY）后系统锁定，系统保持运行，其他人无法操作。 有 有 实时控制可信客户端 重启、关机、锁定、发送即时消息 有 有 截屏可信客户端 有 有 授权管理 功能项目 功能要求 可信计算平台 软件版终端加固系统 授权用户管理受控终端 指定用户所能使用的终端。未被授权的用户将无法使用该终端 用户信息写入本地ESM中，实现开机身份认证 只能实现系统级认证（接管WINDOWS认证） 修改授权属性 有 有 删除授权 有 有 光驱管理 只有拥有光驱使用权限的用户才能使用光驱 可以实现硬件级（总线级）控制，在终端启动时不给该设备加电 在系统级控制 软驱管理 只有拥有软驱使用权限的用户才能使用软驱 可以实现硬件级（总线级）控制，在终端启动时不给该设备加电 在系统级控制 硬盘逻辑分区管理 只有拥有相应硬盘逻辑分区使用权限的用户才能使用该分区。（系统所安装的分区除外） 有 有 USB存储设备管理 只有拥有USB端口使用权限的用户才能使用USB外接设备 可以实现硬件级（总线级）控制，在终端启动时不给该端口加电 在系统级控制 打印设备管理 只有拥有打印端口（LPT）使用权限的用户才能使用打印设备 可以实现硬件级（总线级）控制，在终端启动时不给该端口加电 在系统级控制 审计管理 功能项目 功能要求 可信计算平台 终端加固系统 审计员操作 审计中心只能由审计员进行管理操作 有 有 系统审计 能够对受控终端的系统操作行为加以审计 有 有 管理员审计 能够对管理员的登录及操作行为进行记录；并能按照管理员ID、时间、范围对管理日志进行检索。 有 有 审计员登录确认 应对用户登录本机的次数进行限制，并对登录情况进行审计 有 有 审计信息导出 能够实现审计信息的导出 有 有 审计信息导入 能够实现审计信息的导入 有 有 查询审计 日志可读性好，审计信息应包括源IP地址、事件类型、时间等 所有日志带有ESM时间，此时间用户不能更改，时间审计性强 日志时间使用系统时间 审计信息存储 二级存储，重要信息存储在ESM中，一般信息存于硬盘 所有信息存于硬盘 可信接入、可控接出管理 功能项目 功能要求 可信计算平台 终端加固系统 可控上网 防止受控终端脱离受控网络 有 有 带网络连接的安全模式（通过认证允许进入计算机） 在IC卡＋口令认证本机层面之上，通过服务器对可信可信安全计算机客户端进行网络集中认证。 有 有 文件保护 功能项目 功能要求 可信计算平台 终端加固系统 文件加密 能够对文件进行加密 加密过程在ESM中实现，密钥不出ESM，密钥存于IC卡中 在系统内存中实现，密钥存于USB-KEY中 文件解密 只有文件的加密者能够对文件进行解密 解密过程在ESM中实现，密钥不出ESM，密钥存于IC卡中 在系统内存中实现，密钥存于USB-KEY中 文件保密柜 能够创建虚拟磁盘，只有创建者才能使用该虚拟磁盘。 加密过程在ESM中实现，密钥不出ESM，密钥存于IC卡中 在系统内存中实现，密钥存于USB-KEY中 文件保密柜的保护 虚拟磁盘的创建者能够删除该虚拟磁盘 有 有 硬盘保护 非法更换硬盘报警 有报警，无法启动系统 无