“政府部门对于信息安全保持着足够的重视。在国家十一五规划和863计划中，可信计算都是重点支持项目，在未来的一年内，政府将出台属于中国自己的安全芯片标准TCM。” 9月19日，在“基于TCM的安全电脑应用”研讨会上，国家信息化安全专家冯登国如是表示。

远离政府采购

　　安全PC是最近几年PC行业最火爆的话题，不仅各厂商纷纷推出安全PC产品，国家有关部门也相当重视。在《2006～2020年国家信息化发展战略》中，可信计算更是被提高到建立国家信息安全保障体系的高度。

TCM安全电脑应用讨论大会  摄影/马磊

　　很多业内媒体预测，未来3至5年内，全球70%的计算机都将是采用安全芯片、具有软硬件结合解决方案的安全PC。在中国市场，2008年安全PC的市场规模将达到500万台。

　　看上去安全PC似乎是形势一片大好，但是细心的人会发现，在安全PC的热潮中缺乏用户的声音，尤其是政府用户的声音。

　　事实上，在绝大部分的计算机采购中都没有要求采购安全PC。在合肥市政府采购中心几个月前制订的计算机采购配置标准中，也只要求安全PC拥有“内置指纹识别系统、一键恢复”等功能而已。

三大瓶颈有待突破

　　那么，造成安全PC这种困境的原因是什么？分析人士认为，安全PC在政府的推广应用上存在三大瓶颈：
　　首先是定位不明。沈阳市政府采购中心王宇飞表示，政府采购每一个标都是有预算控制的，政府原本就有信息安全的预算，用来采购防火墙、安全网闸等安全产品。安全PC的定位又是什么？如果采购人已经花钱购买了安全产品，又怎么会花更多的钱去买安全PC。

　　长期以来，安全PC究竟能够给政府带来哪些好处，各厂商都没有说清楚。在这种状态下，安全计算机只能以普通PC机的身份参与公开招标，他的安全性能只能获得一点技术分数，而高昂的价格会使他们竞争力大打折扣。

　　其次是芯片问题。安全PC的基础是TPM芯片，其全称为Trusted Platform Module（可信平台模块），实际上是一个含有密码运算部件和存储部件的小型片上系统，是可信计算技术最核心的部分。但TPM的标准是由可信赖运算平台联盟制订的，而这个联盟是一些国外计算机巨头建立的，没有国产的安全芯片标准，安全也就成了无根之水。

　　最关键的是没有标准。政府采购评标专家张云泉认为，目前业内没有比较准确的安全PC的定义，原则上所有装备TPM芯片的产品都是安全PC，但是安全PC究竟应该有哪些功能，优劣如何评价等问题，目前都还没有一个标准，因此即使要采购安全PC也没有办法评标。

厂商看好市场潜力

　　尽管如此，安全PC的潜在价值依然令厂商看好这个产品的市场前景。清华同方计算机本部销售业务群总经理吴松林表示，对于政府而言，安全PC有很大的应用前景，他的作用是别的安全产品无法替代的。

　　防火墙、入侵检测 VPN、信息加密等安全产品开始广泛应用，但是这些产品有一个共同点：防外不防内。所有这些安全建设大部分都基于“内部人可信”这一“假说”。这样一来，网络内部几乎成了不设防地带，泄密事故一旦出现，不仅损失惨重，而且很难追查到泄密人员。

　　实际上，政府机构是最需要控制信息传播和流向的，什么级别的信息可以给什么官员看都有明确的规定，在过去实现这种体制只能依靠行政制度，而如果使用安全PC的话，就可以使系统具有授权密网的功能，控制数据传播范围，严格权限控制，有效防止组织内部的主动或被动信息泄漏。

　　吴松林说，安全PC的政府行业市场还没有开启，关键是目前安全PC还没有成为一个通用产品。虽然目前各企业都有安全PC产品，也都有TPM芯片，但是大家在芯片的基础上开发的安全功能并不相同，如授权密网等对于政府至关重要的功能很多企业的产品还不具备，因此无法通过公开招标的方式采购安全PC。

　　不过吴松林相信，未来的政府计算机采购招标文件中，安全PC一定会成为标准配置。 
 
　　关于TCM和TPM

　　TCM(Trusted Computing Modem)即可信计算模块，是一种安全芯片，能有效保护PC，防止非法用户访问。TCM标准在我国属全新概念，是出于保障信息安全的目的，由国家密码管理局联合国内一些IT企业推出的。

　　TPM标准：1999年10月，多家IT巨头联合发起成立可信赖运算平台联盟（Trusted Computing Platform Alliance，TCPA）。初期加入者有康柏 、HP 、IBM、Intel、微软等。该联盟致力于促成新一代具有安全且可信赖的硬件运算平台。2003年3月，TCPA增加了诺基亚 、索尼等厂家，并改组为可信赖计算组织（Trusted Computing Group，TCG），希望从跨平台和操作环境的硬件和软件两方面，制定可信赖电脑相关标准和规范，并提出了TPM规范，目前最新版本为1.2。 
 

　　安全PC要想发展就不能孤芳自赏，最终得让采购人来评价安全PC对政府是否有价值。

　　　　　　　　　　　为安全PC“会诊”

主持人：马磊 朱毅
讨论嘉宾：   
       国家信息化与信息社会研究中心 殷国鹏
       国家外汇管理局信息中心综合处副处长 陈云开
       中国民生银行科技部安全处经理 吕晓强
       国税总局信息中心处长 李建彬
       北京市检察院第二分院处长 吴勇
 
　　缺乏产品规范

　　殷国鹏：信息化的社会肯定对信息安全有需求，如果安全PC确实能够在安全性能上带来质的飞跃，那么付出一定的成本，政府是可以承受的。

　　但是，安全PC的使用方法非常复杂，政府要使用的时候还要额外训练人员，这就不合算了。

　　目前，安全PC还欠缺完整的产业链和产品规范，比如安全PC的零件损坏是否可以正常更换，政府原有的计算机维护体系能否维护安全PC等。

　　这就和当年计算机刚刚进入中国的时候一样，百家争鸣，各有各的技术规范和标准，无形中增加了政府采购的风险。因此，应该先把所有的安全PC指标进行统一，就如同今天普通PC一样。 

北京市检察院第二分院处长 吴勇

　　兼容问题需关注

　　吴勇：只要真正能够获得安全的保障，作为政府部门多付出一些成本不是问题，关键还是安全PC能不能达到承诺的安全性，比如安装以后绝对避免冲击波、熊猫烧香等病毒的侵扰。还有一个关于标准的问题，现在国际上有TPM标准的安全芯片，国内马上要有TCM标准的安全芯片。未来政府采购当中，有些采购人采购同方的，而有些则采购HP的。如果应用不同的芯片是不是能通用？由于芯片差异上的问题，在这个过程中会不会出现兼容性问题？此外，政府在买回安全PC以后如何把他和现有的非安全PC兼容使用？ 

国家外汇管理局信息中心综合处副处长 陈云开

　　解决共享与泄密矛盾

　　陈云开：安全PC对于政府行业确实很有价值，传统的安全产品只能防止外界攻击，但不能对内部的信息传播进行控制，而政府恰恰有这样的需求，在一个部门内有些信息既需要进行公开，以便进行讨论，又必须防止把信息扩散到其他部门或者流到社会上，确实很令人头疼。

　　为此，我们中心很多工作人员配了三台电脑，一台跟外部网相连，一台上内部网，另外一台什么网都不上，以此控制信息的流传。而由此带来的问题是，因为不能上内部网，所以就不能跟别人共享打印机，因此必须每人配备一个打印机，所以行政办公成本慢慢增加。 

国税总局信息中心处长 李建彬

　　实现国产化是前提

　　李建彬：我相信安全PC在政府信息化中确实能够起很大的作用。但在大规模推广前有两个问题要解决：第一，所有安全PC产品的TCM芯片必须是国产，只有这样才能真正实现安全可控；第二，安全PC产品在定位上只能作为PC机参与政府采购，因此价格不能比正常PC高太多，否则无法中标。 

中国民生银行科技部安全处经理 吕晓强

　　走向产业应用

　　吕晓强：安全PC平台对金融业来说还是非常有用的，是解决关于数据安全的一个手段。但是，对我们这种有着4万台以上电脑的机构来说，不会轻易采用没有使用经验的产品。如果没有大规模应用，我们一般不会考虑。因此对于安全PC厂商来说，还是要尽量找到用户，等有了成绩，推广应用就容易了。

厂商观点：
　　　　　　　　　　　　政府不可或缺

　　很多政府采购负责人都有这么一个疑问，那就是安全PC相对于政府采购的安全网闸和防火墙有什么不同的功能？

　　同方计算机本部销售业务组群总经理吴松林认为，安全PC是能够为用户提供“真安全”应用环境的PC产品，如果把IT系统比作人体，那PC就是构成人体的细胞，只有让绝大多数细胞保持健康，人体才能健康。网闸的主要作用是对涉密网络和公共网络在连接时进行物理隔离，而不能对IT系统内的所有PC数据进行防护。
 
　　安装TST安全技术平台的同方安全电脑，不仅能够实现网闸的功能，还无缝集成了大量主流安全应用，不仅直接强健用户的IT系统，还通过“一站式”的解决方案，以PC机为载体一股脑地解决。所以可以满足绝大多数政府部门的应用需求，尤其适用于一些涉密性较高的部门。

　　简单举一个例子，各种公文的流转是各政府部门重要的日常工作，而其中很多信息的内容是涉密的，这时同方安全电脑的很多应用点就可以发挥作用了，例如授权密网等。另外，政府关键数据的安全是非常重要的，这些数据一旦有什么闪失，如误操作删除等，后果往往不堪设想。这时，同方安全电脑的数据恢复功能便可发挥作用了。其实同方安全电脑在研发过程中，充分考虑了政府部门的各个关键IT应用，可以为政府用户提供满意的服务。

　　标准的缺失的确是安全PC发展的一个大障碍，但是目前国家正在制定安全PC的相关标准。作为中国PC产业的代表性企业，同方也参与安全PC的标准制订工作。我们认为，安全PC标准的确定将对中国信息化建设产生非常积极的作用，并为整个中国PC产业明确一个重要的发展方向。

　　吴松林认为，安全PC是能够为用户提供真正真安全应用环境的PC产品，它必须能在PC系统底层，即硬件层面，为用户构建安全应用环境。而且安全PC必须满足“身份识别”、“信息加密”、“数据恢复”、“企业级防泄密”四大应用需求，并为用户提供高易用性的解决方案。 
  
　　　　　　　　　　　　安全PC面临两大挑战 
  
　　尽管厂商和业内人士不断鼓吹安全PC是PC产业未来的希望，但是在发展道路上，安全PC依然面临着两大挑战。

　　首先是软件产品的挑战，安全PC的很多功能是依赖于软件来实现的。相对于很多安全PC普遍具备的系统恢复功能而言，其对硬盘首分区容量限制极严，在测试中曾经出现过因调整分区容量而导致系统无法还原的情况出现。就这一点而言，其备份和还原能力远远逊于常用的系统恢复软件，比如说GHOST。

　　对于用户而言，安全PC的价格比同配置的普通PC价格要高很多。用软件就可以实现的功能，用户为何要花高价去购买呢？

　　其次，在易用性方面和深度安全方面，安全PC目前还难称完美。据记者了解，目前市场上的安全PC，其核心技术是依靠TPM安全芯片来实现的。TPM的全称为Trusted Platform Module，直译为信任平台模块。TPM安全芯片的功能就是把PC变成一个安全可信的计算平台。TPM安全芯片性能的优劣，在一定程度上决定了安全PC的安全性能。

　　安全芯片是安全PC的命脉所在，一旦出现异常，后果堪忧。如果采用备份安全芯片密钥的方式，则其密钥本身的安全性就很成问题。兆日技术有限公司营销副总裁高克勤告诉记者，我国有关政策规定，涉及密码技术的安全产品，必须由国内厂家完成设计、生产和销售。

　　目前，被国家密码管理局认证的安全芯片厂商只有少数几个，而同时具有PC生产制造能力的企业更是少之又少，这些芯片供应商构建的PC产业链还不成熟，面对一个庞大的市场需求，将给他们带来全新的机会，同时也将面临着激烈的挑战。（马磊）