电脑的安全保护长期以来一直是杀毒软件的“势力范围”,不过,通过英特尔新的vPro(博锐)平台,迎战病毒和恶意代码的战场将转向硬件,芯片制造商英特尔可以通过芯片级别的改进来降低电脑整个系统的脆弱性。
也许很多人都认识到英特尔是芯片厂商,但是很少有人把它看作是安全企业。其实,目前至少就商用台式机来说,它是安全技术的关键提供商。近日,英特尔就发布了最新的vPro技术,让商用台式机的安全进一步升级。
硬件级安全
当病毒在网络中肆虐时,vPro提供了大量的安全特性,为对付病毒做好准备。该平台的第二代版本于去年发布,如果软件厂商能够利用其管理特性,将会使IT人员更好地控制台式机的安全。
软件厂商的支持是英特尔成为主要的安全技术供应商的关键所在。硬件的安全特性必须能够被软件加以利用,才能发挥作用。因此,如果没有将安全构建于CPU和芯片组中,桌面就不可能达到最大的安全性。也就是说,只是使用软件保障安全,电脑迟早会被侵入。而最新的vPro安全技术包括TrustedExecutionTechnology (TXT),增强的主动式管理技术(ActiveManagementTechnology即AMT)及嵌入式代理机制。英特尔宣称,尽管vPro增加了安全新特性,但与去年的版本比较,它却具有更低的能耗:CPU的空闲功耗减少60%以上,芯片组的空闲能耗和满负荷运作的最大能耗都减少了50%以上。
目前,主要的计算机制造商和渠道转销商都在销售带有新的vPro处理器的商用台式机。英特尔称,已经有350家企业正在全世界范围内部署这项技术。然而,这项技术的采用在整体上是渐进的,因为企业如果为了安全而采用vPro处理器的电脑,这就意味着需要淘汰现有的所有电脑,因此除非有准备替换电脑的大规模采购计划,多数企业还不会马上采用vPro。据悉,与最新的vPro相当的笔记本处理器CentrinoPro版本的代号为Montevina,将在明年上半年发布。
新的安全技术
最新的vPro平台由英特尔的Core 2Duo(酷睿2双核)处理器和Q35Express芯片组组成。此平台新添加的特性是英特尔称之为Trusted ExecutionTechnology(TXT)的技术。它主要为软件开发人员提供一个根据芯片组特性进行程序设计的选项,其特性在于,一旦病毒或其他恶意代码侵入到桌面系统,它就可以保护应用程序。这个平台的特性包括:在应用程序第一次启动时,将软件运行到一个已知的、可信任的状态设置,从而防止受到损害的软件得以启动。而且,TXT还提供了内存分区,因此一个应用程序可以启动进入其自身的sandbox,这个sandbox对其他软件或硬件是不可访问的。此外,在软件关闭或崩溃时,TXT也可防止对驻留在内存、处理器高速缓存或系统中其他区域的数据进行访问。
由此看来,安全性已经固化到vPro的内部,这意味着这些特性是自动部署的,属于平台管理性能的组成部分,英特尔称之为主动式管理技术(AMT)。英特尔主动式管理技术带来新的价值,将许多以往仅在服务器上才能看到的远程管理技术带到桌上型平台,包括在计算机关机时仍能从远程访问资产与侦测工具及建置虚拟软件,提升企业计算机的安全性与可靠度。
这次增强的新特性是对系统传输的通信进行过滤。如果AMT注意到来自一个单一端口或一组端口的连接企图数量过多,就有理由相信这是一种恶意攻击,那么AMT技术就会终止该端口与网络上其他系统和应用程序的全部通信。但是,该技术仍然可以保持感染电脑与IT部门的OpenView或Tivoli等网络管理软件之间的通信。英特尔认为,这种功能会潜在性地防止在被感染的设备复制自身的病毒并扩散到与之连接的网络其他设备上。
此外,vPro技术还提供了一个嵌入式代理机制,它可以由思科系统的自防御网络技术来实现网络接入准入控制NAC。从理论上讲,思科网络设备可以进行配置,从而使用该代理检查一个登录到企业桌面的系统是否符合该企业的安全策略要求,如是否拥有一个经核准的操作系统版本、最新的反病毒软件版本、是否升级了最新漏洞补丁等。