可信计算重要性和价值

计算系统的特点是越底层，权限越高，底层固件软件对上层系统及软件发起攻击，上层系统及软件将无法防护，底层硬件和固件可以约束上层软件权限，而上层软件不能约束底层固件和硬件权限，越底层，权限越高，硬件层的权限最高。

为确保计算系统始终以预期的方式运行，并且这些行为将由计算系统的硬件和软件强制执行，业界的通用做法是，基于硬件可信根来打造可信计算系统。可信计算技术在计算机系统中，首先建立一个硬件可信根，从可信根开始到硬件平台、操作系统和应用，一级度量认证一级，一级信任一级，把这种信任扩展到整个计算机系统，并采取防护措施，确保计算资源的完整性和计算行为是预期的，从而提高计算机系统的安全性和可信性。

当前主流的可信计算技术包括TPM可信启动度量及远程证明技术、安全启动及安全签名技术、国内的可信计算3.0技术等，这些技术均借助于硬件可信根技术和硬件安全技术支撑其建立系统的信任锚点，华为鲲鹏可信计算技术在一套可信计算架构内兼容多种可信计算实现，可根据客户诉求配置相应的可信计算技术。

随着国际安全形式的进一步恶化，高级持续威胁（Advanced Persistent Threat）攻击风险陡增，某些恶意国家和组织利用各种先进的攻击手段，对数据基础设施的高价值目标进行有组织、长期持续性网络攻击。这些攻击具备高度的目的性、隐蔽性、极高的危害性、目标实体化和极强的持续性。传统的“封堵查杀”手段难以应对APT攻击，由于无法穷尽所有的逻辑组合，通过挖漏洞，打补丁的方式还容易被攻击者利用，计算系统的整体安全威胁进一步加剧。

作为数据基础设施核心的服务器面临着内部或外部的各种安全危险，主要归结于两类：

• 业务系统的安全威胁：业务系统直接面向用户，安全依赖于业务操作系统的安全性以及业务软件系统本身的安全性，安全威胁的影响在于业务系统自身。
• 管理系统的安全威胁：管理系统提供服务器的硬件管理，依赖于服务器自身提供的Firmware的安全性，安全威胁的影响主要涉及到服务器的设备管理。

鲲鹏服务器作为IT智能数据基础设施，是客户的核心资产，是业务正常运行的基石，主要部署在核心数据中心机房以及有一定安全防护能力的机房环境中。上层应用、服务的可用性和网络、数据的安全，需构建在IT智能数据基础设施平台安全的基础上，而这些IT智能数据基础设施的硬件（主要是芯片、单板）和固件（包括BIOS、iBMC管理软件和设备相关的固件）的安全，是算力平台安全的基础。

鲲鹏服务器结合自身硬件系统的安全性，提供的业务面和管理面底层硬件、Firmware的安全性，同时提供信任链传递的通用技术方案，为客户实现整系统的可信执行环境和可信验证环境提供坚实的安全算力基础设施底座。