安全和管理重塑ＰＣ_QQ安全中心PC

　　（记者 陈斌）最新发布的第二代英特尔博锐处理器技术具备直接I/O访问（Directed I/O）虚拟化和可信计算技术，增强了PC系统的安全性。而伴随着博锐技术的逐渐成熟，一些新的PC应用和服务模式将逐渐成长起来。
　　8月28日，在距离第一代博锐技术问世一年之际，英特尔推出研发代码为Weybridge的新一代博锐处理器技术。与第一代技术相比，Weybridge在可管理性方面增加了全自动远程配置等功能，而更大的革命性突破则是在安全性方面。
　　硬件变化更新
　　新的博锐平台搭配三款最新的酷睿2处理器，包括2.33GHz的E6550、2.66GHz的E6750和3GHz的E6850。新处理器的一个最新特性就是其静态功耗仅为8W，仅为之前产品22W数值的三分之一。
　　芯片组将采用英特尔最新的Q35 Express，配有ICH9-DO南桥和82566DM千兆以太网控制器。
　　英特尔还宣称，明年第一季度还将推出四核版本的博锐技术。并在稍后推出的第五代迅驰笔记本电脑Montevina平台中引入移动版的二代博锐。
　　
　　安全性之辨
　　
　　众所周知，博锐技术主要用于提高PC机的管理性和安全性。前者主要靠iAMT（主动管理技术）来实现，后者则依托于虚拟化技术（VT）。对于大多数用户来讲，理解iAMT比较容易，但往往对虚拟化技术对于安全的重要性认识不够。事实上，后者是非常重要的。
　　在理解这一点时，了解虚拟机（VM）的概念很重要。所谓的虚拟化技术，是使多种操作系统（及相关应用）在虚拟机中同时或者分时运行。每个虚拟机都是一个相对独立的环境，在环境内，软件与系统上的其他虚拟机分离开运行。每个环境的隔离通过在操作系统下引入软件层来实现，被称为虚拟机监视器（VMM）。VMM从物理硬件中提取虚拟机，管理虚拟机的存储器分区和共享硬件资源（如显示器、硬盘和网络等）。
　　在通常情况下，用户访问多个运行在独立虚拟机上的全功能操作系统，以实现通用虚拟化功能。另一方面，随着网络应用的深入，越来越多的安全隐患来源于网上，传统的操作系统+安全软件的模式已经暴露出其致命的弱点: 由于病毒和防火墙工作于操作系统级别上，不能访问或者扫描在操作系统之下的VMM，这也决定了VMM往往在安全软件的保护之外运行。由于VMM控制着对每个虚拟机数据的访问，恶意软件的攻击往往造成致命的后果。因此在虚拟化逐渐盛行的今天，有独立于用户操作系统的虚拟层来监控VMM是至关重要的。
　　第二代博锐则包涵了英特尔在台式机平台上最重要的两项远景计划: 直接I/O访问虚拟化和可信计算技术，前者又称VT-d，后者就是之前英特尔公布的研发代码为“LaGrande”的可信执行技术TxT（Trusted Execution Technology）。
　　Weybridge的TxT技术是基于TPM基础上的安全技术。硬件开机时，TxT先将系统引导到已知的可信状态: 首先TxT鉴别码（AC）模块（该模块存储于TPM中）检查BIOS设置是否正确; AC模块再针对芯片组鉴别自身，并提供可信的效用，以设置、检查和维护可信执行环境; 之后TxT检查可信执行环境，并返回测量TPM中的AC模块; 最后鉴别并验证VMM，并启动经过验证的VMM。经过这一过程，TxT能够创立完全锁定的区域，包括装载、运行和显示受保护的代码和内容。
　　而对于未经授权的直接存储器存取（DMA）读取或写入其他没有访问许可的虚拟机信息请求则被直接I/O访问虚拟化技术隔离和保护。同时，82566DM千兆以太网控制器能够存储安全令牌，并具有数据过滤器功能，可以检测和隔离病毒和木马等安全隐患。
　　SMB: 博锐的下一个金矿？
　　根据英特尔官方的数据，博锐技术从发布到现在已经有了超过400万台的销量。相比于英特尔一年数千万套的商用PC发货量，应该说这一数字并不高，博锐目前主要还是集中于大型企业和一些行业市场。
　　不过，包括Dell、联想、HP、方正、同方一些PC厂商已经开始计划在SMB市场推广博锐。联想公司大中华区商用台式营销总经理马认为，SMB市场用户更看重PC的安全和高效，对于购买PC的附加功能也有浓厚的兴趣。但由于其需求较分散，因此找准功能切入点很关键。不过，尽管有种种不定因素，马还是表示除了高端商用PC开天系列，联想还会在面向中小企业用户的扬天系列PC中支持Weybridge平台。
　　博锐技术本身的成熟度和用户认知问题将是博锐面临的一个重大挑战。从管理角度来讲，SMB市场由于技术人员匮乏，更需要方便、高效的自动管理功能，因此技术成熟度和方案的便利性就成为博锐被接受的首要因素。
　　
　　服务外包: 新的市场机会
　　
　　博锐还可能给服务外包市场带来新的机会。在PC产品同质化竞争和经销商利润微薄的大环境下，通过PC维护等增值服务增加收入已经成为相关企业未来利润增长和粘着客户的重要渠道，博锐的远程维护管理和安全特性为PC服务外包业务提供了新的手段。
　　根据中国电信对宽带用户所做的一项调查，有90%的用户对PC服务有需求，这是一个庞大的市场。但目前受技术手段的影响，主要的PC维护服务还是上门服务，成本很难降低。目前国外已经有IT服务公司开始推广基于博锐技术的远程PC维护服务。可以说，在解决了信任问题之后，博锐在服务外包市场上具有很大的成长空间。
　　普及可期
　　博锐的价值在于简化和增强了PC系统的管理能力，并在低于操作系统软件的硬件层面引入安全性。从这点来看，博锐不仅仅在商用市场有价值，即使是在消费市场也具有重要的意义。当然，从对管理性和安全性的迫切性来看，商用市场将是其最初努力抢占的领域。不过随着技术和应用的逐渐成熟，相信博锐的很多功能将逐渐在消费电脑中普及。
　　
　　小资料
　　
　　TCG和TPM
　　TCG（Trusted Computing Group，可信计算组织），其前身是1999年由微软、英特尔、IBM、惠普等国际巨头联合发起成立的TCPA（可信计算平台联盟，Trusted Computing Platform Alliance），于2003年更为现名。
　　TCG定义了具有安全存储和加密功能的TPM（Trusted Platform Module，可信平台模块），并于2001年1月30日发布了基于硬件系统的“可信计算平台规范”1.0版标准，又于2003年10月发布了1.2版标准。
　　TPM是位于主板上的一块ASIC芯片，可以生成、存储RSA口令，加解密数据，并可以随时终止包括从BIOS、VM（虚拟机）直到操作系统级的不安全进程，保证系统从“可信任”状态启动。
　　TPM之前就已经出现在PC中，但很少被使用到，因为Windows XP并不直接支持TPM，并且TPM模块独自使用其功能是非常有限的。