探秘安全之“XIN”（三）——可信计算研究院

　　在我国网络安全产业发展史上，“可信计算”这个词至关重要。随着信息技术的迅速发展和互联网的普及，以及物联网、大数据、云计算、5G、AI等新型场景的迅速推广，带来便利化的同时，也扩展了原有信息系统的暴露面，各种网络安全事故频繁发生，安全威胁手段也愈加隐蔽，产生“关基设施遭受境外恶意攻击、勒索病毒泛滥、个人隐私泄露”等众多网络安全问题。

　　2016年可信计算研究院正式成立，有力推动了可信计算产业化的大规模应用。当前，安全可信的网络产品和服务的每个运营节点须有独立的可信检测的软硬件，构成并行于计算资源软硬件的双体系结构，就像人体的免疫系统一样，抗体每时每刻对机体进行监控。本期“探秘安全之XIN”栏目带你走进可信计算研究院。

　　让每台计算设备都“安全可信”

　　从1992年起正式立项研究并规模应用，到如今迈入可信计算3.0时代，可信计算在中国的发展主要经历了三个阶段——对TCG技术理念的消化吸收、建立中国可信计算工作组TCMU及出台系列标准、迈入可信计算3.0时代后的完整产业体系构建。

　　历经多年攻坚克难，中国可信计算关键技术发展思路逐步清晰，形成了自主创新的体系。尤其是2016年可信计算研究院的成立，有力推动了可信计算产业化的大规模应用。此外，为落实《网络安全法》与等级保护制度，并结合信创安全的相关需求，网络安全等级保护2.0与可信计算3.0攻关示范基地，于2020年10月正式在北工大揭牌落地。

　　对于落实等级保护制度，可信计算研究院先相关负责人表示，团队遵循“一个中心三重防护”安全体系框架，构建用户整体的技术框架逻辑，分别从用户安全计算中心、区域边界、区域网络三重防护，做安全认证植入可信计算程序。“我们分别从底层CPU内置以及外置的可信卡，构建底层逻辑搭配操作系统可信软件及程序；同时在上层安全管理中心做统一部署管理，分别完成安全整体的策略部署，策略管控以及策略运行实时监控。”该负责人说。

　　目前，以可信计算3.0技术为基础，覆盖主机安全、云计算安全、工业互联网安全、物联网安全、大数据安全等领域，推出了多款可信计算安全防护产品，并已在各行业的众多高安全等级系统中部署和使用。例如：

　　海光CPU可信计算方案，是目前较为成熟的CPU内置式可行计算程序。通过对海光CPU内部的安全处理器，植入安全可信程序，完成底层可信根的构建。目前已与海关的一号系列、二号系列、三号系列完成了开发适配，并已将海光处理器推向各整机厂家，向各用户场景去推行可信计算程序。

　　基于安全可信软件，已与麒麟软件完成兼容性适配，并且开发出安全可信版操作系统，正式将该操作系统推介给用户，在用户层面为用户提升安全，安全防护能力得到增强。

　　在安全可信整机方面，已与清华同方签订战略合作协议，推出安全可信整机产品。目前采用飞腾CPU处理器，从CPU内置底层开始构建可信根，完成安全可信底层防护，搭配麒麟操作系统与可信华泰软件新产品，共同构建安全体系防护。

　　“做到国产化替代，全方位安全可信”

　　安全是万物互联智能时代的核心需求，相关行业亟需建设更加安全可信、可控的业务系统，来满足网络安全保护建设的要求。针对当前面临的安全挑战，中国工程院院士沈昌祥表示——

　　网络空间已经成为第五大主权领域空间，要构建算力、计算能力技术具有安全可信的保障体系。我们要实现国产化替代，要先基于可信计算构建安全可信的保障体系，未来还有着广阔的产业空间。从安全上来讲，要通过新生态打造新安全，这是天翻地覆的产业革命，网络空间智能制造的产品，包括产业机器人在内，都需要做到安全可信。

　　主动免疫可信计算是采用运算和防护并存的安全可信新计算模式，即以密码为免疫基因产生抗体实施身份识别、状态度量、保密存储等主动免疫机制，及时识别“自己”和“非己”成分，从而破坏与排斥进入机体的有害物质，相当于为计算机信息系统培育了免疫能力。

　　安全可信的网络产品和服务的每个运营节点须有独立的可信检测的软硬件，构成并行于计算资源软硬件的双体系结构，就像人体的免疫系统一样，抗体每时每刻对机体进行监控。用安全可信节点构成安全管理中心支持下的计算环境、区域边界和通信网络三重主动防御体系，达到攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、计算资源改不了、系统工作瘫不成和攻击行为赖不掉的安全防护效果。

　　打造安全可信产业体系，筑牢“数字中国”安全底座

　　目前，我国核心的关键信息基础设施都装备了主动免疫的安全可信产品和服务。事实证明，只有构建主动免疫的网络空间安全保障体系，筑牢“网络强国、数字中国”安全底座，确保网络强国的健康建设。可信计算产业联盟自成立后有哪些成果？多年攻关研究及发展中遇到了哪些困难？在可信3.0的驱动下有哪些发展规划？中关村可信计算产业联盟党支部书记、秘书长王振宇，向我们作了解答——

　　中关村可信计算产业联盟党支部书记、秘书长王振宇——

　　近年来，中关村可信产业联盟通过组织产学研，与各单位有效的协同创新驱动，打造我国主动免疫可信计算的良好生态，有力支撑国家网络空间安全的相关政策的落地，有效推动了可信计算技术研究和产品研发，在可信计算技术方面有着非常深厚的积累。

　　主要工作内容包括可信计算相关标准制定，国家等级保护2.0和可信计算3.0攻关示范基地建设，以及可信计算技术咨询培训等。可信计算也取得了最新阶段性成果。比如，形成了涵盖密码、芯片、主板、软件、网络在内的安全国家标准体系，为可信计算后续发展提供了明确方向指引；制定多项可信计算产品规范，与公安部第三研究所联合开展可信计算产品检测和认证工作，有力地支撑了国家等级保护制度要求的落地；联合北京工业大学，形成了我国等级保护2.0与可信计算3.0的攻关示范基地，对我国安全可信的网络安全新业态起到重要促进作用。

　　当下，可信计算产业也面临一些困难：主要由于此前较为专注于技术研究和生态构建，市场方面宣传力度不够，使得受众对可信计算认知有所不足，导致一些科研项目立项没有预期理想，部分行业对可信计算产品的采购量也相对偏少。

　　未来，希望能有更多的科研院所加入到可信计算的大家庭，加强对可信计算基础理论的研究，夯实基础。同时也希望有更多的厂商能够从事可信计算的产品研发，将可信计算技术开枝散叶，扩大生态圈，聚集力量，建设安全可信的产品和服务新业态，筑牢国家的网络空间安全防线。