當前，網(wǎng)絡(luò )空間已經(jīng)成為繼陸、海、空、天之后的第五大主權領(lǐng)域空間，是國際戰略在軍事領(lǐng)域的演進(jìn)，對我國網(wǎng)絡(luò )安全提出了嚴峻的挑戰。習近平總書(shū)記強調，建設網(wǎng)絡(luò )強國，要有自己的技術(shù)，有過(guò)硬的技術(shù)。解決信息化核心技術(shù)設備受制于人的問(wèn)題，需要從計算模式和體系結構上創(chuàng )新驅動(dòng)。創(chuàng )新發(fā)展可信計算技術(shù)，推動(dòng)其產(chǎn)業(yè)化，是將我國建設成為“技術(shù)先進(jìn)、設備領(lǐng)先、攻防兼備”網(wǎng)絡(luò )強國的重要舉措。

一、可信可用方能安全交互

網(wǎng)絡(luò )空間的安全與人類(lèi)社會(huì )休戚相關(guān)。在人類(lèi)社會(huì )中，信任是人們相互合作和交往的基礎，如果我們確定對方不可信，就不會(huì )與其合作和交往。網(wǎng)絡(luò )空間由于其開(kāi)放性，允許兩個(gè)網(wǎng)絡(luò )實(shí)體未經(jīng)過(guò)任何事先的安排或資格審查，就可以進(jìn)行交互。這就導致我們在進(jìn)行交互時(shí)有可能對對方實(shí)體一無(wú)所知。對方實(shí)體可能是通過(guò)這次交互來(lái)破壞我們數據的惡意程序，也可能是一個(gè)已經(jīng)被黑客控制了的計算平臺，還可能是企圖詐取我們錢(qián)財的人或者組織等。如果我們無(wú)法判斷對方實(shí)體是否可信就貿然交互，很可能造成巨大的損失。

為解決這個(gè)問(wèn)題，我們需要找到一種方法，這種方法能夠讓用戶(hù)判斷與自己交互的實(shí)體是否可信，進(jìn)而確保網(wǎng)絡(luò )空間的安全。這就是可信計算的基本出發(fā)點(diǎn)?？梢哉f(shuō)，可信計算就是把人類(lèi)社會(huì )成功的管理經(jīng)驗用于計算機信息系統和網(wǎng)絡(luò )空間。具體而言，就是首先在計算機系統中建立一個(gè)信任根，信任根的可信性由物理安全、技術(shù)安全、管理安全共同確保；再建立一條信任鏈，從信任根開(kāi)始到硬件平臺、操作系統、應用，一級測量認證一級，一級信任一級，把這種信任擴展到整個(gè)計算機系統，從而確保整個(gè)計算機系統的可信。

二、主動(dòng)免疫方能有效防護

目前，我們所使用的計算機體系結構在設計時(shí)只追求計算速度，并沒(méi)有考慮安全因素，如系統任務(wù)難以隔離、內存無(wú)越界保護等。這直接導致網(wǎng)絡(luò )化環(huán)境下的計算服務(wù)存在大量安全問(wèn)題，如源配置可被篡改、惡意程序被植入執行、利用緩沖區（棧）溢出攻擊、非法接管系統管理員權限等?？尚庞嬎悴捎眠\算和防御并行的雙體系架構，在計算運算的同時(shí)進(jìn)行安全防護，使計算結果總是與預期一樣，計算全程可測可控，不被干擾。

當前大部分網(wǎng)絡(luò )安全系統主要是由防火墻、入侵監測和病毒防范等組成，稱(chēng)為“老三樣”。事實(shí)上，這些消極被動(dòng)的封堵查殺治標不治本。與“老三樣”相比，可信計算能夠實(shí)現計算機體系結構的主動(dòng)免疫。就像人體免疫一樣，能及時(shí)識別“自己”和“非己”成分，使漏洞不被攻擊者利用。云計算、大數據、物聯(lián)網(wǎng)、工業(yè)系統等新型信息技術(shù)應用都需要可信免疫體系作為其基礎支撐，確保操作行為、資源配置、數據存儲盒策略管理的可信，以達到攻擊者進(jìn)不去、非授權者重要信息拿不到、竊取保密信息看不懂、系統和信息篡改不了、系統工作癱不成和攻擊行為賴(lài)不掉的防護效果。如果有可信機制，“震網(wǎng)”、“火焰”、“心臟滴血”等惡意代碼可不殺自滅。

三、自主創(chuàng )新方能安全可控

2014年4月微軟公司停止對Windows XP的服務(wù)支持，我國約2億臺運行XP操作系統的終端將面臨無(wú)人服務(wù)的局面。由于Windows 8和Vista是同類(lèi)架構，升級為Windows 8不僅耗費巨資，還會(huì )失去安全控制權和二次開(kāi)發(fā)權。

利用自主創(chuàng )新的可信計算可以有效解決上述問(wèn)題?！秶抑虚L(cháng)期科學(xué)和技術(shù)發(fā)展規劃綱要（2006—2020年）》明確提出，“以發(fā)展高可信網(wǎng)絡(luò )為重點(diǎn)，開(kāi)發(fā)網(wǎng)絡(luò )信息安全技術(shù)及相關(guān)產(chǎn)品，建立信息安全技術(shù)保障體系”。我國可信計算于1992年正式立項研究并規模應用，形成了可信計算平臺密碼方案、可信平臺控制模塊、可信主板、可信基礎支撐軟件、可信網(wǎng)絡(luò )連接等方面的自主創(chuàng )新體系。目前，我國可信計算標準系列逐步制定，申報專(zhuān)利達40多項。不少單位和部門(mén)已按有關(guān)標準研制了芯片、整機、軟件和網(wǎng)絡(luò )連接等可信部件和設備，并在國家電網(wǎng)調度等重要系統中得到了有效應用。

2014年4月16日，中關(guān)村可信計算產(chǎn)業(yè)聯(lián)盟正式成立，有效推動(dòng)了可信計算的產(chǎn)業(yè)化和市場(chǎng)化。當前，在我國實(shí)施國產(chǎn)化替代戰略的過(guò)程中，可信防護體系可以全面支持國產(chǎn)化的硬件、軟件。盡管?chē)a(chǎn)化產(chǎn)品存在更多的缺陷和漏洞，但可信保障能使得缺陷和漏洞不被攻擊和利用，確保國產(chǎn)產(chǎn)品比國外產(chǎn)品更安全可靠，為國產(chǎn)化自主可控、安全可信保駕護航。

摘自《求是》