（一）可信的內涵

對可信計算的定義目前尚未形成統一的觀(guān)點(diǎn)，不同專(zhuān)家和組織機構有不同的解釋。國際標準化組織與國際電子技術(shù)委員會(huì )在ISO/IEC 15408標準中定義可信為參與計算的組件、操作或過(guò)程在任意條件下是可預測的，并能夠抵御病毒和一定程度的物理干擾?？尚庞嬎憬M織（TCG）認為，如果一個(gè)實(shí)體的行為總是以預期的方式達到預期的目標，則該實(shí)體可信。電氣電子工程師學(xué)會(huì )（IEEE）認為，一個(gè)計算機系統稱(chēng)為可信是指其提供的服務(wù)是可信賴(lài)的，而且這種可信賴(lài)是可論證的。我國學(xué)者認為，可信計算系統是能夠提供系統可靠性、可用性、信息和行為安全性的計算機系統?？尚虐ㄕ_性、可靠性、安全性、效率等，系統的安全性和可靠性是現階段可信最主要的兩個(gè)方面，簡(jiǎn)稱(chēng)為“可信≈可靠+安全”。

由以上幾種不同的定義，可以看出一個(gè)共同點(diǎn)，可信強調實(shí)體行為的預期性，強調系統的安全與可靠?？尚庞嬎愕目傮w目標是提高計算機系統的可信性。

（二）可信計算的思想

可信計算以“整體安全”“主動(dòng)免疫”的思想為指導，以密碼技術(shù)為基礎，以安全芯片為信任根，以計算機系統為平臺，以可信基礎支撐軟件為核心，以可信網(wǎng)絡(luò )連接為紐帶，確保應用程序的可信運行。采用軟硬件協(xié)同設計構建安全體系，目的是為信息系統構建安全可信的計算環(huán)境和通信環(huán)境，提升信息系統主動(dòng)、動(dòng)態(tài)、整體、精準的防御能力。

可信計算首先在計算機系統中建立一個(gè)信任根，信任根的可信性由物理安全、技術(shù)安全與管理安全共同確保。其次建立一條信任鏈，從信任根開(kāi)始到硬件平臺，到操作系統，再到應用，一級測量認證一級，一級信任一級，把信任擴展到整個(gè)計算機系統，從而確保整個(gè)計算機系統可信。在系統運行過(guò)程中，通過(guò)可信度量、可信驗證，實(shí)現遭受攻擊時(shí)的自我保護、自我管理和自我恢復?？尚庞嬎銖娬{計算機系統硬件、軟件在設計時(shí)考慮安全保障和安全擴展，融合了內生安全的技術(shù)理念，通過(guò)主動(dòng)識別、主動(dòng)控制、主動(dòng)報警，從體系結構、應用行為、數據存儲、策略管理等各個(gè)環(huán)節提供安全免疫能力，為計算機系統的安全提供支撐。

可信計算具有安全芯片自主可控、防護設計主動(dòng)免疫的優(yōu)點(diǎn)，其理念能覆蓋工業(yè)互聯(lián)網(wǎng)多種設備和網(wǎng)絡(luò )環(huán)境，滿(mǎn)足工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)和應用相對穩定的運行特點(diǎn)。應用可信計算技術(shù)保障工業(yè)互聯(lián)網(wǎng)安全具有優(yōu)勢。

（一）國產(chǎn)芯片從根上解決工業(yè)互聯(lián)網(wǎng)的信任問(wèn)題

我國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)空心化問(wèn)題突出，工控MCU、DSP、FPGA等核心元器件和SCADA、PLC、DCS等系統國外產(chǎn)品占領(lǐng)大部分國內市場(chǎng)。在工業(yè)芯片、核心部件、系統產(chǎn)品無(wú)法全部實(shí)現國產(chǎn)化替代時(shí)，以國產(chǎn)可信計算芯片為信任根，作為工業(yè)互聯(lián)網(wǎng)環(huán)境中保障從系統到應用可信執行的信任源頭，能從根上解決工業(yè)互聯(lián)網(wǎng)環(huán)境的信任問(wèn)題。此外，與各類(lèi)復雜的智能算法相比，可信計算技術(shù)算法簡(jiǎn)單、運行效率高，硬件芯片加速算法執行，能更好的滿(mǎn)足工業(yè)互聯(lián)網(wǎng)的實(shí)時(shí)性要求。

（二）基于可信計算能構建主動(dòng)免疫的工業(yè)互聯(lián)網(wǎng)防護體系

目前工業(yè)互聯(lián)網(wǎng)主要采用傳統IT掃描、檢測、監控、病毒查殺等被動(dòng)防御手段，無(wú)法有效抵御網(wǎng)絡(luò )攻擊?？尚庞嬎悴捎谩岸攘?管控”的思路，其目標不是消除系統中的漏洞或缺陷，而是阻止一切未知的或非法的程序執行，防患于未然，確保系統按照預定期望執行，從而構建主動(dòng)免疫的工業(yè)互聯(lián)網(wǎng)防護體系。

（三）可信計算理念覆蓋工業(yè)互聯(lián)網(wǎng)多種設備和網(wǎng)絡(luò )環(huán)境

典型的工業(yè)互聯(lián)網(wǎng)包含業(yè)務(wù)網(wǎng)絡(luò )、辦公網(wǎng)絡(luò )、生產(chǎn)網(wǎng)絡(luò )（控制網(wǎng)）等多個(gè)層次，涵蓋工業(yè)主機、控制器、PLC、智能儀表等多種終端設備?？尚庞嬎愀綦x執行、安全存儲和遠程證明的思想適合對工業(yè)互聯(lián)網(wǎng)各種終端設備和網(wǎng)絡(luò )環(huán)境進(jìn)行安全增強，能形成統一的安全解決方案和管理體系。

（四）可信計算技術(shù)滿(mǎn)足工業(yè)互聯(lián)網(wǎng)應用和業(yè)務(wù)相對穩定的運行特點(diǎn)

工業(yè)互聯(lián)網(wǎng)應用和業(yè)務(wù)通常要求較高的穩定性、可用性和可靠性，工業(yè)設備和系統相對穩定、單一，沒(méi)有頻繁的更新?？尚庞嬎惆踩呗砸蕾?lài)先驗的度量值信息，非常適合相對穩定的工業(yè)互聯(lián)網(wǎng)環(huán)境，可根據工業(yè)應用的業(yè)務(wù)環(huán)境，執行更嚴格細粒度的安全策略。

基于可信計算技術(shù)能構建可信的工業(yè)互聯(lián)網(wǎng)安全防護體系，增強未來(lái)工業(yè)互聯(lián)網(wǎng)抵御未知威脅的能力。面向工業(yè)設備、主機、網(wǎng)絡(luò )、應用的安全防護需求，提出工業(yè)設備可信驗證、工業(yè)主機可信執行、工業(yè)網(wǎng)絡(luò )可信連接和工業(yè)應用可信防護的構建思路。工業(yè)互聯(lián)網(wǎng)平臺依托工業(yè)云平臺構建而成，其安全防御能力依賴(lài)云平臺自身的安全防護水平，這里沒(méi)有單獨說(shuō)明。

（一）工業(yè)主機可信執行

工業(yè)主機類(lèi)型多樣，功能復雜，一般使用專(zhuān)有系統，不聯(lián)網(wǎng)，存在軟硬件升級困難，主機系統老舊“帶病”運行的問(wèn)題。利用可信計算技術(shù)加固工業(yè)主機，基于自主可控的安全芯片對主機系統啟動(dòng)時(shí)和運行時(shí)進(jìn)行周期性或根據用戶(hù)需求的信任度量和可信性驗證，對系統行為進(jìn)行可信性判斷，以構建工業(yè)主機可信的執行環(huán)境。所有信任度量驗證結果都進(jìn)行日志記錄，上傳到工業(yè)互聯(lián)網(wǎng)平臺安全管理中心，輔助管理員做出決策。日志記錄本身也利用安全芯片進(jìn)行加密保護，防止未授權篡改或破壞。

（二）工業(yè)設備可信驗證

工業(yè)設備處于被破壞、篡改或受控的不可信狀態(tài)時(shí)，接入到工業(yè)互聯(lián)網(wǎng)平臺后可能導致威脅擴散。為保證工業(yè)設備可信接入，需基于安全芯片對設備進(jìn)行可信驗證。具體在接入時(shí)，對設備及用戶(hù)身份采用基于硬件的認證方式；認證通過(guò)后，度量設備的可信狀態(tài)并進(jìn)行結果對比，若度量結果滿(mǎn)足平臺的準入安全策略，則允許連接；否則將設備接入到平臺的指定隔離區域，對其進(jìn)行安全修補和升級。同樣地，對工業(yè)設備的可信驗證也進(jìn)行日志記錄，上傳到工業(yè)互聯(lián)網(wǎng)平臺。

（三）工業(yè)網(wǎng)絡(luò )可信連接

我國工業(yè)網(wǎng)絡(luò )當前存在較多私有協(xié)議如OPC、Modbus等，一般采用明文傳輸數據，缺乏認證機制、權限區分、廣播抑制等安全機制，難以應對網(wǎng)絡(luò )攻擊。對工業(yè)網(wǎng)關(guān)、工業(yè)交換機、工業(yè)控制器等可聯(lián)網(wǎng)的通信設備做軟硬件改造以支持可信網(wǎng)絡(luò )連接，從設備的網(wǎng)絡(luò )特征和網(wǎng)絡(luò )行為建立對設備的身份認證和設備行為的安全認證，實(shí)現設備間通信、設備與平臺通信時(shí)對通信端身份、安全策略、安全狀態(tài)的雙向鑒別，建立數據安全傳輸信道，能保證工業(yè)網(wǎng)絡(luò )通信的安全性。

（四）工業(yè)應用可信防護

工業(yè)應用在開(kāi)發(fā)、部署、運行、維護等不同環(huán)節一般由不同參與方提供支持，容易存在脆弱性?；诳尚庞嬎慵夹g(shù)對工業(yè)應用進(jìn)行可信防護，能增強工業(yè)應用抵御攻擊的能力。具體按照最小權限制定應用行為的安全策略，僅允許執行白名單行為，以保證工業(yè)應用行為的可控，同時(shí)對安全策略和工業(yè)應用行為的日志記錄進(jìn)行基于安全芯片的硬件級加密保護，傳送到工業(yè)互聯(lián)網(wǎng)平臺輔助決策。

可信計算目前作為一種新型技術(shù)，應用到保障工業(yè)互聯(lián)網(wǎng)安全時(shí)，主要面臨三個(gè)方面的挑戰。

一是現階段可信計算技術(shù)在易用性上存在不足?？尚庞嬎闶且环N新的防護模式和方法，在推廣應用中需要對工業(yè)互聯(lián)網(wǎng)現有設備、系統等進(jìn)行改變或更新，將加大工業(yè)企業(yè)數字化智能化轉型的難度和成本。

二是缺乏符合工業(yè)應用場(chǎng)景的可信計算標準體系。目前仍缺乏我國自主的可信計算核心標準體系，沒(méi)有根據工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展需求，推出符合工業(yè)應用場(chǎng)景的行業(yè)或產(chǎn)業(yè)標準；工業(yè)互聯(lián)網(wǎng)領(lǐng)域可信計算應用標準體系仍是空白。

三是在工業(yè)互聯(lián)網(wǎng)領(lǐng)域缺乏完整的可信計算產(chǎn)業(yè)鏈。自主可控芯片、可信控制平臺等尚未在工業(yè)互聯(lián)網(wǎng)領(lǐng)域得到推廣應用，產(chǎn)品比較分散，沒(méi)有形成合力；可信計算技術(shù)沒(méi)有充分覆蓋工業(yè)互聯(lián)網(wǎng)領(lǐng)域融合的云計算、大數據、物聯(lián)網(wǎng)、邊緣計算、移動(dòng)互聯(lián)網(wǎng)等新型服務(wù)模式，沒(méi)有進(jìn)入整體的運營(yíng)產(chǎn)業(yè)鏈。

來(lái)源：工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟