當前，網(wǎng)絡(luò)空間已經(jīng)成為繼陸、海、空、天之后的第五大主權(quán)領(lǐng)域空間，是國際戰(zhàn)略在軍事領(lǐng)域的演進，對我國網(wǎng)絡(luò)安全提出了嚴峻的挑戰(zhàn)。習近平總書記強調(diào)，建設(shè)網(wǎng)絡(luò)強國，要有自己的技術(shù)，有過硬的技術(shù)。解決信息化核心技術(shù)設(shè)備受制于人的問題，需要從計算模式和體系結(jié)構(gòu)上創(chuàng)新驅(qū)動。創(chuàng)新發(fā)展可信計算技術(shù)，推動其產(chǎn)業(yè)化，是將我國建設(shè)成為“技術(shù)先進、設(shè)備領(lǐng)先、攻防兼?zhèn)洹本W(wǎng)絡(luò)強國的重要舉措。

一、可信可用方能安全交互

網(wǎng)絡(luò)空間的安全與人類社會休戚相關(guān)。在人類社會中，信任是人們相互合作和交往的基礎(chǔ)，如果我們確定對方不可信，就不會與其合作和交往。網(wǎng)絡(luò)空間由于其開放性，允許兩個網(wǎng)絡(luò)實體未經(jīng)過任何事先的安排或資格審查，就可以進行交互。這就導致我們在進行交互時有可能對對方實體一無所知。對方實體可能是通過這次交互來破壞我們數(shù)據(jù)的惡意程序，也可能是一個已經(jīng)被黑客控制了的計算平臺，還可能是企圖詐取我們錢財?shù)娜嘶蛘呓M織等。如果我們無法判斷對方實體是否可信就貿(mào)然交互，很可能造成巨大的損失。

為解決這個問題，我們需要找到一種方法，這種方法能夠讓用戶判斷與自己交互的實體是否可信，進而確保網(wǎng)絡(luò)空間的安全。這就是可信計算的基本出發(fā)點。可以說，可信計算就是把人類社會成功的管理經(jīng)驗用于計算機信息系統(tǒng)和網(wǎng)絡(luò)空間。具體而言，就是首先在計算機系統(tǒng)中建立一個信任根，信任根的可信性由物理安全、技術(shù)安全、管理安全共同確保；再建立一條信任鏈，從信任根開始到硬件平臺、操作系統(tǒng)、應用，一級測量認證一級，一級信任一級，把這種信任擴展到整個計算機系統(tǒng)，從而確保整個計算機系統(tǒng)的可信。

二、主動免疫方能有效防護

目前，我們所使用的計算機體系結(jié)構(gòu)在設(shè)計時只追求計算速度，并沒有考慮安全因素，如系統(tǒng)任務難以隔離、內(nèi)存無越界保護等。這直接導致網(wǎng)絡(luò)化環(huán)境下的計算服務存在大量安全問題，如源配置可被篡改、惡意程序被植入執(zhí)行、利用緩沖區(qū)（棧）溢出攻擊、非法接管系統(tǒng)管理員權(quán)限等。可信計算采用運算和防御并行的雙體系架構(gòu)，在計算運算的同時進行安全防護，使計算結(jié)果總是與預期一樣，計算全程可測可控，不被干擾。

當前大部分網(wǎng)絡(luò)安全系統(tǒng)主要是由防火墻、入侵監(jiān)測和病毒防范等組成，稱為“老三樣”。事實上，這些消極被動的封堵查殺治標不治本。與“老三樣”相比，可信計算能夠?qū)崿F(xiàn)計算機體系結(jié)構(gòu)的主動免疫。就像人體免疫一樣，能及時識別“自己”和“非己”成分，使漏洞不被攻擊者利用。云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)系統(tǒng)等新型信息技術(shù)應用都需要可信免疫體系作為其基礎(chǔ)支撐，確保操作行為、資源配置、數(shù)據(jù)存儲盒策略管理的可信，以達到攻擊者進不去、非授權(quán)者重要信息拿不到、竊取保密信息看不懂、系統(tǒng)和信息篡改不了、系統(tǒng)工作癱不成和攻擊行為賴不掉的防護效果。如果有可信機制，“震網(wǎng)”、“火焰”、“心臟滴血”等惡意代碼可不殺自滅。

三、自主創(chuàng)新方能安全可控

2014年4月微軟公司停止對Windows XP的服務支持，我國約2億臺運行XP操作系統(tǒng)的終端將面臨無人服務的局面。由于Windows 8和Vista是同類架構(gòu)，升級為Windows 8不僅耗費巨資，還會失去安全控制權(quán)和二次開發(fā)權(quán)。

利用自主創(chuàng)新的可信計算可以有效解決上述問題。《國家中長期科學和技術(shù)發(fā)展規(guī)劃綱要（2006—2020年）》明確提出，“以發(fā)展高可信網(wǎng)絡(luò)為重點，開發(fā)網(wǎng)絡(luò)信息安全技術(shù)及相關(guān)產(chǎn)品，建立信息安全技術(shù)保障體系”。我國可信計算于1992年正式立項研究并規(guī)模應用，形成了可信計算平臺密碼方案、可信平臺控制模塊、可信主板、可信基礎(chǔ)支撐軟件、可信網(wǎng)絡(luò)連接等方面的自主創(chuàng)新體系。目前，我國可信計算標準系列逐步制定，申報專利達40多項。不少單位和部門已按有關(guān)標準研制了芯片、整機、軟件和網(wǎng)絡(luò)連接等可信部件和設(shè)備，并在國家電網(wǎng)調(diào)度等重要系統(tǒng)中得到了有效應用。

2014年4月16日，中關(guān)村可信計算產(chǎn)業(yè)聯(lián)盟正式成立，有效推動了可信計算的產(chǎn)業(yè)化和市場化。當前，在我國實施國產(chǎn)化替代戰(zhàn)略的過程中，可信防護體系可以全面支持國產(chǎn)化的硬件、軟件。盡管國產(chǎn)化產(chǎn)品存在更多的缺陷和漏洞，但可信保障能使得缺陷和漏洞不被攻擊和利用，確保國產(chǎn)產(chǎn)品比國外產(chǎn)品更安全可靠，為國產(chǎn)化自主可控、安全可信保駕護航。

摘自《求是》