2025 年 12 月 11 日,北京举办的自主可信计算创新论坛上,“自主可信计算联合攻关组” 的揭牌与攻关示范基地的揭幕,标志着我国可信计算产业正式迈入产学研用协同创新的新阶段。论坛上,公安部十一局原副局长郭启全关于网络安全制度体系演进的演讲,以及有关可信计算芯片、操作系统安全加固方案等 20 余项创新成果的集中亮相,生动展现了我国从网络安全等级保护 2.0 到可信计算 3.0 的生态构建成果。
在数字经济纵深发展的今天,关键信息基础设施面临的网络攻击日趋智能化、规模化,传统被动防御模式早已难以应对。从等级保护 2.0 的制度夯实到可信计算 3.0 的技术突破,我国正通过清晰的顶层设计与扎实的产业实践,构筑起自主可控的网络安全 “主动免疫” 防线。
一、政策演进:从 “一个基础、两个重点” 到主动免疫的制度升级
在 2025 自主可信计算创新论坛上,公安部十一局原副局长、一级巡视员郭启全以《我国网络安全制度体系的建立与实施》为题发表演讲,系统梳理了我国网络安全制度从框架搭建到技术深耕的演进脉络,尤其阐明了从 “一个基础、两个重点” 到可信计算 3.0 的核心逻辑。这一演进过程,本质上是我国网络安全治理从被动合规向主动防御的战略转型。
郭启全在演讲中明确,我国已通过多部法律法规确立了 “一个基础、两个重点” 的网络安全制度框架。其中 “一个基础” 指网络安全等级保护制度,《网络安全法》第 21 条已将其确立为国家网络安全的基本制度,覆盖从个人信息系统到国家关键信息基础设施的全领域防护;“两个重点” 则聚焦关键信息基础设施安全保护与数据安全保护,《关键信息基础设施安全保护条例》与《数据安全法》分别对其作出专项规定,形成基础兜底与重点强化的双层防护格局。这一框架在数字经济初期有效解决了 “保护什么、谁来保护、怎么保护” 的核心问题,为互联网、云计算等新技术应用筑牢了制度根基。
但随着 AI、工业互联网等技术的普及,网络攻击呈现出 “单点突破、全网渗透” 的新特征,攻击手段从传统漏洞利用升级为 AI 辅助的智能渗透与数据投毒,传统基于边界隔离的防御模式暴露出明显短板。对此,郭启全强调,网络安全保护已带有鲜明的 “作战意味”,必须推动制度要求与技术架构深度融合,而可信计算 3.0 正是实现这一融合的核心支撑。
事实上,等级保护 2.0 早已为可信计算技术预留了制度接口。2019 年出台的等级保护 2.0 系列标准,不仅将云计算、物联网、工业控制系统等纳入保护范围,更在各级防护要求中明确了 “可信验证” 控制点。按照标准要求,一级到四级信息系统均需基于可信根实现对系统引导程序、核心配置的可信验证,其中三级、四级关键信息基础设施更是要求可信密码模块与可信平台控制模块全部通过硬件实现,这为可信计算 3.0 的落地提供了明确的合规依据。
本次论坛进一步明确了可信计算 3.0 与等级保护 2.0 的协同路径。郭启全提出,基础软硬件厂商需将可信计算融入产品研发全流程,重要行业在系统规划、建设中要落实可信计算 3.0 要求,形成 “制度要求 — 技术实现 — 实战验证” 的闭环。这种将安全基因植入技术底层的思路,彻底改变了传统 “先建设、后防护” 的模式,通过构建从硬件到软件的信任链传递,实现对网络威胁的主动免疫,标志着我国网络安全制度正式进入 “技术赋能合规” 的新阶段。
二、产业布局:全链条协同构建国家安全防线
1、 60家企业入驻攻关示范基地的生态效应
论坛现场,沈昌祥院士为60家首批入驻攻关示范基地的企业颁发证书。这些企业涵盖芯片设计、操作系统、工业安全等领域,通过“芯片—操作系统—工业控制”的全链条协同,破解单点技术瓶颈。以内置TCM 2.0标准模块,集成固化的CRTM核心度量根,全面支持国密算法;操作系统基于可信计算3.0规范打造双体系可信架构,通过TPCM可信根与可信软件基构建完整信任链,实现对系统启动、运行全生命周期的静态度量与动态度量。
2、 芯片领域的创新突破与产业应用
在芯片领域,应用可信计算芯片通过硬件级创新筑牢安全可信的底层基础。例如,某国产CPU内置的TCM模块保障启动阶段可信,操作系统的TDM模块实现运行时动态防护,二者协同构建起覆盖硬件到应用的全栈可信体系。该芯片已实现与多款国产操作系统的深度适配,通过硬件协处理器加速可信度量过程,在提升安全性的同时释放了操作系统的运算资源。在政务云项目中,可信芯片已实现批量应用,确保政务系统启动过程不可篡改;在电力行业,操作系统可信加固方案已覆盖超千座变电站,通过动态完整性度量技术(TDM)实现运行时实时监控,精准识别异常行为。
3、 操作系统安全加固的技术路径
操作系统作为连接硬件与应用的关键环节,成为可信能力传递的核心枢纽。基于可信计算3.0规范打造的双体系可信架构,通过TPCM可信根与可信软件基构建完整信任链,实现对系统启动、运行全生命周期的静态度量与动态度量。动态完整性度量技术(TDM)成功实现操作系统运行时的实时监控,可对关键内存区域进行周期性度量,精准识别异常行为。例如,在工业领域,可信工控安全系统已接入多条智能制造生产线,通过对工业协议的可信验证,将生产线的异常停机时间缩短,实现设备身份认证、生产数据加密传输的全流程防护。
通过60 家企业形成的协同网络,正逐步打通从底层硬件到上层应用的技术壁垒,打破传统安全产业 “各自为战” 的格局,形成攻防一体的生态合力,让可信能力贯穿数字基础设施的每一个环节。
三、成果落地:技术创新与产业渗透筑牢数字经济安全底座
本次论坛的联合攻关基地展位上,20 余项自主可信计算创新成果集中亮相,有关可信计算芯片、操作系统安全加固方案等核心产品引发广泛关注。这些成果的落地应用,并非孤立的技术突破,而是通过产业协同形成规模化效应。结合中国信通院发布的《可信计算产业白皮书》数据可见,这些创新正加速渗透到数字经济各领域,成为高质量发展的安全基石。
1、 核心技术成果的“硬件化、动态化、场景化”特征
论坛联合攻关基地展位上,自主可信计算创新成果的集中亮相,呈现出“硬件化、动态化、场景化”的鲜明特征。TCM+TDM可信保护方案通过CPU内置TCM模块保障启动阶段可信,操作系统TDM模块实现运行时动态防护,二者协同构建起覆盖硬件到应用的全栈可信体系。可信计算安全解决方案聚焦云计算场景,通过将可信根植入云服务器硬件,实现虚拟机启动链的可信传递,解决了云环境下多租户隔离的安全难题。
2、 产业渗透的广度与深度数据
自主可信计算技术成果正通过高渗透率的产业应用,彰显其独有的经济与安全价值。可信执行环境在2024年国内隐私计算项目中的应用占比已达15.6%,联邦学习、多方安全计算与可信计算融合的技术方案,已在65%的大型金融机构、40%的互联网平台企业落地应用。在区域协同方面,中关村科学城作为攻关示范基地所在地,已聚集一批专精特新企业开展技术攻关;湖北、广东等地通过运营商试点,将可信网络技术部署到核心路由器等基础设施中,形成重点区域引领、全国辐射的格局。
3、 典型行业应用案例深度解析
在政务领域,某省级政务云项目采用可信芯片与操作系统加固方案,实现从硬件到应用的全栈可信防护,确保政务数据在传输、存储、处理全生命周期的安全。在电力行业,某电网企业部署可信工控安全系统,通过动态完整性度量技术(TDM)实现运行时实时监控,将变电站异常停机时间缩短,同时实现设备身份认证、生产数据加密传输的全流程防护。在工业领域,某汽车制造企业采用可信计算技术构建智能制造生产线,通过对工业协议的可信验证,确保生产数据在传输、处理过程中的完整性和保密性。
四、结语:协同创新开启可信生态新篇章
2025 自主可信计算创新论坛的召开,不仅是一次技术成果的集中展示,更是我国自主可信生态建设的重要里程碑。从政策层面看,郭启全阐述的制度演进逻辑,清晰勾勒出 “法规 — 标准 — 技术” 三位一体的治理框架;从产业层面讲,60 家企业组成的联合攻关组,打通了 “芯片 — 操作系统 — 工业控制” 的协同壁垒;从应用层面论,20 余项创新成果的规模化落地,正让可信计算成为数字经济的基础支撑。
当前,AI 技术的快速发展既为可信计算带来新挑战,也创造了新机遇。未来,需进一步强化三方面工作:一是持续完善可信计算 3.0 标准体系,适配 AI 大模型、低空经济等新业态的安全需求;二是深化产学研用协同,加速攻关基地的技术成果转化,形成 “研发 — 测试 — 落地” 的快速迭代机制;三是扩大行业应用范围,推动可信计算从金融、政务等关键领域向中小企业延伸。
网络安全无小事,可信生态建设非一日之功。从等级保护 2.0 到可信计算 3.0 的跨越,是我国网络安全能力的质变,更是数字中国建设的战略必然。随着自主可信技术的不断渗透,必将为我国数字经济发展构筑起坚不可摧的安全屏障,为全球网络安全治理提供中国方案与中国智慧。未来,我们期待看到更多创新成果涌现,共同开启可信生态的新篇章,为数字中国的繁荣发展保驾护航。
end
