可信计算：网络安全的“铁壁铜墙”

网络安全是指通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。网络安全是国家安全的重要组成部分，电网网络安全是网络安全的命脉所在。近年来境内外高级持续渗透（APT）攻击大量增加，使电网网络安全防护陷于被动境地,可信计算改变了被动应对的防护模式，形成主动防御能力，发展基于可信计算的网络安全自适应防护关键技术已刻不容缓。

没有网络安全就没有国家安全，而构建网络安全的“铜墙铁壁”离不开核心技术的支撑。可信计算作为一种“主动免疫”型的计算模式，能在网络和信息化设备中使用基于硬件安全模块支持的计算平台，这就如同给网络和信息化设备加上了“保险箱”，将大大提升系统的整体安全性。

近年来境内外高级持续渗透（APT）攻击大量增加，使电网网络安全防护陷于被动境地,可信计算改变了被动应对的防护模式，形成主动防御能力，发展基于可信计算的网络安全自适应防护关键技术已刻不容缓。

可信计算的一大优势就是“以不变应万变”。由于具备“主动防御”的能力，可信计算虽然与安全攻击的新变种“素昧平生”，但依旧能够“嗅到”其体内的破坏基因，进而阻止非授权程序的运行，确保网络和计算机设备的安全。实践充分证实，即便遇到了此前来势汹汹的勒索病毒，装有可信计算系统的设备依旧能在病毒开始攻击之前进行阻止。即便是被感染病毒后用户才启用防御机制，可信计算也能通过限制特定数据访问权限的方式，来避免重要信息遭到破坏。

在这样的背景下，广西电网有限责任公司、桂林电子科技大学共同研发了《基于可信计算的电网网络安全自适应防护关键技术及应用》项目。该项目创建基于可信计算的网络安全自适应防护基础架构，通过多重动态安全加解密计算、网络节点安全等级分类及自适应安全防护的新技术，攻克电网网络节点间链路数据被篡改、被窃取的难题。创制面向智能电网的可认证、轻量级安全通信协议，提升用电数据及调度指令传输可靠性，解决现有认证协议在智能电网中处理效率低下的问题。创制基于邻居节点间资源信息主动复制协议和查找技术，研发基于云计算和可信计算的信息安全大数据资源管理系统，解决云环境下集中式数据资源管理与APT攻击查找方法单一及可扩展性差等问题。

安全防护体系架构

经过不断发展，目前可信计算正向着容错计算、安全操作系统、网络安全等领域不断拓展。从侧重硬件的可靠性、可用性，到硬件平台和软件系统服务的综合可信，再到网络连接、网络可信等，可信计算正一步步适应如今的网络世界。由于采取运算和防御并行的双体系架构，可信计算并不会成为高速运算的“绊脚石”，反而为网络和计算机设备披上了一件抵御病毒侵袭的“盔甲”。

同时，可信计算也开始“飞入寻常百姓家”，成为人们日常生活网络安全的“垃圾清道夫”。目前已经出现集成有可信芯片的产品，银行卡与可信支付终端配合，借助可信计算实现对敏感信息的加密传输，人们就可以更加放心地使用网络支持系统。此外，在金融、教育、邮电、制造和公共服务领域，都出现了可信计算应用的身影，普通百姓的数字化生活也将逐步走向真正的“信任”与“高枕无忧”。

部分内容摘自《解放军报》

2017 年度广西科学技术奖

科学技术进步奖二等奖

项目名称：基于可信计算的电网网络安全自适应防护关键技术及应用

主要完成单位：广西电网有限责任公司、桂林电子科技大学

主要完成人员：谢　铭、陈祖斌、古天龙、刘忆宁、胡继军、常　亮、翁小云、袁　勇、邓戈锋

推荐专家：广西电网有限责任公司