第 1 页 第 3 页 前 言 数字可信是基于技术信任的综合安全与信任机制，旨在通过用户自主防御 与跨组织协作，持续评估各方信誉，适应开放生态系统的信任需求。随着全球 数字经济进入快速发展的关键阶段，数字技术创新持续取得突破。与此同时， 身份信息泄露、数据算法歧视、数字资产被盗等难题也日益凸显，亟需通过数 字可信技术来解决。 中国移动作为网信领域的排头兵，积极响应国家战略，勇担新质生产力国 技术的电信级开放 可信基础设施，加力推进制定“统一目录标识、统一身份登记、统一接口要求” 的标准规范，着力构建支持“多主体、多平台、多领域、多应用”的数据要素 流通新范式，合力打造数字可信新生态。 本白皮书阐述了数字可信内涵和外延，以及其作为数字经济基础的重要性， 并构建了包含区块链、身份、数据、资产、治理监管的数字可信技术体系。通 过典型实践案例，展示了数字可信在金融、AI、数字身份、农商、医疗、司法、 商、医疗、司法、 文旅、贸易等领域的应用价值。最后，提出了共建数字可信生态的倡议和行动 建议，旨在推动数字经济高质量发展。 数字可信是人类文明在智能时代的崭新基石，中国移动将以国家队使命扛 鼎数字可信新基建建设，以战略引领筑牢数字基础设施根基，以生态聚合释放 数据要素乘数效应。期待与各界伙伴勠力同心、奋楫笃行，筑牢可信底座，让 数字化转型的每一步都行稳致远，共赢数字文明新未来！ 第 4

联合编制 扩大可信的中国转 型金融市场规模 - 电力行业转型融资 机遇和要素 2 为应对不断增加的气候风险和实现《巴 黎协定》气候目标，所有经济活动和行业 都需加速脱碳行动，其中高碳排放行业 对于全球低碳进程至关重要。 资本需为 高碳排放行业提供融资支持，协助其快 速转向低碳的生产经营模式。一个灵活、 包容且可信的转型金融市场可有效支持 各类经济活动转型。 制订可信的转型计划（Transition 制订可信的转型计划（Transition Plan）是企业开展低碳转型融资的关键 环节 。 完善的转型计划可助力企业融 资，吸引投资机构支持企业中长期的低 碳转型，并协助投资机构评估转型进度 和可信度。同时，转型计划中涵盖了发行 人将采取的具体内容和行动方案，能协 助维护市场诚信，减少或避免洗绿、碳锁 定和延迟气候行动相关的风险，也可促 进处于萌芽阶段的转型金融市场发展。 电力行业是最重要的温室气体排放源 之一。电力系统脱碳和通过电气化协助 要素，为转型金融市场的进一步发展和 电力企业开展低碳融资提供指引。 本报 告主要讨论了以下几个方面： • 在进一步构建完善的转型金融体系工 作方面，转型计划的重要性已获得广 泛共识，进一步推动企业和金融机构 制定具体可信的转型计划也将成为转 型金融市场发展的下一步重点。 • 转型计划可协助电力企业吸引多元的 低碳融资。转型计划可指引企业的融 资方案，为低碳转型的各阶段和各方 面融资，包括新增清洁发电设备、存量 发电设备的升级改造、高碳发电设备

着重于多主体网络互联、灵活资源和能力共享、可信权益保障、跨域安全和身份 管理以及智能化网络管理，确保网络的高效、灵活与安全运行。新增的四类功能 单元——业务单元、联盟单元、可信单元和智能体单元，协同工作，共同实现联 盟网络的核心功能与价值。 在支撑技术方面，白皮书全面阐述了联盟网络的关键技术体系，涵盖跨域管 理技术、开放解耦技术、安全可信技术以及 AI 与智能体技术。这些技术相互配 合，共同确保联盟网络的高效运行、智能化管理与安全性。跨域管理技术实现不 同主体网络之间的无缝对接与协同工作；开放解耦技术促进网络能力的开放与资 源共享；安全可信技术保障网络交易与数据的安全；AI 与智能体技术则为网络 的智能化运维与优化提供强大支持。 1 白皮书还结合具体实例，生动描绘了联盟网络在全域通感网络、全域应急通 信及 Web3 服务三种典型场景中的广阔应用前景。全域通感网络通过多主体协作， ........................................................................................ 14 3.3 安全可信技术............................................................................................... 16

提供数据机密性（防止未经授权的访问）和数据完整性（防止或检测未经授权的修改），但目前这些技术主要 被用于保护传输中和静止状态的数据，目前对数据的第三个状态“使用中”提供安全防护的技术仍旧属于新的前 沿领域。 机密计算指使用基于硬件的可信执行环境（Trusted Execution Environment，TEE）对使用中的数据提供 保护。 通过使用机密计算，我们现在能够针对“使用中”的数据提供保护。 机密计算的核心功能有： • 量、远程认证等功能，是安全的硬件可信执行环境。 CSV机密容器技术将安全虚拟化技术与Kata容器技术结合，实现容器运行环境的度量和加密，容器中的程 序可以使用远程认证功能实现身份证明。CSV机密容器和普通容器的接口完全兼容，用户可以使用Docker或者 Kubernetes启动机密容器，实现对容器数据的隔离和保护。 CSV技术构建了以安全加密虚拟机为基础的可信执行环境。在安全加密虚拟机保证了虚拟机数据机密性的基 虚拟化技术基于特权软 件Hypervisor对系统资源进行分配与监控，但Hypervisor潜在的软件漏洞有可能会威胁到整个系统; 基于TPM（ Trusted Platform Module）的可信架构难以保障程序运行时的可信执行；TrustZone技术为程序提供了两种隔 离的执行环境, 但需要硬件厂商的签名验证才能运行在安全执行环境，开发门槛较高。 解决方案 英特尔软件防护扩展（Intel Software

......... 21 2.7.3 智能体编排调度 .............................. 22 2.8 安全可信 .......................................... 22 2.8.1 计算环境可信 ................................ 23 2.8.2 数据安全可用 .................. CVE Common Vulnerabilities & Exposures 公共漏洞披露 30 TPM Trusted Platform Module 可信平台模块 31 TCM Trusted Cryptography Module 可信密码模块 32 CDU Coolant Distribution Unit 冷却液分配单元 33 CFC Compatible Fluid Connector 智能体生成 智能体生成面临模型幻觉频发、自主规划能力有限及多智能体协同不足等问 题。未来智能体技术将通过检索增强、智能体自适应决策与多智能体协作三大方 向演进，形成任务执行可解释、多智能体协作高可信的智能体系统，加速行业智 能化升级。 2.5.4.1 检索增强生成 增强检索生成（RAG）技术面临多源知识库管理复杂、动态场景下知识更新 延迟等核心瓶颈。未来技术演进将围绕增量式检索、自动化知识库管理和更新三

................................................................................... 38 5.2 央国企信创的可信工程................................................................................................. CPU、操作系统为 底座的自主研发的云平台，统筹利用计算、存储、网络、安全、应用支撑、信息 资源等软硬件资源，发挥云计算虚拟化、高可靠性、高通用性、高可扩展性及快 速、弹性、按需自助服务等特征，提供可信的计算、网络和存储能力。云计算整 体架构包括：基于国产 CPU 的基础设施层，如整机、网络、存储等；IaaS 层—— 包括操作系统和云管理平台；PaaS 层——主要是通过使用容器环境对应用软件 40 5.2 央国企信创的可信工程 可信工程是从信创供应链安全视角提出的开发运营理念，涵盖供应链的上下 游各环节。可信工程的目标是系统产品和服务需要满足可信特征：“安全 Security、可靠Reliability、可用Availability、韧性Resilience、隐私Privacy、 安全 Safety”。可信工程的特征是对数字基础设施和数字产品系统的研发全流

息系统安全等级保护基本要求》及其配套政策文件和标准，进行了全面的升级与优化。其核心在于针对不 同保护对象的安全目标、技术特点、应用场景的差异，融合通用安全与新型应用安全扩展要求，注重主动 防御、安全可信、动态感知和事前/事中/事后全流程全面审计，实现了对传统信息系统、基础信息网络、 云计算、大数据、物联网、移动互联网和工控信息系统等级保护对象的全覆盖。 (1) 等保 2.0 对工业控制系统提出了专门的安全扩展要求 置方面的需求，更加适配工业场景应用 和工业控制系统。 (2) 工业安全防护的重点集中在工业主机安全、边界安全和工业安全管理三个关键领域  工业主机安全要求： 一方面要通过技术手段或主动免疫可信验证机制，有效识别并阻断恶意代码入侵与病毒行为； 另一方面，对于控制设备的补丁更新、固件更新需谨慎操作，在充分测试评估确保不影响系统安全稳 定运行的前提下进行。 此外，要对控制设备的软盘驱动、光盘驱动、USB 对工业控制系统安全的通用要求和扩展要求，可以看出工业安全防护的重点在工业主机安全、边界安 全和工业安全管理三个领域。  工业主机安全要求 8.1.4.5 恶意代码防范 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。 8.5.4.1 控制设备安全 b) 应在经过充分测试评估后，在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作； c) 应

...................................................................................33 1. 自主可控，筑牢安全可信基石 ................................................................................................ AI运维 确定性运维 AIOps 故障快恢 风险识别 与消减 运维合规 算力运营 模型运营 数据运营 产业生态运营 算力调度 服务更新 行业模型增训 场景模型创新 高质量数据集 可信数据空间 应用创新 人才培养 M*数据资源 基础数据资源：交通、医疗、气象、文旅等 知识库：制造、导游、医药、医疗等 高质量数据集：外观质检、气象预测等 基础大模型：NLP、CV、多模态等 括手机、自助终端、传感器、摄像头、机器人、无 人机、工业人工智能终端等。随着人工智能技术的快速发展与广泛应用，未来智能终端规模将快速增长，统一标准互 联互通、协同自治、应用一次开发多端部署、安全可信四大能力是实现城市海量终端全接入、全感知的基础。通过统 一物模型标准、设备接口标准、数据格式标准，同时以物模型为底座，统一协议，统一管理，统一授信，实现横向纵 向数据互通，并有效屏蔽不同厂商之间

SGX) 流量预测 中国电信网络大模型 英特尔® 至强® 可扩展处理器 异常检测 故障管理 智能交互 智能调度 … 故障自动隔离 业务逻辑引擎 云网事件自动处理 智能交互引擎 知识推理 可信决策 场景编排 能力解耦 多轮交互 人机对话 分类预测、知识生成、方案撰写、根因分析、回复润色、RPA指令自动生成、语义质检 图 1 基于 CPU 平台的中国电信网络大模型推理算力方案架构 等可以帮助受严格的数据隐私法规约束 的组织通过加密和安全区来满足合规标准； 在可信环境中 部署 AI 英特尔® TDX 凭借强大的隔离、完整性和保密功能，帮助保护应用程 序、数据和 AI 模型免受未经授权的访问。 简化将现有应用程序移植和迁移到机密计算环境的过程，在大多数情况下，无需更改应用程序代码，即可激活虚拟机内由英特尔® TDX 支持的可信域。 如欲了解更多详情，请访问： https://www.intel 的机密人工智能应用，保护使用中的数据和代码 隔离 保护敏感数据和代码，不受所有其他软件、 云租户或管理员的影响，即使是恶意的访问 鉴证 加密验证 TEE 是否真实、配置正确且仅 运行预期的软件负载 基于硬件的 可信执行环境 (Trusted Execution Environment) SGX 1 2 3 加密敏感数据 加密或匿名的结果 模型 模型 (未加密的 数据处理) Model Model

过去几年中，华为云与所有云服务供应商（CSP – Cloud Service Provider）和客户一 样，面临着层出不穷的云安全挑战，不断探索，收获颇多。华为云迎难而上，视挑战 为机遇，恪守业务边界，携手生态伙伴，共同打造安全、可信的云服务，为客户业务 赋能增值、保驾护航。 华为云通过结合业界先进的云安全理念，华为长年积累的网络安全经验和优势以及在 云安全领域的技术积累与运营实践，参考世界领先的 CSP 优秀安全实践、摸索出了一 建网络安全与隐私保护能力，自内向外打造竞争力，遵从适用的网络安全与隐私保护 法律法规，为客户提供安全可信、高质量的产品、解决方案和服务，助力客户实现网 络韧性，消减网络安全风险，保护用户隐私。华为云遵从所有适用的国家和地区的安 全法规政策、国际网络安全和云安全标准，参考行业优秀实践。在此基础上，华为云 从组织、流程、规范、技术、合规、生态和等方面建立并管理完善、高可信、可持续 华为云安全白皮书 2 云安全战略 文档版本 ，同步确保安 全管理责任清晰明确、可度量、可追溯。 “3CS”体系帮助华为云充分利用了华为云全球合规治理经验，大大提升了获得法规及 行业标准认证的效率，从而实现全面高效的安全治理，持续提升云服务可信能力。 图4-1 3CS-云服务网络安全与合规标准框架 华为云充分发挥其基于“3CS”的强大合规治理能力，一如既往地确保其基础设施和云 服务通过业界权威的独立第三方安全组织的测评及认证，仅向客户提供安全合规的基