“白细胞”可信主动免疫防御系统以我国自主创新的可信3.0技术为核心，以国产密码为基础，为国家部委及各级政府机构、大中型企业、金融财税机构、云计算服务商、工业企业、能源电力单位、交通运输单位等量身打造的专业安全防护产品。系统为用户提供恶意软件防护、系统运行环境保障，以及针对业务应用的全方位安全防护等相关功能和服务。

“白细胞”可信主动免疫防御系统由可信根、可信软件基（TSB，Trusted Software Base）和可信安全管理中心三个部件组成。其中可信根为硬件部件，提供了基础的密码和算法；TSB可信软件基为软件，是安装在终端操作系统中的安全执行部件；可信安全管理中心为管理部件，对所有接入终端的应用、安全软件、系统环境进行统一管理。可信根、TSB可信软件基是部署于节点设备上的可信部件，可信计算节点从安全计算环境、安全区域边界、安全网络通信中三个方面构建，可信安全管理中心是独立部署的管理部件

“白细胞”可信主动免疫防御系统依据网络安全等级保护系列标准和可信计算3.0相关规范标准进行设计，依托可信计算3.0关键技术，为现有信息系统提供可信支撑，打造可信计算应用环境。使计算机信息系统拥有自免疫能力，以抵御已知和未知威胁攻击。

“白细胞”可信主动免疫防御系统以可信计算3.0为技术路线，依据GB/T 25070-2019《信息安全技术信息系统等级保护安全设计技术要求》进行设计，满足我国可信密码要求符合GM/T 0011-2012《可信计算 可信密码支撑平台功能与接口规范》、GM/T 0012-2012《可信计算 可信密码模块接口规范》和GM/T 0013-2012《可信计算 可信密码模块符合性检测规范》要求，能够保障系统免受被未知漏洞、未知病毒、未知木马攻击而造成的风险，解决勒索病毒、幽灵、熔断等安全威胁，达到等级保护三级、四级安全需求，为等级保护四级结构化系统建设提供安全支撑和保障。

可信计算3.0是指计算运算的同时进行安全防护，以密码为基因，实施身份识别、状态度量、保密存储等功能，及时识别“自己”和“非己”成分，从而破坏与排斥进入机体的有害物质，相当于为网络信息系统培育了免疫能力。

可信计算双体系架构是主动免疫防御的基础，计算和防护并存的主动免疫双体系架构，防护部件由可信密码模块TCM、可信平台控制模块TPCM和可信软件基TSB构成，防护部件拥有独立于主机的软硬件资源，能够主动访问主机所有资源支撑可信验证机制的实施，能够根据可信策略实施主动度量和主动控制，是整个主动免疫防御体系的信任源点。计算部件与防护部件之间具有安全隔离机制，能够确保防护部件的安全性。

可信节点采用双系统体系框架构建，主动免疫是主要的安全特性。通过在计算平台上植入可信平台控制模块TPCM构建可信根，实现了计算和可信的融合（主要通过CPU内置、板载、插卡方式实现）。TPCM在TCM基础上加以信任根的控制功能，采用我国自主密码体系作为免疫基因，实现密码与控制相结合。软件基础层实现操作系统和TSB可信软件基的双重系统核心，通过在操作系统核心层并接一个可信的控制软件接管系统调用，在不改变应用软件的前提下实施对应执行点的可信验证（在验证过程中需可信根支持），达到主动防御效果；网络层采用三层三元对等的可信连接架构，在访问请求者、访问连接者和管控者（即策略仲裁者）之间进行三重控制和鉴别，管控者对访问请求者和访问连接者实现统一的策略验证，将信任由单节点传递至网络，构建可信的信息系统提高了系统整体的可信性。

基于可信的原理和理念，在可信防护的同时对应用程序未作干预处理，确保正确完成计算任务逻辑完整性要求，保障正确应用程序无需打补丁，减少了打补丁过程中引入新漏洞的情况，并建立安全可信管理中心支持下的主动免疫三重防护框架，实现全网的可信、可控、可管。