在網(wǎng)絡(luò)攻擊手段日益復(fù)雜化的今天，作為企業(yè)網(wǎng)絡(luò)關(guān)鍵入口的VPN網(wǎng)關(guān)，其自身的安全性正面臨固件篡改、硬件木馬、未知漏洞利用等多重威脅。針對這一行業(yè)痛點(diǎn)，東進(jìn)技術(shù)正式推出VPN網(wǎng)關(guān)可信防御應(yīng)用方案，基于飛騰CPU內(nèi)置的TCM/TPCM可信根，融合可信計(jì)算3.0雙體系架構(gòu)，對 VPN 網(wǎng)關(guān)進(jìn)行TPCM安全改造，并采用國密算法實(shí)現(xiàn)VPN網(wǎng)關(guān)可信加密計(jì)算，構(gòu)建具備主動免疫能力的可信VPN網(wǎng)關(guān)，為關(guān)鍵信息基礎(chǔ)設(shè)施的VPN接入提供自主可控的安全保障。

傳統(tǒng)VPN網(wǎng)關(guān)陷安全困境

傳統(tǒng)VPN網(wǎng)關(guān)安全體系長期依賴于軟件層面的身份認(rèn)證和加密傳輸，其核心邏輯是先連通、再驗(yàn)證。這種模式在面對日益復(fù)雜的網(wǎng)絡(luò)威脅時，暴露出致命的結(jié)構(gòu)性缺陷。網(wǎng)關(guān)設(shè)備從啟動到運(yùn)行全程缺少底層可信校驗(yàn)，安全根基缺乏硬件級支撐，即便上層加密與認(rèn)證邏輯完備，一旦固件或系統(tǒng)被惡意篡改，整條通信通道安全便無從談起。

更嚴(yán)峻的是，以特征庫、補(bǔ)丁更新為核心的傳統(tǒng)“封堵查殺”方式難以應(yīng)對未知惡意攻擊，面對零日漏洞與未知攻擊，只能被動響應(yīng)，難以形成前置防護(hù)能力。

與此同時，針對設(shè)備底層的bootkit、rootkit、固件后門等硬件級滲透手段，常規(guī)安全軟件難以觸及核心層，檢測與處置能力基本空白，極易成為攻擊者長期潛伏的突破口。此外，等級保護(hù)2.0對關(guān)鍵信息基礎(chǔ)設(shè)施提出明確的可信計(jì)算與主動免疫要求，傳統(tǒng)架構(gòu)在合規(guī)審查中難以達(dá)標(biāo)。

圖：東進(jìn)技術(shù)VPN網(wǎng)關(guān)可信防御應(yīng)用方案架構(gòu)

動靜結(jié)合，雙體系架構(gòu)打造全鏈路可信閉環(huán)

東進(jìn)技術(shù)推出的VPN網(wǎng)關(guān)可信防御應(yīng)用方案，正是瞄準(zhǔn)上述行業(yè)痛點(diǎn)，遵循可信計(jì)算3.0的雙體系架構(gòu)設(shè)計(jì)思想，構(gòu)建“計(jì)算+防御”并行的主動免疫系統(tǒng)，并依托飛騰CPU內(nèi)置的TCM/TPCM可信根，從硬件底層重構(gòu)安全邏輯，實(shí)現(xiàn)防護(hù)模式從被動應(yīng)對到主動免疫的升級。

東進(jìn)技術(shù)創(chuàng)新性地引入了可信計(jì)算3.0的核心組件——TPCM（可信平臺控制模塊）。與傳統(tǒng)的TPM（可信平臺模塊）被動調(diào)用方式不同，TPCM采用主動度量機(jī)制，在主機(jī)計(jì)算部件上電前即啟動運(yùn)行，并全程并行運(yùn)行，實(shí)現(xiàn)從第一條指令開始的可信建立。信任鏈一旦建立，系統(tǒng)所有環(huán)節(jié)的運(yùn)行環(huán)境都經(jīng)過驗(yàn)證，形成從硬件到應(yīng)用的完整信任鏈條。一旦度量不通過則阻斷啟動，杜絕底層篡改風(fēng)險(xiǎn)。

如果說靜態(tài)度量和信任鏈傳遞是東進(jìn)技術(shù)為VPN網(wǎng)關(guān)打下的安全地基，那么動態(tài)度量與運(yùn)行時防護(hù)能力，則為VPN網(wǎng)關(guān)安全構(gòu)建全生命周期的信任保護(hù)體系。

動態(tài)度量的核心在于運(yùn)行時的實(shí)時監(jiān)控和響應(yīng)，持續(xù)對進(jìn)程、內(nèi)存、配置文件、內(nèi)核模塊等關(guān)鍵組件進(jìn)行完整性校驗(yàn)和行為監(jiān)控，并基于動態(tài)度量的結(jié)果，如內(nèi)存注入、配置篡改、進(jìn)程替換、內(nèi)核模塊加載等問題，有針對性采取阻斷、告警、隔離、審計(jì)等安全措施，主動防御未知攻擊和異常行為，通過“度量-判斷-響應(yīng)”的閉環(huán)，實(shí)現(xiàn)系統(tǒng)的主動免疫。

值得一提的是，東進(jìn)技術(shù)將可信驗(yàn)證結(jié)果與VPN接入策略深度聯(lián)動，客戶端接入時校驗(yàn)網(wǎng)關(guān)可信狀態(tài)，僅允許可信環(huán)境建立連接，實(shí)現(xiàn)可信接入控制。該方案全面采用國密算法，適配麒麟V10、UOS 20等國產(chǎn)可信增強(qiáng)操作系統(tǒng)，符合信創(chuàng)要求，有效滿足了等保2.0的合規(guī)要求，更顯著降低了供應(yīng)鏈安全風(fēng)險(xiǎn)。

對用戶而言，東進(jìn)技術(shù)VPN網(wǎng)關(guān)可信防御應(yīng)用方案意味著VPN安全模式的根本性轉(zhuǎn)變。用戶不再需要疲于奔命地打補(bǔ)丁、查日志，而是擁有了一個能夠自我驗(yàn)證、自我防護(hù)的VPN網(wǎng)關(guān)，不僅大幅提升網(wǎng)絡(luò)接入的安全性，更讓管理者將精力從繁瑣的VPN安全防護(hù)中解放出來，專注于核心業(yè)務(wù)的創(chuàng)新發(fā)展，真正實(shí)現(xiàn)了安全與效率的雙贏。