可信計算 3.0 落地！東進技術重構 VPN 網關安全防線

在網絡攻擊手段日益復雜化的今天，作為企業網絡關鍵入口的VPN網關，其自身的安全性正面臨固件篡改、硬件木馬、未知漏洞利用等多重威脅。針對這一行業痛點，東進技術正式推出VPN網關可信防御應用方案，基于飛騰CPU內置的TCM/TPCM可信根，融合可信計算3.0雙體系架構，對 VPN 網關進行TPCM安全改造，并采用國密算法實現VPN網關可信加密計算，構建具備主動免疫能力的可信VPN網關，為關鍵信息基礎設施的VPN接入提供自主可控的安全保障。

傳統VPN網關陷安全困境

傳統VPN網關安全體系長期依賴于軟件層面的身份認證和加密傳輸，其核心邏輯是先連通、再驗證。這種模式在面對日益復雜的網絡威脅時，暴露出致命的結構性缺陷。網關設備從啟動到運行全程缺少底層可信校驗，安全根基缺乏硬件級支撐，即便上層加密與認證邏輯完備，一旦固件或系統被惡意篡改，整條通信通道安全便無從談起。

更嚴峻的是，以特征庫、補丁更新為核心的傳統“封堵查殺”方式難以應對未知惡意攻擊，面對零日漏洞與未知攻擊，只能被動響應，難以形成前置防護能力。

與此同時，針對設備底層的bootkit、rootkit、固件后門等硬件級滲透手段，常規安全軟件難以觸及核心層，檢測與處置能力基本空白，極易成為攻擊者長期潛伏的突破口。此外，等級保護2.0對關鍵信息基礎設施提出明確的可信計算與主動免疫要求，傳統架構在合規審查中難以達標。

圖：東進技術VPN網關可信防御應用方案架構

動靜結合，雙體系架構打造全鏈路可信閉環

東進技術推出的VPN網關可信防御應用方案，正是瞄準上述行業痛點，遵循可信計算3.0的雙體系架構設計思想，構建“計算+防御”并行的主動免疫系統，并依托飛騰CPU內置的TCM/TPCM可信根，從硬件底層重構安全邏輯，實現防護模式從被動應對到主動免疫的升級。

東進技術創新性地引入了可信計算3.0的核心組件——TPCM（可信平臺控制模塊）。與傳統的TPM（可信平臺模塊）被動調用方式不同，TPCM采用主動度量機制，在主機計算部件上電前即啟動運行，并全程并行運行，實現從第一條指令開始的可信建立。信任鏈一旦建立，系統所有環節的運行環境都經過驗證，形成從硬件到應用的完整信任鏈條。一旦度量不通過則阻斷啟動，杜絕底層篡改風險。

如果說靜態度量和信任鏈傳遞是東進技術為VPN網關打下的安全地基，那么動態度量與運行時防護能力，則為VPN網關安全構建全生命周期的信任保護體系。

動態度量的核心在于運行時的實時監控和響應，持續對進程、內存、配置文件、內核模塊等關鍵組件進行完整性校驗和行為監控，并基于動態度量的結果，如內存注入、配置篡改、進程替換、內核模塊加載等問題，有針對性采取阻斷、告警、隔離、審計等安全措施，主動防御未知攻擊和異常行為，通過“度量-判斷-響應”的閉環，實現系統的主動免疫。

值得一提的是，東進技術將可信驗證結果與VPN接入策略深度聯動，客戶端接入時校驗網關可信狀態，僅允許可信環境建立連接，實現可信接入控制。該方案全面采用國密算法，適配麒麟V10、UOS 20等國產可信增強操作系統，符合信創要求，有效滿足了等保2.0的合規要求，更顯著降低了供應鏈安全風險。

對用戶而言，東進技術VPN網關可信防御應用方案意味著VPN安全模式的根本性轉變。用戶不再需要疲于奔命地打補丁、查日志，而是擁有了一個能夠自我驗證、自我防護的VPN網關，不僅大幅提升網絡接入的安全性，更讓管理者將精力從繁瑣的VPN安全防護中解放出來，專注于核心業務的創新發展，真正實現了安全與效率的雙贏。