4月22日，2022首屆網(wǎng)絡(luò)空間內(nèi)生安全發(fā)展大會(huì)暨第四屆先進(jìn)計(jì)算與內(nèi)生安全國(guó)際學(xué)術(shù)會(huì)議-內(nèi)生安全生態(tài)論壇在線(xiàn)上舉辦。本次論壇由網(wǎng)絡(luò)通信與安全紫金山實(shí)驗(yàn)室和中國(guó)網(wǎng)絡(luò)空間內(nèi)生安全技術(shù)與產(chǎn)業(yè)聯(lián)盟共同主辦、天融信科技集團(tuán)協(xié)辦，天融信科技集團(tuán)高級(jí)副總裁畢學(xué)堯受邀出席并發(fā)表《私有云內(nèi)生安全的探索與實(shí)踐》主題演講。

本次論壇匯聚來(lái)自國(guó)內(nèi)著名大學(xué)和知名企業(yè)的專(zhuān)家學(xué)者及資深技術(shù)人員，就內(nèi)生安全擬態(tài)防御的相關(guān)新理論、新技術(shù)、新應(yīng)用進(jìn)行深入研討交流，探討內(nèi)生安全新范式，交流擬態(tài)防御新技術(shù)，展示內(nèi)生安全擬態(tài)防御的新成果、新應(yīng)用，助力擬態(tài)防御技術(shù)發(fā)展再上新臺(tái)階。

當(dāng)前，云技術(shù)的飛速發(fā)展為企業(yè)注入了新一輪活力，同時(shí)也為IT安全建設(shè)帶來(lái)了新的挑戰(zhàn)。云平臺(tái)資源共享、邊界模糊、動(dòng)態(tài)變化等特點(diǎn)，使得基于外部軟硬件的傳統(tǒng)安全防御手段無(wú)法有效應(yīng)對(duì)云內(nèi)安全威脅，云+安全深度融合的內(nèi)生安全模式將是云計(jì)算發(fā)展的一大趨勢(shì)。

畢學(xué)堯提出，云平臺(tái)內(nèi)生安全建設(shè)框架涉及平臺(tái)層、網(wǎng)絡(luò)層、主機(jī)層、數(shù)據(jù)層等各層面，作為云平臺(tái)的核心組件，計(jì)算虛擬化安全、網(wǎng)絡(luò)虛擬化安全、云平臺(tái)數(shù)據(jù)存儲(chǔ)安全和云訪(fǎng)問(wèn)控制安全是云內(nèi)生安全防護(hù)體系建設(shè)的重要內(nèi)容。

天融信太行云內(nèi)生安全架構(gòu)

強(qiáng)化平臺(tái)安全

嚴(yán)格控制云平臺(tái)訪(fǎng)問(wèn)，天融信太行云通過(guò)內(nèi)置固化的安全策略，減少超級(jí)權(quán)限帶來(lái)的安全風(fēng)險(xiǎn)，增加對(duì)云管理操作的審計(jì)，防止惡意管理員的蓄意攻擊。在云主機(jī)的訪(fǎng)問(wèn)管控方面，通過(guò)外設(shè)管控、文檔管控、移動(dòng)存儲(chǔ)管控等方式，降低云主機(jī)的入侵風(fēng)險(xiǎn)。

提升計(jì)算虛擬化安全

通過(guò)對(duì)云平臺(tái)操作系統(tǒng)的加固和監(jiān)控，防止虛擬機(jī)惡意逃逸，阻斷惡意攻擊等行為；嵌入可信計(jì)算模塊，為普通虛擬機(jī)提供TPM/TCM支持，軟硬結(jié)合對(duì)云平臺(tái)進(jìn)行整體安全可信建設(shè)；融入容器安全防御能力，通過(guò)鏡像安全掃描、訪(fǎng)問(wèn)控制、入侵檢測(cè)、審計(jì)和準(zhǔn)入校驗(yàn)等機(jī)制，對(duì)容器構(gòu)建、部署和運(yùn)行進(jìn)行安全管控。

細(xì)化網(wǎng)絡(luò)虛擬化安全

構(gòu)建多層次云網(wǎng)絡(luò)內(nèi)生安全能力，對(duì)虛擬機(jī)網(wǎng)絡(luò)端口進(jìn)行訪(fǎng)問(wèn)控制，同時(shí)通過(guò)網(wǎng)絡(luò)微分段技術(shù)對(duì)虛擬機(jī)組設(shè)置安全策略；通過(guò)內(nèi)置的分布式防火墻，對(duì)網(wǎng)絡(luò)流量進(jìn)行深度檢測(cè)，實(shí)時(shí)阻斷攻擊和病毒的傳播；從而實(shí)現(xiàn)對(duì)虛擬網(wǎng)絡(luò)流量全方向全內(nèi)容的深度管控。

云平臺(tái)原生數(shù)據(jù)安全

虛擬機(jī)磁盤(pán)、快照、鏡像是云平臺(tái)的核心數(shù)據(jù)資產(chǎn)，在虛擬機(jī)的全生命周期中，對(duì)虛機(jī)磁盤(pán)、快照、模板鏡像進(jìn)行全鏈路加密、完整性校驗(yàn)以及殘余信息擦除，降低虛擬機(jī)被非法訪(fǎng)問(wèn)、篡改以及植入病毒的風(fēng)險(xiǎn)。一旦發(fā)現(xiàn)上述風(fēng)險(xiǎn)，可通過(guò)原生的CDP功能進(jìn)行恢復(fù)，最大限度減少勒索病毒導(dǎo)致的損失。

云平臺(tái)內(nèi)生安全探索

支持異構(gòu)集群管理，利用云平臺(tái)信創(chuàng)異構(gòu)多云管理的能力，同步部署用戶(hù)關(guān)鍵業(yè)務(wù)，實(shí)現(xiàn)類(lèi)似擬態(tài)的動(dòng)態(tài)防御機(jī)制。同時(shí)，通過(guò)云、網(wǎng)、安的深度融合，構(gòu)建SASE安全互聯(lián)，進(jìn)一步提升業(yè)務(wù)安全的保障能力。

此外，在本次大會(huì)云端創(chuàng)新成果展，天融信擬態(tài)構(gòu)造防火墻借助AR/VR、遠(yuǎn)程操控方式進(jìn)行沉浸式展示。通過(guò)在傳統(tǒng)防火墻基礎(chǔ)上進(jìn)行的內(nèi)生安全改造，基于擬態(tài)防御理論，天融信擬態(tài)構(gòu)造防火墻以動(dòng)態(tài)異構(gòu)冗余技術(shù)改變防火墻的輸入輸出關(guān)系，在多個(gè)層面增加網(wǎng)絡(luò)攻擊的難度，在不消除漏洞的條件下斬?cái)喙翩湥行Х烙粗┒?、后門(mén)等暗功能的攻擊，提升邊界網(wǎng)絡(luò)的防護(hù)能力，保護(hù)內(nèi)網(wǎng)業(yè)務(wù)安全。