01 数字化转型过程中，银行面临的安全挑战

02 可信纵深防御技术体系

03 可信纵深防御的应用及技术演进

04 结语

Q：恭喜大作出炉，白皮书给人前进的信心和勇气。可以请教两个小问题么？“（应用镜像）即使绕过了检测发布至生产环境，应用运行时可信能力会针对应用运行的函数、网络行为和文件行为进行可信管控，确保应用运行状态是可信的“，我们最近在根据skywalking的数据做调用链分析，为了能发现并记录（我们远做不到阻断或干预）偶发操作，我们要分析长时间（计划半年以上）的调用关系，数据量很大，应用运行时的节点和关系非常多。

第一个问题，怎么建立应用运行时可信的模型和规则？

第二，我们用neo4j做分析碰到性能问题和展示效果问题，打退堂鼓回到ES+自定义前端，您建议3-5人的小生产线建设团队去做图计算么？

A1：第一个问题，在3.3.6小节介绍了可信策略制定的总体方法和思路。具体到应用运行时的行为可信策略来说，刻画应用内部运行时的程序执行路径和调用的全链路的确非常复杂，可以按优先级分阶段实施落地，并不一定要一步到位做到所有路径和调用链的可信，持续迭代升级。可优先做的是所有可能涉及到系统调用（文件读写、命令和代码加载执行、网络访问等）的类、方法参数的行为刻画。工程上的是实现是基于安全切面实现的行为数据采集和控制，策略基于行为数据生成。

第二个问题，关于人力投入方面，在应用运行时可信策略的持续迭代升级方面我们持续投入了1-2个同学。还是上面说的需要分步骤和优先级，优先刻画关键环节的可信行为和链路。

A2：学习的收获还是超过预期，大厂慷慨讲出了他们的深度积累。一些感受，可观测性或监测、数据分析很热闹，我们有时候也很满足，但看了网商实践，其实观测、分析不是目标，而且这部分可能慢慢没有门槛了。终极目标是：opratability，在底层支持下，以应用、业务为中心，能够快速自动发现问题、定位问题，修复系统，或者不修复系统但能控制行为。没有类似安全平行切面的加持，这个领域估计还挺难的。还有一个，就是分步骤一步步做。

一般闭环，管理闭环比较容易（忽悠），技术上要实现监控、分析、反馈控制，软件比硬件或自动控制要难。

我原来想当然觉得安全平行切面只适用java类，现在要认真重修一遍了。JAVA应用的安全切面是最早切入的，因为应用面广，所以从投入产出效率来说是优先做的。随着对抗的深入，发现也需要做其他层面的。

A3：安全切面的思想非常好，但是在企业落地的时候，对研发工程化水平、安全团队工程署水平要求都非常高；而且如果是自研为主都还好说，如果是外购产品占比大的话，实现安全切面就很难。我觉得后续可以琢磨一个安全切面的实现框架，或者是在OS之上的技术栈研究一个普适的安全切面实现框架、标准。

A4：蚂蚁准备开源安全切面，可以合作。

A5：腾讯数字化瞄准的是实业，尤其是交通（道路、车、导航、自动驾驶）的数字孪生讲的很精彩。但是数字化、数字孪生和我们做网络安全的什么关系呢？我想网络安全是IT产业数字孪生的一种方便技法，同时IT数字化了可能会颠覆一些安全产品，甚至像可信计算、安全平行切面那样会改变软件工程的走向。

中，一般能接受数字化对网络安全有很大改进，但是数字化衍生场景，即宏观、微观、行为分析，对业务、管理、产业、软工、敏捷、精益有什么影响，还需要讲好故事，讲清楚价值。阿里、网商的安全平行切面、可信安全，我的感受是他们通过自己的产品，超越了简单的数字孪生，直接实现了业技融合，场景直观，价值显而易见。

腾讯2022数字生态大会数字孪生专场回看地址：

https://2022gdes.cloud.tencent.com/eventShows/527377566403661824#1

Q：大部分内容都能看懂，咨询两个实践问题：

一是BIOS可信，这个具体怎么落地的？有商业或开源方案？

二是供应链制成品可信，这个具体要怎么做啊？

A6：刚看到，感谢群友提的具体问题。

第一个问题指的是在服务器上电启动过程中需要检验BIOS的固件有没有被篡改、被植入了后门等，实现方式是通过可信根芯片做的。在没有可信芯片作为可信根的情况下，可能只能将最初启动的代码段作为信任起点。开源应该有一些安全启动相关的时间，但不一定完备成熟。商业产品群里说可能不合群规，可以单聊。

第二个问题，对于供应链的软件包、基础软件会先做安全评估，在打包和打镜像环节会卡点准入，只允许评估过的被运行。

A7：这种安全架构设计看起来和信创ZYJ设计类似。BIOS启动前的安全检测，设备指纹或kernel关键文件以及第三方验证芯片。

A8：和安全启动原理有类似性。总体思路上还是控制只能运行符合预期的代码和符合预期的行为。

Q：再请教个问题哈，有一些可信实践，主要是埋点采集，安全监测，响应控制，安全要做，对业务的影响也可控，阻力可控。比如可信根这一块，推的范围有多广，是完全基于安全目标推的吗？实验环境上一个应用见得多，真上真用见得少，是怎么解决底座更换问题的？

A9：确实是个好问题，可信根芯片涉及到服务器更新换代的问题，直接汰换成本太高了，确实迭代周期比较长。我们的策略是新采购的机器默认覆盖，老机器过保后汰换，19年开始覆盖到现在规模已经比较大了，所有应用的这3年扩容的新机器都带的。

Q：对于jav、python类基于vm或者解释器的应用，进程级签名可信感觉还需要vm代码校验支持？可能还要联动发布平台？

A10：这个问题在实际应用层攻防中很关键，也是之前可信计算总是被大家觉得和实际攻防脱节的关键点。解释类程序是把数据变成了代码执行，其实经过实际攻防检验的方案演进，我们已经不仅仅要做代码完整性的静态签名验证。而需要静态和动态都做，一个是运维发布和运行启动时的卡点验证，二是基于应用安全切面在运行时去控制关键路径的代码运行行为，JAVA/Python/Node都可以有切面支持。

A11：是的，我觉得这个比进程级可信要复杂，比如jvm启动一个jar，或者动态加载一个jar，需要去校验这个jar或者里面class的签名。

A12：嗯嗯，jvm加载一个jar包并运行起来，这是个场景，只做代码完整性的签名校验仍然不够，因为jar中可能仍然有漏洞和后门可以被利用，甚至合法的类里面有可以被攻击利用的方法。所以，还需要在运行时检验具体运行的类、方法、参数、关键调用链路是不是业务正常运行预期之内的。

A13：那这个跟rasp又有些结合了，或者说rasp也可以统一在里面。

A14：rasp是切面体系中的一个应用。围绕切面底，其实已经有了血缘溯源ras，国密改造十几个应用。

Q： 能不能介绍下切面底座是什么？非自研应用能搞这个吗？会不会应用面很窄？

A15：你先看下有哪些应用再说窄不窄：

学习资料有：

http://www.itstec.org.cn/aspect_oriented_security_white_paper.pdf

A16：自研不自研倒不关键，自研的也不是自己造轮子，也有组件引入。关键是否可控，能不能动，插桩埋点。如果买来的东西本身是个黑盒子，肯定不行。

A17：非自研也可以的，切面就是要解决和业务研发耦合的问题。

Q：我们不是业务研发，是业务外购。或者说买个金蝶，能不能切它？主要是切它，金蝶厂商会不会说你动了它兼容性，然后出事他就不负责。

A18：按我读书的理解，比如有7层可信，黑盒占其中3层，这里面就切不开，但其它4层就可以。

A19：金蝶也不对你被黑了负责啊。切面标准化以后会做切面原生协同，一起协同解决生态共建问题。切面其实解决的是普适性运维管控问题，比安全的范围大很多。APM其实是一个典型应用，另外稳定性风险领域的混沌工也是。

A20：和外购公司的研发解耦合。只要运行JVM、操作系统等是标准的，其实应该可以支持，具体的控制策略需要自己叮嘱。

Q：开源确实让人想到在建生态，不过我没看清这是要建什么生态？

A21：切面基座和应用的生态，可以对比云原生k8s与sidecar。

A22：这个不可对比，SIDECAR和K8S是一个生态，而且sidecar是基于k8s技术体系长出来的，而切面基座和应用完全就是N套体系出来，互不相干。就像把SIDECAR扔到WINDOWS怎么用？

A23：这个就是我觉得有点难实现的地方，比如买个OFFICE，微软的研发会告知小甲方用啥JVM，什么版本吗？另外他们自身的都没有这个切面，所以他们做开发和兼容性测试根本就不会考虑这个东东，想怎么搞就怎么搞，一个升级包过来，可能就冲突了，被底座限制了，那么就出事了。这个和现在零信任在大部分企业只能替代VPN一样，没法做内网应用细颗粒度的限制。

A24：可信纵深可以利用切面做模块验证、行为画像、监控和管控，和具体的云没啥关系。

Q：那么有没有管控常规外购软件的落地实践可以分享一下？比如WPS，360浏览器，金蝶，用友这些。

A25：我们app里的第三方sdk的隐私合规都是靠切面管控的。windows上的应用也是用系统切面管控安全的。其实切面管控第三方恰恰是强项，你把盲管控与稳定性要求强行绑在一起了。闭着眼睛，咋样都会出问题的。

Q：这个能再展开说说为什么是强项吗？

A26：核心是做好监控管控的职责策略边界以及底座的隔离、调度能力，而不是把自己当成上帝为所欲为。我们正好有约稿在写，切面的平行仓架构，这方面做了展开介绍，剧透一下：

另外切面做的工作不是当成一个随意接sdk的地方，是要有严格约束管控的。当换来的收益是直接在应用内部的监控能力，以及对异常事件的干预能力。这个比sidecar强很多，但也不能像sidecar那样随意。

Q：因为普通企业连梳理访问关系，端口和访问权限都很难，导致内部零信任推不下去，所以听到要控制到类我就觉得很难搞了。

A27：切面梳理这个关系恰恰很在行。

A28：我们先不说“切面”，把它简称A。在没有A的时候，rasp，隐私插桩，微隔离，大家为了解决各种问题，依然要深入黑盒应用去做点事情。A只是提供了统一框架、方法论、底座，让所有环节可联动，也减少重复建设。这是我的理解。

A29：是，否则各家打架打破头。

A30：感觉安全切面在自研和云原生为主的互联网业态下更容易实现，而在大多数包罗了外包、外采、自研、且各种为了解决自身业务问题的技术方案混杂模式下的传统企业难点比较大，得要靠蚂蚁等大企业把真正的大切面生态构建起来的话估计就前途一片光明了。

A31：我也是这个观点，在传统企业上的也不多，因为目前前提都是无法深入黑盒应用。

A32：类似支付宝这种app，约等于一个小型的开放webos。有 n 多业务方写不同的业务代码、有各种三方 sdk、有 uc 内核在里面，还有数以万计的外部开发者写的小程序代码/h5页面。

切面在这个开放 webos 的隐私合规、数据流转、流量管理、用户行为、漏洞攻击等方面都发挥了很大的作用。它是一种数字化透视和精细化管控的技术方案，在这个上面可以按需构建很多产品能力。

A33：这种思路就跟aws一样，你先长在我身上，然后我把能力开放出来，你我深度融合，大企业底座带动长在身上的伙伴一起发展。

A34：我对生态并不看好，各个公司连日志都想搞自己的生态。但是这个构想我觉得是前瞻的、落地的、有益的，问题只在于多大范围。

A35：这个太难了，所以大家基本都在等我们慢慢做。这个的确很难，我们第一要求是做得稳，所以也不会太快推的很广，一步步做扎实。

Q：做生态的关键因素之一就是利他，如果不考虑这个因素必定很难做起来，安全平切面生态的利他点这方面有一些考虑嘛？

A36：利他不是嘴上说，是生态中各个角色共同去努力的，这个在国内是最难的。很多甲方白嫖成了习惯，另外就是乙方动不动就想做个大一统通吃。需要志同道合的伙伴一起努力。

A37：是的，每个企业的关键痛点往往不一样，很难达成利益诉求的一致性，反而那些由于某个国家法律或者政策的要求才有可能催化出来各家企业的公约数，这种公约数上去，发展生态或许成功率会大一点。

A38：之前应该是金将军分享行业洞察的时候，提过一个点，以色列那边公司很喜欢做小而美，一个公司只做一个点，把接口、解耦做得足够好，他就是一个能力。

国内很多公司，即使一开始是独角兽，后来也会为了股东等的压力走上全家桶的老牌路子，我不懂为什么。

A39：关键还是实战压力不足，市场没有真正起来。另外白嫖成了习惯，可以说是乙方惯出来的。

-------------------------------------