-
可信網絡
鎖定
可信網絡研究單位
當前,可信計算方興未艾,可信網絡呼之欲出。各企事業單位在信息化的過程中,根據各自面臨的安全問題與應用需求,並根據針對性的安全性問題,逐步構建了基於信任管理、身份管理、脆弱性管理以及威脅管理等相應的安全管理子系統。但是這些針對性的安全產品和安全解決方案缺乏相互之間的協作和溝通,無法實現網絡安全的整體防禦。
因此,網絡安全領域的發展已進入了綜合安全系統建設的階段。安全企業將面臨用户從以往的安全系統建設轉化為安全運行維護的新需求:如何發揮已有安全產品的整體效能;如何保護已有的投資,避免重複投入與建設以節省資源;如何建立各安全子系統、各安全產品之間的關聯,提高網絡整體的安全防禦能力成了網絡安全發展的必然趨勢。這些問題正受到企業的密切關注。
可信網絡的推出旨在實現用户網絡安全資源的有效整合、管理與監管,實現用户網絡的可信擴展以及完善的信息安全保護;解決用户的現實需求,達到有效提升用户網絡安全防禦能力的目的。
可信網絡網絡特徵
可信網絡應該具有如下特徵:
1、網絡中的行為和行為中的結果總是可以預知與可控的;
3、隨着端點系統的動態接入,具備動態擴展性。
可信網絡架構主要從以下幾個視角來考慮網絡整體的防禦能力。
如何實現網絡內部信息保護,謹防機密信息泄露?
可信網絡安全模型
可信網絡架構的推出,可以有效地解決用户所面臨的如下問題,如設備接入過程是否可信;設備的安全策略的執行過程是否可信;安全制度的執行過程是否可信;系統使用過程中操作人員的行為是否可信等,要達到可信網絡,首先要解決可信路由的問題。
可信網絡的一般性架構主要包括可信安全管理系統、網關可信代理、網絡可信代理和端點可信代理四部分組成,從而確保安全管理系統、安全產品、網絡設備和端點用户等四個安全環節的安全性與可信性,最終通過對用户網絡已有的安全資源的有效整合和管理,實現可信網絡安全接入機制和可信網絡的動態擴展;加強網內信息及信息系統的等級保護,防止用户敏感信息的泄漏。
可信網絡管理系統
可信網絡安全管理系統處於整個可信網絡安全體系的核心位置。它通過對網絡中各種設備、安全資源進行有效管理和整合,從全局角度對網絡安全狀況進行分析、評估與管理,獲得全局網絡安全視圖;通過制定安全策略指導或自動完成安全設施的重新部署或響應;從而全面提高整體網絡的安全防護能力。
可信網絡接入控制系統
可信網絡的安全接入控制系統主要基於 “可信代理”的安全機制,結合終端系統的認證、評估子系統來實現對接入可信網絡的終端系統、用户進行認證/授權控制,能夠有效地避免可信網絡中因不可信終端系統接入所帶來的潛在風險。
可信網絡解決方案
V3虛擬安全系統不但可以生成現有操作系統的全新虛擬鏡像,它具有真實系統完全一樣的功能。進入虛擬系統後,所有操作都是在這個全新的獨立的虛擬系統裏面,可以獨立安裝軟件,運行軟件,保存數據,擁有自己的獨立桌面。
不會對真正的系統產生任何影響。也不會因為真正的系統出問題而影響在虛擬系統裏面軟件和數據.和傳統的虛擬機不同,虛擬系統不會降低電腦的性能,啓動虛擬系統也不需要等待的時間。同時支持可移動存儲運行,既插既用等等特性。
V3虛擬安全系統和外界主機系統無法直接互訪,用户在主機只能訪問主機的磁盤分區,不能直接訪問V3虛擬安全系統的虛擬磁盤分區。同時用户在虛擬安全專業版系統環境中也不能直接訪問除自身虛擬磁盤外的分區,這樣就形成了一個相對封閉的計算機環境,當用户需要與外界主機環境交換文件時只能通過我司獨創的專用文件交換資源管理器實現V3虛擬安全系統環境與外界主機環境的單向文件導入和導出。
可信網絡構建可信網絡
可信互聯網的建設,必須從網絡文化層、業務應用層、基礎資源服務層和物理基礎設施層四個層面來同時着手。其中,可信的基礎資源服務和可信的業務應用服務是重要的互聯網治理手段。另外,由於所有的互聯網服務都有賴於基礎資源的查詢服務,可信的基礎資源服務也就成為可信互聯網的基石。
首先,基礎資源服務的核心是域名系統和IP地址問題。CN域名躍居全球國家頂級域名首位,還實現了 CN域名的頂級節點遍佈亞歐美髮達地區,極大地提升了國家域名系統的全球解析能力,對維護我國網絡主權產生了重要的意義。截止2009年6月30日,中國IPv4達到20503萬個,僅次於美國,排世界第二,亞洲第一。IPv4地址2012年後面臨枯竭。加快IPv6的發展和參與全球IP的分配,迫在眼睫。
再次,和國際一流組織合作,深度參與一流項目的研發。比如,CNNIC和ISC合作共同研發全球市場佔有率達80%以上的bind域名軟件;9月29日,CNNIC和思科建立了互聯網地址技術聯合實驗室等,通過這些項目的推進與合作的開展,為可信互聯網的構建與發展積累了豐富的經驗。