可信網路

可信網路

可信網路架構不是一個具體的安全產品或一套針對性的安全解決體系,而是一個有機的網路安全全方位的架構體系化解決方案,強調實現各廠商的安全產品橫向關聯和縱向管理。因此在實施可信網路過程中,必將涉及多個安全廠商的不同安全產品與體系。這需得到國家政府和各安全廠商的支持與協作。

研究單位


鑒於可信計算技術的重要性,國際上一些著名的大學和公司,如卡內基梅隆大學、AT&T、微軟公司等也在積極開展這方面的研究,並取得了一系列成果。隨著研究日漸深入,可信網路開始走上台前。
當前,可信計算方興未艾,可信網路呼之欲出。各企事業單位在信息化的過程中,根據各自面臨的安全問題與應用需求,並根據針對性的安全性問題,逐步構建了基於信任管理、身份管理、脆弱性管理以及威脅管理等相應的安全管理子系統。但是這些針對性的安全產品和安全解決方案缺乏相互之間的協作和溝通,無法實現網路安全的整體防禦。
因此,網路安全領域的發展已進入了綜合安全系統建設的階段。安全企業將面臨用戶從以往的安全系統建設轉化為安全運行維護的新需求:如何發揮已有安全產品的整體效能;如何保護已有的投資,避免重複投入與建設以節省資源;如何建立各安全子系統、各安全產品之間的關聯,提高網路整體的安全防禦能力成了網路安全發展的必然趨勢。這些問題正受到企業的密切關注。
可信網路的推出旨在實現用戶網路安全資源的有效整合、管理與監管,實現用戶網路的可信擴展以及完善的信息安全保護;解決用戶的現實需求,達到有效提升用戶網路安全防禦能力的目的。

網路特徵


可信網路應該具有如下特徵:
1、網路中的行為和行為中的結果總是可以預知與可控的;
2、網內的系統符合指定的安全策略,相對於安全策略是可信的、安全的;
3、隨著端點系統的動態接入,具備動態擴展性。
可信網路架構主要從以下幾個視角來考慮網路整體的防禦能力。
如何有效管理和整合現有安全資源?期望從全局角度對網路安全狀況進行分析、評估與管理,獲得全局網路安全視圖;通過制定安全策略指導或自動完成安全設施的重新部署或響應。
如何構築“可信網路”安全邊界?通過可信終端系統的接入控制,實現“可信網路”的有效擴展,並有效降低不可信終端系統接入網路所帶來的潛在安全風險
如何實現網路內部信息保護,謹防機密信息泄露?

安全模型


可信網路架構的推出,可以有效地解決用戶所面臨的如下問題,如設備接入過程是否可信;設備的安全策略的執行過程是否可信;安全制度的執行過程是否可信;系統使用過程中操作人員的行為是否可信等,要達到可信網路,首先要解決可信路由的問題。
可信網路的一般性架構主要包括可信安全管理系統、網關可信代理、網路可信代理和端點可信代理四部分組成,從而確保安全管理系統、安全產品、網路設備和端點用戶等四個安全環節的安全性與可信性,最終通過對用戶網路已有的安全資源的有效整合和管理,實現可信網路安全接入機制和可信網路的動態擴展;加強網內信息及信息系統的等級保護,防止用戶敏感信息的泄漏。

管理系統


可信網路安全管理系統處於整個可信網路安全體系的核心位置。它通過對網路中各種設備、安全資源進行有效管理和整合,從全局角度對網路安全狀況進行分析、評估與管理,獲得全局網路安全視圖;通過制定安全策略指導或自動完成安全設施的重新部署或響應;從而全面提高整體網路的安全防護能力。

接入控制系統


可信網路的安全接入控制系統主要基於“可信代理”的安全機制,結合終端系統的認證、評估子系統來實現對接入可信網路的終端系統、用戶進行認證/授權控制,能夠有效地避免可信網路中因不可信終端系統接入所帶來的潛在風險。
可信網路架構的推出,可以強化可信安全管理在安全建設和運維中的核心地位,通過全局安全管理,實現多層次的積極防禦和綜合防範,並聯合安全產業廠商打造和完善產業鏈

解決方案


V3虛擬安全系統通過在磁碟任意分區生成高強度加密文件,並通過映射該加密文件成虛擬磁碟分區的方式運行V3虛擬桌面系統。
V3虛擬安全系統不但可以生成現有操作系統的全新虛擬鏡像,它具有真實系統完全一樣的功能。進入虛擬系統后,所有操作都是在這個全新的獨立的虛擬系統裡面,可以獨立安裝軟體,運行軟體,保存數據,擁有自己的獨立桌面。
不會對真正的系統產生任何影響。也不會因為真正的系統出問題而影響在虛擬系統裡面軟體和數據。和傳統的虛擬機不同,虛擬系統不會降低電腦的性能,啟動虛擬系統也不需要等待的時間。同時支持可移動存儲運行,既插既用等等特性。
V3虛擬安全系統和外界主機系統無法直接互訪,用戶在主機只能訪問主機的磁碟分區,不能直接訪問V3虛擬安全系統的虛擬磁碟分區。同時用戶在虛擬安全專業版系統環境中也不能直接訪問除自身虛擬磁碟外的分區,這樣就形成了一個相對封閉的計算機環境,當用戶需要與外界主機環境交換文件時只能通過我司獨創的專用文件交換資源管理器實現V3虛擬安全系統環境與外界主機環境的單向文件導入和導出。

構建可信網路


可信網際網路的建設,必須從網路文化層、業務應用層、基礎資源服務層和物理基礎設施層四個層面來同時著手。其中,可信的基礎資源服務和可信的業務應用服務是重要的網際網路治理手段。另外,由於所有的網際網路服務都有賴於基礎資源的查詢服務,可信的基礎資源服務也就成為可信網際網路的基石。
首先,基礎資源服務的核心是域名系統和IP地址問題。CN域名躍居全球國家頂級域名首位,還實現了 CN域名的頂級節點遍布亞歐美發達地區,極大地提升了國家域名系統的全球解析能力,對維護我國網路主權產生了重要的意義。截止2009年6月30日,中國IPv4達到20503萬個,僅次於美國,排世界第二,亞洲第一。IPv4地址2012年後面臨枯竭。加快IPv6的發展和參與全球IP的分配,迫在眼睫。
其次,研發下一代可信域名服務體系。比如在域名系統數據添加數字簽名信息,為域名查詢提供數據來源驗證、數據完整性檢驗和否定存在驗證。
再次,和國際一流組織合作,深度參與一流項目的研發。比如,CNNICISC合作共同研發全球市場佔有率達80%以上的bind域名軟體;9月29日,CNNIC和思科建立了網際網路地址技術聯合實驗室等,通過這些項目的推進與合作的開展,為可信網際網路的構建與發展積累了豐富的經驗。
最後,CNNIC發起成立了中國反釣魚網站聯盟,針對日益猖獗的釣魚網站等網際網路“毒瘤”展開治理工作,同時,聯合各大網際網路接入服務商、信息服務商,有效開展域名實名制,全方面打造安全可信的網際網路環境。