基本介紹
研究單位,網路特徵,安全模型,管理系統,接入控制系統,解決方案,構建可信網路,
研究單位
當前,可信計算方興未艾,可信網路呼之欲出。各企事業單位在信息化的過程中,根據各自面臨的安全問題與套用需求,並根據針對性的安全性問題,逐步構建了基於信任管理、身份管理、脆弱性管理以及威脅管理等相應的安全管理子系統。但是這些針對性的安全產品和安全解決方案缺乏相互之間的協作和溝通,無法實現網路安全的整體防禦。
因此,網路安全領域的發展已進入了綜合安全系統建設的階段。安全企業將面臨用戶從以往的安全系統建設轉化為安全運行維護的新需求:如何發揮已有安全產品的整體效能;如何保護已有的投資,避免重複投入與建設以節省資源;如何建立各安全子系統、各安全產品之間的關聯,提高網路整體的安全防禦能力成了網路安全發展的必然趨勢。這些問題正受到企業的密切關注。
可信網路的推出旨在實現用戶網路安全資源的有效整合、管理與監管,實現用戶網路的可信擴展以及完善的信息安全保護;解決用戶的現實需求,達到有效提升用戶網路安全防禦能力的目的。
網路特徵
可信網路應該具有如下特徵:
1、網路中的行為和行為中的結果總是可以預知與可控的;
3、隨著端點系統的動態接入,具備動態擴展性。
可信網路架構主要從以下幾個視角來考慮網路整體的防禦能力。
如何實現網路內部信息保護,謹防機密信息泄露?
安全模型
可信網路架構的推出,可以有效地解決用戶所面臨的如下問題,如設備接入過程是否可信;設備的安全策略的執行過程是否可信;安全制度的執行過程是否可信;系統使用過程中操作人員的行為是否可信等,要達到可信網路,首先要解決可信路由的問題。
可信網路的一般性架構主要包括可信安全管理系統、網關可信代理、網路可信代理和端點可信代理四部分組成,從而確保全全管理系統、安全產品、網路設備和端點用戶等四個安全環節的安全性與可信性,最終通過對用戶網路已有的安全資源的有效整合和管理,實現可信網路安全接入機制和可信網路的動態擴展;加強網內信息及信息系統的等級保護,防止用戶敏感信息的泄漏。
管理系統
接入控制系統
可信網路的安全接入控制系統主要基於 “可信代理”的安全機制,結合終端系統的認證、評估子系統來實現對接入可信網路的終端系統、用戶進行認證/授權控制,能夠有效地避免可信網路中因不可信終端系統接入所帶來的潛在風險。
解決方案
V3虛擬安全系統不但可以生成現有作業系統的全新虛擬鏡像,它具有真實系統完全一樣的功能。進入虛擬系統後,所有操作都是在這個全新的獨立的虛擬系統裡面,可以獨立安裝軟體,運行軟體,保存數據,擁有自己的獨立桌面。
不會對真正的系統產生任何影響。也不會因為真正的系統出問題而影響在虛擬系統裡面軟體和數據.和傳統的虛擬機不同,虛擬系統不會降低電腦的性能,啟動虛擬系統也不需要等待的時間。同時支持可移動存儲運行,既插既用等等特性。
V3虛擬安全系統和外界主機系統無法直接互訪,用戶在主機只能訪問主機的磁碟分區,不能直接訪問V3虛擬安全系統的虛擬磁碟分區。同時用戶在虛擬安全專業版系統環境中也不能直接訪問除自身虛擬磁碟外的分區,這樣就形成了一個相對封閉的計算機環境,當用戶需要與外界主機環境交換檔案時只能通過我司獨創的專用檔案交換資源管理器實現V3虛擬安全系統環境與外界主機環境的單向檔案導入和導出。
構建可信網路
可信網際網路的建設,必須從網路文化層、業務套用層、基礎資源服務層和物理基礎設施層四個層面來同時著手。其中,可信的基礎資源服務和可信的業務套用服務是重要的網際網路治理手段。另外,由於所有的網際網路服務都有賴於基礎資源的查詢服務,可信的基礎資源服務也就成為可信網際網路的基石。
首先,基礎資源服務的核心是域名系統和IP位址問題。CN域名躍居全球國家頂級域名首位,還實現了 CN域名的頂級節點遍布亞歐美發達地區,極大地提升了國家域名系統的全球解析能力,對維護我國網路主權產生了重要的意義。截止2009年6月30日,中國IPv4達到20503萬個,僅次於美國,排世界第二,亞洲第一。IPv4地址2012年後面臨枯竭。加快IPv6的發展和參與全球IP的分配,迫在眼睫。
再次,和國際一流組織合作,深度參與一流項目的研發。比如,CNNIC和ISC合作共同研發全球市場占有率達80%以上的bind域名軟體;9月29日,CNNIC和思科建立了網際網路地址技術聯合實驗室等,通過這些項目的推進與合作的開展,為可信網際網路的構建與發展積累了豐富的經驗。
最後,CNNIC發起成立了中國反釣魚網站聯盟,針對日益猖獗的釣魚網站等網際網路“毒瘤”展開治理工作,同時,聯合各大網際網路接入服務商、信息服務商,有效開展域名實名制,全方面打造安全可信的網際網路環境。
