可信网络架构不是一个具体的安全产品或一套针对性的安全解决体系,而是一个有机的
网络安全全方位的架构体系化解决方案,强调实现各厂商的安全产品横向关联和纵向管理。因此在实施可信网络过程中,必将涉及多个安全厂商的不同
安全产品与体系。这需得到国家政府和各安全厂商的支持与协作。
研究单位
鉴于可信计算技术的重要性,国际上一些著名的大学和公司,如
卡内基梅隆大学、
AT&T、
微软公司等也在积极开展这方面的研究,并取得了一系列成果。随着研究日渐深入,可信网络开始走上台前。
当前,可信计算方兴未艾,可信网络呼之欲出。各企事业单位在信息化的过程中,根据各自面临的安全问题与应用需求,并根据针对性的安全性问题,逐步构建了基于
信任管理、
身份管理、脆弱性管理以及威胁管理等相应的
安全管理子系统。但是这些针对性的安全产品和安全解决方案缺乏相互之间的协作和沟通,无法实现
网络安全的整体防御。
因此,
网络安全领域的发展已进入了综合安全系统建设的阶段。安全企业将面临用户从以往的安全系统建设转化为安全运行维护的新需求:如何发挥已有安全产品的整体效能;如何保护已有的投资,避免重复投入与建设以节省资源;如何建立各安全子系统、各安全产品之间的关联,提高网络整体的安全防御能力成了
网络安全发展的必然趋势。这些问题正受到企业的密切关注。
可信网络的推出旨在实现用户网络安全资源的有效整合、管理与监管,实现用户网络的可信扩展以及完善的信息安全保护;解决用户的现实需求,达到有效提升用户网络安全防御能力的目的。
网络特征
可信网络应该具有如下特征:
1、网络中的行为和行为中的结果总是可以预知与可控的;
2、网内的系统符合指定的
安全策略,相对于
安全策略是可信的、安全的;
3、随着端点系统的动态接入,具备动态扩展性。
可信网络架构主要从以下几个视角来考虑网络整体的防御能力。
如何有效管理和整合现有安全资源?期望从全局角度对
网络安全状况进行分析、评估与管理,获得全局
网络安全视图;通过制定
安全策略指导或自动完成安全设施的重新部署或响应。
如何构筑“可信网络”安全边界?通过可信
终端系统的
接入控制,实现“可信网络”的有效扩展,并有效降低不可信终端系统接入网络所带来的潜在安全风险。
如何实现网络内部信息保护,谨防机密信息泄露?
安全模型
可信网络架构的推出,可以有效地解决用户所面临的如下问题,如设备接入过程是否可信;设备的
安全策略的执行过程是否可信;安全制度的执行过程是否可信;系统使用过程中操作人员的行为是否可信等,要达到可信网络,首先要解决可信路由的问题。
可信网络的一般性架构主要包括可信
安全管理系统、
网关可信代理、网络可信代理和端点可信代理四部分组成,从而确保安全管理系统、安全产品、网络设备和端点用户等四个安全环节的安全性与可信性,最终通过对用户网络已有的安全资源的有效整合和管理,实现可信
网络安全接入机制和可信网络的动态扩展;加强网内信息及信息系统的等级保护,防止用户敏感信息的泄漏。
管理系统
可信网络安全管理系统处于整个可信网络安全体系的核心位置。它通过对网络中各种设备、安全资源进行有效管理和整合,从全局角度对网络安全状况进行分析、评估与管理,获得全局
网络安全视图;通过制定
安全策略指导或自动完成安全设施的重新部署或响应;从而全面提高整体网络的安全防护能力。
接入控制系统
可信网络的安全接入控制系统主要基于 “可信代理”的安全机制,结合
终端系统的认证、评估子系统来实现对接入可信网络的终端系统、用户进行认证/授权控制,能够有效地避免可信网络中因不可信
终端系统接入所带来的潜在风险。
可信网络架构的推出,可以强化可信
安全管理在安全建设和运维中的核心地位,通过全局
安全管理,实现多层次的积极防御和综合防范,并联合安全产业厂商打造和完善产业链。
解决方案
V3虚拟安全系统通过在
磁盘任意分区生成高强度加密文件,并通过映射该加密文件成虚拟
磁盘分区的方式运行V3
虚拟桌面系统。
V3虚拟安全系统不但可以生成现有操作系统的全新虚拟
镜像,它具有真实系统完全一样的功能。进入
虚拟系统后,所有操作都是在这个全新的独立的虚拟系统里面,可以独立安装软件,运行软件,保存数据,拥有自己的独立桌面。
不会对真正的系统产生任何影响。也不会因为真正的系统出问题而影响在
虚拟系统里面软件和数据.和传统的
虚拟机不同,虚拟系统不会降低电脑的性能,启动虚拟系统也不需要等待的时间。同时支持可移动存储运行,既插既用等等特性。
V3虚拟安全系统和外界
主机系统无法直接互访,用户在主机只能访问主机的
磁盘分区,不能直接访问V3虚拟安全系统的虚拟磁盘分区。同时用户在虚拟安全专业版系统环境中也不能直接访问除自身
虚拟磁盘外的分区,这样就形成了一个相对封闭的计算机环境,当用户需要与外界主机环境交换文件时只能通过我司独创的专用文件交换
资源管理器实现V3虚拟安全系统环境与外界主机环境的单向文件导入和导出。
构建可信网络
可信互联网的建设,必须从网络文化层、业务应用层、基础资源服务层和物理基础设施层四个层面来同时着手。其中,可信的基础资源服务和可信的业务应用服务是重要的互联网治理手段。另外,由于所有的互联网服务都有赖于基础资源的查询服务,可信的基础资源服务也就成为可信互联网的基石。
首先,基础资源服务的核心是
域名系统和IP地址问题。CN域名跃居全球
国家顶级域名首位,还实现了 CN域名的顶级节点遍布亚欧美发达地区,极大地提升了国家
域名系统的全球解析能力,对维护我国网络主权产生了重要的意义。截止2009年6月30日,中国IPv4达到20503万个,仅次于美国,排世界第二,亚洲第一。
IPv4地址2012年后面临枯竭。加快IPv6的发展和参与全球IP的分配,迫在眼睫。
其次,研发下一代可信域名服务体系。比如在
域名系统数据添加数字签名信息,为域名查询提供数据来源验证、
数据完整性检验和否定存在验证。
再次,和国际一流组织合作,深度参与一流项目的研发。比如,CNNIC和ISC合作共同研发全球市场占有率达80%以上的bind域名软件;9月29日,CNNIC和思科建立了互联网地址技术联合实验室等,通过这些项目的推进与合作的开展,为可信互联网的构建与发展积累了丰富的经验。
最后,CNNIC发起成立了中国反钓鱼网站联盟,针对日益猖獗的钓鱼网站等互联网“毒瘤”展开治理工作,同时,联合各大
互联网接入服务商、信息服务商,有效开展
域名实名制,全方面打造安全可信的互联网环境。