神马文学网天融信:可信网络架构解决方案 可信,网络,架构解决方案 [技术解决方案] IT.com.c...
来源:百度文库 编辑:神马文学网 时间:2024/04/29 23:48:22
天融信:可信网络架构解决方案
2005-8-25 15:05:00 文/ 出处:.ccw.com.cn
引导用户实现网络业务的可信运维。
可信网络架构(Trusted Network Architecture — TNA)是天融信2004年推出的一个技术体系,具体而言,是一个通过对现有网络安全产品和网络安全子系统进行有效整合和管理,并结合可信网络的接入控制机制和网络内部信息的保护及信息加密传输机制,实现全面提高网络整体安全防护能力的网络安全技术体系。该体系主要从以下几个方面来实现网络整体的防御能力:
通过可信安全管理系统,实现对现有安全资源的有效管理和整合;
通过网络节点系统的可信接入控制,构筑“可信网络”安全边界;
通过可信网络内部信息保护机制,谨防机密信息泄露。
可信网络架构主要包括可信安全管理系统(TSM)、网关可信代理(GTA)、网络可信代理(NTA)和端点可信代理(PTA)四部分组成。
1. 可信网络安全管理系统
可信网络安全管理系统(Trusted Network Security Management System, TSM)处于整个可信网络安全体系的核心位置。它通过对网络中各种设备(包括路由设备、安全设备等)、安全机制、安全信息的综合管理与分析,获得全局网络安全视图,并制定安全策略指导或自动完成安全设施的重新部署或响应,从而全面提高整体网络的安全防护能力。其中,安全事件管理、风险管理以及安全策略配置管理是网络安全管理系统实施安全机制整合的核心。
2. 可信网络安全接入控制系统
可信网络安全接入控制系统主要基于称为“可信代理”的安全机制,结合终端系统的认证、评估子系统来实现对接入可信网络的终端系统、用户进行认证和授权控制,只有通过了用户身份鉴别和工作终端系统安全状况评估后,用户使用的终端系统才能够接入到动态的可信网络中。
依据所处的位置和功能的不同,可信代理分为如下三种类型: 端点可信代理、网关可信代理以及网络可信代理。
端点可信代理 终端可信代理(Point Trusted Agent, PTA)工作在桌面系统中,用于采集待接入可信网络的终端系统的安全状况信息和终端操作用户的认证信息,并负责与位于网络接入设备上的网络可信代理(NTA)或位于安全网关系统上的网关可信代理(GTA)建立安全通信通道,而采集到的信息将通过可信的通信通道传送到网络接入安全控制机制的认证、评估子系统来确定终端系统的可信与否。
网关可信代理 网关可信代理(Gateway Trusted Agent, GTA)作为可信网络安全接入控制系统的组成部件之一,工作在安全网关系统上,处于PTA与端点安全状况评估子系统之间,主要完成如下功能: 设备定位,端点的监控以及策略下发,与TSM安全通信和与安全应用信息交互等。
网络可信代理 网络可信代理(Network Trusted Agent, NTA)作为网络接入安全控制系统的组成部件之一,工作在网络接入设备上,处于PTA与端点安全状况评估子系统之间,主要完成如下功能: 设备定位,端点的监控以及策略下发,与TSM安全通信与安全应用信息交互等。
为了避免端点系统在可信接入后,人为破坏可信端点的安全策略配置或者因可信网络安全策略的动态调整,使得在线端点系统的安全策略不满足可信网络的要求。天融信还提出了可信网络安全接入控制系统的“保信”机制。
“保信机制”(Keep Trusted)主要通过对可信端点系统的周期性评估来实现。具体操作如下:
由接入安全控制系统的认证、评估子系统周期性对所辖的可信端点进行周期轮询,要求进行端点安全状况的重新评估。如果评估通过,可信端点的安全操作权限不变。如果评估不符合安全策略,则降低该端点对网络的安全操作权限,通知修补系统并拒绝访问相关区域。修补完成后重新进行端点安全状况评估,通过后提升访问权限。如果PTA不响应,视为不可信端点,降低用户访问权限、甚至禁止访问“可信网络”。
3. 可信网络保护机制
可信网络信息保护机制重点关注可信网络内部重要信息的保护,以确保这些数据在存储、使用以及传输过程中的安全,并且通过控制可信网络内部用户访问外部时的安全策略检查机制以及外出信息的检查机制来避免敏感信息的外泄,从而保证可信网络内部信息的机密性和可信性。
专家点评
优点 北京天融信公司提供了一个企业综合类安全整合解决方案。方案以构建可信网络架构为主要思路,来整合信息系统安全资源,提升信息网络安全防御能力。方案吸收和借鉴了国际上先进的安全管理的思想,所提出的可信网络架构模型在理论上有一定的先进性,体现了项目安全管理注重管理信息资产的思想。按照这种思路,如能进一步细化,可以形成一个相对完整的解决方案,有助于实现系统安全管理的总体目标。
方案对目前用户的信息系统安全现状进行了较深刻的分析并指出了普遍存在的问题,对系统的描述较为清晰,对风险的评估比较透彻。在设计思路上具有独特的风格,重点描述了实现用户网络安全资源的有效整合、管理与监管的设想,以及完善的信息安全保护的解决方案,具有一定的可行性和可扩展性。从方案的描述中看出其适用范围比较广泛。
不足 该方案在提出可信网络安全模型方面有一些新颖的见解,但没有落实到具体实施及其产品部署方案中,工程性较差。方案初步分析了信息与网络系统的安全需求,但对具体的应用需求分析不够深入,可以作为今后深入了解行业和具体用户信息安全需求的基础。另外,该方案只是在设计思路上和物理模型上进行了表述,在文件中没有看到其应用的实例和效果,因此实用性有待进一步验证,在安全管理和安全控制方面还有待于继续完善。
_xyz
2005-8-25 15:05:00 文/ 出处:.ccw.com.cn
引导用户实现网络业务的可信运维。
可信网络架构(Trusted Network Architecture — TNA)是天融信2004年推出的一个技术体系,具体而言,是一个通过对现有网络安全产品和网络安全子系统进行有效整合和管理,并结合可信网络的接入控制机制和网络内部信息的保护及信息加密传输机制,实现全面提高网络整体安全防护能力的网络安全技术体系。该体系主要从以下几个方面来实现网络整体的防御能力:
通过可信安全管理系统,实现对现有安全资源的有效管理和整合;
通过网络节点系统的可信接入控制,构筑“可信网络”安全边界;
通过可信网络内部信息保护机制,谨防机密信息泄露。
可信网络架构主要包括可信安全管理系统(TSM)、网关可信代理(GTA)、网络可信代理(NTA)和端点可信代理(PTA)四部分组成。
1. 可信网络安全管理系统
可信网络安全管理系统(Trusted Network Security Management System, TSM)处于整个可信网络安全体系的核心位置。它通过对网络中各种设备(包括路由设备、安全设备等)、安全机制、安全信息的综合管理与分析,获得全局网络安全视图,并制定安全策略指导或自动完成安全设施的重新部署或响应,从而全面提高整体网络的安全防护能力。其中,安全事件管理、风险管理以及安全策略配置管理是网络安全管理系统实施安全机制整合的核心。
2. 可信网络安全接入控制系统
可信网络安全接入控制系统主要基于称为“可信代理”的安全机制,结合终端系统的认证、评估子系统来实现对接入可信网络的终端系统、用户进行认证和授权控制,只有通过了用户身份鉴别和工作终端系统安全状况评估后,用户使用的终端系统才能够接入到动态的可信网络中。
依据所处的位置和功能的不同,可信代理分为如下三种类型: 端点可信代理、网关可信代理以及网络可信代理。
端点可信代理 终端可信代理(Point Trusted Agent, PTA)工作在桌面系统中,用于采集待接入可信网络的终端系统的安全状况信息和终端操作用户的认证信息,并负责与位于网络接入设备上的网络可信代理(NTA)或位于安全网关系统上的网关可信代理(GTA)建立安全通信通道,而采集到的信息将通过可信的通信通道传送到网络接入安全控制机制的认证、评估子系统来确定终端系统的可信与否。
网关可信代理 网关可信代理(Gateway Trusted Agent, GTA)作为可信网络安全接入控制系统的组成部件之一,工作在安全网关系统上,处于PTA与端点安全状况评估子系统之间,主要完成如下功能: 设备定位,端点的监控以及策略下发,与TSM安全通信和与安全应用信息交互等。
网络可信代理 网络可信代理(Network Trusted Agent, NTA)作为网络接入安全控制系统的组成部件之一,工作在网络接入设备上,处于PTA与端点安全状况评估子系统之间,主要完成如下功能: 设备定位,端点的监控以及策略下发,与TSM安全通信与安全应用信息交互等。
为了避免端点系统在可信接入后,人为破坏可信端点的安全策略配置或者因可信网络安全策略的动态调整,使得在线端点系统的安全策略不满足可信网络的要求。天融信还提出了可信网络安全接入控制系统的“保信”机制。
“保信机制”(Keep Trusted)主要通过对可信端点系统的周期性评估来实现。具体操作如下:
由接入安全控制系统的认证、评估子系统周期性对所辖的可信端点进行周期轮询,要求进行端点安全状况的重新评估。如果评估通过,可信端点的安全操作权限不变。如果评估不符合安全策略,则降低该端点对网络的安全操作权限,通知修补系统并拒绝访问相关区域。修补完成后重新进行端点安全状况评估,通过后提升访问权限。如果PTA不响应,视为不可信端点,降低用户访问权限、甚至禁止访问“可信网络”。
3. 可信网络保护机制
可信网络信息保护机制重点关注可信网络内部重要信息的保护,以确保这些数据在存储、使用以及传输过程中的安全,并且通过控制可信网络内部用户访问外部时的安全策略检查机制以及外出信息的检查机制来避免敏感信息的外泄,从而保证可信网络内部信息的机密性和可信性。
专家点评
优点 北京天融信公司提供了一个企业综合类安全整合解决方案。方案以构建可信网络架构为主要思路,来整合信息系统安全资源,提升信息网络安全防御能力。方案吸收和借鉴了国际上先进的安全管理的思想,所提出的可信网络架构模型在理论上有一定的先进性,体现了项目安全管理注重管理信息资产的思想。按照这种思路,如能进一步细化,可以形成一个相对完整的解决方案,有助于实现系统安全管理的总体目标。
方案对目前用户的信息系统安全现状进行了较深刻的分析并指出了普遍存在的问题,对系统的描述较为清晰,对风险的评估比较透彻。在设计思路上具有独特的风格,重点描述了实现用户网络安全资源的有效整合、管理与监管的设想,以及完善的信息安全保护的解决方案,具有一定的可行性和可扩展性。从方案的描述中看出其适用范围比较广泛。
不足 该方案在提出可信网络安全模型方面有一些新颖的见解,但没有落实到具体实施及其产品部署方案中,工程性较差。方案初步分析了信息与网络系统的安全需求,但对具体的应用需求分析不够深入,可以作为今后深入了解行业和具体用户信息安全需求的基础。另外,该方案只是在设计思路上和物理模型上进行了表述,在文件中没有看到其应用的实例和效果,因此实用性有待进一步验证,在安全管理和安全控制方面还有待于继续完善。
_xyz
天融信:可信网络架构解决方案 可信,网络,架构解决方案 [技术解决方案] IT.com.c...
校园网网络架构建设规划及解决方案 - qqread.com
商业智能解决方案架构
可信网络架构-信息安全新概念简介 | TechTarget IT专家网1
可信网络架构-信息安全新概念简介 | TechTarget IT专家网2
c.LINK双向网络改造解决方案介绍
思科中小型企业网络解决方案
爱可信出展2009GSMA 展出完整移动解决方案
CDMA网络优化常见问题及解决方案 - IT粉丝网|itFensi.com
CDMA网络优化常见问题及解决方案 - IT粉丝网|itFensi.com
J2EE SSO解决方案札记 - 网络编程技术 - JavaEye技术网站
从可信计算到可信网络
瑞萨与爱可信为手机提供4Mbps红外通信解决方案
雅虎绝妙的网络商业解决方案
远程医疗系统网络视讯视频会议解决方案
网络连接文件夹为空的解决方案
人大附中数字化校园网络建设解决方案
CDMA网络优化常见问题及解决方案
P2P网络电视台前端编码系统解决方案
乐思网络信息利用解决方案
乐思网络舆情监测系统解决方案
网络竞争情报数据收集解决方案
立讯网络中控解决方案
硬盘之家-家用网络存储解决方案