三位一体打造可信网络
aaaaaaaaaaaaaaaaaaaaaaaaaaa
------随着互联网和软件技术的发展和广泛应用,人类生活逐渐向电脑和网络转移;而电脑安全、个人隐私以及网络交易等方面的威胁也随之浮现出来。下面的话,来自于对网管员们的电话调查:
------“我们单位很大,时常有客户来访,无法很好地控制客户电脑对内网资源的访问,而且这些电脑可能有病毒,对我们内网是一种严重的威胁,但是不知道怎么控制。”
------“我们公司办事处是VPN接入总部的,但往往带来很多病毒和威胁。”
------“我们单位要求对每个人的权限严格控制,没有一个简单易用的产品,所以管理起来很麻烦。”
------“我们公司购买了防火墙和杀毒软件,但是员工没有使用的习惯,员工电脑受到病毒威胁、黑客攻击的危险比较大。”
------“最近股市比较火,大家上班就忙着看股票行情,领导很冒火,要我们进行限制。”
------“常常有员工偷偷拨号上网,避开防火墙的边界过滤,太过分了。”
------“现在很多病毒、网络攻击是利用Windows的系统漏洞,我们很难让每一台计算机都及时打上补丁。”
------“网络病毒、蠕虫在内网爆发速度太快了,公司业务几分钟就瘫痪了,根本束手无策… …”
------以上问题都是用户网络没有得到控制和管理的体现。由于安全威胁无处不在,网管员们终无宁日,对内网的安全稳定缺乏信心。解决这些问题的关键就是要保证用户网络环境可信,上海安达通推出的TPN产品从信任域、信任主机、信任用户三个方面构成一个整体为用户打造出网络可信系统。
.. . ..TPN旨在为内网和远程接入用户提供一个安全、可信的网络访问环境,构筑了包括远程接入、边界、内网以及主机的多层次威胁防护体系。TPN之所以能够形成一个完善的安全防护系统,在于该系统由三个重要可信部分构成:
------可信域. . ..
------TPN系统可以通过手动或自动学习的方式,收集整个网络中所有受信任的访问终端(IP/MAC)以形成可信的主机域,只有可信域内的终端才可以正常登录TPN系统进行互访以及访问网络资源,杜绝了不可信终端接入网络,从而从网络层面彻底解决了主机互访和网络访问的信任关系。
TPN管理的可信域的范围不仅包括内网的可信终端,也包括远程VPN接入的可信终端。建立全网的可信域后,可以带来以下好处:
------ 对可信域之外的终端进行彻底的逻辑隔离,使其无法对可信域进行任何访问尝试;
------可信域内主机彼此信任,不必担心仿冒访问和信息泄漏的威胁;
------可进一步扩展成多等级可信域,域间进行受限访问控制;
------可信用户
------可信域从主机硬件角度控制了主机信任关系,但考虑到用户访问的灵活性和简单认证手段易被破解等因素,TPN系统引入了多种认证方式来保证用户身份的可靠。TPN中具备一个开放的用户认证体系,不但可以实现与第三方认证服务器(如Radius/Ldap/AD等)同步认证信息,而且提供基于数字证书、USB KEY、手机短信和动态口令卡等多因素身份认证方式,可以实现多重认证、整合认证、定制认证等高级用户认证方式;完备的用户认证体系充分保证了TPN可信架构中对用户的可信认证。
------可信主机
------既便可信域和可信用户使主机访问和认证安全得到了可信的保障,仍然无法保证主机行为带来的威胁和系统和软件漏洞。TPN系统通过统一的主机策略管控技术,从以下几个方面保证主机系统和软件操作的可信性:
------用户登录系统时,强制要求必须安装并运行特定的防火墙和杀毒软件;
------禁止特定威胁程序运行并可自定义威胁程序:
------有效地控制终端系统中运行的服务,使不安全的服务无藏身之地;
------强制终端及时进行自动的系统补丁更新,不需人工干涉;
------一旦检测到绕开TPN而通过拨号等方式非法外联上网,立刻告警和阻断;
------对网络型病毒、蠕虫爆发点自动检测和精确定位,并实现染毒终端与内部网络自动隔离,最大程度上保证了网络的可用性;..
------TPN正是通过可信域、可信主机、可信用户等多个层面、全方位构建了一个完美的可信专用网框架。该可信框架体现了以下优点:
------域隔离
实现了对可信域以外终端的有效隔离。
------终端安全
保证可信域内终端自身安全性从而提高了整个可信域的安全等级。
------身份可靠
用户身份的可靠保证了访问权限的合法使用。
------今后,TPN将加入基于用户历史行为分析的动态准入控制策略,对主机安全和接入管理进行更精细和准确的控制,并完善日志报表以及全网策略监控和管理等功能,以实现一个完美的可信网络体系平台。
注:本文已在《网管员世界》11月A刊全文刊登
.. .
|
