网络通信 频道

可信网络架构-信息安全新概念简介

今年6月,中国首届TCP(可信计算平台)论坛在武汉召开,国内专家、业内安全厂商对TCP进行了深入的交流。12月18日,中国信息产业商会信息安全产业分会主办、天融信公司承办的“可信网络安全架构”高层研讨会在北京召开。TNP(可信网络平台)首次提出。天融信公司在这一理念基础上,也推出了公司自己的理念和整体解决方案——可信网络架构。

  那么,什么是可信网络平台?什么是可信网络架构?“可信”与“安全”是什么 关系?倡导“可信网络平台”意味着什么?

  什么是可信网络平台

  说起TCP(可信计算平台),很多人并不陌生。说起TNP(可信网络平台),知道的人也许不多。

  12月18日下午,中国信息产业商会信息安全产业分会在北京首次正式发布了“可信网络平台”概念。与此同时,天融信公司率先积极响应这一理念,并推出了企业自己的整体解决方案,方案以龙魂可信安全管理平台和龙蕴高端可信安全系统平台为核心,并统一命名为“可信网络架构”。

  中国信息产业商会信息安全产业分会常务副理事长屈延文教授在题为《信息化安全的新认识、新领域与新起点》的主题演讲中,详细阐述了业界广泛讨论的安全与可信的关系,TCP与TNP的关系,以及如何正确理解和认识TCP等问题。

  记者对屈延文教授演讲中“信息化安全”的提法表示了浓厚的兴趣。12月23日,记者电话采访了屈延文教授。

  屈延文教授表示,信息化安全的概念是今年6月征得沈昌祥院士等业内专家的意见后,首次提出的(详见图1)。从数据安全,网络安全、信息安全,再到信息化安全,并不是简单的名词的改变。而是顺应当前整体的信息安全形式提出的,旨在强调今后信息安全的发展方向。

  屈延文教授认为,TCP概念是1999年由微软、IBM等跨国公司联合推出的,强调的是计算机操作系统、计算机底层技术的安全,即系统的完整性要求。TCP概念则是从网络的角度,倡导的安全模型。二者互为补充。

  从可信计算到可信网络

  一直以来,计算机的安全都是通过在PC与外部世界之间增加一些安全层次(如:口令、加密、反病毒)得以实现,每当一个新的病毒威胁或入侵发生时,就必须增强某些安全层或增加一个新的安全层。可信计算的提出,使人们认识到计算机安全的新方向。

  专家指出,信息安全的核心正在向“可信任”转变。国家信息化专家咨询委员会委员吕诚昭在12月18日的高层论坛上,就“安全”和“可信”的关系提出了几个值得业界深入思考的问题。

  吕诚昭委员举了一个例子,信息系统是可信的,但网上注册的身份证如果是虚假的,怎么办?高速公路(网络)是可信的,如果路上跑的货车里装的是假货怎么办?他进一步解释说,提出这样的疑问,是为了引起业界的思考:安全理念、内涵是动态的、发展的,安全问题也是如此。

  安全需求在发生哪些变化

  业内专家分析指出,2004年,虽然我国的信息安全产业继续快速发展,但是,用户目前面临的风险与威胁进一步复杂化,集中表现在以下三方面:一是黑客攻击愈加猖獗,用户面对安全威胁响应的时间越来越短;二是恶性蠕虫病毒事件频繁,严重威胁网络安全;三是垃圾邮件成为公害。所有这些,使国内用户的需求发生了以下变化,一是“需求的整合”。主要表现在:企业的安全建设从“被动防御”向“主动防御”过渡,即企业从发现问题后再修补的“产品叠加型”防御方式向“以风险管理”为核心的主动防御过渡;安全产品从“孤立的产品形式”向“集中管理”过渡。

  二是“技术的整合”。以防火墙市场为例,目前的国内防火墙市场,国产厂商占有率为60%,主要集中在政府、金融、教育、军队等行业;占40%的国外产品,基本集中在电信、企业等领域。

  而安全产品的技术主要体现在二方面:一是在硬件技术方面。硬件在安全产品领域如软件一样占据重要地位,而国外厂商的硬件技术更占优势。占据电信高端市场的国外产品, 众所周知,国内防火墙厂商的产品,多是从国外同类技术中寻找“灵感”。二是进行多种安全技术的融合。当前,走技术融合之路是国内外厂商发展的大方向。

  第三,经过几年的安全产品的使用,当用户面对更加复杂的网络安全威胁时,已经认识到“仅有安全产品是不够的”,他们需要服务,即“产品与服务的整合”。专业化的安全服务正在成为网络安全的重要内容,是否具有专业化的服务能力已经成为考核厂商实力的一条重要标准。

  整体安全与可信网络架构

  在记者的电话采访中,屈延文教授积极肯定了天融信公司的做法。他同时表示,希望更多的安全厂商在“可信网络平台”理念下,推出自己的整体安全解决方案。他还透露,启明星辰、华为等公司也在积极响应这一理念。

  天融信公司董事长兼总裁贺卫东认为,天融信公司提出的“可信网络架构”,旨在确保安全管理系统、安全产品、网络设备和用户等四个安全环节的安全性与可信性,最终通过对用户网络已有安全资源的有效整合和管理,实现“可信网络”的扩展和对信息及信息系统的等级保护,从而实现用户的“可信网络”,同时防止用户“可信网络”机密信息的泄漏。

  贺卫东介绍,可信网络架构不是一个具体的安全产品或一套针对性的安全解决体系,而是一个有机的网络安全全方位架构体系化解决方案。用户在实施“可信网络架构”过程中,必将涉及很多安全厂商的不同安全产品与安全体系,完成该架构不可能由天融信一家安全厂商来完成。

  因此,除了天融信公司要在安全产品与服务方面进行创新与提高外,还需得到政府和各安全厂商的支持与协作。

  如果在政府的支持下,通过沟通协商,各安全厂商达成协议,形成一个以“可信网络架构”实施为标准的厂商联盟,包括产品协议、服务举措等在内建立起应有的“可信”机制,这样才能推动“可信网络架构”的实施,架构一个满足所有网络行为总是可以预知、已知、可控的可信网络。

  按照天融信公司的计划,“可信网络架构”的一个最重要的组成部分就是,实现各厂商的安全产品横向联合和纵向管理,参照统一的行业标准和协议,形成一个业内安全厂商参与的整体安全联盟。

  ·专家观点·

  可信网络平台

  可信网络平台(TNP)框架是中国信息产业商会信息安全产业分会2002年提出,今年12月18日正式发布的概念。它的定义是:网络中的行为与行为的结果总是预期和可控的,那么网络是可信的。

  那么,如何做到可信网络呢?就必须在网络与系统上针对业务与技术的行为与行为结果,提供行为控制、行为监管、行为认证、行为管理和行为对抗的充分能力,并建立相应的体系,以维护网络的可信。(中国信息产业商会信息安全产业

  分会常务副理事长 屈延文)

  ·用户提醒·

  导致安全威胁的15个问题

  1、移动(笔记本)用户从外部把病毒带到办公室里来;

  2、主机系统的漏洞没有及时修补;

  3、病毒扩散,传播的速度比病毒码更新和部署的速度快;

  4、存在没有安装防病毒系统的主机;

  5、病毒特征码更新不及时;

  6、远程办公用户通过与公司建立的连接时,不慎将病毒带到公司内部;

  7、突发性病毒爆发应急不及时;

  8、内部人员使用其它通道连接外网;

  9、个人安全意识不强;

  10、主机使用者违章关闭了个人安全套件;

  11、来自内部的人员攻击;

  12、内部人员越权访问内部信息;

  13、内部人员使用外设传递信息;

  14、防火墙策略制定有缺陷;

  15、存在非授权接入的情况等。(天融信公司售前技术总监 杨庆华)

  “可信网络架构”,通过对用户网络已有安全资源的有效管理及整合,可以实现“可信网络”的扩展和对信息及信息系统的等级保护,完成多层次的积极防御和综合防范。

  与“可信网络架构”同时发布的龙蕴可信安全管理平台及龙魂高端可信安全系统平台是支撑“可信网络架构”的两大核心平台。龙蕴平台具有集中统一安全管理、实时风险分析与管理等众多技术特点,实现人、技术、流程的融合,提高了安全管理的效率;龙魂平台系列的设计理念着眼于未来,包括国内首款基于NP+ASIC技术的高端系统平台和国内首款完全自主设计的基ASIC 技术的中端系统平台等。


  信息化安全概念的内涵




  可信网络架构
 
转载地址:http://www.net130.com/CMS/Pub/network/network_manage/15173.htm
0
相关文章