云平台,安全,解决方案,天融信

云平台,安全,解决方案,天融信篇一：天融信 TOPSEC 网络安全管理整体解决方案天融信 TOPSEC 网络安全管理整体解决方案 天融信公司在国内独创的 TOPSEC 技术体系上，在“全面、联动、管理”的技术理念的基础上，构架了以各类安全产品及集中管理、集中审计为一体的全面的、联动的、高效的、易于管理的 TOPSEC 安全解决方案，保障客户网络从边界到桌面、从局域网到广域网高安全性。 TOPSEC 解决方案包括综合管理系统，各类安全产品如防火墙、IDS、VPN、安全网关、个人安全套件以及综合安全审计系统等。 全面、联动、高效、易于管理 网络安全是整体的。我们可以通过选择优秀的产品、优秀的服务构建一个解决方案，但如果各个优秀的产品、优秀的服务等各个环节之间相互孤立，则各个产品、服务环节的安全策略相对孤立，无法形成整体的安全策略；这样势必形成安全漏洞，给入侵者可乘之机。 网络安全是动态的。如果各个优秀的产品、服务等各环节之间是孤立的，则无法全面了解网络的整体安全状况，当然也无法根据网络和应用情况动态调整安全策略。 因此，网络安全需要统一、动态的安全策略，更需要一个联动的高效的整体的安全解决方案。 天融信公司在国内独创的 TOPSEC 技术体系上，在“全面、联动、管理”的技术理念的基础上，构架了以各类安全产品及集中管理、集中审计为一体的全面的、联动的、高效的、易于管理的 TOPSEC 安全解决方案，保障客户网络从边界到桌面、从局域网到广域网高安全性。 TOPSEC 解决方案架构在天融信独创的、先进 T-SCM(（Topsec Security Center Management）-天融信安全集中管理平台，T-SCP（Topsec Security cooperation platform）-天融信安全产品标协作平台，T-SAS（Topsec Security Audition System）天融信安全审计平台 3 个核心技术平台之上。TopsecManager 通过 T-SCM 实现对各种安全产品和非安全产品的综合管理；各种安全产品通过 T-SCP 实现不同产品之间的联动、协同工作；SAS 通过 T-SAS 实现对网络中的安全设备和非安全设备的集中审计、分析。 TOPSEC 解决方案包括 Topsec Manager 综合管理系统，各类安全产品，和 SAS 综合安全审计系统。其中： Topsec Manager 综合管理系统可以实现对垮地域网络中各类安全产品和各类非安全产品（如交换机、路由器等）集中控制和管理，可以对网络中所管设备策略制自动设定、自动实施，对运行故障和安全漏洞进行自动感知和报警。并且，支 持各类安全产品之间的有效联动。通过管理平台不但可以集网络管理与安全管理于一体，轻松管理整个网络中所有设备，而且有效提高了安全的成效。安全产品包括天融信 NG FW4000/3000/ARES 防火墙系列产品， IDS、VPN、防病毒、审计、内容过滤等 100的安全技术和产品；同时，通过天融信 TOPSEC 技术体系可在解决方案中支持第三方的安全产品。这样，不但可以根据需要选择不同优秀厂商的产品，而且安全品之间的互联、技术上的互操作，又有效的提高了系统的安全性。 SAS 综合安全审计系统可以实现对解决方案中产品、系统日志的综合的、集中的审计和分析，避免以前人为的、单点的日志分析。不但提高了对安全隐患的反映效率，而且提高了分析的准确度，很好的保证了安全系统的成效。 Topsec Manager 综合管理系统与 SAS 综合审计系统之间也可实现相互管理和支持，Topsec 安全服务（TMSS）可以提供对安全系统效能的保障，通过管理、防护、监测、审计、服务等五个环节的联动，构建一个产品之间、产品与系统之间联动的，可管理的，高扩展性的、高效的、全面的网络安全解决方案。 全面联动 高效安全 目前，IT 基础设施受到威胁的复杂性正在不断增加。诸如 Nimda 和红色代码等混合型威胁，以及数据通过公网传输时的可靠性、可用性等威胁。为了防御这些威胁，客户正在网络的网关、内部、服务器、客户端上部署防火墙、IDS、VPN、防病毒等产品。 在解决方案中，跨厂商产品的简单集合往往会存在漏洞，从而使威胁乘虚而入危及安全性。此外，当某种安全漏洞出现时，必须针对不同厂商的技术和产品进行人工分析，然后综合分析，提出解决方案。这样就降低了对攻击的反应速度，并潜在地增加了成本。事实证明，如果不将在同一网络中多个不同或者相同厂商的产品实现技术上互操作，实现产品之间的有效联动，实现产品与综合管理系统之间连动，就无法发挥有效的安全性，就无法有效管理。天融信 TOPSEC 解决方案就是以“联动“为核心理念，实现了不同安全技术之间互操作的，实现了不同产品间联动的，高安全性的、全面的解决方案。 全面防护，高效管理 天融信 TOPSEC 解决方案通过 TOPSEC 技术体系，集综合管理平台、综合安全审计系统，同时涉及防火墙、IDS、VPN、防病毒等 100安全技术和安全产品，为客户提供更强的、全面的安全防护能力。同时，TOPSEC 解决方案通过 TOPSEC MANAGER 综合安全管理系统可以对所有网络中的设备和系统进行集中运行监控、集中配置、集中日志等管理。通过 SAS 综合审计系统对所有的产品和系统进行集中日志审计和分析。这样，使来自不同厂商的多种技术可以高效、协作管理，从而增加防护能力，降低管理和支持成本。 有效的响应服务 天融信公司不但可以为 TOPSEC 解决方案中的产品和系统提供通用的部署和更新功能，天融信公司还提供有效的响应服务功能使客户对于违背安全策略、攻击出现和病毒发作更快做出响应，从而提高网络的整体安全状态。天融信遍布全国 30 个省市区域的技术服务中心为客户提供产品以及业界领先的 724 小时的无间 断的响应服务，为天融信 TOPSEC 解决方案提供很好的补充和更好的保障。 网络安全产品部署图 篇二：天融信网络安全准入解决方案天融信网络安全准入解决方案 安全挑战 计算机终端是用户办公和处理业务最重要的工具，对计算机终端的准入管理，可以有效地提高办公效率、减少信息安全隐患、提升网络安全，从而为用户创造更多的业务价值。但目前，大部分终端处于松散化的管理,主要存在以下问题： 接入终端的身份认证，是否为合法用户接入 工作计算机终端的状态问题如下： 操作系统漏洞导致安全事件的发生 补丁没有及时更新 工作终端外设随意接入，如 U 盘、蓝牙接口等 外来人员或第三方公司开发人员使用移动笔记本电脑未经容许接入到业务专网或办公网系统 工作终端的安全策略不统一，严重影响全局安全策略 解决方案 天融信针对上述安全挑战，提出了网络安全准入解决方案，采用数字证书系统、天融信终端安全管理系统TopDesk，结合技术等，实现完善、可信的网络准入，如下图所示。 天融信网络安全准入解决方案图 终端接安全准入过程如下： 1)网络准入控制组件通过协议，将当前终端用户身份证书信息发送到交换机。 2)交换机将用户身份证书信息通过 RADIUS 协议，发送给 RADIUS 认证组件。 3)RADIUS 组件通过 CA 认证中心对用户身份证书进行有效性判定，并把认证结果返回给交换机，交换机将认证结果传给网络准入控制组件。 4)用户身份认证通过后，终端系统检测组件将根据准入策略管理组件制定的安全准入策略，对终端安全状态进行检测。 5)终端的安全状态符合安全策略的要求,则允许准入流控中心系统网络。 6)如终端身份认证失败，网络准入控制组件通知交换机关闭端口； 7)如终端安全状态不符合安全策略要求，终端系统检测组件将隔离终端到非工作 VLAN。 8)在非工作 VLAN 的终端，终端系统检测组件会自动进行终端安全状态的修复，在修复完成以后，系统自动将终端重新接入正常工作 Vlan。 充分利用终端检测与防护技术 终端防护系统对终端的安全状态和安全行为进行全面监管，检测并保障桌面系统的安全，统一制定、下发并执行安全策略，从而实现对终端的全方位保护、管理和维护，有效保障终端系统及有关敏感信息的安全。在终端防护系统的众多功能中，本方案充分利用以下功能： 安全状态自动检测、报告功能。针对终端系统的补丁更新情况、防病毒软件的扫描引擎即病毒库更新情况、个人防火墙情况进行自动检测、报告和安全状态提升，并在接入网络前提供给可信网关进行检查和认证。 监管终端系统的各种网络行为。对终端系统的拨号行为、使用网口情况进行监控，通过策略定制限制终端用户的上网行为，以减少非法接入可能性。 对移动介质的管控功能。外部设备尤其是移动介质是病毒、木马传播、敏感信息泄漏的主要渠道，必须按照有关安全策略进行认证、授权、控制和审计。 安全审计功能。在对收集的安全事件进行详尽的分析和统计的基础上，帮助网络管理员对网络接入情况进行深度挖掘分析，满足对接入进行审计的需求。 非法接入行为阻断功能。通过终端防护系统实现非法接入行为的控制，对终端系统的远程拨号行为、无线上网行为、搭线上网行为进行控制，给出报警并通过个人防火墙、禁用网卡等手段切断该主机与网络的连接，避免由于该终端的非法接入而导致网络遭到破坏。 篇三：天融信网络信息安全解决方案计算机网络是一个分层次的拓扑结构，因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的网络信息安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。以该思想为出发点，北京天融信公司提出了“网络信息安全解决方案“。 一、 网络信息安全系统设计原则 ? 满足 Internet 分级管理需求 ? 需求、风险、代价平衡的原则 ? 综合性、整体性原则 ? 可用性原则 ? 分步实施原则 目前，对于新建网络及已投入运行的网络，必须尽快解决网络的安全保密问题，考虑技术难度及经费等因素，设计时应遵循如下思想： （1）大幅度地提高系统的安全性和保密性； （2）保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性； （3）易于操作、维护，并便于自动化管理，而不增加或少增加附加操作； （4）尽量不影响原网络拓扑结构，便于系统及系统功能的扩展； （5）安全保密系统具有较好的性能价格比，一次性投资，可以长期使用； （6）安全与密码产品具有合法性，并便于安全管理单位与密码管理单位的检查与监督。 基于上述思想，网络信息安全系统应遵循如下设计原则： 11 满足因特网的分级管理需求 根据 Internet 网络规模大、用户众多的特点，对Internet/Intranet 信息安全实施分级管理的解决方案，将对它的控制点分为三级实施安全管理。 第一级：中心级网络，主要实现内外网隔离；内外网用户的访问控制；内部网的监控；内部网传输数据的备份与稽查。 第二级：部门级，主要实现内部网与外部网用户的访问控制；同级部门间的访问控制；部门网内部的安全审计。 第三级：终端/个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资源的安全保护。 12 需求、风险、代价平衡的原则 对仸一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究（包括仸务、性能、结构、可靠性、可维护性等） ，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。 13 综合性、整体性原则 应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等） 。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的 措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。14 可用性原则 安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性，如密钥管理就有类似的问题。其次，措施的采用不能影响系统的正常运行，如不采用或少采用极大地降低运行速度的密码算法。 15 分步实施原则：分级管理 分步实施 由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。 二、 网络信息安全系统设计步骤 ? 网络安全需求分析 ? 确立合理的目标基线和安全策略 ? 明确准备付出的代价 ? 制定可行的技术方案 ? 工程实施方案（产品的选购与定制） ? 制定配套的法规、条例和管理办法 本方案主要从网络安全需求上进行分析，并基于网络层次结构，提出不同层次与安全强度的网络信息安全解决方案。 三、 网络安全需求 确切了解网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来讲，网络信息系统需要解决如下安全问题： ? 局域网 LAN 内部的安全问题，包括网段的划分以及VLAN 的实现 ? 在连接 Internet 时，如何在网络层实现安全性 ? 应用系统如何保证安全性 l 如何防止黑客对网络、主机、服务器等的入侵 ? 如何实现广域网信息传输的安全保密性 ? 加密系统如何布置，包括建立证书管理中心、应用系统集成加密等 ? 如何实现远程访问的安全性 ? 如何评价网络系统的整体安全性 基于这些安全问题的提出，网络信息系统一般应包括如下安全机制：访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息（如 NAT）等，具体参见北京天融信公司 四、 网络安全层次及安全措施 ? 链路安全? 网络安全 ? 信息安全 网络的安全层次分为:链路安全、网络安全、信息安全 网络的安全层次及在相应层次上采取的安全措施见下表。 4 1 链路安全 链路安全保护措施主要是链路加密设备，如各种链路加密机。它对所有用户数据一起加密，用户数据通过通信线路送到另一节点后立即解密。加密后的数据不能进行路由交换。因此，在加密后的数据不需要进行路由交换的情况下，如 DDN 直通专线用户就可以选择路由加密设备。 一般，线路加密产品主要用于电话网、DDN、专线、卫星点对点通信环境，它包括异步线路密码机和同步线路密码机。异步线路密码机主要用于电话网，同步线路密码机则可用于许多专线环境。 42 网络安全 网络的安全问题主要是由网络的开放性、无边界性、自由性造成的，所以我们考虑信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来，成为可管理、可控制的安全的内部网络。也只有做到这一点，实现信息网络的安全才有可能，而最基本的分隔手段就是防火墙。利用防火墙，可以实现内部网（信仸网络）与外部不可信仸网络（如因特网）之间或是内部网不同网络安全域的隔离与访问控制，保证网络系统及网络服务的可用性。 目前市场上成熟的防火墙主要有如下几类，一类是包过滤型防火墙，一类是应用代理型防火墙，还有一类是复合型防火墙，即包过滤与应用代理型防火墙的结合。包过滤防火墙通常基于 IP 数据包的源或目标 IP 地址、协议类型、协议端口号等对数据流进行过滤，包过滤防火墙比其它模式的防火墙有着更高的网络性能和更好的应用程序透明性。代理型防火墙作用在应用层，一般可以对多种应用协议进行代理，并对用户身份进行鉴别，并提供比较详细的日志和审计信息；其缺点是对每种应用协议都需提供相应的代理程序，并且基于代理的防火墙常常会使网络性能明显下降。应指出的是，在网络安全问题日益突出的今天，防火墙技术发展迅速，目前一些领先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中，这些功能有：VPN 功能、计费功能、流量统计与控制功能、监控功能、NAT 功能等等。 信息系统是动态发展变化的，确定的安全策略与选择合适的防火墙产品只是一个良好的开端，但它只能解决40%60%的安全问题，其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、 系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等，这些都是对信息系统安全的挑战。信息系统的安全应该是一个动态的发展过程，应该是一种检测监视安全响应的循环过程。动态发展是系统安全的规律。网络安全风险评估和入侵监测产品正是实现这一目标的必不可少的环节。 网络安全检测是对网络进行风险评估的重要措施，通过使用网络安全性分析系统，可以及时发现网络系统中最薄弱的环节，检查报告系统存在的弱点、漏洞与不安全配置，建议补救措施和安全策略，达到增强网络安全性的目的。 入侵检测系统是实时网络违规自动识别和响应系统。它位于有敏感数据需要保护的网络上或网络上仸何有风险存在的地方，通过实时截获网络数据流，能够识别、记录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时，入侵检测系统能够根据系统安全策略做出反应，包括实时报警、事件登录，自动阻断通信连接或执行用户自定义的安全策略等。 另外，使用 IP 信道加密技术（IPSEC）也可以在两个网络结点之间建立透明的安全加密信道。其中利用 IP 认证头（IP AH）可以提供认证与数据完整性机制。利用 IP封装净载（IP ESP）可以实现通信内容的保密。IP 信道加密技术的优点是对应用透明，可以提供主机到主机的安全服务，并通过建立安全的 IP 隧道实现虚拟专网即 VPN。目前基于 IPSEC 的安全产品主要有网络加密机，另外，有些防火墙也提供相同功能。 43 信息安全（应用与数据安全） 在这里，我们把信息安全定义为应用层与数据安全。在这一层次上，主要是应用密码技术解决用户身份鉴别、用户权限控制、数据的机密性、完整性等网络上信息的安全问题。由于网络的开放性和资源的共享，使得网络上的信息（无论是动态的还是静态的）的使用和修改都是自由的，如非法修改、越权使用、改变信息的流向等。这也必然威胁到信息的可控性、可用性、保密性、完整性等安全属性。为了保证信息的安全，我们必须采取有效的技术措施。这些措施主要从以下几个方面解决信息的安全问题，即：用户身份鉴别、用户权限控制、信息的传输安全、信息的存储安全以及对信息内容的审计。 北京天融信公司为解决这一层次的安全问题而提供的相关产品有： ? w Internet/Intranet 加密系统：它为应用程序提供身份鉴别、数据加密、数字签名和自动密钥分发等安全功 能。 ? CA 系统：建立证书中心（CA）即公钥密码证书管理中心，是公钥密码技术得以大规模应用的前提条件。公钥 密码算法在密钥自动管理、数字签名、身份识别等方面是传统对称密码算法所不可代替的一项关键技术。尤其在当前迅猛发展的电子商务中，数字签名是电子商务安全的核心部分。公钥密码算法用于数字签名时须借助可信的第三方对签名者的公开密钥提供担保，这个可信的第三方就是 CA。因此，建立 CA 是开展电子商务的先决条件。另外，CA 还可为各种基于公钥密码算法建立的网络安全系统提供认证服务。 ? 端端加密机：这类密码机只对用户数据中的数据字段部分加密，控制字段部分则不加密，用户数据加密后通 过网络路由交换到达目的地后才进行解密。用户数据在网络的各个交换节点中传输时始终处于加密状态，有效地防止了用户信息在网络各个环节上的泄漏和篡改问题。端端系列加密机系列目前主要用于分组交换网等端到端通信环境，为网用户提供全程加密服务，它支持专线及电话拨号两种入网方式。 ? 信息稽查系统：是针对信息内容进行审计的安全管理手段，该系统采用先进的状态检查技术，以透明方式实 时对进出内部网络的电子邮件和传输文件等进行数据备份，并可根据用户需求对通信内容进行审计，并对压缩的文件进行解压还原，从而为防止内部网络敏感信息的泄漏以及外部不良信息的侵入和外部的非法攻击提供有效的技术手段。 ? 办公自动化文电加密系统：文电办公自动化安全保密系统是用于文件和电子邮件传送、存储以及访问控制的 应用系统，是应用层加密系统。系统采用对称与非对称算法相结合的体系，为适应国家有关规定，算法可根据用户的安全强度需求不同