可信网络安全架构2004-12

1、可信网络架构概述李鸿培北京天融信公司总体部2004年12月1 引言随着网络技术的应用与普及，为了保证网络安全、健康地运行，国务院颁布了国务院27号文件，随后专家提出了“三纵三横两中心”的具体发展与实施计划，到今年国家正式实施信息安全等级保护评估政策，建立信息安全保障体系，从而安全厂商提出了更高的信息安全保护的要求。另一方面，从国内网络安全市场发展变化的需求来看，各企事业单位在信息化的过程中，根据各自面临的安全问题与应用需求，为他们的信息网络系统配置了各种各样的安全产品，并根据针对性的安全性问题，逐步构建了基于信任管理、身份管理、脆弱性管理以及威胁管理等相应的安全管理子系统，实现了从单一安全产品

2、到面向具体安全问题的集成化的安全解决方案的过渡。但是这些针对性的安全产品和安全解决方案缺乏相互之间的协作和沟通，无法实现网络安全的整体防御。各个安全子系统就像是构成了“木桶理论”中纵向的木板，然而由于各木板之间没有紧密地耦合，使得板间缝隙成了安全问题的关键所在。现在，网络安全领域的发展进入了综合安全系统建设的阶段，如图 1所示。安全企业将面临用户从以往的安全系统建设转化为安全运维的新需求：ü 如何发挥已有安全产品的整体效能；ü 如何保护已有的投资，避免重复投入与建设以节省资源ü 如何建立各安全子系统、各安全产品之间的关联，提高网络整体的安全防御能力成了网络安全发展

3、的必然趋势。在这方面，国际巨头们已经先走一步，提出了多种解决方法：CISCO的自防御网络、Microsoft的应用安全框架，Symantec的主动性安全基础架构、ServGate的一体化威胁管理等，这些方法集中体现了整体、立体、多层次和主动防御的思想，并提升了安全管理的重要性，认为应在不同层次上加强网络安全的监管，特别是各种网络设备和计算资源安全属性的管理。这表明安全业界的竞争更加激烈，已经从以往产品的竞争演变为安全体系的竞争。面对国际巨头强大的竞争威胁，我们如果不能加速体系化、规模化发展的话，今后业内的主流市场将是国外的品牌一统天下。作为国内领导安全厂商，天融信在追求自身发展的同时，创造社会

4、、客户与个人的共同价值，为国家和社会贡献力量，理应承担更大的使命，履行国内信息安全领域领导者的职责，努力推动正个信息安全领域的共同发展。所以，我们率先推出“可信网络架构”，旨在通过该架构的推出，实现用户网络安全资源的有效整合、管理与监管，实现用户网络的可信扩展以及完善的信息安全保护；解决用户的现实需求，达到有效提升用户网络安全防御能力的目的。图 1 用户的网络安全体系建设2 可信网络架构的概念与定义定义 1：可信网络我们认为的可信网络应该具有如下特征：ü 网络中的行为和行为中的结果总是可以预知与可控的；ü 网内的系统符合指定的安全策略，相对于安全策略是可信的、安全的；

5、52; 随着端点系统的动态接入，具备动态扩展性。根据可信网络的定义，我们可以通过在在网络与系统上针对业务与技术的行为与行为结果提供行为控制、行为监管、行为认证、行为管理和行为对抗的充分能力，并建立相应的体系，维护网络的可信性。定义 22：可信网络架构可信网络架构（Trusted Network Architecture TNA）是一个通过对现有网络安全产品和网络安全子系统的有效整合和管理，并结合可信网络的接入控制机制、网络内部信息的保护和信息加密传输机制，实现全面提高网络整体安全防护能力的可信网络安全技术体系。该体系主要从以下几个视角来考虑网络整体的防御能力，如图 2所示：l 如何有效管理和整

6、合现有安全资源？期望从全局角度对网络安全状况进行分析、评估与管理，获得全局网络安全视图；通过制定安全策略指导或自动完成安全设施的重新部署或响应。l 如何构筑“可信网络”安全边界？通过可信终端系统的接入控制，实现“可信网络”的有效扩展，并有效降低不可信终端系统接入网络所带来的潜在安全风险。l 如何实现网络内部信息保护，谨防机密信息泄露？图 2 可信网络架构3 可信网络架构的安全模型天融信“可信网络架构”主要包括可信安全管理系统（TSM）、网关可信代理（GTA）、网络可信代理（NTA）和端点可信代理（PTA）四部分组成，从而确保安全管理系统、安全产品、网络设备和端点用户等四个安全环节的安全性与可信

7、性，最终通过对用户网络已有的安全资源的有效整合和管理（如图 3所示），通过基于可信代理（PTA、NTA或GTA）的可信网络安全接入机制，实现“可信网络”的动态扩展；而且可信网络架构加强了网内信息及信息系统的等级保护，防止用户敏感信息的泄漏。该架构最大的不同是实现了对用户现有资源的合理整合与管理，改变以往针对某一安全事件所采用的安全管理体系，实施对用户网络安全全面的、系统的、集中的安全管理，各安全产品之间实现真正的关联，从而大大地为节省资源，同在安全管理中可采用多种模式，打破了传统依赖交换机的安全管理模式，而整个架构实施的是动态全程安全管理，可以实现用户可信网络安全应用范围的无限拓展，而且还有一

8、个重大的改变，极大地满足了信息等级保护的要求，完成多层次的积极防御和综合防范。图 3 可信网络的安全模型可信网络架构的推出，可以有效地解决用户所面临的：ü 设备接入过程（设备、人员、行为）是否可信？ü 设备的安全策略的执行过程是否可信？ü 安全制度的执行过程是否可信？ü 系统使用过程中操作人员的行为是否可信？ü 信息传输过程是否可信？ü 信息的访问过程是否可信？等具体安全需求与问题，实现在整合用户现有网络资源的同时，有效地提升用户网络的安全防御能力。4 可信网络架构的核心机制可信网络架构是基于用户现有安全资源的基础上的有效整合与管理，

9、因此用户已经熟悉的安全机制就不再多述；本文重点讨论体系中新引入的安全机制以及用于安全资源整合的相关机制：可信网络安全管理系统、可信网络安全接入控制机制以及可信网络信息保护机制。1) 可信网络安全管理系统可信网络安全管理系统（Trusted Network Security Management System， TSM）处于整个可信网络安全体系的核心位置。它通过对网络中各种设备（包括路由设备、安全设备等）、安全机制、安全信息的综合管理与分析，对现有安全资源进行有效管理和整合，从全局角度对网络安全状况进行分析、评估与管理，获得全局网络安全视图；通过制定安全策略指导或自动完成安全设施的重新部署或响应

10、；从而全面提高整体网络的安全防护能力。其中，安全事件管理、风险管理以及安全策略配置管理是网络安全管理系统实施安全机制整合的核心。TSM的详细功能介绍，请参考与“可信网络架构”同时发布的龙蕴可信安全管理平台的相关资料。2) 可信网络安全接入控制系统可信网络安全接入控制系统主要基于我们称为“可信代理”的安全机制，结合终端系统的认证、评估子系统来实现对接入可信网络的终端系统、用户进行认证/授权控制，只有通过了用户身份鉴别且工作终端系统安全状况评估后，用户使用的终端系统才能够接入到动态的可信网络中。可信网络安全接入控制系统，能够有效地避免可信网络中因不可信终端系统接入所带来的潜在风险。而作为可信网络安

11、全接入控制系统实现基础的可信代理，则依据所处的位置不同，功能也不相同，主要划分为如下三种类型的可信代理：端点可信代理、网关可信代理以及网络可信代理。ü 端点可信代理终端可信代理（Point Trusted Agent， PTA）工作在桌面系统中，用于采集待接入可信网络的终端系统的安全状况信息和终端操作用户的认证信息，并负责与位于网络接入设备上的网络可信代理（NTA）（或位于安全网关系统上的网关可信代理（GTA）建立安全通信通道，而采集到的信息将通过可信的通信通道传送到网络接入安全控制机制的认证、评估子系统来确定终端系统的可信与否。此外终端可信代理还需要提供终端安全应用的集成接口，用于

12、采集不同安全应用的特征信息。ü 网关可信代理网关可信代理（Gateway Trusted Agent， GTA）作为可信网络安全接入控制系统的组成部件之一，工作在安全网关系统上，处于PTA与端点安全状况评估子系统之间，主要具有如下功能：l 设备定位信息；l 端点的监控以及策略下发；l 与TSM安全通信与安全应用信息交互等。ü 网络可信代理网络可信代理（Network Trusted Agent, NTA）作为网络接入安全控制系统的组成部件之一，工作在网络接入设备上，处于PTA与端点安全状况评估子系统之间，主要具有如下功能：l 设备定位信息；l 端点的监控以及策略下发；l 与

13、TSM安全通信与安全应用信息交互等。为了避免端点系统在可信接入后，人为破坏可信端点的安全策略配置、或者因可信网络安全策略的动态调整，使得在线端点系统的安全策略不满足可信网络的要求。为此，我们提出了可信网络安全接入控制系统的“保信”机制:“保信机制”（Keep Trusted）主要通过对可信端点系统的周期性评估来实现。具体操作如下：由接入安全控制系统的认证、评估子系统周期性向所辖的可信端点进行周期轮询，要求进行端点安全状况的重新评估：ü 评估通过，可信端点的安全操作权限不变；ü 不符合安全策略l 降低该端点对网络的安全操作权限，通知修补系统并拒绝访问相关区域；l 修补完成后重

14、新进行端点安全状况评估，通过后提升访问权限。ü PTA不响应l 视为不可信端点，降低用户访问权限、甚至禁止访问“可信网络”。3) 可信网络保护机制可信网络信息保护机制，则重点关注可信网络内部重要信息的保护，以确保这些数据在存储、使用以及传输过程中的安全。并且通过控制可信网络内部用户访问外部时的安全策略检查机制以及外出信息的检查机制来避免敏感信息的外泄，从而保证可信网络内部信息的机密性和可信性。相关的技术包括：信息保护的安全模型、信息的可信传输机制、用户的身份鉴别与授权机制、违规网络外联检测与监控以及外出信息的信息流控制机制、内容过滤机制等。5 结束语“可信网络架构”最直接的作用是全面

15、提高用户的整体网络的防护能力，实现“可信网络”的扩展和对信息及信息系统的等级保护，同时通过对用户网络已有的安全资源进行有效整合和管理，为用户节省大量的资金与人员配置。由于该架构整个架构实施的是动态全程安全管理，可以实现用户可信网络安全应用范围的无限拓展，而实现的就是全网的可信认证与应用，与国家所倡导的“全网安全”不谋而合，与此同时，该架构充分满足国家对信息及信息系统等级安全保护的要求。因此，该架构的推出，可以强化可信安全管理在安全建设和运维中的核心地位，通过全局安全管理，实现多层次的积极防御和综合防范，并联合安全产业厂商打造和完善产业链。由于该架构不是一个具体的安全产品或一套针对性的安全解决体系，而是一个有机的网络安全全方位的架构体系化解决方案，强调实现各厂商的安全产品横向关联和纵向管理。因此在实施“可信网络架构”过程中，必将涉及很多安全厂商的不同安全产品与安全体系，完成该架构不可能也不现实由天融信一家安全厂商来完成，因此从这一点我们不难看出，除了天融信在安全产品与服务方面进行创新与提高外，还需得到国家政府和各安全厂商的支持与协作。ü 国家层面该架