何为可信网络架构

1、何为，可信网络架构”随着网络技术的应用与普及，为了保证网络安全、健康地运行， 国务院颁布了国务院27号文件，随后专家提出了 “三纵三横两中心” 的具体发展与实施计划，到今年国家正式实施信息安全等级保护评估 政策，建立信息安全保障体系，从而安全厂商提出了更高的信息安全 保护的要求。另一方面，从国内网络安全市场发展变化的需求来看，各企事业 单位在信息化的过程中，根据各自面临的安全问题与应用需求，为他 们的信息网络系统配置了各种各样的安全产品，并根据针对性的安全 性问题，逐步构建了基于信任管理、身份管理、脆弱性管理以及威胁 管理等相应的安全管理子系统，实现了从单一安全产品到面向具体安 全问题的集成化

2、的安全解决方案的过渡。但是这些针对性的安全产品 和安全解决方案缺乏相互之间的协作和沟通，无法实现网络安全的整 体防御。各个安全子系统就像是构成了“木桶理论”中纵向的木板， 然而由于各木板之间没有紧密地耦合，使得板间缝隙成了安全问题的 关键所在。现在，网络安全领域的发展进入了综合安全系统建设的阶段，如 图1所示。安全企业将面临用户从以往的安全系统建设转化为安全 运维的新需求：如何发挥已有安全产品的整体效能；如何保护已有的投资，避免重复投入与建设以节省资源如何建立各安全子系统、各安全产品之间的关联，提高网络整体的安全防御能力成了网络安全发展的必然趋势。在这方面，国际巨头们已经先走一步，提出了多种解

3、决方法： CISCO的自防御网络、Microsoft的应用安全框架，Symantec的主动 性安全基础架构、ServGate的一体化威胁管理等，这些方法集中体 现了整体、立体、多层次和主动防御的思想，并提升了安全管理的重 要性，认为应在不同层次上加强网络安全的监管，特别是各种网络设 备和计算资源安全属性的管理。这表明安全业界的竞争更加激烈，已 经从以往产品的竞争演变为安全体系的竞争。面对国际巨头强大的竞争威胁，我们如果不能加速体系化、规模 化发展的话，今后业内的主流市场将是国外的品牌一统天下。作为国 内领导安全厂商，天融信在追求自身发展的同时，创造社会、客户与 个人的共同价值，为国家和社会贡献

4、力量，理应承担更大的使命，履 行国内信息安全领域领导者的职责，努力推动正个信息安全领域的共 同发展。所以，我们率先推出,可信网络架构旨在通过该架构的 推出，实现用户网络安全资源的有效整合、管理与监管，实现用户网 络的可信扩展以及完善的信息安全保护；解决用户的现实需求，达到 有效提升用户网络安全防御能力的目的。随着网络技术的应用与普及，为了保证网络安全、健康地运行，国 务院颁布了国务院27号文件，随后专家提出了 “三纵三横两中心” 的具体发展与实施计划，到今年国家正式实施信息安全等级保护评估 政策，建立信息安全保障体系，从而安全厂商提出了更高的信息安全 保护的要求。另一方面，从国内网络安全市场发

5、展变化的需求来看，各企事业 单位在信息化的过程中，根据各自面临的安全问题与应用需求，为他 们的信息网络系统配置了各种各样的安全产品，并根据针对性的安全 性问题，逐步构建了基于信任管理、身份管理、脆弱性管理以及威胁 管理等相应的安全管理子系统，实现了从单一安全产品到面向具体安 全问题的集成化的安全解决方案的过渡。但是这些针对性的安全产品 和安全解决方案缺乏相互之间的协作和沟通，无法实现网络安全的整 体防御。各个安全子系统就像是构成了“木桶理论”中纵向的木板， 然而由于各木板之间没有紧密地耦合，使得板间缝隙成了安全问题的 关键所在。现在，网络安全领域的发展进入了综合安全系统建设的阶段，如 图1所示

6、。安全企业将面临用户从以往的安全系统建设转化为安全 运维的新需求：如何发挥已有安全产品的整体效能；如何保护已有的投资，避免重复投入与建设以节省资源如何建立各安全子系统、各安全产品之间的关联，提高网络整体 的安全防御能力成了网络安全发展的必然趋势。在这方面，国际巨头们已经先走一步，提出了多种解决方法： CISCO的自防御网络、Microsoft的应用安全框架，Symantec的主动 性安全基础架构、ServGate的一体化威胁管理等，这些方法集中体 现了整体、立体、多层次和主动防御的思想，并提升了安全管理的重 要性，认为应在不同层次上加强网络安全的监管，特别是各种网络设 备和计算资源安全属性的管

7、理。这表明安全业界的竞争更加激烈，已 经从以往产品的竞争演变为安全体系的竞争。面对国际巨头强大的竞争威胁，我们如果不能加速体系化、规模 化发展的话，今后业内的主流市场将是国外的品牌一统天下。作为国 内领导安全厂商，天融信在追求自身发展的同时，创造社会、客户与 个人的共同价值，为国家和社会贡献力量，理应承担更大的使命，履 行国内信息安全领域领导者的职责，努力推动正个信息安全领域的共 同发展。所以，我们率先推出,可信网络架构旨在通过该架构的 推出，实现用户网络安全资源的有效整合、管理与监管，实现用户网 络的可信扩展以及完善的信息安全保护；解决用户的现实需求，达到 有效提升用户网络安全防御能力的目的

8、。安全于系统耕-管理OS !APP I$51IPSID陀网 Axab安全管埋系统用尸环境管理图1用户的网络安全体系建设可信网络架构的概念与定义定义1:可信网络我们认为的可信网络应该具有如下特征：网络中的行为和行为中的结果总是可以预知与可控的；网内的系统符合指定的安全策略，相对于安全策略是可信的、安 全的；随着端点系统的动态接入，具备动态扩展性。根据可信网络的定义，我们可以通过在在网络与系统上针对业务 与技术的行为与行为结果提供行为控制、行为监管、行为认证、行为 管理和行为对抗的充分能力，并建立相应的体系，维护网络的可信性。定义1-2：可信网络架构可信网络架构(Trusted Network A

9、rchitecture TNA)是一 个通过对现有网络安全产品和网络安全子系统的有效整合和管理，并 结合可信网络的接入控制机制、网络内部信息的保护和信息加密传输 机制，实现全面提高网络整体安全防护能力的可信网络安全技术体 系。该体系主要从以下几个视角来考虑网络整体的防御能力，如图2 所示：如何有效管理和整合现有安全资源？期望从全局角度对网络安全状况进行分析、评估与管理，获得全 局网络安全视图；通过制定安全策略指导或自动完成安全设施的重新 部署或响应。如何构筑,可信网络”安全边界？通过可信终端系统的接入控制，实现,可信网络”的有效扩展， 并有效降低不可信终端系统接入网络所带来的潜在安全风险。如何

10、实现网络内部信息保护，谨防机密信息泄露?图2可信网络架构可信网络架构的安全模型天融信,可信网络架构”主要包括可信安全管理系统（TSM）、 网关可信代理（GTA）、网络可信代理（NTA）和端点可信代理（PTA） 四部分组成，从而确保安全管理系统、安全产品、网络设备和端点用 户等四个安全环节的安全性与可信性，最终通过对用户网络已有的安 全资源的有效整合和管理（如图3所示），通过基于可信代理（PTA、 NTA或GTA ）的可信网络安全接入机制，实现,可信网络”的动态扩 展；而且可信网络架构加强了网内信息及信息系统的等级保护，防止 用户敏感信息的泄漏。该架构最大的不同是实现了对用户现有资源的合理整合与管理，改变以往针对某一安全事件所采用的安全管理体系，实施对用户网络 安全全面的、系统的、集中的安全管理，各安全产品之间实现真正的 关联，从而大大地为节省资源，同在安全管理中可采用多种模式，打 破了传统依赖交换机的安全管理模式，而整个架构实施的是动态全程 安全管理，可以实现用户可信网络安全应用范围的无限拓展，而 且还有一个重大的改变，极大地满足了信息等级保护的要求，完成多 层次的积极防御和综合防范。图3可信网