可信網(wǎng)絡(luò)安全架構(gòu)2004-12

1、可信網(wǎng)絡(luò)架構(gòu)概述李鴻培北京天融信公司總體部2004年12月1 引言隨著網(wǎng)絡(luò)技術(shù)的應(yīng)用與普及，為了保證網(wǎng)絡(luò)安全、健康地運行，國務(wù)院頒布了國務(wù)院27號文件，隨后專家提出了“三縱三橫兩中心”的具體發(fā)展與實施計劃，到今年國家正式實施信息安全等級保護評估政策，建立信息安全保障體系，從而安全廠商提出了更高的信息安全保護的要求。另一方面，從國內(nèi)網(wǎng)絡(luò)安全市場發(fā)展變化的需求來看，各企事業(yè)單位在信息化的過程中，根據(jù)各自面臨的安全問題與應(yīng)用需求，為他們的信息網(wǎng)絡(luò)系統(tǒng)配置了各種各樣的安全產(chǎn)品，并根據(jù)針對性的安全性問題，逐步構(gòu)建了基于信任管理、身份管理、脆弱性管理以及威脅管理等相應(yīng)的安全管理子系統(tǒng)，實現(xiàn)了從單一安全產(chǎn)品

2、到面向具體安全問題的集成化的安全解決方案的過渡。但是這些針對性的安全產(chǎn)品和安全解決方案缺乏相互之間的協(xié)作和溝通，無法實現(xiàn)網(wǎng)絡(luò)安全的整體防御。各個安全子系統(tǒng)就像是構(gòu)成了“木桶理論”中縱向的木板，然而由于各木板之間沒有緊密地耦合，使得板間縫隙成了安全問題的關(guān)鍵所在?，F(xiàn)在，網(wǎng)絡(luò)安全領(lǐng)域的發(fā)展進入了綜合安全系統(tǒng)建設(shè)的階段，如圖 1所示。安全企業(yè)將面臨用戶從以往的安全系統(tǒng)建設(shè)轉(zhuǎn)化為安全運維的新需求：ü 如何發(fā)揮已有安全產(chǎn)品的整體效能；ü 如何保護已有的投資，避免重復(fù)投入與建設(shè)以節(jié)省資源ü 如何建立各安全子系統(tǒng)、各安全產(chǎn)品之間的關(guān)聯(lián)，提高網(wǎng)絡(luò)整體的安全防御能力成了網(wǎng)絡(luò)安全發(fā)展

3、的必然趨勢。在這方面，國際巨頭們已經(jīng)先走一步，提出了多種解決方法：CISCO的自防御網(wǎng)絡(luò)、Microsoft的應(yīng)用安全框架，Symantec的主動性安全基礎(chǔ)架構(gòu)、ServGate的一體化威脅管理等，這些方法集中體現(xiàn)了整體、立體、多層次和主動防御的思想，并提升了安全管理的重要性，認為應(yīng)在不同層次上加強網(wǎng)絡(luò)安全的監(jiān)管，特別是各種網(wǎng)絡(luò)設(shè)備和計算資源安全屬性的管理。這表明安全業(yè)界的競爭更加激烈，已經(jīng)從以往產(chǎn)品的競爭演變?yōu)榘踩w系的競爭。面對國際巨頭強大的競爭威脅，我們?nèi)绻荒芗铀袤w系化、規(guī)?；l(fā)展的話，今后業(yè)內(nèi)的主流市場將是國外的品牌一統(tǒng)天下。作為國內(nèi)領(lǐng)導(dǎo)安全廠商，天融信在追求自身發(fā)展的同時，創(chuàng)造社會

4、、客戶與個人的共同價值，為國家和社會貢獻力量，理應(yīng)承擔(dān)更大的使命，履行國內(nèi)信息安全領(lǐng)域領(lǐng)導(dǎo)者的職責(zé)，努力推動正個信息安全領(lǐng)域的共同發(fā)展。所以，我們率先推出“可信網(wǎng)絡(luò)架構(gòu)”，旨在通過該架構(gòu)的推出，實現(xiàn)用戶網(wǎng)絡(luò)安全資源的有效整合、管理與監(jiān)管，實現(xiàn)用戶網(wǎng)絡(luò)的可信擴展以及完善的信息安全保護；解決用戶的現(xiàn)實需求，達到有效提升用戶網(wǎng)絡(luò)安全防御能力的目的。圖 1 用戶的網(wǎng)絡(luò)安全體系建設(shè)2 可信網(wǎng)絡(luò)架構(gòu)的概念與定義定義 1：可信網(wǎng)絡(luò)我們認為的可信網(wǎng)絡(luò)應(yīng)該具有如下特征：ü 網(wǎng)絡(luò)中的行為和行為中的結(jié)果總是可以預(yù)知與可控的；ü 網(wǎng)內(nèi)的系統(tǒng)符合指定的安全策略，相對于安全策略是可信的、安全的；

5、52; 隨著端點系統(tǒng)的動態(tài)接入，具備動態(tài)擴展性。根據(jù)可信網(wǎng)絡(luò)的定義，我們可以通過在在網(wǎng)絡(luò)與系統(tǒng)上針對業(yè)務(wù)與技術(shù)的行為與行為結(jié)果提供行為控制、行為監(jiān)管、行為認證、行為管理和行為對抗的充分能力，并建立相應(yīng)的體系，維護網(wǎng)絡(luò)的可信性。定義 22：可信網(wǎng)絡(luò)架構(gòu)可信網(wǎng)絡(luò)架構(gòu)（Trusted Network Architecture TNA）是一個通過對現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品和網(wǎng)絡(luò)安全子系統(tǒng)的有效整合和管理，并結(jié)合可信網(wǎng)絡(luò)的接入控制機制、網(wǎng)絡(luò)內(nèi)部信息的保護和信息加密傳輸機制，實現(xiàn)全面提高網(wǎng)絡(luò)整體安全防護能力的可信網(wǎng)絡(luò)安全技術(shù)體系。該體系主要從以下幾個視角來考慮網(wǎng)絡(luò)整體的防御能力，如圖 2所示：l 如何有效管理和整

6、合現(xiàn)有安全資源？期望從全局角度對網(wǎng)絡(luò)安全狀況進行分析、評估與管理，獲得全局網(wǎng)絡(luò)安全視圖；通過制定安全策略指導(dǎo)或自動完成安全設(shè)施的重新部署或響應(yīng)。l 如何構(gòu)筑“可信網(wǎng)絡(luò)”安全邊界？通過可信終端系統(tǒng)的接入控制，實現(xiàn)“可信網(wǎng)絡(luò)”的有效擴展，并有效降低不可信終端系統(tǒng)接入網(wǎng)絡(luò)所帶來的潛在安全風(fēng)險。l 如何實現(xiàn)網(wǎng)絡(luò)內(nèi)部信息保護，謹防機密信息泄露？圖 2 可信網(wǎng)絡(luò)架構(gòu)3 可信網(wǎng)絡(luò)架構(gòu)的安全模型天融信“可信網(wǎng)絡(luò)架構(gòu)”主要包括可信安全管理系統(tǒng)（TSM）、網(wǎng)關(guān)可信代理（GTA）、網(wǎng)絡(luò)可信代理（NTA）和端點可信代理（PTA）四部分組成，從而確保安全管理系統(tǒng)、安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備和端點用戶等四個安全環(huán)節(jié)的安全性與可信

7、性，最終通過對用戶網(wǎng)絡(luò)已有的安全資源的有效整合和管理（如圖 3所示），通過基于可信代理（PTA、NTA或GTA）的可信網(wǎng)絡(luò)安全接入機制，實現(xiàn)“可信網(wǎng)絡(luò)”的動態(tài)擴展；而且可信網(wǎng)絡(luò)架構(gòu)加強了網(wǎng)內(nèi)信息及信息系統(tǒng)的等級保護，防止用戶敏感信息的泄漏。該架構(gòu)最大的不同是實現(xiàn)了對用戶現(xiàn)有資源的合理整合與管理，改變以往針對某一安全事件所采用的安全管理體系，實施對用戶網(wǎng)絡(luò)安全全面的、系統(tǒng)的、集中的安全管理，各安全產(chǎn)品之間實現(xiàn)真正的關(guān)聯(lián)，從而大大地為節(jié)省資源，同在安全管理中可采用多種模式，打破了傳統(tǒng)依賴交換機的安全管理模式，而整個架構(gòu)實施的是動態(tài)全程安全管理，可以實現(xiàn)用戶可信網(wǎng)絡(luò)安全應(yīng)用范圍的無限拓展，而且還有一

8、個重大的改變，極大地滿足了信息等級保護的要求，完成多層次的積極防御和綜合防范。圖 3 可信網(wǎng)絡(luò)的安全模型可信網(wǎng)絡(luò)架構(gòu)的推出，可以有效地解決用戶所面臨的：ü 設(shè)備接入過程（設(shè)備、人員、行為）是否可信？ü 設(shè)備的安全策略的執(zhí)行過程是否可信？ü 安全制度的執(zhí)行過程是否可信？ü 系統(tǒng)使用過程中操作人員的行為是否可信？ü 信息傳輸過程是否可信？ü 信息的訪問過程是否可信？等具體安全需求與問題，實現(xiàn)在整合用戶現(xiàn)有網(wǎng)絡(luò)資源的同時，有效地提升用戶網(wǎng)絡(luò)的安全防御能力。4 可信網(wǎng)絡(luò)架構(gòu)的核心機制可信網(wǎng)絡(luò)架構(gòu)是基于用戶現(xiàn)有安全資源的基礎(chǔ)上的有效整合與管理，

9、因此用戶已經(jīng)熟悉的安全機制就不再多述；本文重點討論體系中新引入的安全機制以及用于安全資源整合的相關(guān)機制：可信網(wǎng)絡(luò)安全管理系統(tǒng)、可信網(wǎng)絡(luò)安全接入控制機制以及可信網(wǎng)絡(luò)信息保護機制。1) 可信網(wǎng)絡(luò)安全管理系統(tǒng)可信網(wǎng)絡(luò)安全管理系統(tǒng)（Trusted Network Security Management System， TSM）處于整個可信網(wǎng)絡(luò)安全體系的核心位置。它通過對網(wǎng)絡(luò)中各種設(shè)備（包括路由設(shè)備、安全設(shè)備等）、安全機制、安全信息的綜合管理與分析，對現(xiàn)有安全資源進行有效管理和整合，從全局角度對網(wǎng)絡(luò)安全狀況進行分析、評估與管理，獲得全局網(wǎng)絡(luò)安全視圖；通過制定安全策略指導(dǎo)或自動完成安全設(shè)施的重新部署或響應(yīng)

10、；從而全面提高整體網(wǎng)絡(luò)的安全防護能力。其中，安全事件管理、風(fēng)險管理以及安全策略配置管理是網(wǎng)絡(luò)安全管理系統(tǒng)實施安全機制整合的核心。TSM的詳細功能介紹，請參考與“可信網(wǎng)絡(luò)架構(gòu)”同時發(fā)布的龍?zhí)N可信安全管理平臺的相關(guān)資料。2) 可信網(wǎng)絡(luò)安全接入控制系統(tǒng)可信網(wǎng)絡(luò)安全接入控制系統(tǒng)主要基于我們稱為“可信代理”的安全機制，結(jié)合終端系統(tǒng)的認證、評估子系統(tǒng)來實現(xiàn)對接入可信網(wǎng)絡(luò)的終端系統(tǒng)、用戶進行認證/授權(quán)控制，只有通過了用戶身份鑒別且工作終端系統(tǒng)安全狀況評估后，用戶使用的終端系統(tǒng)才能夠接入到動態(tài)的可信網(wǎng)絡(luò)中?？尚啪W(wǎng)絡(luò)安全接入控制系統(tǒng)，能夠有效地避免可信網(wǎng)絡(luò)中因不可信終端系統(tǒng)接入所帶來的潛在風(fēng)險。而作為可信網(wǎng)絡(luò)安

11、全接入控制系統(tǒng)實現(xiàn)基礎(chǔ)的可信代理，則依據(jù)所處的位置不同，功能也不相同，主要劃分為如下三種類型的可信代理：端點可信代理、網(wǎng)關(guān)可信代理以及網(wǎng)絡(luò)可信代理。ü 端點可信代理終端可信代理（Point Trusted Agent， PTA）工作在桌面系統(tǒng)中，用于采集待接入可信網(wǎng)絡(luò)的終端系統(tǒng)的安全狀況信息和終端操作用戶的認證信息，并負責(zé)與位于網(wǎng)絡(luò)接入設(shè)備上的網(wǎng)絡(luò)可信代理（NTA）（或位于安全網(wǎng)關(guān)系統(tǒng)上的網(wǎng)關(guān)可信代理（GTA）建立安全通信通道，而采集到的信息將通過可信的通信通道傳送到網(wǎng)絡(luò)接入安全控制機制的認證、評估子系統(tǒng)來確定終端系統(tǒng)的可信與否。此外終端可信代理還需要提供終端安全應(yīng)用的集成接口，用于

12、采集不同安全應(yīng)用的特征信息。ü 網(wǎng)關(guān)可信代理網(wǎng)關(guān)可信代理（Gateway Trusted Agent， GTA）作為可信網(wǎng)絡(luò)安全接入控制系統(tǒng)的組成部件之一，工作在安全網(wǎng)關(guān)系統(tǒng)上，處于PTA與端點安全狀況評估子系統(tǒng)之間，主要具有如下功能：l 設(shè)備定位信息；l 端點的監(jiān)控以及策略下發(fā)；l 與TSM安全通信與安全應(yīng)用信息交互等。ü 網(wǎng)絡(luò)可信代理網(wǎng)絡(luò)可信代理（Network Trusted Agent, NTA）作為網(wǎng)絡(luò)接入安全控制系統(tǒng)的組成部件之一，工作在網(wǎng)絡(luò)接入設(shè)備上，處于PTA與端點安全狀況評估子系統(tǒng)之間，主要具有如下功能：l 設(shè)備定位信息；l 端點的監(jiān)控以及策略下發(fā)；l 與

13、TSM安全通信與安全應(yīng)用信息交互等。為了避免端點系統(tǒng)在可信接入后，人為破壞可信端點的安全策略配置、或者因可信網(wǎng)絡(luò)安全策略的動態(tài)調(diào)整，使得在線端點系統(tǒng)的安全策略不滿足可信網(wǎng)絡(luò)的要求。為此，我們提出了可信網(wǎng)絡(luò)安全接入控制系統(tǒng)的“保信”機制:“保信機制”（Keep Trusted）主要通過對可信端點系統(tǒng)的周期性評估來實現(xiàn)。具體操作如下：由接入安全控制系統(tǒng)的認證、評估子系統(tǒng)周期性向所轄的可信端點進行周期輪詢，要求進行端點安全狀況的重新評估：ü 評估通過，可信端點的安全操作權(quán)限不變；ü 不符合安全策略l 降低該端點對網(wǎng)絡(luò)的安全操作權(quán)限，通知修補系統(tǒng)并拒絕訪問相關(guān)區(qū)域；l 修補完成后重

14、新進行端點安全狀況評估，通過后提升訪問權(quán)限。ü PTA不響應(yīng)l 視為不可信端點，降低用戶訪問權(quán)限、甚至禁止訪問“可信網(wǎng)絡(luò)”。3) 可信網(wǎng)絡(luò)保護機制可信網(wǎng)絡(luò)信息保護機制，則重點關(guān)注可信網(wǎng)絡(luò)內(nèi)部重要信息的保護，以確保這些數(shù)據(jù)在存儲、使用以及傳輸過程中的安全。并且通過控制可信網(wǎng)絡(luò)內(nèi)部用戶訪問外部時的安全策略檢查機制以及外出信息的檢查機制來避免敏感信息的外泄，從而保證可信網(wǎng)絡(luò)內(nèi)部信息的機密性和可信性。相關(guān)的技術(shù)包括：信息保護的安全模型、信息的可信傳輸機制、用戶的身份鑒別與授權(quán)機制、違規(guī)網(wǎng)絡(luò)外聯(lián)檢測與監(jiān)控以及外出信息的信息流控制機制、內(nèi)容過濾機制等。5 結(jié)束語“可信網(wǎng)絡(luò)架構(gòu)”最直接的作用是全面

15、提高用戶的整體網(wǎng)絡(luò)的防護能力，實現(xiàn)“可信網(wǎng)絡(luò)”的擴展和對信息及信息系統(tǒng)的等級保護，同時通過對用戶網(wǎng)絡(luò)已有的安全資源進行有效整合和管理，為用戶節(jié)省大量的資金與人員配置。由于該架構(gòu)整個架構(gòu)實施的是動態(tài)全程安全管理，可以實現(xiàn)用戶可信網(wǎng)絡(luò)安全應(yīng)用范圍的無限拓展，而實現(xiàn)的就是全網(wǎng)的可信認證與應(yīng)用，與國家所倡導(dǎo)的“全網(wǎng)安全”不謀而合，與此同時，該架構(gòu)充分滿足國家對信息及信息系統(tǒng)等級安全保護的要求。因此，該架構(gòu)的推出，可以強化可信安全管理在安全建設(shè)和運維中的核心地位，通過全局安全管理，實現(xiàn)多層次的積極防御和綜合防范，并聯(lián)合安全產(chǎn)業(yè)廠商打造和完善產(chǎn)業(yè)鏈。由于該架構(gòu)不是一個具體的安全產(chǎn)品或一套針對性的安全解決體系，而是一個有機的網(wǎng)絡(luò)安全全方位的架構(gòu)體系化解決方案，強調(diào)實現(xiàn)各廠商的安全產(chǎn)品橫向關(guān)聯(lián)和縱向管理。因此在實施“可信網(wǎng)絡(luò)架構(gòu)”過程中，必將涉及很多安全廠商的不同安全產(chǎn)品與安全體系，完成該架構(gòu)不可能也不現(xiàn)實由天融信一家安全廠商來完成，因此從這一點我們不難看出，除了天融信在安全產(chǎn)品與服務(wù)方面進行創(chuàng)新與提高外，還需得到國家政府和各安全廠商的支持與協(xié)作。ü 國家層面該架