可信網(wǎng)絡(luò)安全架構(gòu)2004-12

1、可信網(wǎng)絡(luò)架構(gòu)概述李鴻培北京天融信公司總體部2004年12月1 引言隨著網(wǎng)絡(luò)技術(shù)的應(yīng)用與普及，為了保證網(wǎng)絡(luò)安全、健康地運(yùn)行，國(guó)務(wù)院頒布了國(guó)務(wù)院27號(hào)文件，隨后專家提出了“三縱三橫兩中心”的具體發(fā)展與實(shí)施計(jì)劃，到今年國(guó)家正式實(shí)施信息安全等級(jí)保護(hù)評(píng)估政策，建立信息安全保障體系，從而安全廠商提出了更高的信息安全保護(hù)的要求。另一方面，從國(guó)內(nèi)網(wǎng)絡(luò)安全市場(chǎng)發(fā)展變化的需求來(lái)看，各企事業(yè)單位在信息化的過(guò)程中，根據(jù)各自面臨的安全問(wèn)題與應(yīng)用需求，為他們的信息網(wǎng)絡(luò)系統(tǒng)配置了各種各樣的安全產(chǎn)品，并根據(jù)針對(duì)性的安全性問(wèn)題，逐步構(gòu)建了基于信任管理、身份管理、脆弱性管理以及威脅管理等相應(yīng)的安全管理子系統(tǒng)，實(shí)現(xiàn)了從單一安全產(chǎn)品

2、到面向具體安全問(wèn)題的集成化的安全解決方案的過(guò)渡。但是這些針對(duì)性的安全產(chǎn)品和安全解決方案缺乏相互之間的協(xié)作和溝通，無(wú)法實(shí)現(xiàn)網(wǎng)絡(luò)安全的整體防御。各個(gè)安全子系統(tǒng)就像是構(gòu)成了“木桶理論”中縱向的木板，然而由于各木板之間沒有緊密地耦合，使得板間縫隙成了安全問(wèn)題的關(guān)鍵所在?，F(xiàn)在，網(wǎng)絡(luò)安全領(lǐng)域的發(fā)展進(jìn)入了綜合安全系統(tǒng)建設(shè)的階段，如圖 1所示。安全企業(yè)將面臨用戶從以往的安全系統(tǒng)建設(shè)轉(zhuǎn)化為安全運(yùn)維的新需求：ü 如何發(fā)揮已有安全產(chǎn)品的整體效能；ü 如何保護(hù)已有的投資，避免重復(fù)投入與建設(shè)以節(jié)省資源ü 如何建立各安全子系統(tǒng)、各安全產(chǎn)品之間的關(guān)聯(lián)，提高網(wǎng)絡(luò)整體的安全防御能力成了網(wǎng)絡(luò)安全發(fā)展

3、的必然趨勢(shì)。在這方面，國(guó)際巨頭們已經(jīng)先走一步，提出了多種解決方法：CISCO的自防御網(wǎng)絡(luò)、Microsoft的應(yīng)用安全框架，Symantec的主動(dòng)性安全基礎(chǔ)架構(gòu)、ServGate的一體化威脅管理等，這些方法集中體現(xiàn)了整體、立體、多層次和主動(dòng)防御的思想，并提升了安全管理的重要性，認(rèn)為應(yīng)在不同層次上加強(qiáng)網(wǎng)絡(luò)安全的監(jiān)管，特別是各種網(wǎng)絡(luò)設(shè)備和計(jì)算資源安全屬性的管理。這表明安全業(yè)界的競(jìng)爭(zhēng)更加激烈，已經(jīng)從以往產(chǎn)品的競(jìng)爭(zhēng)演變?yōu)榘踩w系的競(jìng)爭(zhēng)。面對(duì)國(guó)際巨頭強(qiáng)大的競(jìng)爭(zhēng)威脅，我們?nèi)绻荒芗铀袤w系化、規(guī)?；l(fā)展的話，今后業(yè)內(nèi)的主流市場(chǎng)將是國(guó)外的品牌一統(tǒng)天下。作為國(guó)內(nèi)領(lǐng)導(dǎo)安全廠商，天融信在追求自身發(fā)展的同時(shí)，創(chuàng)造社會(huì)

4、、客戶與個(gè)人的共同價(jià)值，為國(guó)家和社會(huì)貢獻(xiàn)力量，理應(yīng)承擔(dān)更大的使命，履行國(guó)內(nèi)信息安全領(lǐng)域領(lǐng)導(dǎo)者的職責(zé)，努力推動(dòng)正個(gè)信息安全領(lǐng)域的共同發(fā)展。所以，我們率先推出“可信網(wǎng)絡(luò)架構(gòu)”，旨在通過(guò)該架構(gòu)的推出，實(shí)現(xiàn)用戶網(wǎng)絡(luò)安全資源的有效整合、管理與監(jiān)管，實(shí)現(xiàn)用戶網(wǎng)絡(luò)的可信擴(kuò)展以及完善的信息安全保護(hù)；解決用戶的現(xiàn)實(shí)需求，達(dá)到有效提升用戶網(wǎng)絡(luò)安全防御能力的目的。圖 1 用戶的網(wǎng)絡(luò)安全體系建設(shè)2 可信網(wǎng)絡(luò)架構(gòu)的概念與定義定義 1：可信網(wǎng)絡(luò)我們認(rèn)為的可信網(wǎng)絡(luò)應(yīng)該具有如下特征：ü 網(wǎng)絡(luò)中的行為和行為中的結(jié)果總是可以預(yù)知與可控的；ü 網(wǎng)內(nèi)的系統(tǒng)符合指定的安全策略，相對(duì)于安全策略是可信的、安全的；

5、52; 隨著端點(diǎn)系統(tǒng)的動(dòng)態(tài)接入，具備動(dòng)態(tài)擴(kuò)展性。根據(jù)可信網(wǎng)絡(luò)的定義，我們可以通過(guò)在在網(wǎng)絡(luò)與系統(tǒng)上針對(duì)業(yè)務(wù)與技術(shù)的行為與行為結(jié)果提供行為控制、行為監(jiān)管、行為認(rèn)證、行為管理和行為對(duì)抗的充分能力，并建立相應(yīng)的體系，維護(hù)網(wǎng)絡(luò)的可信性。定義 22：可信網(wǎng)絡(luò)架構(gòu)可信網(wǎng)絡(luò)架構(gòu)（Trusted Network Architecture TNA）是一個(gè)通過(guò)對(duì)現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品和網(wǎng)絡(luò)安全子系統(tǒng)的有效整合和管理，并結(jié)合可信網(wǎng)絡(luò)的接入控制機(jī)制、網(wǎng)絡(luò)內(nèi)部信息的保護(hù)和信息加密傳輸機(jī)制，實(shí)現(xiàn)全面提高網(wǎng)絡(luò)整體安全防護(hù)能力的可信網(wǎng)絡(luò)安全技術(shù)體系。該體系主要從以下幾個(gè)視角來(lái)考慮網(wǎng)絡(luò)整體的防御能力，如圖 2所示：l 如何有效管理和整

6、合現(xiàn)有安全資源？期望從全局角度對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行分析、評(píng)估與管理，獲得全局網(wǎng)絡(luò)安全視圖；通過(guò)制定安全策略指導(dǎo)或自動(dòng)完成安全設(shè)施的重新部署或響應(yīng)。l 如何構(gòu)筑“可信網(wǎng)絡(luò)”安全邊界？通過(guò)可信終端系統(tǒng)的接入控制，實(shí)現(xiàn)“可信網(wǎng)絡(luò)”的有效擴(kuò)展，并有效降低不可信終端系統(tǒng)接入網(wǎng)絡(luò)所帶來(lái)的潛在安全風(fēng)險(xiǎn)。l 如何實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)部信息保護(hù)，謹(jǐn)防機(jī)密信息泄露？圖 2 可信網(wǎng)絡(luò)架構(gòu)3 可信網(wǎng)絡(luò)架構(gòu)的安全模型天融信“可信網(wǎng)絡(luò)架構(gòu)”主要包括可信安全管理系統(tǒng)（TSM）、網(wǎng)關(guān)可信代理（GTA）、網(wǎng)絡(luò)可信代理（NTA）和端點(diǎn)可信代理（PTA）四部分組成，從而確保安全管理系統(tǒng)、安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備和端點(diǎn)用戶等四個(gè)安全環(huán)節(jié)的安全性與可信

7、性，最終通過(guò)對(duì)用戶網(wǎng)絡(luò)已有的安全資源的有效整合和管理（如圖 3所示），通過(guò)基于可信代理（PTA、NTA或GTA）的可信網(wǎng)絡(luò)安全接入機(jī)制，實(shí)現(xiàn)“可信網(wǎng)絡(luò)”的動(dòng)態(tài)擴(kuò)展；而且可信網(wǎng)絡(luò)架構(gòu)加強(qiáng)了網(wǎng)內(nèi)信息及信息系統(tǒng)的等級(jí)保護(hù)，防止用戶敏感信息的泄漏。該架構(gòu)最大的不同是實(shí)現(xiàn)了對(duì)用戶現(xiàn)有資源的合理整合與管理，改變以往針對(duì)某一安全事件所采用的安全管理體系，實(shí)施對(duì)用戶網(wǎng)絡(luò)安全全面的、系統(tǒng)的、集中的安全管理，各安全產(chǎn)品之間實(shí)現(xiàn)真正的關(guān)聯(lián)，從而大大地為節(jié)省資源，同在安全管理中可采用多種模式，打破了傳統(tǒng)依賴交換機(jī)的安全管理模式，而整個(gè)架構(gòu)實(shí)施的是動(dòng)態(tài)全程安全管理，可以實(shí)現(xiàn)用戶可信網(wǎng)絡(luò)安全應(yīng)用范圍的無(wú)限拓展，而且還有一

8、個(gè)重大的改變，極大地滿足了信息等級(jí)保護(hù)的要求，完成多層次的積極防御和綜合防范。圖 3 可信網(wǎng)絡(luò)的安全模型可信網(wǎng)絡(luò)架構(gòu)的推出，可以有效地解決用戶所面臨的：ü 設(shè)備接入過(guò)程（設(shè)備、人員、行為）是否可信？ü 設(shè)備的安全策略的執(zhí)行過(guò)程是否可信？ü 安全制度的執(zhí)行過(guò)程是否可信？ü 系統(tǒng)使用過(guò)程中操作人員的行為是否可信？ü 信息傳輸過(guò)程是否可信？ü 信息的訪問(wèn)過(guò)程是否可信？等具體安全需求與問(wèn)題，實(shí)現(xiàn)在整合用戶現(xiàn)有網(wǎng)絡(luò)資源的同時(shí)，有效地提升用戶網(wǎng)絡(luò)的安全防御能力。4 可信網(wǎng)絡(luò)架構(gòu)的核心機(jī)制可信網(wǎng)絡(luò)架構(gòu)是基于用戶現(xiàn)有安全資源的基礎(chǔ)上的有效整合與管理，

9、因此用戶已經(jīng)熟悉的安全機(jī)制就不再多述；本文重點(diǎn)討論體系中新引入的安全機(jī)制以及用于安全資源整合的相關(guān)機(jī)制：可信網(wǎng)絡(luò)安全管理系統(tǒng)、可信網(wǎng)絡(luò)安全接入控制機(jī)制以及可信網(wǎng)絡(luò)信息保護(hù)機(jī)制。1) 可信網(wǎng)絡(luò)安全管理系統(tǒng)可信網(wǎng)絡(luò)安全管理系統(tǒng)（Trusted Network Security Management System， TSM）處于整個(gè)可信網(wǎng)絡(luò)安全體系的核心位置。它通過(guò)對(duì)網(wǎng)絡(luò)中各種設(shè)備（包括路由設(shè)備、安全設(shè)備等）、安全機(jī)制、安全信息的綜合管理與分析，對(duì)現(xiàn)有安全資源進(jìn)行有效管理和整合，從全局角度對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行分析、評(píng)估與管理，獲得全局網(wǎng)絡(luò)安全視圖；通過(guò)制定安全策略指導(dǎo)或自動(dòng)完成安全設(shè)施的重新部署或響應(yīng)

10、；從而全面提高整體網(wǎng)絡(luò)的安全防護(hù)能力。其中，安全事件管理、風(fēng)險(xiǎn)管理以及安全策略配置管理是網(wǎng)絡(luò)安全管理系統(tǒng)實(shí)施安全機(jī)制整合的核心。TSM的詳細(xì)功能介紹，請(qǐng)參考與“可信網(wǎng)絡(luò)架構(gòu)”同時(shí)發(fā)布的龍?zhí)N可信安全管理平臺(tái)的相關(guān)資料。2) 可信網(wǎng)絡(luò)安全接入控制系統(tǒng)可信網(wǎng)絡(luò)安全接入控制系統(tǒng)主要基于我們稱為“可信代理”的安全機(jī)制，結(jié)合終端系統(tǒng)的認(rèn)證、評(píng)估子系統(tǒng)來(lái)實(shí)現(xiàn)對(duì)接入可信網(wǎng)絡(luò)的終端系統(tǒng)、用戶進(jìn)行認(rèn)證/授權(quán)控制，只有通過(guò)了用戶身份鑒別且工作終端系統(tǒng)安全狀況評(píng)估后，用戶使用的終端系統(tǒng)才能夠接入到動(dòng)態(tài)的可信網(wǎng)絡(luò)中?？尚啪W(wǎng)絡(luò)安全接入控制系統(tǒng)，能夠有效地避免可信網(wǎng)絡(luò)中因不可信終端系統(tǒng)接入所帶來(lái)的潛在風(fēng)險(xiǎn)。而作為可信網(wǎng)絡(luò)安

11、全接入控制系統(tǒng)實(shí)現(xiàn)基礎(chǔ)的可信代理，則依據(jù)所處的位置不同，功能也不相同，主要?jiǎng)澐譃槿缦氯N類型的可信代理：端點(diǎn)可信代理、網(wǎng)關(guān)可信代理以及網(wǎng)絡(luò)可信代理。ü 端點(diǎn)可信代理終端可信代理（Point Trusted Agent， PTA）工作在桌面系統(tǒng)中，用于采集待接入可信網(wǎng)絡(luò)的終端系統(tǒng)的安全狀況信息和終端操作用戶的認(rèn)證信息，并負(fù)責(zé)與位于網(wǎng)絡(luò)接入設(shè)備上的網(wǎng)絡(luò)可信代理（NTA）（或位于安全網(wǎng)關(guān)系統(tǒng)上的網(wǎng)關(guān)可信代理（GTA）建立安全通信通道，而采集到的信息將通過(guò)可信的通信通道傳送到網(wǎng)絡(luò)接入安全控制機(jī)制的認(rèn)證、評(píng)估子系統(tǒng)來(lái)確定終端系統(tǒng)的可信與否。此外終端可信代理還需要提供終端安全應(yīng)用的集成接口，用于

12、采集不同安全應(yīng)用的特征信息。ü 網(wǎng)關(guān)可信代理網(wǎng)關(guān)可信代理（Gateway Trusted Agent， GTA）作為可信網(wǎng)絡(luò)安全接入控制系統(tǒng)的組成部件之一，工作在安全網(wǎng)關(guān)系統(tǒng)上，處于PTA與端點(diǎn)安全狀況評(píng)估子系統(tǒng)之間，主要具有如下功能：l 設(shè)備定位信息；l 端點(diǎn)的監(jiān)控以及策略下發(fā)；l 與TSM安全通信與安全應(yīng)用信息交互等。ü 網(wǎng)絡(luò)可信代理網(wǎng)絡(luò)可信代理（Network Trusted Agent, NTA）作為網(wǎng)絡(luò)接入安全控制系統(tǒng)的組成部件之一，工作在網(wǎng)絡(luò)接入設(shè)備上，處于PTA與端點(diǎn)安全狀況評(píng)估子系統(tǒng)之間，主要具有如下功能：l 設(shè)備定位信息；l 端點(diǎn)的監(jiān)控以及策略下發(fā)；l 與

13、TSM安全通信與安全應(yīng)用信息交互等。為了避免端點(diǎn)系統(tǒng)在可信接入后，人為破壞可信端點(diǎn)的安全策略配置、或者因可信網(wǎng)絡(luò)安全策略的動(dòng)態(tài)調(diào)整，使得在線端點(diǎn)系統(tǒng)的安全策略不滿足可信網(wǎng)絡(luò)的要求。為此，我們提出了可信網(wǎng)絡(luò)安全接入控制系統(tǒng)的“保信”機(jī)制:“保信機(jī)制”（Keep Trusted）主要通過(guò)對(duì)可信端點(diǎn)系統(tǒng)的周期性評(píng)估來(lái)實(shí)現(xiàn)。具體操作如下：由接入安全控制系統(tǒng)的認(rèn)證、評(píng)估子系統(tǒng)周期性向所轄的可信端點(diǎn)進(jìn)行周期輪詢，要求進(jìn)行端點(diǎn)安全狀況的重新評(píng)估：ü 評(píng)估通過(guò)，可信端點(diǎn)的安全操作權(quán)限不變；ü 不符合安全策略l 降低該端點(diǎn)對(duì)網(wǎng)絡(luò)的安全操作權(quán)限，通知修補(bǔ)系統(tǒng)并拒絕訪問(wèn)相關(guān)區(qū)域；l 修補(bǔ)完成后重

14、新進(jìn)行端點(diǎn)安全狀況評(píng)估，通過(guò)后提升訪問(wèn)權(quán)限。ü PTA不響應(yīng)l 視為不可信端點(diǎn)，降低用戶訪問(wèn)權(quán)限、甚至禁止訪問(wèn)“可信網(wǎng)絡(luò)”。3) 可信網(wǎng)絡(luò)保護(hù)機(jī)制可信網(wǎng)絡(luò)信息保護(hù)機(jī)制，則重點(diǎn)關(guān)注可信網(wǎng)絡(luò)內(nèi)部重要信息的保護(hù)，以確保這些數(shù)據(jù)在存儲(chǔ)、使用以及傳輸過(guò)程中的安全。并且通過(guò)控制可信網(wǎng)絡(luò)內(nèi)部用戶訪問(wèn)外部時(shí)的安全策略檢查機(jī)制以及外出信息的檢查機(jī)制來(lái)避免敏感信息的外泄，從而保證可信網(wǎng)絡(luò)內(nèi)部信息的機(jī)密性和可信性。相關(guān)的技術(shù)包括：信息保護(hù)的安全模型、信息的可信傳輸機(jī)制、用戶的身份鑒別與授權(quán)機(jī)制、違規(guī)網(wǎng)絡(luò)外聯(lián)檢測(cè)與監(jiān)控以及外出信息的信息流控制機(jī)制、內(nèi)容過(guò)濾機(jī)制等。5 結(jié)束語(yǔ)“可信網(wǎng)絡(luò)架構(gòu)”最直接的作用是全面

15、提高用戶的整體網(wǎng)絡(luò)的防護(hù)能力，實(shí)現(xiàn)“可信網(wǎng)絡(luò)”的擴(kuò)展和對(duì)信息及信息系統(tǒng)的等級(jí)保護(hù)，同時(shí)通過(guò)對(duì)用戶網(wǎng)絡(luò)已有的安全資源進(jìn)行有效整合和管理，為用戶節(jié)省大量的資金與人員配置。由于該架構(gòu)整個(gè)架構(gòu)實(shí)施的是動(dòng)態(tài)全程安全管理，可以實(shí)現(xiàn)用戶可信網(wǎng)絡(luò)安全應(yīng)用范圍的無(wú)限拓展，而實(shí)現(xiàn)的就是全網(wǎng)的可信認(rèn)證與應(yīng)用，與國(guó)家所倡導(dǎo)的“全網(wǎng)安全”不謀而合，與此同時(shí)，該架構(gòu)充分滿足國(guó)家對(duì)信息及信息系統(tǒng)等級(jí)安全保護(hù)的要求。因此，該架構(gòu)的推出，可以強(qiáng)化可信安全管理在安全建設(shè)和運(yùn)維中的核心地位，通過(guò)全局安全管理，實(shí)現(xiàn)多層次的積極防御和綜合防范，并聯(lián)合安全產(chǎn)業(yè)廠商打造和完善產(chǎn)業(yè)鏈。由于該架構(gòu)不是一個(gè)具體的安全產(chǎn)品或一套針對(duì)性的安全解決體系，而是一個(gè)有機(jī)的網(wǎng)絡(luò)安全全方位的架構(gòu)體系化解決方案，強(qiáng)調(diào)實(shí)現(xiàn)各廠商的安全產(chǎn)品橫向關(guān)聯(lián)和縱向管理。因此在實(shí)施“可信網(wǎng)絡(luò)架構(gòu)”過(guò)程中，必將涉及很多安全廠商的不同安全產(chǎn)品與安全體系，完成該架構(gòu)不可能也不現(xiàn)實(shí)由天融信一家安全廠商來(lái)完成，因此從這一點(diǎn)我們不難看出，除了天融信在安全產(chǎn)品與服務(wù)方面進(jìn)行創(chuàng)新與提高外，還需得到國(guó)家政府和各安全廠商的支持與協(xié)作。ü 國(guó)家層面該架