三位一体打造可信网络
2018-06-11 来源:
“我们公司办事处是VPN接入总部的,但往往带来很多病毒和威胁。”
“我们单位要求对每个人的权限严格控制,没有一个简单易用的产品,所以管理起来很麻烦。”
“我们公司购买了防火墙和杀毒软件,但是员工没有使用的习惯,员工电脑受到病毒威胁、黑客攻击的危险比较大。”
“最近股市比较火,大家上班就忙着看股票行情,领导很冒火,要我们进行限制。”
“常有员工偷偷拨号上网,避开防火墙的边界过滤,太过分了。”
以上问题都是用户网络没有得到控制和管理的体现。由于安全威胁无处不在,网管员们终无宁日,对内网的安全稳定缺乏信心。解决这些问题的关键就是要保证用户网络环境可信,上海安达通推出的TPN产品从信任域、信任主机、信任用户三个方面构成一个整体为用户打造出网络可信系统。
TPN旨在为内网和远程接入用户提供一个安全、可信的网络访问环境,构筑了包括远程接入、边界、内网以及主机的多层次威胁防护体系。TPN之所以能够形成一个完善的安全防护系统,在于该系统由三个重要可信部分构成:
【可信域】:TPN系统可以通过手动或自动学习的方式,收集整个网络中所有受信任的访问终端 (IP/MAC)以形成可信的主机域,只有可信域内的终端才可以正常登录TPN系统进行互访以及访问网络资源,杜绝了不可信终端接入网络,从而从网络层面彻底解决了主机互访和网络访问的信任关系。
TPN管理的可信域的范围不仅包括内网的可信终端,也包括远程VPN接入的可信终端。建立全网的可信域后,可以带来以下好处:
* 对可信域之外的终端进行彻底的逻辑隔离,使其无法对可信域进行任何访问尝试;
* 可信域内主机彼此信任,不必担心仿冒访问和信息泄漏的威胁;
* 可进一步扩展成多等级可信域,域间进行受限访问控制;
【可信用户】可信域从主机硬件角度控制了主机信任关系,但考虑到用户访问的灵活性和简单认证手段易被破解等因素,TPN系统引入了多种认证方式来保证用户身份的可靠。TPN中具备一个开放的用户认证体系,不但可以实现与第三方认证服务器(如Radius/Ldap/AD等)同步认证信息,而且提供基于数字证书、USB KEY、手机短信和动态口令卡等多因素身份认证方式,可以实现多重认证、整合认证、定制认证等高级用户认证方式;完备的用户认证体系充分保证了TPN可信架构中对用户的可信认证。
【可信主机】即使可信域和可信用户使主机的访问和认证安全得到了可信的保障,仍然不能保证主机行为带来的威胁和系统和软件漏洞。TPN系统通过统一的主机策略管控技术,从以下几个方面保证主机系统和软件操作的可信性:
* 用户登录系统时,强制要求必须安装并运行特定的防火墙和杀毒软件;
* 禁止特定威胁程序运行并可自定义威胁程序:
* 有效地控制终端系统中运行的服务,使不安全的服务无藏身之地;
* 强制终端及时进行自动的系统补丁更新,不需人工干涉;
* 一旦检测到绕开TPN而通过拨号等方式非法外联上网,立刻告警和阻断;
* 对网络型病毒、蠕虫爆发点自动检测和精确定位,并实现染毒终端与内网自动隔离,最大程度上保证了网络的可用性;
今后,TPN将加入基于用户历史行为分析的动态准入控制策略,对主机安全和接入管理进行更精细和准确的控制,并完善日志报表以及全网策略监控和管理等功能,以实现一个完美的可信网络体系平台。
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。