扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
所谓“可信专用网TPN(Trusted Private Network)”就是在“虚拟专用网VPN(VIirtual Private Network)”的基础上,采用“可信网络TN(Trusted Network)” 技术对专网进行安全加固,确保专网内部的每个终端都是安全可信可控的。TPN系统将VPN技术、内网行为管理及主机控制技术融为一体,借助网关和主机的联动体系,将“本地局域网—远地局域网—移动接入节点”的资源和安全策略进行统一管理,一体化解决边界威胁、内网威胁、主机威胁和接入威胁。
针对下面这些问题的解决,TPN系统比现有的UTM系统和内网行为管理系统等方案更具性价比和有效性。如:防止机密信息泄露越权访问;限制员工上班时间上网聊天、网络游戏;禁止电驴、BT等下载电影和音乐占据大量工作带宽;对内网病毒爆发点进行定位;进行统一补丁升级和病毒库更新;统一管理各地分支机构网络,执行统一的全网安全管理……
上海安达通信息安全技术有限公司的可信专用网络TPN系统由“TPN安全网关”和“主机威胁引擎CTE”组成。
安达通SJW74-T系列TPN安全网关可以在安达通SJW74系列VPN安全网关上升级获得,SJW74-T TPN安全网关包含了原有SJW74安全网关的所有功能和上述TPN系统中的新增功能,内置“安全策略服务器”和主机威胁引擎(CTE)安装包。
“主机威胁引擎CTE”是内网主机上安装的软件。当内网主机首次进行通过TPN安全网关的网络访问时,会被自动引导到TPN网关上的“主机威胁引擎”安装界面上,自动下载并安装该控件。CTE引擎支持Windows2000以上各个操作系统,安装后隐蔽运行,无需用户干预,并自动接受TPN安全网关的指令和TPN系统管理员的管理。
下图为可信专用网TPN系统的网络示意图:
TPN系统中不象传统网络安全设备(如:防火墙)中的访问控制系统,静态定义“IP地址—资源”的访问控制关系,而是采用“用户—角色—资源”的安全策略管理方式。角色是系统中用户和服务之间沟通的枢纽,利用角色避免了用户和服务之间的直接关联关系,减少了配置任务量,并提高系统策略的可维护性。一个用户可以分配给多个角色,每个角色包含多个用户;针对每一个服务,可设定可以访问该服务的各种角色。当用户接入TPN系统防护的网络时,首先必须进行“强制身份认证”(采用Web方式登陆TPN系统)。在身份认证通过后,TPN安全网关中根据该用户的资源访问权限和登陆认证时该用户使用的PC机的特征(IP/端口),动态在TPN安全网关中形成“五元组+时间”的动态访问控制策略。该动态访问控制策略有短期时效性,当一段时间用户没有活动后,该策略即行失效,需要重新进行强制身份认证,再次在TPN安全网关中建立针对该用户的动态访问控制策略。
在用户认证通过后,在TPN安全网关中形成了针对该用户的安全控制策略,就可以进行“TPN安全网关”和“主机威胁引擎”的联动防御了,确保该用户只能访问管理员授权其访问的资源,包括:服务器访问权限、上网权限、带宽权限、接入权限等。
TPN系统中的“主机威胁引擎”可进行“主机风险评估”。对于没有达到风险评估相应级别的主机,安全网关可以阻止其访问外网或从外网通过VPN隧道接入。依靠该联动防御体系,避免了依靠单一网关防御体系(如:UTM网关)或单一客户端防御体系(如:很多内网行为管理系统)的功能瓶颈,充分发挥出了网关和客户端的各自优势。例如,TPN系统可以实现下面的功能:内网的主机在上网时如果没有安装防病毒软件(管理员强制规定的)或没有打到规定版本的补丁,TPN安全网关将封锁该主机的访问。
基于主机的安全检测和上述联动防御,使TPN系统能够对各种程序进行控制,非常灵活。系统可控的为四类程序:恶意程序(如:木马后门,间谍软件,安全扫描,嗅探检测,蠕虫软件等)、禁用程序(用户单位管理制度禁止运行的软件,如:远程桌面、PCanywhere,QQ,MSN,SKYPE,Emule,BT,网络聊天,炒股软件等)、强制运行软件(如:防火墙、杀毒软件等)、自定义软件。
另外,在主机威胁引擎发现主机受到严重(由管理员定义)的安全威胁时(如:被网络病毒感染),还能告警并主动阻断自身的网络访问,对问题主机进行隔离,防止威胁扩散。
在内网安全防护方面,TPN系统还具备非法外联检测,非法接入检测,内网病毒爆发点定位等功能。进一步,其后继版本还可以对主机外设(如:PC、硬盘、USB 口、软盘、网口等)和文件系统的使用进行基于角色的控制。
对于可信专用网TPN系统在“边界威胁防护”和“接入威胁防护”方面的特色技术和功能,将在本刊后继文章中进行连载,敬请关注!
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。