可信網路平台(Trusted Network Platform,簡稱TNP)框架是中國信息產業商會信息安全產業分會2002年12月18日正式發布的概念。它的定義是:網路中的行為與行為的結果總是預期和可控的,那么網路是可信的。
基本介紹
- 中文名:可信網路平台
- 外文名:Trusted Network Platform
- 別名:TNP
- 發布時間:2002年12月18日
- 發布機構:中國信息產業商會信息安全產業分會
中國首屆TCP(可信計算平台)論壇在武漢召開時,國內專家、業內安全廠商對TCP進行了深入的交流。12月18日,中國信息產業商會信息安全產業分會主辦、天融信公司承辦的“可信網路安全架構”高層研討會在北京召開。TNP(可信網路平台)首次提出。天融信公司在這一理念基礎上,也推出了公司自己的理念和整體解決方案——可信網路架構。
可信網路平台
那么,什麼是可信網路平台?什麼是可信網路架構?“可信”與“安全”是什麼關係?倡導“可信網路平台”意味著什麼?
什麼是可信網路平台
說起TCP(可信計算平台),很多人並不陌生。說起TNP(可信網路平台),知道的人也許不多。
12月18日下午,中國信息產業商會信息安全產業分會在北京首次正式發布了“可信網路平台”概念。與此同時,天融信公司率先積極回響這一理念,並推出了企業自己的整體解決方案,方案以龍魂可信安全管理平台和龍蘊高端可信安全系統平台為核心,並統一命名為“可信網路架構”。
中國信息產業商會信息安全產業分會常務副理事長屈延文教授在題為《信息化安全的新認識、新領域與新起點》的主題演講中,詳細闡述了業界廣泛討論的安全與可信的關係,TCP與TNP的關係,以及如何正確理解和認識TCP等問題。
記者對屈延文教授演講中“信息化安全”的提法表示了濃厚的興趣。12月23日,記者電話採訪了屈延文教授。
屈延文教授表示,信息化安全的概念是今年6月徵得沈昌祥院士等業內專家的意見後,首次提出的(詳見圖1)。從數據安全,網路安全、信息安全,再到信息化安全,並不是簡單的名詞的改變。而是順應當前整體的信息安全形式提出的,旨在強調今後信息安全的發展方向。
屈延文教授認為,TCP概念是1999年由微軟、IBM等跨國公司聯合推出的,強調的是計算機作業系統、計算機底層技術的安全,即系統的完整性要求。TCP概念則是從網路的角度,倡導的安全模型。二者互為補充。
從可信計算到可信網路
一直以來,計算機的安全都是通過在PC與外部世界之間增加一些安全層次(如:口令、加密、反病毒)得以實現,每當一個新的病毒威脅或入侵發生時,就必須增強某些安全層或增加一個新的安全層。可信計算的提出,使人們認識到計算機安全的新方向。
專家指出,信息安全的核心正在向“可信任”轉變。國家信息化專家諮詢委員會委員呂誠昭在12月18日的高層論壇上,就“安全”和“可信”的關係提出了幾個值得業界深入思考的問題。
呂誠昭委員舉了一個例子,信息系統是可信的,但網上註冊的身份證如果是虛假的,怎么辦?高速公路(網路)是可信的,如果路上跑的貨車裡裝的是假貨怎么辦?他進一步解釋說,提出這樣的疑問,是為了引起業界的思考:安全理念、內涵是動態的、發展的,安全問題也是如此。
安全需求在發生哪些變化
業內專家分析指出,2004年,雖然我國的信息安全產業繼續快速發展,但是,用戶目前面臨的風險與威脅進一步複雜化,集中表現在以下三方面:一是黑客攻擊愈加猖獗,用戶面對安全威脅回響的時間越來越短;二是惡性蠕蟲病毒事件頻繁,嚴重威脅網路安全;三是垃圾郵件成為公害。所有這些,使國內用戶的需求發生了以下變化,一是“需求的整合”。主要表現在:企業的安全建設從“被動防禦”向“主動防禦”過渡,即企業從發現問題後再修補的“產品疊加型”防禦方式向“以風險管理”為核心的主動防禦過渡;安全產品從“孤立的產品形式”向“集中管理”過渡。
二是“技術的整合”。以防火牆市場為例,目前的國內防火牆市場,國產廠商占有率為60%,主要集中在政府、金融、教育、軍隊等行業;占40%的國外產品,基本集中在電信、企業等領域。
而安全產品的技術主要體現在二方面:一是在硬體技術方面。硬體在安全產品領域如軟體一樣占據重要地位,而國外廠商的硬體技術更占優勢。占據電信高端市場的國外產品, 眾所周知,國內防火牆廠商的產品,多是從國外同類技術中尋找“靈感”。二是進行多種安全技術的融合。當前,走技術融合之路是國內外廠商發展的大方向。
第三,經過幾年的安全產品的使用,當用戶面對更加複雜的網路安全威脅時,已經認識到“僅有安全產品是不夠的”,他們需要服務,即“產品與服務的整合”。專業化的安全服務正在成為網路安全的重要內容,是否具有專業化的服務能力已經成為考核廠商實力的一條重要標準。
整體安全與可信網路架構
在記者的電話採訪中,屈延文教授積極肯定了天融信公司的做法。他同時表示,希望更多的安全廠商在“可信網路平台”理念下,推出自己的整體安全解決方案。他還透露,啟明星辰、華為等公司也在積極回響這一理念。
天融信公司董事長兼總裁賀衛東認為,天融信公司提出的“可信網路架構”,旨在確保全全管理系統、安全產品、網路設備和用戶等四個安全環節的安全性與可信性,最終通過對用戶網路已有安全資源的有效整合和管理,實現“可信網路”的擴展和對信息及信息系統的等級保護,從而實現用戶的“可信網路”,同時防止用戶“可信網路”機密信息的泄漏。
賀衛東介紹,可信網路架構不是一個具體的安全產品或一套針對性的安全解決體系,而是一個有機的網路安全全方位架構體系化解決方案。用戶在實施“可信網路架構”過程中,必將涉及很多安全廠商的不同安全產品與安全體系,完成該架構不可能由天融信一家安全廠商來完成。
因此,除了天融信公司要在安全產品與服務方面進行創新與提高外,還需得到政府和各安全廠商的支持與協作。
如果在政府的支持下,通過溝通協商,各安全廠商達成協定,形成一個以“可信網路架構”實施為標準的廠商聯盟,包括產品協定、服務舉措等在內建立起應有的“可信”機制,這樣才能推動“可信網路架構”的實施,架構一個滿足所有網路行為總是可以預知、已知、可控的可信網路。
按照天融信公司的計畫,“可信網路架構”的一個最重要的組成部分就是,實現各廠商的安全產品橫向聯合和縱向管理,參照統一的行業標準和協定,形成一個業內安全廠商參與的整體安全聯盟。
·專家觀點·
可信網路平台
那么,如何做到可信網路呢?就必須在網路與系統上針對業務與技術的行為與行為結果,提供行為控制、行為監管、行為認證、行為管理和行為對抗的充分能力,並建立相應的體系,以維護網路的可信。(中國信息產業商會信息安全產業分會常務副理事長 屈延文)
·用戶提醒·
導致安全威脅的15個問題
1、移動(筆記本)用戶從外部把病毒帶到辦公室里來;
2、主機系統的漏洞沒有及時修補;
3、病毒擴散,傳播的速度比病毒碼更新和部署的速度快;
4、存在沒有安裝防病毒系統的主機;
5、病毒特徵碼更新不及時;
6、遠程辦公用戶通過與公司建立的連線時,不慎將病毒帶到公司內部;
7、突發性病毒爆發應急不及時;
8、內部人員使用其它通道連線外網;
9、個人安全意識不強;
10、主機使用者違章關閉了個人安全套件;
11、來自內部的人員攻擊;
12、內部人員越權訪問內部信息;
13、內部人員使用外設傳遞信息;
14、防火牆策略制定有缺陷;
15、存在非授權接入的情況等。(天融信公司售前技術總監 楊慶華)
“可信網路架構”,通過對用戶網路已有安全資源的有效管理及整合,可以實現“可信網路”的擴展和對信息及信息系統的等級保護,完成多層次的積極防禦和綜合防範。
與“可信網路架構”同時發布的龍蘊可信安全管理平台及龍魂高端可信安全系統平台是支撐“可信網路架構”的兩大核心平台。龍蘊平台具有集中統一安全管理、實時風險分析與管理等眾多技術特點,實現人、技術、流程的融合,提高了安全管理的效率;龍魂平台系列的設計理念著眼於未來,包括國內首款基於NP+ASIC技術的高端系統平台和國內首款完全自主設計的基ASIC 技術的中端系統平台等。
