确保访问安全 可信计算让网络也以泾渭分明

admin

　　随着国家机关、企事业单位信息化建设的逐步深入，一个组织构建两套或更多网络已不足为奇，外网、办公网、内网等等，一时间CIO变成了“蜘蛛侠”，网内信息的管理、平行网络间的管控成为一大难题，更给网络内重要信息的保护提出了新的挑战。
　　无论是政府机关、大型企业，还是智力、科技密集型的公司，都会设置多套网络以提高效率，同时会遭遇更多的信息安全威胁，主要体现在以下几个方面。
　　1、重要信息存储更集中，方便获取。当平行几套网络分配了不同功能之后，它们的重要性也就自然有了排序，核心、机密、重要信息存储相对集中，非法用户一旦侵入，可以快速准确的掠取这些重要信息。
　　2、链路不安全，信息在“裸奔”。人们往往会认为一套封闭网络内的信息传输是安全的，因为不与外界发生交互，殊不知网络也是靠网线连接的，偷窃者可以在网线上做很多手脚（探针、磁环），从信息传输过程中截获重要信息。甚至可以在原有终端上加个路由器，非法用户轻而易举的变为合法用户。《密战》中，罗兵也正是用这种方法，在接线盒上“打洞”，窃取了大量机密信息。
　　3、非法用户强行接入。很多组织内部虽有各种网络接入权限的规定，但用户并不能做到完全遵守，懒惰、无意识的错误等都可能导致将内网机接入到外网，更有甚者为了贪图方便，会将个人笔记本直接连到内网。
　　可以肯定的说，能做好网络隔离的CIO一定能做好网络管理，而可信计算的兴起为我们提供了基础的技术保障。针对目前网络隔离方案中普遍存在的“隔离不彻底”、“认证不明确”、“监控不严格”等缺陷，清华同方依托国家可信计算的自主科技，以TCM芯片所具备的加密及身份认证特性为基础，推出了完善的可信网络接入方案，实现泾渭分明的网络管理，网络信息安全性倍增。
基于安全芯 确保可信接入
　　同方可信网络接入方案基于国家可信密码模组安全芯片（TCM）构建，将加密认证、口令认证和智能卡认证有机地结合在一起，完成对计算机身份的识别和用户身份的识别，从而确保可信接入的安全性。
　　当用户通过口令或智能卡接入登陆系统时，认证服务器会根据接入信息的有效性判断设备和用户所处的网络环境，此时没有经过认证的计算机或恶意进入者无法获取认证指令，也就不能访问任何网络。这种基于计算机身份的网络隔离，彻底杜绝了未授权电脑或个人对内外网的非法访问，从根本上确保了数据安全。
　　在可信网络接入方案的实施过程中，同方可信网络接入系统由客户端（包括客户端计算机和客户端代理程序）和同方可信网关组成。终端计算机中的代理软件负责收集可信计算机的完整性度量值、检测客户端计算机的安全状态，并与TNC Server端通信回报客户端的安全状态；同方可信网关负责制定接入策略，收集客户端计算机的安全信息，以判断其是否可以接入可信网络，并将策略结果下放给交换机执行。值得一提的是，该可信网关可以以Web方式进行管理，以使用户的操作随时随地，更为便捷。
立足TCG-TNC 确保访问安全
　　相比较传统的“先连接，后评估安全”接入方式，同方可信网络接入方案颠覆性的采用了“先安全评估，后连接”的接入方式，大大增强网络接入的安全性。
　　同方可信网络接入方案基于开放性的TCG-TNC技术，建立在可信计算技术之上。根据TCG-TNC规范的总体架构，同方可信网络接入方案实现了可信网络接入控制系统，以终端完整性校验来检查终端“健康度”的TNC的权限控制策略，结合已存在的网络访问控制 (例如802．1x、IKE、Radius协议)， 通过使用可信主机提供的终端技术，实现访问控制，保证了只有拥有合法授权的用户在经过授权的计算机终端上才能实现对网络资源的正常访问，从技术上有效规避了“内网机器接上网线就能访问公共网络”及“外来笔记本接上网线就能访问内部网络”等现象的发生，为信息系统的安全防护提供有力的技术支撑，最终于实现网络访问的协同工作。
　　业内人士分析指出，此次清华同方推出的可信网络接入方案能够封堵网络隔离不严密的信息安全漏洞，真正实现了民族科技的自主可控，可广泛用于政府、军队、金融、企业等对于信息安全有较高要求的领域！