三位一体打造可信网络

“我们公司办事处是VPN接入总部的，但往往带来很多病毒和威胁。”
“我们单位要求对每个人的权限严格控制，没有一个简单易用的产品，所以管理起来很麻烦。”
“我们公司购买了防火墙和杀毒软件，但是员工没有使用的习惯，员工电脑受到病毒威胁、黑客攻击的危险比较大。”
“最近股市比较火，大家上班就忙着看股票行情，领导很冒火，要我们进行限制。”
“常有员工偷偷拨号上网，避开防火墙的边界过滤，太过分了。”
以上问题都是用户网络没有得到控制和管理的体现。由于安全威胁无处不在，网管员们终无宁日，对内网的安全稳定缺乏信心。解决这些问题的关键就是要保证用户网络环境可信，上海安达通推出的TPN产品从信任域、信任主机、信任用户三个方面构成一个整体为用户打造出网络可信系统。
TPN旨在为内网和远程接入用户提供一个安全、可信的网络访问环境，构筑了包括远程接入、边界、内网以及主机的多层次威胁防护体系。TPN之所以能够形成一个完善的安全防护系统，在于该系统由三个重要可信部分构成：
【可信域】：TPN系统可以通过手动或自动学习的方式，收集整个网络中所有受信任的访问终端 （IP/MAC）以形成可信的主机域，只有可信域内的终端才可以正常登录TPN系统进行互访以及访问网络资源，杜绝了不可信终端接入网络，从而从网络层面彻底解决了主机互访和网络访问的信任关系。
TPN管理的可信域的范围不仅包括内网的可信终端，也包括远程VPN接入的可信终端。建立全网的可信域后，可以带来以下好处：
* 对可信域之外的终端进行彻底的逻辑隔离，使其无法对可信域进行任何访问尝试；
* 可信域内主机彼此信任，不必担心仿冒访问和信息泄漏的威胁；
* 可进一步扩展成多等级可信域，域间进行受限访问控制；
【可信用户】可信域从主机硬件角度控制了主机信任关系，但考虑到用户访问的灵活性和简单认证手段易被破解等因素，TPN系统引入了多种认证方式来保证用户身份的可靠。TPN中具备一个开放的用户认证体系，不但可以实现与第三方认证服务器（如Radius/Ldap/AD等）同步认证信息，而且提供基于数字证书、USB KEY、手机短信和动态口令卡等多因素身份认证方式，可以实现多重认证、整合认证、定制认证等高级用户认证方式；完备的用户认证体系充分保证了TPN可信架构中对用户的可信认证。
【可信主机】即使可信域和可信用户使主机的访问和认证安全得到了可信的保障，仍然不能保证主机行为带来的威胁和系统和软件漏洞。TPN系统通过统一的主机策略管控技术，从以下几个方面保证主机系统和软件操作的可信性：
* 用户登录系统时，强制要求必须安装并运行特定的防火墙和杀毒软件；
* 禁止特定威胁程序运行并可自定义威胁程序：
* 有效地控制终端系统中运行的服务，使不安全的服务无藏身之地；
* 强制终端及时进行自动的系统补丁更新，不需人工干涉；
* 一旦检测到绕开TPN而通过拨号等方式非法外联上网，立刻告警和阻断；
* 对网络型病毒、蠕虫爆发点自动检测和精确定位，并实现染毒终端与内网自动隔离，最大程度上保证了网络的可用性；
今后，TPN将加入基于用户历史行为分析的动态准入控制策略，对主机安全和接入管理进行更精细和准确的控制，并完善日志报表以及全网策略监控和管理等功能，以实现一个完美的可信网络体系平台。

标签： 安全 防火墙 服务器 漏洞 权限 网络 问题 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。