可信计算是个啥?
经过前三篇“可信计算说”的科普,大家对可信计算是不是有了系统性的认识?
重点来了~
小编来跟大家聊聊可信计算的实践问题:可信边界网关。
首先,我们以一款产品作为引子,来剖析一下可信计算对于安全产品的实现思路。
可信边界综合安全网关系统,作为销售许可证上的产品名称带有“可信”字样的安全产品,公安部第三研究所明确规定,必须充分证明该产品确实兼容和实现了可信计算的必要功能逻辑,否则需重新送审材料,去掉“可信”字样。
那么,对于我司的可信边界综合安全网关系统(又称可信边界网关TBSG)是如何支撑可信计算体系,并如何定位的?
可信边界综合安全网关产品是以可信技术、身份鉴别技术,访问控制技术、传输加密技术,代理技术等作为核心的网络安全产品。设计目标:网关自身安全可信、接入网络的主体身份可信、通道安全可信、权限可信、行为可记录审计。可信边界综合安全网关可信工作机制主要涉及以下几个方面:
1.网关可信
可信网关类产品首要保证网关自身安全可信,一台真正的可信网关提供的安全服务才可能真正做到这一点。网御星云可信边界综合安全网关扩展集成国家密码局检测授权的可信计算模块,塑造可信根;基于TCM技术构建可信度量实现可信存储;通过层层度量校验机制构建可信链。通过可信计算体系的实现,确保网关自身安全可信。
2.身份可信
所有接入主体均为不可信状态,只有通过身份鉴别、设备审批、终端安全策略管控等多方面的安全技术校验通过后,才会具有相应的访问权限。接入主体包含用户以及接入的设备(该设备包括用户的访问机、服务器或智能终端)。
3.权限可信
可信的主体接入可信网关后可以访问哪些目标地址,此目标地址包含IP、端口、URL等资源。可信网关通过访问控制技术结合IP、MAC、特征码绑定等技术可以实现网络2~7层的访问控制技术。可实现被允许的主体访问被允许的资源,做到了权限可信。
4.通道可信
数据传输过程要确保链路安全可信,保障数据完整性、机密性和不可抵赖性。在数据传输过程中,该技术用来防止数据泄露实现机密性防护,数据完整性用来保证数据不被篡改,不可抵赖性用来保证发送端不可否认。
前面的部分阐述了可信边界综合安全网关产品系统内部的可信支撑机制,该产品应用定位通过融合可信计算体系旨在解决不同网系间,不同安全域间接入实体身份可信、权限可信、通道可信、网关自身可信等安全问题。产品定位如下:
1.边界可信网关
作为边界可信网关,依据公安部“公安信息通信网边界接入平台安全规范(试行)”标准规范,部署于公检法司等边界建设项目中,可无缝兼容公安PKI等系统,实现快速部署应用。
2.身份认证网关
作为身份认证网关,解决不同安全域间的身份鉴别需求,此“不同安全域”可以为互联网到内网,也可以为内网不同安全域间的应用场景。
3.内网信息防护网关
作为内网信息防护网关,可提供:统一门户发布服务、统一强身份认证服务、统一权限管理鉴定服务、统一单点登录服务以及日志审计服务。更大的加固了内网系统安全并提高使用的便利性。
4.作为统一移动接入平台
作为统一移动接入平台解决BYOD移动办公安全问题,可提供远程应用发布、移动端APP安全防护、自带VPN功能远程接入等三种移动接入方式。支持IOS和Android系统,为BYOD场景保驾护航。实现随时随地的移动安全办公。
安全产品的本质是解决信息系统的安全问题,但安全产品本身的安全可信常被忽视。网御星云可信边界综合安全网关产品,基于可信计算理念,集成可信计算模块,旨在更好的、更安全的解决安全问题。
好了,关于“可信计算系列”连载到今天为止就告一段落啦,如果感觉意犹未尽的话, 还可关注后续网御星云公众号发布的更多“干货”消息哦~
网 御 星 云
点击下方链接,查看相关文章
【可信计算说】 网络安全免疫系统的“前世今生”
【可信计算说】网络安全免疫系统的应用模式
【可信计算说】 网络安全的可信体系架构
如果觉得《【可信计算说】网络安全的可信实践:边界网关》对你有帮助,请点赞、收藏,并留下你的观点哦!
