- 1、本文档共42页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
可信安全体系
体系结构Architecture TPM 移动设备Mobile 客户端PC Client 服务器Server 软件包 Software Stack 存储Storage 可信网络连接 Trusted Network Connect TCG对于可信计算平台的划分 国内背景 信安标委WG3 信安标委WG1 国家密码管理局 可信计算背景 平台组成结构 可信密码模块(TCM) TCM 服务模块(TSM) 可信计算技术 1.可信安全计算平台,利用标签标识用户、节点、网络、应用、数据敏感度和作用范围,同时也标识了相应的安全策略。数字标签的产生、存储和使用机制由信任链和TCM保证。 2.基于标签的访问控制技术主要用于系统内实现高安全级别要求的强制访问控制,保证访问控制机制不能被绕过,本身不能被篡改,抗攻击,同时足够小,可以被证明。 3.也能据此辨识应用并对不同应用的流量进行检测。根据情况选用加密算法,确保信息在可信通道传输过程中的完整性、机密性及不可篡改性。 基于标签的访问控制技术 利用安全通道技术、标签技术和密码技术在保障不同安全等级网络隔离的基础上,通过“五指定”,实现各个安全等级网络的多级安全互联互通;通过对不同安全等级的网络划分安全域的方式,和设置不同安全等级安全域之间的访问控制策略,达到了不同安全等级安全域之间安全隔离以及对指定应用数据进行交换的目的。 实现细粒度的访问控制(完全实现五指定功能) 控制接入用户 控制接入终端 控制接入应用数据 控制接入目标节点 控制接入目标节点上应用系统 基于标签的数据交换技术 芯片系列 J3210 J3223 可信平台系列 强龙系列 巨龙系列 JTQ-1810-E JTS-110 JTQ-1810-Q JTS-264 JTQ-DNS JTS-464 网关系列 安全域访问控制系统 可信交换网关 可信软件系列 可信安全域管理系统 安全管理中心 可信安全体系 芯片系列 可信安全体系的基石 可信平台系列 节点可信 网关系列 网络可信 可信软件系列 一体化的安全管理 产品体系 产品目标 瑞达产品体系 J3210 强龙可信 安全计算机 巨龙可信安全服务器 安全域访问控制系统 巨龙可信安全服务器 可信安全体系的基石, 作为可验证信任体系的基础产品。 定制用户、平台、主体、客体、节点的安全基线, 实现用户和平台身份可认证、行为可控制和审计。 将安全基线由节点延伸到网络,基于数字标签 技术,实现用户分级、系统分域、网络分域、 应用分域、安全域访问控制及安全域间的可信 信息交换。 一体化的安全管理, 提供系统整体的安全性, 并能精准捕获用户、 主体、节点和网络的危害行为。 低等级安全域 高等级安全域 可信软件 瑞达产品结构 目 录 结构性安全 可信安全体系 1 2 关键技术及产品 应用案例 3 4 产品解决方案 终端用户可信:采用可信计算技术及相关产品,整合传统安全设备,通过可信计算机、可信服务器保障主机的唯一性、用户的合法性; 操作系统可信:基于可信传递和平台可信证明保证操作系统安全机制(TCB)不可被旁路、也不可被篡改,保障操作系统安全机制的有效性; 通过安全网关实现终端可信接入、基于标签的访问控制和责任审计、实现指定的应用(数据)由指定的源端(终端)传送到指定的目的端(服务器) 安全管理:通过内网安全管理系统实现系统内主机的监控与审计;通过文档安全管理系统实现系统内文档防扩散;通过打印控制网关解决对打印的集中控制和管理;;通过安全管理中心解决系统运维管理、安全管理和服务流程管理。 总结 可信安全体系以可信技术为基础,基于数字标签的访问控制、数据交换为核心,一体化的安全管理为手段,将各种安全机制相互关联、相互支撑、相互制约,通过相互之间的结构关系把计算机网络这个虚拟世界变成一个有序、可认证、可管理且可追踪控制的空间,是结构性安全体系架构的基础和实践。 结构性安全体系和传统安全体系并不是对立的,也不是两个发展阶段;而是从不同的角度(单维度与多维度、粗粒度与细粒度、后延与先延、被动与主动)出发的信息安全保障体系和理念,有效的弥补了现有安全体系存在的不足。 信息系统的现状: 信息系统由三种不同类型的网络组成: 1.核心区域网络:由主体、客体、节点、系统、网络构成,在一个信息系统中,该区域的安全强度要求最高,对该区域的安全措施是采用以访问控制为核心,实现对主体认证、客体的访问控制、网络和系统的分级分域。 2.运营资源网络:是核心区域网络的业务活动的扩展,因为业务类别、行政级别、地域分布不同,该区域与核心区域网络的安全要求和安全强度有区别,作为核心区域网络业务活动的扩展,与核心区域网络存在数据交换关系。 3.公共网络:是单位网络的
文档评论(0)