网络安全技术标准
—如何正确理解网络安全技术标准
网络安全技术作用:
由于计算机是按机械指令运算的设备,其运算过程符合数学的逻辑。网络安全的风险缘于用户的访问(网络攻击或网络病毒),因此如何克服用户的访问不确定性。就是网络安全技术的主要目的。
网络安全技术的解决方案:
各国把UNIX多用户操作系统的用户组管理技术拆分成不同的安全防护等级,美国TCSEC为七级,中国GB17859-1999为五级。UNIX内部的网络仍旧是以太网。
UNIX多用户操作系统作为网络通讯访问第三方管理者,监管网络安全。其主要的网络安全技术如下所述
1.强制访问控制:1)构造网络(组GID),2)定义网络成员(身份UID),3)访问授权验证监控。(访问授权验证监控数据帧的访问对象)
2.自主访问控制:在强制访问控制的网络信道内,依据来访数据帧中的通讯参数或标记(其必须关联由网络(组)定义的用户(身份)),如:软件端口、协议、等敏感标记,用户自主许可来访通讯。
把UNIX用户组技术引入局域网何互联网的技术关键技术途径:(也是目前等保实施的途径)
局域网网络安全技术:
1)可信计算机:由于在局域网和互联网中,个人计算机操作系统为用户软件,故在2000年以前一直希望采用可信计算机(通过第三方基准状态检测确认可信)后,采用计算机操作系统或IT系统应用软件设置信道标记。该方案目前不是主流。
2)VLAN强制访问控制(可信信道保障设计TRUSTED PATH):2000年后随着用户组技术被移植到局域网中,现在的VLAN技术。采用网络作为第三方网络安全管理者,进行强制访问控制管理。即标记可信信道保障设计技术,避免可信计算机的复杂性,毕竟个人操作系统已经是用户软件。但是UNIX用户组若采用涉密信息安全等级来设计信道,用户需要跨越网络边界进行通讯访问,因此提出可信信道保障设计,即依据用户的涉密安全通讯授权来设计信道。如下图所示:A、B、C三个信息等级,用户可能组合成七种通讯授权。
这是国外最常用的网络安全保护技术:(可信信道保障设计)
这种信道设计,避免可信计算机的复杂性,不需要防火墙和网闸。用户不需要跨越网络信道通讯
VLAN用户组和UNIX用户组在可信信道保障设计的条件下完全等效。
互联网的网络安全技术:
1)在UNIX系统中,上机用户仅仅具有一种身份,但在现在的IT应用中,用户不仅具有用户设备身份(管理操作系统对设备的管理)、用户身份(管理自身的用户程序和文件)、网络网络身份(管理动态加载的程序和文件)。其身份结构有很大变化,技术仍在进步。所谓WEB3等新型架构还在不断发展。
2)由于用户个人计算机不能按设备身份或用户身份强制设置网络信道,所以采用软件架构,通过动态加载程序,为用户构造一个用户终端的网络身份,通过加密信道和动态版本检测。阻止用户篡改和保护用户网络数据传输。
总之,请理解网络安全技术安标准的成果,国内对可信信道保障设计都没有理解。差距很大!!!
网络安全设计标准和测评标准里缺乏对现代网络安全技术的理解,实际上每一个网络技术和软件技术走向成功,必然需要实现网络安全技术保护的成功。无论是区块链还是VxLAN等等
