TPN;可信專用網TPN(Trusted Private Network)系統=邊界防護+VPN接入+全網行為管理+主機安全管理。 可信專用網TPN系統透過對“使用者—角色—資源”的集中描述,實現“內網威脅”、“邊界威脅”、“主機威脅”和“接入威脅”的統一管理。 在“邊界威脅”防護方面,TPN系統集成了以下幾方面的功能:狀態檢測防火牆,VPN,網路層入侵檢測,並可選配反垃圾郵件系統、網路防病毒系統,外掛第三方網路內容審計系統。“邊界威脅”防護功能主要依靠系統中的SJW74-T 系列TPN安全閘道器(可由安達通SJW74系列VPN安全閘道器升級獲得,詳見3.1章節介紹)來實現, 而且TPN安全閘道器和主機威脅引擎相互聯動,構建主機和閘道器的互動防護體系。TPN系統是基於“使用者——角色——資源”進行訪問控制的,按照角色定義使用者可訪問的網路資源,包括:對internet的訪問許可權,URL黑白名單,Qos頻寬管理等等。TPN安全閘道器具備完善的日誌管理能力,按照“使用者名稱”進行網路行為訪問記錄。 在“內網威脅”防護方面,TPN系統具備以下幾方面能力:對內網使用者進行“強制身份”認證,沒有透過認證的內網使用者無法訪問(實際上,預設的使用者許可權由TPN網路管理員決定)任何內/網路資源。另外,TPN系統具備非法外聯檢測,非法接入檢測,內網病毒爆發點定位和內網威脅點自動隔離功能等。 在“主機威脅”防護方面,TPN系統能夠對三類程式(惡意程式、禁用程式、強制執行軟體)進行分類檢測和控制,對執行有受限程式或沒有執行強制執行軟體的主機基於“閘道器聯動技術”進行封堵。TPN系統中的“主機威脅引擎”可檢測主機的補丁版本,強制主機按照系統管理員的定義進行補丁升級和軟體分發,並可進行主機風險評估。在主機被病毒感染後,“主機威脅引擎”能夠自動感知,並主動阻斷自身的網路訪問進行問題主機隔離,防止病毒或其他網路威脅擴散。另外,還可以進行主機的外設控制(如:PC、硬碟、USB 口、軟盤、網口等的使用)。 在“接入威脅”防護方面,TPN系統對於透過VPN接入的移動使用者和遠地區域網進行類似本地使用者一樣的訪問控制,如:當VPN使用者在和總部的TPN安全閘道器建立起加密隧道後,總部的TPN安全閘道器能夠對遠端接入的主機進行安全評估:如果發現主機上有威脅或不滿足接入總部的安全級別(如:沒有打補丁等),則不允許該主機接入到總部。這就是安達通倡導的“VPN接入使用者准入控制”技術。透過該技術可以確保網路的威脅(如:木馬、病毒、攻擊等)不會透過VPN使用者帶進內網,避免了駭客進行“跳板”攻擊。並且網路管理員能夠象管理本地區域網一樣,對整個VPN網路進行統一的安全策略管理,實現面向全(VPN)網而不僅僅是本地區域網的全網行為管理。 TPN系統組成 可信專用網路TPN系統元件:TPN安全閘道器和主機威脅引擎CTE。 安達通SJW74-T系列TPN安全閘道器可以在安達通SJW74系列VPN安全閘道器上升級獲得,SJW74-T TPN安全閘道器包含了原有SJW74安全閘道器的所有功能和上述TPN系統中的新增功能,內建“安全策略伺服器”和主機威脅引擎安裝包。 “主機威脅引擎CTE”是TPN系統中內網主機上安裝的軟體。該引擎當內網主機的網路訪問首次透過TPN安全閘道器時,會被自動引導到TPN閘道器上的“主機威脅引擎”安裝介面上,自動下載並安裝該控制元件。CTE引擎支援Windows2000以上各個作業系統,安裝後隱蔽執行,無需使用者干預,並自動接受TPN安全閘道器的指令和TPN系統管理員的管理。 -------------------------------------------------------------------- 如何從VPN走向TPN 企業對VPN都不會陌生,因為資訊的共享有網路互聯的需求,客觀上需要將分佈在異地的區域網絡進行互聯。 隨著網路互聯的進行,整個網路平臺已經越來越成為企業以及政府單位執行的基礎設施。 這些基礎設施,安全可信是最重要的。 可信平臺建設包括了邊界、內網、主機、接入等部分。目前來看,企業可以用各種技術來確保這四部分成為有機整體。而安達通在其中提供的就是可信專用網技術TPN.TPN與VPN的主要區別,就在於融合了可信任的內網技術,從而產生互聯以後全網的可信任安全平臺。 事實上,網路平臺的演變,是從最簡單的網際網路開始的。此後,隨著應用需求的發展,越來越多的企業要求將分流的網路進行互聯,從而產生專網、專線。而VPN產生的動力,一方面是安全的需求,一方面是廉價的需求。所以,從專網發展成虛擬網路是一種需求,而安達通也認為,從虛擬專網發展到可信專網也會是一種趨勢。 目前來看,一套完整的TPN模型需要實現所有傳統安全裝置所提供的安全功能:包括虛擬專網、防火牆、入侵檢測、漏洞掃描、病毒防護、網路審計、身份認證、桌面安全等。而TPN應對的問題則包括了:遠端接入使用者帶進木馬和病毒、網路邊界防護力度不夠、分支機構的統一、垃圾郵件和病毒、越權訪問/盜取機密、非法接入/非法外聯、補丁和病毒庫的統一升級、以及聊天、遊戲、下載等網路濫用。 在邊界防禦上,TPN可以做到: 支援動態防火牆,實現基於“身份-角色-資源” 的動態訪問控制,內建全狀態檢測防火牆和入侵檢測微引擎;支援VPN;和主機威脅引擎聯動,構成“主動防禦體系”,阻斷有安全隱患和未透過身份認證的內網主機訪問網際網路;可以對QQ、BT、MSN、Skype等各種P2P軟體進行攔截,也可以按照管理員的定義;能夠為不同角色的使用者分配不同的頻寬和上網優先順序,確保關鍵業務的順暢執行。 在內網防禦上,TPN可以做到: 支援內網使用者強制身份認證,基於角色對內網伺服器進行嚴格的訪問控制,防止越權訪問;非法接入檢測;IP和MAC繫結;問題主機自動隔離:對於有安全問題的主機,主機威脅引擎發現後會告警,並可主動斷開問題PC的網路連線,防止威脅擴散,並實現內網病毒爆發點定位。 在主機防禦上,TPN可以做到: 禁用/惡意/強制執行軟體檢測和基於“閘道器聯動技術”的封堵;主機風險評估:對主機系統的安全狀況進行檢測和評估;強制軟體/補丁分發;IP地址固定:防止主機IP被非法篡改;主機埠統一管理;主機反垃圾郵件:作為主機威脅引擎的一個元件,採用業界最先進的反垃圾郵件技術,進行垃圾郵件分析和堵截;主機外設控制。 在接入威脅防護上,TPN可以做到: VPN移動使用者准入控制,禁止VPN移動使用者的主機在沒有達到安全級別時對內網的接入,確保網路的威脅不會透過內部使用者傳播進內網;遠地VPN網路使用者准入控制:禁止遠地VPN網路內的使用者主機在沒有達到管理員規定的安全級別時,對TPN安全閘道器保護內網的接入。 醫學 全胃腸外營養(Total Parenteral Nutrition,簡稱TPN)TPN係指透過靜脈途徑給予適量的蛋白質(氨基酸)、脂肪、碳水化合物、電解質、維生素和微量元素,以達到營養治療的一種方法。臨床應用越來越廣泛,已成為外科治療中不可缺少的一部分。 TPN是由水、糖類、氨基酸、脂肪、維生素、電解質及微量元素等組成。根據病情需要可酌加胰島素、抗生素等藥物。 TPN(Timed Petri Nets)時間Petri網。
TPN;可信專用網TPN(Trusted Private Network)系統=邊界防護+VPN接入+全網行為管理+主機安全管理。 可信專用網TPN系統透過對“使用者—角色—資源”的集中描述,實現“內網威脅”、“邊界威脅”、“主機威脅”和“接入威脅”的統一管理。 在“邊界威脅”防護方面,TPN系統集成了以下幾方面的功能:狀態檢測防火牆,VPN,網路層入侵檢測,並可選配反垃圾郵件系統、網路防病毒系統,外掛第三方網路內容審計系統。“邊界威脅”防護功能主要依靠系統中的SJW74-T 系列TPN安全閘道器(可由安達通SJW74系列VPN安全閘道器升級獲得,詳見3.1章節介紹)來實現, 而且TPN安全閘道器和主機威脅引擎相互聯動,構建主機和閘道器的互動防護體系。TPN系統是基於“使用者——角色——資源”進行訪問控制的,按照角色定義使用者可訪問的網路資源,包括:對internet的訪問許可權,URL黑白名單,Qos頻寬管理等等。TPN安全閘道器具備完善的日誌管理能力,按照“使用者名稱”進行網路行為訪問記錄。 在“內網威脅”防護方面,TPN系統具備以下幾方面能力:對內網使用者進行“強制身份”認證,沒有透過認證的內網使用者無法訪問(實際上,預設的使用者許可權由TPN網路管理員決定)任何內/網路資源。另外,TPN系統具備非法外聯檢測,非法接入檢測,內網病毒爆發點定位和內網威脅點自動隔離功能等。 在“主機威脅”防護方面,TPN系統能夠對三類程式(惡意程式、禁用程式、強制執行軟體)進行分類檢測和控制,對執行有受限程式或沒有執行強制執行軟體的主機基於“閘道器聯動技術”進行封堵。TPN系統中的“主機威脅引擎”可檢測主機的補丁版本,強制主機按照系統管理員的定義進行補丁升級和軟體分發,並可進行主機風險評估。在主機被病毒感染後,“主機威脅引擎”能夠自動感知,並主動阻斷自身的網路訪問進行問題主機隔離,防止病毒或其他網路威脅擴散。另外,還可以進行主機的外設控制(如:PC、硬碟、USB 口、軟盤、網口等的使用)。 在“接入威脅”防護方面,TPN系統對於透過VPN接入的移動使用者和遠地區域網進行類似本地使用者一樣的訪問控制,如:當VPN使用者在和總部的TPN安全閘道器建立起加密隧道後,總部的TPN安全閘道器能夠對遠端接入的主機進行安全評估:如果發現主機上有威脅或不滿足接入總部的安全級別(如:沒有打補丁等),則不允許該主機接入到總部。這就是安達通倡導的“VPN接入使用者准入控制”技術。透過該技術可以確保網路的威脅(如:木馬、病毒、攻擊等)不會透過VPN使用者帶進內網,避免了駭客進行“跳板”攻擊。並且網路管理員能夠象管理本地區域網一樣,對整個VPN網路進行統一的安全策略管理,實現面向全(VPN)網而不僅僅是本地區域網的全網行為管理。 TPN系統組成 可信專用網路TPN系統元件:TPN安全閘道器和主機威脅引擎CTE。 安達通SJW74-T系列TPN安全閘道器可以在安達通SJW74系列VPN安全閘道器上升級獲得,SJW74-T TPN安全閘道器包含了原有SJW74安全閘道器的所有功能和上述TPN系統中的新增功能,內建“安全策略伺服器”和主機威脅引擎安裝包。 “主機威脅引擎CTE”是TPN系統中內網主機上安裝的軟體。該引擎當內網主機的網路訪問首次透過TPN安全閘道器時,會被自動引導到TPN閘道器上的“主機威脅引擎”安裝介面上,自動下載並安裝該控制元件。CTE引擎支援Windows2000以上各個作業系統,安裝後隱蔽執行,無需使用者干預,並自動接受TPN安全閘道器的指令和TPN系統管理員的管理。 -------------------------------------------------------------------- 如何從VPN走向TPN 企業對VPN都不會陌生,因為資訊的共享有網路互聯的需求,客觀上需要將分佈在異地的區域網絡進行互聯。 隨著網路互聯的進行,整個網路平臺已經越來越成為企業以及政府單位執行的基礎設施。 這些基礎設施,安全可信是最重要的。 可信平臺建設包括了邊界、內網、主機、接入等部分。目前來看,企業可以用各種技術來確保這四部分成為有機整體。而安達通在其中提供的就是可信專用網技術TPN.TPN與VPN的主要區別,就在於融合了可信任的內網技術,從而產生互聯以後全網的可信任安全平臺。 事實上,網路平臺的演變,是從最簡單的網際網路開始的。此後,隨著應用需求的發展,越來越多的企業要求將分流的網路進行互聯,從而產生專網、專線。而VPN產生的動力,一方面是安全的需求,一方面是廉價的需求。所以,從專網發展成虛擬網路是一種需求,而安達通也認為,從虛擬專網發展到可信專網也會是一種趨勢。 目前來看,一套完整的TPN模型需要實現所有傳統安全裝置所提供的安全功能:包括虛擬專網、防火牆、入侵檢測、漏洞掃描、病毒防護、網路審計、身份認證、桌面安全等。而TPN應對的問題則包括了:遠端接入使用者帶進木馬和病毒、網路邊界防護力度不夠、分支機構的統一、垃圾郵件和病毒、越權訪問/盜取機密、非法接入/非法外聯、補丁和病毒庫的統一升級、以及聊天、遊戲、下載等網路濫用。 在邊界防禦上,TPN可以做到: 支援動態防火牆,實現基於“身份-角色-資源” 的動態訪問控制,內建全狀態檢測防火牆和入侵檢測微引擎;支援VPN;和主機威脅引擎聯動,構成“主動防禦體系”,阻斷有安全隱患和未透過身份認證的內網主機訪問網際網路;可以對QQ、BT、MSN、Skype等各種P2P軟體進行攔截,也可以按照管理員的定義;能夠為不同角色的使用者分配不同的頻寬和上網優先順序,確保關鍵業務的順暢執行。 在內網防禦上,TPN可以做到: 支援內網使用者強制身份認證,基於角色對內網伺服器進行嚴格的訪問控制,防止越權訪問;非法接入檢測;IP和MAC繫結;問題主機自動隔離:對於有安全問題的主機,主機威脅引擎發現後會告警,並可主動斷開問題PC的網路連線,防止威脅擴散,並實現內網病毒爆發點定位。 在主機防禦上,TPN可以做到: 禁用/惡意/強制執行軟體檢測和基於“閘道器聯動技術”的封堵;主機風險評估:對主機系統的安全狀況進行檢測和評估;強制軟體/補丁分發;IP地址固定:防止主機IP被非法篡改;主機埠統一管理;主機反垃圾郵件:作為主機威脅引擎的一個元件,採用業界最先進的反垃圾郵件技術,進行垃圾郵件分析和堵截;主機外設控制。 在接入威脅防護上,TPN可以做到: VPN移動使用者准入控制,禁止VPN移動使用者的主機在沒有達到安全級別時對內網的接入,確保網路的威脅不會透過內部使用者傳播進內網;遠地VPN網路使用者准入控制:禁止遠地VPN網路內的使用者主機在沒有達到管理員規定的安全級別時,對TPN安全閘道器保護內網的接入。 醫學 全胃腸外營養(Total Parenteral Nutrition,簡稱TPN)TPN係指透過靜脈途徑給予適量的蛋白質(氨基酸)、脂肪、碳水化合物、電解質、維生素和微量元素,以達到營養治療的一種方法。臨床應用越來越廣泛,已成為外科治療中不可缺少的一部分。 TPN是由水、糖類、氨基酸、脂肪、維生素、電解質及微量元素等組成。根據病情需要可酌加胰島素、抗生素等藥物。 TPN(Timed Petri Nets)時間Petri網。