无论是政府机关、大型企业，还是智力、科技密集型的公司，都会设置多套网络以提高效率，同时会遭遇更多的信息安全威胁。

针对目前网络隔离方案中普遍存在的“隔离不彻底”、“认证不明确”、“监控不严格”等缺陷，清华同方依托国家可信计算的自主科技，以TCM芯片所具备的加密及身份认证特性为基础，推出了完善的可信网络接入方案，实现泾渭分明的网络管理，网络信息安全性倍增。

同方可信网络接入方案基于国家可信密码模组安全芯片（TCM）构建，将加密认证、口令认证和智能卡认证有机地结合在一起，完成对计算机身份的识别和用户身份的识别，从而确保可信接入的安全性。

当用户通过口令或智能卡接入登陆系统时，认证服务器会根据接入信息的有效性判断设备和用户所处的网络环境，此时没有经过认证的计算机或恶意进入者无法获取认证指令，也就不能访问任何网络。这种基于计算机身份的网络隔离，彻底杜绝了未授权电脑或个人对内外网的非法访问，从根本上确保了数据安全。

在可信网络接入方案的实施过程中，同方可信网络接入系统由客户端（包括客户端计算机和客户端代理程序）和同方可信网关组成。终端计算机中的代理软件负责收集可信计算机的完整性度量值、检测客户端计算机的安全状态，并与TNC Server端通信回报客户端的安全状态；同方可信网关负责制定接入策略，收集客户端计算机的安全信息，以判断其是否可以接入可信网络，并将策略结果下放给交换机执行。

相比较传统的“先连接，后评估安全”接入方式，同方可信网络接入方案颠覆性的采用了“先安全评估，后连接”的接入方式，大大增强网络接入的安全性。

同方可信网络接入方案基于开放性的TCG-TNC技术，建立在可信计算技术之上。根据TCG-TNC规范的总体架构，同方可信网络接入方案实现了可信网络接入控制系统，以终端完整性校验来检查终端“健康度”的TNC的权限控制策略，结合已存在的网络访问控制(例如802．1x、IKE、Radius协议)，通过使用可信主机提供的终端技术，实现访问控制，保证了只有拥有合法授权的用户在经过授权的计算机终端上才能实现对网络资源的正常访问，从技术上有效规避了“内网机器接上网线就能访问公共网络”及“外来笔记本接上网线就能访问内部网络”等现象的发生。

（来源：科技日报）