首頁 > IT業界 > 正文

CSA GCR發布|《SDP實現等保2.0合規技術指南》

2020-04-29 09:48:59  來源:CIO時代網

摘要:網絡安全等級保護制度標準于2019年12月1日實施,是國家信息安全保障的基本制度、基本策略、基本方法。等保2 0將等保1 0的被動式傳統防御思路轉變為主動式防御,覆蓋工業控制系統、云計算、大數據、物聯網等新技術新應用,為落實信息系統安全工作提供了方向和依據。
關鍵詞: 等保2 0、SDP
      網絡安全等級保護制度標準于2019年12月1日實施,是國家信息安全保障的基本制度、基本策略、基本方法。等保2.0將等保1.0的被動式傳統防御思路轉變為主動式防御,覆蓋工業控制系統、云計算、大數據、物聯網等新技術新應用,為落實信息系統安全工作提供了方向和依據。
\
      云安全聯盟提出的SDP軟件定義邊界是實施零信任安全架構的解決方案,SDP將基于傳統靜態邊界的被動防御轉化為基于動態邊界的主動防御,與等保2.0的防御思路非常吻合,成為滿足等保2.0合規要求的優選解決方案。CSA大中華區SDP工作組對等保2.0做了深入解讀,并編寫出了《SDP實現等保2.0合規技術指南》(以下簡稱“指南”),指南對SDP的基本原理、等保2.0的發展背景及要求、SDP與等保2.0的關系、SDP滿足等保2.0的二級、三級、四級安全通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求等做了詳細的闡述和說明,力求將SDP與等保2.0的每一項具體要求進行對比說明,方便讀者對SDP如何滿足等保2.0的具體細節有更清晰的認知。

1.安全通用要求:
      2019年12月1日網絡安全等級保護制度2.0標準正式實施,各政府、企事業單位都需要通過開展等級保護工作,推動等級保護整改建設實施,使得相關信息系統能夠達到相應等級的基本保護和防護能力?!禨DP實現等保2.0合規技術指南》的『安全通要要求』能夠有效的幫助用戶了解信息系統如何滿足等級保護的要求,構建符合等級保護的安全架構。
在指南中『安全通用要求』部分覆蓋:安全通信網絡、安全區域邊界、安全計算環境、安全管理中心等內容;在身份鑒別、通信傳輸、邊界防護、訪問控制、入侵防范、安全審計部分SDP對業務系統能形成更有效的保護,可以幫助業務系統完成等級保護整改建設。

2.云計算安全擴展要求:
      在云計算環境中,由于計算、存儲和網絡等元素的資源池化,業務所在的物理位置和網絡位置的頻繁變化,以及從單用戶到多租戶的管理運維模式變化,導致了傳統的安全防護和管理運維手段無法有效應對云計算環境的情況,這使得如何滿足等級保護2.0中對云計算的擴展要求成為一個棘手的問題。再加上云端應用的用戶比傳統用戶的接入方式更加靈活,當用戶、業務都可變時,網絡路徑就變得不確定,因而相對應的防護手段也遇到了挑戰。這使得安全通信網絡成為云計算環境滿足等級保護2.0要求的核心問題之一。
      軟件定義邊界(SDP)恰好給這種情況提供了一種行之有效的應對思路。SDP是以用戶身份為中心的,而沒有基于預設的發起方(IH)和接受方(AH)的網絡地址等信息,因而能夠在內外部環境,尤其是網絡地址和拓撲都持續發生變化的情況下,提供可靠的隔離和訪問控制手段。CSA提出采用以身份體系代替物理位置、網絡區域的SDP零信任架構逐漸獲得業界認可。
      本章針對云計算擴展中的不同等級的具體要求,給出了SDP的適用性建議,幫助讀者快速了解如何借助SDP,在云計算環境中滿足等級保護2.0中的相關要求,便于讀者進行架構規劃設計,以及選用恰當的方案和產品。

3.移動互聯安全擴展要求:
\
移動互聯應用架構
      移動互聯網應用越來越普及,移動終端接近全覆蓋,基于移動互聯網的應用也越來越多,涉及工作、生活、家居、娛樂等各方面,移動互聯網安全也越顯重要。因此在等保2.0中提出了移動互聯網安全擴展要求,對移動互聯網的移動終端、移動應用、無線網絡等提出了特殊的安全要求,包括物理安全、邊界防護、訪問控制、入侵防范、終端管控、軟件開發等。軟件定義邊界(SDP)強化移動互聯網應用的安全機制,利用動態信任評估、網絡隱藏、雙向驗證、網絡微隔離、安全遠程訪問等技術手段實現增強移動互聯網安全的目的。

4. 物聯網安全擴展要求:
      物聯網近些年正在快速發展,聯網設備呈指數型增加,終端功能越來越復雜,而這個過程中面臨著眾多的安全風險。因此在等保2.0中提出了物聯網安全擴展要求,對物聯網系統的終端感知節點、感知網關節點、遠程數據中心提出了接入控制、入侵防范、節點管理等要求。軟件定義邊界(SDP)將通過“零信任”框架,重構物聯網系統的安全機制,并利用強化身份驗證、身份與設備的雙向驗證、網絡微隔離、安全遠程訪問等技術手段實現增強物聯網安全,實現對于等保2.0的滿足或部分滿足。
\
物聯網構成
      本章首先對物聯網安全架構進行概述,然后分析2級、3級、4級等保要求,再根據每個等保要求分析SDP的適用情況,最后闡述哪些SDP技術能夠對等保2.0要求滿足的適用策略,讀者可以從中找到合適的策略用在自己的物聯網系統中。

5.工控系統安全擴展要求:
      我國在推動制造業升級,邁向工業4.0時代,如何做好工業控制系統安全和合規是當下各單位面臨的挑戰。本章節依據《網絡安全等級保護基本要求》工業控制系統安全擴展要求,結合SDP技術,從網絡架構、通信傳輸、訪問控制、無線使用等方面提供安全使用建議,覆蓋二、三、四級的工業控制系統安全防護,力助各單位利用SDP技術做好工業控制系統安全防護與合規。

總結
      基于零信任理念的軟件定義邊界(SDP)技術不僅能夠幫助企業做好網絡安全建設,同時也能夠滿足等保2.0中的多項安全要求,除了在通用安全方面,還在諸如云計算、移動互聯、物聯網、工業控制等新興領域方面發揮著巨大的作用。在邊界防護、入侵防范、通信傳輸、身份鑒別、數據保密等方面,可以幫助企業進一步收窄業務系統暴露面,保障業務系統的邊界安全,是更符合新時代網絡安全發展趨勢的安全解決方案。
      在網絡安全已經上升到國家戰略層面的今天,以等保2.0為代表的國家標準正在發揮越來越重要的作用。而如何將這些標準做到“落地實施”,則需要依托于所有的網絡安全從業人員和廠商的共同努力。而這其中,以軟件定義邊界SDP為代表的新一代網絡完全架構,正在顛覆傳統的企業網絡安全體系,將在今后企業網絡安全建設和發展過程中發揮舉足輕重的作用。

特別感謝參與本文檔編寫的專家(排名不分先后):
?總編輯:陳本峰(云深互聯)
?安全通用要求章節:
組長:盧藝(深信服),組員:劉鵬(深信服)、鹿淑煜(三未信安)、潘盛合(順豐)、劉洪森
?云計算安全擴展要求章節:
組長:薛永剛(華為) 組員:秦益飛(易安聯)、于繼萬(華為)、魏琳琳(國云科技)、楊洋
?移動互聯安全擴展要求章節:
組長:何國鋒  組員:張全偉(吉大正元)、張澤洲(奇安信)、孫剛、趙銳
?物聯網安全擴展要求章節:
組長:余曉光(華為) 組員:張大海(三未信安)、高軼峰、馬紅杰、王安宇(OPPO)、楊喜龍
?工控系統安全擴展要求章節:
組長:汪云林(天融信)組員:靳明星(易安聯)、袁初成(締安科技)、姚凱、于新宇(安幾網安)
?CSA GCR研究助理:朱曉璐、高健凱、廖飛

感謝以下單位對本文檔的支持和貢獻(按拼音排序):
北京三未信安科技發展有限公司、北京天融信網絡安全技術有限公司、長春吉大正元信息技術股份有限公司、國云科技股份有限公司、華為技術有限公司、江蘇易安聯網絡技術有限公司、OPPO廣東移動通信有限公司、奇安信科技集團股份有限公司、上海安幾科技有限公司、上海締安科技股份有限公司、深信服科技股份有限公司、深圳順豐泰森控股(集團)有限公司、深圳竹云科技有限公司、云深互聯(北京)科技有限公司
 
\


第三十屆CIO班招生
法國布雷斯特商學院碩士班招生
北達軟EXIN網絡空間與IT安全基礎認證培訓
北達軟EXIN DevOps Professional認證培訓
責編:liujy
好运南京麻将安卓版 股票怎么玩 股票杠杆平台有哪些 湖北11选五玩法 河北11选五任选走势图 etf对应上证指数多少 3d福彩007的对应码是多少 上海时时乐最新基本走势图 北京赛车现场直播视频 股票配资网络销售方案 30选5今天开奖号码查询