CSA GCR發(fā)布｜《SDP實(shí)現(xiàn)等保2.0合規(guī)技術(shù)指南》

網(wǎng)絡(luò)安全等級保護(hù)制度標(biāo)準(zhǔn)于2019年12月1日實(shí)施,是國家信息安全保障的基本制度、基本策略、基本方法。等保2.0將等保1.0的被動式傳統(tǒng)防御思路轉(zhuǎn)變?yōu)橹鲃邮椒烙?覆蓋工業(yè)控制系統(tǒng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)新應(yīng)用,為落實(shí)信息系統(tǒng)安全工作提供了方向和依據(jù)。

云安全聯(lián)盟提出的SDP軟件定義邊界是實(shí)施零信任安全架構(gòu)的解決方案,SDP將基于傳統(tǒng)靜態(tài)邊界的被動防御轉(zhuǎn)化為基于動態(tài)邊界的主動防御,與等保2.0的防御思路非常吻合,成為滿足等保2.0合規(guī)要求的優(yōu)選解決方案。CSA大中華區(qū)SDP工作組對等保2.0做了深入解讀,并編寫出了《SDP實(shí)現(xiàn)等保2.0合規(guī)技術(shù)指南》(以下簡稱“指南”),指南對SDP的基本原理、等保2.0的發(fā)展背景及要求、SDP與等保2.0的關(guān)系、SDP滿足等保2.0的二級、三級、四級安全通用要求、云計(jì)算安全擴(kuò)展要求、移動互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求、工業(yè)控制系統(tǒng)安全擴(kuò)展要求等做了詳細(xì)的闡述和說明,力求將SDP與等保2.0的每一項(xiàng)具體要求進(jìn)行對比說明,方便讀者對SDP如何滿足等保2.0的具體細(xì)節(jié)有更清晰的認(rèn)知。

1.安全通用要求:

2019年12月1日網(wǎng)絡(luò)安全等級保護(hù)制度2.0標(biāo)準(zhǔn)正式實(shí)施,各政府、企事業(yè)單位都需要通過開展等級保護(hù)工作,推動等級保護(hù)整改建設(shè)實(shí)施,使得相關(guān)信息系統(tǒng)能夠達(dá)到相應(yīng)等級的基本保護(hù)和防護(hù)能力?！禨DP實(shí)現(xiàn)等保2.0合規(guī)技術(shù)指南》的『安全通要要求』能夠有效的幫助用戶了解信息系統(tǒng)如何滿足等級保護(hù)的要求,構(gòu)建符合等級保護(hù)的安全架構(gòu)。

在指南中『安全通用要求』部分覆蓋:安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心等內(nèi)容;在身份鑒別、通信傳輸、邊界防護(hù)、訪問控制、入侵防范、安全審計(jì)部分SDP對業(yè)務(wù)系統(tǒng)能形成更有效的保護(hù),可以幫助業(yè)務(wù)系統(tǒng)完成等級保護(hù)整改建設(shè)。

2.云計(jì)算安全擴(kuò)展要求:

在云計(jì)算環(huán)境中,由于計(jì)算、存儲和網(wǎng)絡(luò)等元素的資源池化,業(yè)務(wù)所在的物理位置和網(wǎng)絡(luò)位置的頻繁變化,以及從單用戶到多租戶的管理運(yùn)維模式變化,導(dǎo)致了傳統(tǒng)的安全防護(hù)和管理運(yùn)維手段無法有效應(yīng)對云計(jì)算環(huán)境的情況,這使得如何滿足等級保護(hù)2.0中對云計(jì)算的擴(kuò)展要求成為一個(gè)棘手的問題。再加上云端應(yīng)用的用戶比傳統(tǒng)用戶的接入方式更加靈活,當(dāng)用戶、業(yè)務(wù)都可變時(shí),網(wǎng)絡(luò)路徑就變得不確定,因而相對應(yīng)的防護(hù)手段也遇到了挑戰(zhàn)。這使得安全通信網(wǎng)絡(luò)成為云計(jì)算環(huán)境滿足等級保護(hù)2.0要求的核心問題之一。

軟件定義邊界(SDP)恰好給這種情況提供了一種行之有效的應(yīng)對思路。SDP是以用戶身份為中心的,而沒有基于預(yù)設(shè)的發(fā)起方(IH)和接受方(AH)的網(wǎng)絡(luò)地址等信息,因而能夠在內(nèi)外部環(huán)境,尤其是網(wǎng)絡(luò)地址和拓?fù)涠汲掷m(xù)發(fā)生變化的情況下,提供可靠的隔離和訪問控制手段。CSA提出采用以身份體系代替物理位置、網(wǎng)絡(luò)區(qū)域的SDP零信任架構(gòu)逐漸獲得業(yè)界認(rèn)可。

本章針對云計(jì)算擴(kuò)展中的不同等級的具體要求,給出了SDP的適用性建議,幫助讀者快速了解如何借助SDP,在云計(jì)算環(huán)境中滿足等級保護(hù)2.0中的相關(guān)要求,便于讀者進(jìn)行架構(gòu)規(guī)劃設(shè)計(jì),以及選用恰當(dāng)?shù)姆桨负彤a(chǎn)品。

3.移動互聯(lián)安全擴(kuò)展要求:

移動互聯(lián)應(yīng)用架構(gòu)

移動互聯(lián)網(wǎng)應(yīng)用越來越普及,移動終端接近全覆蓋,基于移動互聯(lián)網(wǎng)的應(yīng)用也越來越多,涉及工作、生活、家居、娛樂等各方面,移動互聯(lián)網(wǎng)安全也越顯重要。因此在等保2.0中提出了移動互聯(lián)網(wǎng)安全擴(kuò)展要求,對移動互聯(lián)網(wǎng)的移動終端、移動應(yīng)用、無線網(wǎng)絡(luò)等提出了特殊的安全要求,包括物理安全、邊界防護(hù)、訪問控制、入侵防范、終端管控、軟件開發(fā)等。軟件定義邊界(SDP)強(qiáng)化移動互聯(lián)網(wǎng)應(yīng)用的安全機(jī)制,利用動態(tài)信任評估、網(wǎng)絡(luò)隱藏、雙向驗(yàn)證、網(wǎng)絡(luò)微隔離、安全遠(yuǎn)程訪問等技術(shù)手段實(shí)現(xiàn)增強(qiáng)移動互聯(lián)網(wǎng)安全的目的。

4. 物聯(lián)網(wǎng)安全擴(kuò)展要求:

物聯(lián)網(wǎng)近些年正在快速發(fā)展,聯(lián)網(wǎng)設(shè)備呈指數(shù)型增加,終端功能越來越復(fù)雜,而這個(gè)過程中面臨著眾多的安全風(fēng)險(xiǎn)。因此在等保2.0中提出了物聯(lián)網(wǎng)安全擴(kuò)展要求,對物聯(lián)網(wǎng)系統(tǒng)的終端感知節(jié)點(diǎn)、感知網(wǎng)關(guān)節(jié)點(diǎn)、遠(yuǎn)程數(shù)據(jù)中心提出了接入控制、入侵防范、節(jié)點(diǎn)管理等要求。軟件定義邊界(SDP)將通過“零信任”框架,重構(gòu)物聯(lián)網(wǎng)系統(tǒng)的安全機(jī)制,并利用強(qiáng)化身份驗(yàn)證、身份與設(shè)備的雙向驗(yàn)證、網(wǎng)絡(luò)微隔離、安全遠(yuǎn)程訪問等技術(shù)手段實(shí)現(xiàn)增強(qiáng)物聯(lián)網(wǎng)安全,實(shí)現(xiàn)對于等保2.0的滿足或部分滿足。

物聯(lián)網(wǎng)構(gòu)成

本章首先對物聯(lián)網(wǎng)安全架構(gòu)進(jìn)行概述,然后分析2級、3級、4級等保要求,再根據(jù)每個(gè)等保要求分析SDP的適用情況,最后闡述哪些SDP技術(shù)能夠?qū)Φ缺?.0要求滿足的適用策略,讀者可以從中找到合適的策略用在自己的物聯(lián)網(wǎng)系統(tǒng)中。

5.工控系統(tǒng)安全擴(kuò)展要求:

我國在推動制造業(yè)升級,邁向工業(yè)4.0時(shí)代,如何做好工業(yè)控制系統(tǒng)安全和合規(guī)是當(dāng)下各單位面臨的挑戰(zhàn)。本章節(jié)依據(jù)《網(wǎng)絡(luò)安全等級保護(hù)基本要求》工業(yè)控制系統(tǒng)安全擴(kuò)展要求,結(jié)合SDP技術(shù),從網(wǎng)絡(luò)架構(gòu)、通信傳輸、訪問控制、無線使用等方面提供安全使用建議,覆蓋二、三、四級的工業(yè)控制系統(tǒng)安全防護(hù),力助各單位利用SDP技術(shù)做好工業(yè)控制系統(tǒng)安全防護(hù)與合規(guī)。

總結(jié)

基于零信任理念的軟件定義邊界(SDP)技術(shù)不僅能夠幫助企業(yè)做好網(wǎng)絡(luò)安全建設(shè),同時(shí)也能夠滿足等保2.0中的多項(xiàng)安全要求,除了在通用安全方面,還在諸如云計(jì)算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制等新興領(lǐng)域方面發(fā)揮著巨大的作用。在邊界防護(hù)、入侵防范、通信傳輸、身份鑒別、數(shù)據(jù)保密等方面,可以幫助企業(yè)進(jìn)一步收窄業(yè)務(wù)系統(tǒng)暴露面,保障業(yè)務(wù)系統(tǒng)的邊界安全,是更符合新時(shí)代網(wǎng)絡(luò)安全發(fā)展趨勢的安全解決方案。

在網(wǎng)絡(luò)安全已經(jīng)上升到國家戰(zhàn)略層面的今天,以等保2.0為代表的國家標(biāo)準(zhǔn)正在發(fā)揮越來越重要的作用。而如何將這些標(biāo)準(zhǔn)做到“落地實(shí)施”,則需要依托于所有的網(wǎng)絡(luò)安全從業(yè)人員和廠商的共同努力。而這其中,以軟件定義邊界SDP為代表的新一代網(wǎng)絡(luò)完全架構(gòu),正在顛覆傳統(tǒng)的企業(yè)網(wǎng)絡(luò)安全體系,將在今后企業(yè)網(wǎng)絡(luò)安全建設(shè)和發(fā)展過程中發(fā)揮舉足輕重的作用。

特別感謝參與本文檔編寫的專家(排名不分先后):

總編輯:陳本峰(云深互聯(lián))

?安全通用要求章節(jié):

組長:盧藝(深信服),組員:劉鵬(深信服)、鹿淑煜(三未信安)、潘盛合(順豐)、劉洪森

云計(jì)算安全擴(kuò)展要求章節(jié):

組長:薛永剛(華為) 組員:秦益飛(易安聯(lián))、于繼萬(華為)、魏琳琳(國云科技)、楊洋

移動互聯(lián)安全擴(kuò)展要求章節(jié):

組長:何國鋒 組員:張全偉(吉大正元)、張澤洲(奇安信)、孫剛、趙銳

物聯(lián)網(wǎng)安全擴(kuò)展要求章節(jié):

組長:余曉光(華為) 組員:張大海(三未信安)、高軼峰、馬紅杰、王安宇(OPPO)、楊喜龍

工控系統(tǒng)安全擴(kuò)展要求章節(jié):

組長:汪云林(天融信)組員:靳明星(易安聯(lián))、袁初成(締安科技)、姚凱、于新宇(安幾網(wǎng)安)

CSA GCR研究助理:朱曉璐、高健凱、廖飛

感謝以下單位對本文檔的支持和貢獻(xiàn)(按拼音排序):

北京三未信安科技發(fā)展有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、長春吉大正元信息技術(shù)股份有限公司、國云科技股份有限公司、華為技術(shù)有限公司、江蘇易安聯(lián)網(wǎng)絡(luò)技術(shù)有限公司、OPPO廣東移動通信有限公司、奇安信科技集團(tuán)股份有限公司、上海安幾科技有限公司、上海締安科技股份有限公司、深信服科技股份有限公司、深圳順豐泰森控股(集團(tuán))有限公司、深圳竹云科技有限公司、云深互聯(lián)(北京)科技有限公司

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。