等保2.0解讀|安全策略控制如何化難為易？

簡介：安博通“晶石”之策助力用戶加速實現(xiàn)等保2.0

隨著《網(wǎng)絡安全法》出臺，網(wǎng)絡安全等級保護制度被提升到了法律層面，國家網(wǎng)絡安全等級保護工作進入了2.0時代，各行各業(yè)的網(wǎng)絡運營者對等級保護標準進行重新學習、認識，并基于相關標準建設網(wǎng)絡安全防護措施。等保2.0標準的發(fā)布為等級保護制度的落實提供了有力保障，然而等保2.0標準相對等保1.0標準的擴展與調(diào)整也給網(wǎng)絡運營者帶來了新的困難，尤其是如何實現(xiàn)標準中新增的控制措施。

等保2.0標準中保護對象得到擴展，由單一信息系統(tǒng)擴展到整個網(wǎng)絡空間，將網(wǎng)絡基礎設施、重要信息系統(tǒng)、大數(shù)據(jù)中心、云計算平臺、物聯(lián)網(wǎng)、工控系統(tǒng)、公眾服務平臺等全部納入等級保護監(jiān)管;內(nèi)容進一步完善，除定級、備案、整改、測評和監(jiān)督檢查外，增加了風險評估、安全監(jiān)測、通報預警、案事件調(diào)查、數(shù)據(jù)防護、災難備份、應急處置、自主可控、供應鏈安全、效果評價、綜合考核等內(nèi)容，充分體現(xiàn)了變被動防御為主動防御的核心思想。

在安全要求范圍擴展的同時，等保2.0標準針對安全要求的架構和部分細則也進行了調(diào)整。技術控制措施由原來的物理、網(wǎng)絡、主機、安全、數(shù)據(jù)五方面調(diào)整為安全管理中心統(tǒng)籌安全計算環(huán)境、安全區(qū)域邊界、安全網(wǎng)絡通信的“一個中心三重防御”體系，更加強調(diào)對整體防護體系的管控。細則調(diào)整中，安博通重點關注到了對安全策略的控制要求，以等保三級要求為例，包括：

如此多新增的安全策略控制要求，對網(wǎng)絡運營者來說的確是一個不小的問題，然則標準的要求一定是來源于運維的痛點，相信很多網(wǎng)絡運營者都感受到了安全策略精準運維的切膚之痛。安博通晶石安全策略可視化平臺針對上述安全策略相關要求均提供了解決方案，對應關系如下：

晶石解決之道詳解

01安全策略集中管控

安全策略可視化平臺可實現(xiàn)對企業(yè)全網(wǎng)防火墻、路由交換、負載均衡、VPN等異構品牌、異構型號的網(wǎng)絡安全設備進行統(tǒng)一集中管理，包括策略采集、策略解析、策略歷史、策略變更監(jiān)控、策略查詢、策略清理、策略開通等相關功能。平臺可通在線方式遠程采集被管設備的安全策略配置文件，對提取到的防火墻策略在數(shù)據(jù)格式上進行標準化與統(tǒng)一化處理，并統(tǒng)一解析，實現(xiàn)對全網(wǎng)安全設備以及全網(wǎng)安全策略的統(tǒng)一、集中可視化呈現(xiàn)及操作。 滿足等保2.0中有關安全管理和集中管控的控制點和要求項。

02安全策略優(yōu)化清理

平臺采用“靜”、“動”結合方式實現(xiàn)安全策略的優(yōu)化清理，確保訪問控制規(guī)則最小化。“靜”即基于策略優(yōu)化檢查算法對防火墻、路由器、交換機網(wǎng)絡節(jié)點設備的安全訪問控制策略配置文件進行優(yōu)化檢查，梳理出各類冗余策略、隱藏策略、過期策略、可合并策略、空策略等，管理員可根據(jù)分析結果再對策略進行精簡和優(yōu)化調(diào)整。“動”即平臺通過采集防火墻設備的安全策略日志進行統(tǒng)計分析，并與安全策略進行原子級五元組比對，實現(xiàn)安全策略命中與收斂分析功能。

安全策略命中分析可針對防火墻上每條策略實現(xiàn)歷史一段時間的命中流量總數(shù)呈現(xiàn)，同時通過策略命中，調(diào)整策略順序，命中數(shù)多的策略優(yōu)先級高，提高防火墻效率;找出長期無用策略，針對性進行縮緊和刪除。安全策略收斂分析功能則通過策略收斂度比值的方式呈現(xiàn)目標防火墻上每條策略的寬松程度，策略收斂度值越小的策略越寬松，同時可以查看實際命中原子策略信息，通過策略收斂分析，找出寬松策略和長期無效策略，針對性進行縮緊和刪除。可實現(xiàn)最小化訪問策略原則，從而提升網(wǎng)絡的整體安全防御能力。

03安全策略風險分析

平臺基于系統(tǒng)預置的安全策略風險規(guī)則庫，對防火墻設備安全策略配置進行策略風險規(guī)則檢測，并提供防火墻設備安全策略風險告警以及整改措施。策略風險規(guī)則涵蓋統(tǒng)計風險、寬松風險、高危端口、配置風險、合規(guī)風險等多個維度。同時平臺支持域間訪問白名單與持續(xù)監(jiān)控功能，系統(tǒng)可自動梳理各安全域之間的訪問控制關系，配合人工干預快速形成全網(wǎng)安全域間訪問控制白名單，實現(xiàn)對全網(wǎng)安全域間訪問控制白名單可視化管理;并通過持續(xù)監(jiān)測，及時發(fā)現(xiàn)違反訪問控制白名單的違規(guī)路徑和安全策略，有效規(guī)避安全策略風險。

04安全策略智慧運維

平臺提供更加智能化的安全策略自動化運維解決方案，安全策略自動開通與配置功能包含開通業(yè)務請求、開通建議、策略風險分析、策略遠程下發(fā)以及策略開通驗證等功能，從而賦能網(wǎng)絡安全管理員，協(xié)助安全管理員根據(jù)業(yè)務需求設置安全策略，包括定義訪問路徑、選擇安全組件、配置安全策略。該方案不僅可確保變更內(nèi)容準確，提高工作效率，降低維護成本，同時讓整個安全策略運維管理工作更加合規(guī)。

等級保護工作的落實有效提升了我國的網(wǎng)絡安全防護能力。等保2.0的發(fā)布，對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制及大數(shù)據(jù)安全等領域的安全防護能力提出有效補充，是實現(xiàn)國家網(wǎng)絡安全戰(zhàn)略目標的新一級臺階。安博通將發(fā)揮自身技術優(yōu)勢，始終貫徹網(wǎng)絡安全等級保護制度，為國家網(wǎng)絡安全建設工作貢獻力量!

關于安博通

北京安博通科技股份有限公司(簡稱“安博通”)，成立于2011年，以“看透安全，體驗價值”理念為核心，是國內(nèi)領先的可視化網(wǎng)絡安全專用核心系統(tǒng)產(chǎn)品與安全服務提供商。其自主研發(fā)的ABT SPOS可視化網(wǎng)絡安全系統(tǒng)平臺，已成為眾多一線廠商與大型解決方案集成商最廣泛搭載的網(wǎng)絡安全系統(tǒng)套件，是國內(nèi)眾多部委與央企安全態(tài)勢感知平臺的核心組件與數(shù)據(jù)引擎。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。