CSA GCR發(fā)布｜《SDP實現(xiàn)等保2.0合規(guī)技術指南》

網(wǎng)絡安全等級保護制度標準于2019年12月1日實施,是國家信息安全保障的基本制度、基本策略、基本方法。等保2.0將等保1.0的被動式傳統(tǒng)防御思路轉(zhuǎn)變?yōu)橹鲃邮椒烙?覆蓋工業(yè)控制系統(tǒng)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術新應用,為落實信息系統(tǒng)安全工作提供了方向和依據(jù)。

云安全聯(lián)盟提出的SDP軟件定義邊界是實施零信任安全架構(gòu)的解決方案,SDP將基于傳統(tǒng)靜態(tài)邊界的被動防御轉(zhuǎn)化為基于動態(tài)邊界的主動防御,與等保2.0的防御思路非常吻合,成為滿足等保2.0合規(guī)要求的優(yōu)選解決方案。CSA大中華區(qū)SDP工作組對等保2.0做了深入解讀,并編寫出了《SDP實現(xiàn)等保2.0合規(guī)技術指南》(以下簡稱“指南”),指南對SDP的基本原理、等保2.0的發(fā)展背景及要求、SDP與等保2.0的關系、SDP滿足等保2.0的二級、三級、四級安全通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求、工業(yè)控制系統(tǒng)安全擴展要求等做了詳細的闡述和說明,力求將SDP與等保2.0的每一項具體要求進行對比說明,方便讀者對SDP如何滿足等保2.0的具體細節(jié)有更清晰的認知。

1.安全通用要求:

2019年12月1日網(wǎng)絡安全等級保護制度2.0標準正式實施,各政府、企事業(yè)單位都需要通過開展等級保護工作,推動等級保護整改建設實施,使得相關信息系統(tǒng)能夠達到相應等級的基本保護和防護能力。《SDP實現(xiàn)等保2.0合規(guī)技術指南》的『安全通要要求』能夠有效的幫助用戶了解信息系統(tǒng)如何滿足等級保護的要求,構(gòu)建符合等級保護的安全架構(gòu)。

在指南中『安全通用要求』部分覆蓋:安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心等內(nèi)容;在身份鑒別、通信傳輸、邊界防護、訪問控制、入侵防范、安全審計部分SDP對業(yè)務系統(tǒng)能形成更有效的保護,可以幫助業(yè)務系統(tǒng)完成等級保護整改建設。

2.云計算安全擴展要求:

在云計算環(huán)境中,由于計算、存儲和網(wǎng)絡等元素的資源池化,業(yè)務所在的物理位置和網(wǎng)絡位置的頻繁變化,以及從單用戶到多租戶的管理運維模式變化,導致了傳統(tǒng)的安全防護和管理運維手段無法有效應對云計算環(huán)境的情況,這使得如何滿足等級保護2.0中對云計算的擴展要求成為一個棘手的問題。再加上云端應用的用戶比傳統(tǒng)用戶的接入方式更加靈活,當用戶、業(yè)務都可變時,網(wǎng)絡路徑就變得不確定,因而相對應的防護手段也遇到了挑戰(zhàn)。這使得安全通信網(wǎng)絡成為云計算環(huán)境滿足等級保護2.0要求的核心問題之一。

軟件定義邊界(SDP)恰好給這種情況提供了一種行之有效的應對思路。SDP是以用戶身份為中心的,而沒有基于預設的發(fā)起方(IH)和接受方(AH)的網(wǎng)絡地址等信息,因而能夠在內(nèi)外部環(huán)境,尤其是網(wǎng)絡地址和拓撲都持續(xù)發(fā)生變化的情況下,提供可靠的隔離和訪問控制手段。CSA提出采用以身份體系代替物理位置、網(wǎng)絡區(qū)域的SDP零信任架構(gòu)逐漸獲得業(yè)界認可。

本章針對云計算擴展中的不同等級的具體要求,給出了SDP的適用性建議,幫助讀者快速了解如何借助SDP,在云計算環(huán)境中滿足等級保護2.0中的相關要求,便于讀者進行架構(gòu)規(guī)劃設計,以及選用恰當?shù)姆桨负彤a(chǎn)品。

3.移動互聯(lián)安全擴展要求:

移動互聯(lián)應用架構(gòu)

移動互聯(lián)網(wǎng)應用越來越普及,移動終端接近全覆蓋,基于移動互聯(lián)網(wǎng)的應用也越來越多,涉及工作、生活、家居、娛樂等各方面,移動互聯(lián)網(wǎng)安全也越顯重要。因此在等保2.0中提出了移動互聯(lián)網(wǎng)安全擴展要求,對移動互聯(lián)網(wǎng)的移動終端、移動應用、無線網(wǎng)絡等提出了特殊的安全要求,包括物理安全、邊界防護、訪問控制、入侵防范、終端管控、軟件開發(fā)等。軟件定義邊界(SDP)強化移動互聯(lián)網(wǎng)應用的安全機制,利用動態(tài)信任評估、網(wǎng)絡隱藏、雙向驗證、網(wǎng)絡微隔離、安全遠程訪問等技術手段實現(xiàn)增強移動互聯(lián)網(wǎng)安全的目的。

4. 物聯(lián)網(wǎng)安全擴展要求:

物聯(lián)網(wǎng)近些年正在快速發(fā)展,聯(lián)網(wǎng)設備呈指數(shù)型增加,終端功能越來越復雜,而這個過程中面臨著眾多的安全風險。因此在等保2.0中提出了物聯(lián)網(wǎng)安全擴展要求,對物聯(lián)網(wǎng)系統(tǒng)的終端感知節(jié)點、感知網(wǎng)關節(jié)點、遠程數(shù)據(jù)中心提出了接入控制、入侵防范、節(jié)點管理等要求。軟件定義邊界(SDP)將通過“零信任”框架,重構(gòu)物聯(lián)網(wǎng)系統(tǒng)的安全機制,并利用強化身份驗證、身份與設備的雙向驗證、網(wǎng)絡微隔離、安全遠程訪問等技術手段實現(xiàn)增強物聯(lián)網(wǎng)安全,實現(xiàn)對于等保2.0的滿足或部分滿足。

物聯(lián)網(wǎng)構(gòu)成

本章首先對物聯(lián)網(wǎng)安全架構(gòu)進行概述,然后分析2級、3級、4級等保要求,再根據(jù)每個等保要求分析SDP的適用情況,最后闡述哪些SDP技術能夠?qū)Φ缺?.0要求滿足的適用策略,讀者可以從中找到合適的策略用在自己的物聯(lián)網(wǎng)系統(tǒng)中。

5.工控系統(tǒng)安全擴展要求:

我國在推動制造業(yè)升級,邁向工業(yè)4.0時代,如何做好工業(yè)控制系統(tǒng)安全和合規(guī)是當下各單位面臨的挑戰(zhàn)。本章節(jié)依據(jù)《網(wǎng)絡安全等級保護基本要求》工業(yè)控制系統(tǒng)安全擴展要求,結(jié)合SDP技術,從網(wǎng)絡架構(gòu)、通信傳輸、訪問控制、無線使用等方面提供安全使用建議,覆蓋二、三、四級的工業(yè)控制系統(tǒng)安全防護,力助各單位利用SDP技術做好工業(yè)控制系統(tǒng)安全防護與合規(guī)。

總結(jié)

基于零信任理念的軟件定義邊界(SDP)技術不僅能夠幫助企業(yè)做好網(wǎng)絡安全建設,同時也能夠滿足等保2.0中的多項安全要求,除了在通用安全方面,還在諸如云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制等新興領域方面發(fā)揮著巨大的作用。在邊界防護、入侵防范、通信傳輸、身份鑒別、數(shù)據(jù)保密等方面,可以幫助企業(yè)進一步收窄業(yè)務系統(tǒng)暴露面,保障業(yè)務系統(tǒng)的邊界安全,是更符合新時代網(wǎng)絡安全發(fā)展趨勢的安全解決方案。

在網(wǎng)絡安全已經(jīng)上升到國家戰(zhàn)略層面的今天,以等保2.0為代表的國家標準正在發(fā)揮越來越重要的作用。而如何將這些標準做到“落地實施”,則需要依托于所有的網(wǎng)絡安全從業(yè)人員和廠商的共同努力。而這其中,以軟件定義邊界SDP為代表的新一代網(wǎng)絡完全架構(gòu),正在顛覆傳統(tǒng)的企業(yè)網(wǎng)絡安全體系,將在今后企業(yè)網(wǎng)絡安全建設和發(fā)展過程中發(fā)揮舉足輕重的作用。

特別感謝參與本文檔編寫的專家(排名不分先后):

總編輯:陳本峰(云深互聯(lián))

?安全通用要求章節(jié):

組長:盧藝(深信服),組員:劉鵬(深信服)、鹿淑煜(三未信安)、潘盛合(順豐)、劉洪森

云計算安全擴展要求章節(jié):

組長:薛永剛(華為) 組員:秦益飛(易安聯(lián))、于繼萬(華為)、魏琳琳(國云科技)、楊洋

移動互聯(lián)安全擴展要求章節(jié):

組長:何國鋒 組員:張全偉(吉大正元)、張澤洲(奇安信)、孫剛、趙銳

物聯(lián)網(wǎng)安全擴展要求章節(jié):

組長:余曉光(華為) 組員:張大海(三未信安)、高軼峰、馬紅杰、王安宇(OPPO)、楊喜龍

工控系統(tǒng)安全擴展要求章節(jié):

組長:汪云林(天融信)組員:靳明星(易安聯(lián))、袁初成(締安科技)、姚凱、于新宇(安幾網(wǎng)安)

CSA GCR研究助理:朱曉璐、高健凱、廖飛

感謝以下單位對本文檔的支持和貢獻(按拼音排序):

北京三未信安科技發(fā)展有限公司、北京天融信網(wǎng)絡安全技術有限公司、長春吉大正元信息技術股份有限公司、國云科技股份有限公司、華為技術有限公司、江蘇易安聯(lián)網(wǎng)絡技術有限公司、OPPO廣東移動通信有限公司、奇安信科技集團股份有限公司、上海安幾科技有限公司、上海締安科技股份有限公司、深信服科技股份有限公司、深圳順豐泰森控股(集團)有限公司、深圳竹云科技有限公司、云深互聯(lián)(北京)科技有限公司

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。