摘要: 等保2.0的推出、《信息安全等级保护条例》正式更名为《网络安全等级保护条例》,也标志着国家把企业网络安全上升到国家安全层面,从宏观角度对企业网络安全提出了更高的要求。
随着互联网、移动互联网、5G、IoT一波波技术浪潮的来袭,传统的企业物理安全边界正在失效,数据因流动、共享的需要,让企业网络安全形势面临着越来越多的挑战。
与此同时,等保2.0的推出、《信息安全等级保护条例》正式更名为《网络安全等级保护条例》,也标志着国家把企业网络安全上升到国家安全层面,从宏观角度对企业网络安全提出了更高的要求。
总体上,等保2.0技术要求框架发生了三个方面的显著变化:
等保2.0的显著变化
第一个变化是安全通用要求的结构重组
整体结构从物理安全、网络安全、主机安全、应用安全、数据安全变成安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心。
“物理安全”重命名为“安全物理环境”;“网络安全”拆分为“安全通讯网络”和“安全区域边界”;“主机安全”、“应用安全”、“数据安全及备份恢复”合并为“安全计算环境”;同时,新增“安全管理中心”要求。
第二个变化是安全扩展要求
在安全通用要求基础上新增了对云计算、移动互联网、物联网、工业控制系统安全的扩展要求,同时在附录内也对大数据应用场景的安全要求作出了明确专门的说明。
第三个变化是新引入的技术要求
新增对多个环节的“可信验证”的明确要求,并且明确引入对“个人信息保护“的要求。
从整体上看,等保2.0对企业形成体系化的网络空间方法论,系统化的主动防御思路给出了指引、提出了更高要求。
本文尝试从等保2.0的技术要求出发,从数据产生、存储与使用、数据流转与共享、数据全生命周期集中管控等三个方面,探讨企业如何构建符合等保要求的数据安全技术体系。
1. 数据产生、存储与使用
涉及数据产生、存储与使用的技术要求在等保1.0里,是分布在“主机安全”、“应用安全”、“数据安全及备份恢复”三个部分,而在2.0中统一合并为“安全计算环境”要求,主要涉及面向身份的访问控制、可信验证和数据内容保护(保密性、完整性、可用性)三部分。
面向身份的访问控制
等保2.0明确提出“访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;”这对传统的数据访问控制模式提出了进阶式的高要求,细粒度的精细化访问控制包括以下几个特点:身份认证精确到人(用户个体)、每个应用程序(进程)启动后能够动态地与主体身份相关联、主体的身份能够在主体触发的动作链条中代理传递。
如下图所示,当一个用户(c1)通过Web平台提交数据查询任务,触发大数据平台启动若干计算进程去访问文件系统或数据仓库,c1身份在每个环节被精准识别并做相应鉴权操作;更进一步,从c1登陆Web平台触发作业job2提交,到计算任务task1和task2启动,均得到了c1的身份代理传递,当计算任务访问数据(仓)库时,c1的身份可以被精确识别,并进行鉴权。
当然上述示例也适用于主机登陆、任务托管、云计算、大数据等多种场景。
也就是说,所有与数据相关的操作都需要进行细粒度的访问控制,而操作链条上可以回溯到触发操作的主体身份,参与操作的所有应用程序(进程)都能够被识别并与主体身份关联。这正是与近些年被安全行业广泛认可、被誉为企业安全未来方向的“零信任安全框架”理念完全契合。
可信验证
可信验证是由我国沈昌祥院士主导的可信计算3.0课题提出,曾被列入我国的十二五计划,其核心思想是在计算机体系结构上构建出独立的可信计算环境,确保环境内部的系统、应用程序、配置参数等都经过可信验证、符合预期。
要做到如下五个可信,从而达到主动免疫的效果,包括体系结构可信、操作行为可信、数据存储可信、策略管理可信、资源配置可信。
数据内容保护
数据完整性、保密性主要借助高效、高强度的密码技术保障,涉及到了密码技术在企业大规模分布式系统中的广泛应用,以及其中的密钥管控能力。
在量子计算到来之前,当前的密码技术之于当今行业场景已经相当成熟。但要满足大规模、高效、低开销的要求,特别是云计算与大数据的高度虚拟化分布式场景下,对密码产品的研发需要相当高的工程能力和算法能力。
等保2.0对剩余信息的鉴别与清除也给出了专门的说明,这对企业基础设施提出了更高要求,需要对数据计算过程有更好的识别能力,对数据生命周期有更高的管理能力。基础设施本身安全属性的重要性被提升到了空前的高度。
同时,对个人信息的识别与保护能力也是首次被引入到等级保护条例。众所周知隐私保护近年来受到了国际社会、国内行业的广泛重视。对应的个人信息识别、脱敏泛化、隐私计算等安全技术都在高速的发展中。目前得到业内初步认可的有差分隐私、多方安全计算、同态加密等几项技术。这些技术已经在一些特定的领域发挥重要的作用。
2. 数据流转与共享
数据流转与共享主要涉及等保2.0中“安全通讯网络”与“安全区域边界”两部分技术要求。数据通讯传输过程中最重要的是通讯管道建立过程中的双向认证以及数据通讯过程中的保密性保障。
安全区域边界部分在等保2.0中明确指出,需要能够在应用层针对各类应用通讯协议与内容施加访问控制策略,并且能够保障策略的最小化。特别值得关注的是,在云计算与大数据扩展要求中提到,区域边界需要跟随业务的变化而动态收缩扩展。那么目前在应用层基于身份的边界控制技术则成为了最佳的选择,包括软件定义边界(SDP)与微隔离技术。
软件定义边界(SDP)
软件定义的边界(SDP)是由云安全联盟(CSA)开发的一种安全框架,它根据身份控制对资源的访问。该框架基于美国国防部的“need to know”模型——每个终端在连接服务器前必须进行验证,确保每台设备都是被允许接入的。其核心思想是通过SDP架构隐藏核心网络资产与设施,使之不直接暴露在互联网下,使得网络资产与设施免受外来安全威胁。
微隔离
微隔离包括了动态组网与动态隔离两项能力,能够以虚拟机、容器等虚拟化单位为节点动态地根据业务需要组成局部的计算网格,让业务数据只在该网格之间流动而与其他网络相互隔离。
微隔离有效地阻止了企业内部东西流量的穿越,保障南北流量的正常,解决了云计算、大数据基础设施上高关联、高动态场景下的网络边界安全问题。基于身份与业务信息的细粒度网络控制能力是微隔离技术的核心精髓。
3. 数据全生命周期集中管控
等保2.0中新引入了“安全管理中心”部分的技术要求,要求企业建设安全运营中心,通过大数据、AI和数据可视化技术对企业安全集中统一施加管控。基于AI的数据驱动安全技术能够为数据安全纵深防御体系辅以自适应能力,能够跟随业务的发展而动态调整安全系统本身。
综上,在等保2.0的新要求下,企业数据安全还需要重点加强或新建的安全技术方向包括以下四个:细粒度的访问控制;可信计算;基于身份的动态边界防护能力;基于AI的自适应安全能力。
参考解决方案
数篷科技的DataCloak®零信任终端安全工作空间(DACS) 作为业内先进的零信任安全解决方案,可以帮助企业在以上几个新技术方向的实现和落地。它具有轻量可信计算环境、软件定义网络边界和AI驱动自适应安全三大核心技术,核心思想是以数据为中心,防御机制跟随数据的流动而建,从而实现为企业数据提供精细化、贴身的防护措施。
来源:freebuf.com 2020-07-16 17:48:28 by: DataCloak
请登录后发表评论
注册