近年来在全球范围频发的众多网络犯罪和网络安全事件让社会对网络安全的关注度达到前所未有的高度。
中国政府已将网络安全提升至国家战略高度,明确提出 “没有网络安全就没有国家安全”从立法规范的层面重视强调网络安全工作的重要性。已于2017年6月正式生效的《中华人民共和国网络安全法》,是中国首部在网络安全领域的基础性法律, 将原来散见于各种法规、规章中的网络安全规定上升至法律层面。
《网络安全等级保护条例》是依据网络安全法第21条 “国家实行网络安全等级保护制度”的要求制定的行政法规。等级保护2.0系列国家标准文件中的《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 》、 《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》 和《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》,可以有效指导网络运营者、网络安全企业、网络安全服务机构开展网络安全等级保护工作,全面提升网络运营者的安全保护能力。
那么,在等保2.0的新要求下,如何完成跨网安全文件交换的合规性建设呢?
下面,我们主要面向等保三级、四级的要求,从网络、通信、边界等相关角度,探讨一下我们的理解。
Ftrans跨网文件安全交换解决方案
安全通信网络
网络架构
要求
等保三级的要求包括:
a) 应保证网络设备的业务处理能力满足业务高峰期需要;
b) 应保证网络各个部分的带宽满足业务高峰期需要;
c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;
e) 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
等保四级的要求在三级的基础上增加了:
f) 应按照业务服务的重要程度分配带宽,优先保障重要业务。
解析
我们把这一部分的要求,主要提炼为四个关键词划分、够用、冗余、优先。
划分,就是按照部门或者业务将网络划分成不同的区域。
够用,就是设备处理能力、带宽容量,要能够满足业务需求。
冗余,就是通过冗余设备、链路的方式,确保服务不中断。
优先,就是重要的业务,应当能够优先使用网络资源。
Ftrans方案响应
内置超高速传输协议,最大化地提升带宽利用率。同等业务压力下,大大节省带宽资源需求,降低带宽建设成本。
自动化的传输执行机制,可以与其它业务错峰运行,最大化利用发挥网络闲时价值。
通信传输
要求
等保三级的要求包括:
a) 应采用校验技术或密码技术保证通信过程中数据的完整性;
b) 应采用密码技术保证通信过程中数据的保密性。
等保四级的要求在三级的基础上增加了:
c) 应在通信前基于密码技术对通信的双方进行验证或认证;
d) 应基于硬件密码模块对重要通信过程进行密码运算和密钥管理。
解析
我们把这一部分的要求,主要提炼为三个关键词完整、保密、身份。
完整,就是确保数据传输的内容是完成的,不会缺失。
保密,就是通信过程中的数据是加密的,不会遗失或别窃取。
身份,就是确保通信双方的身份符合预期,而不是与错误的对端通信。
Ftrans方案响应
内置自动的文件完整性校验,以及通信双方的内容核验机制,确保传输内容的正确性与完整性。
多层级的错误自动处理机制,即便在网络中断等极端条件下,也能做到错误重传、断点续传,最终确保数据传输的可靠性。
安全区域边界
边界防护
要求
等保三级的要求包括:
a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制;
c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制;
d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
等保四级的要求在三级的基础上增加了:
e) 应能够在发现非授权设备私自联到内部网络的行为或内部用户非授权联到外部网络的行为时,对其进行有效阻断;
f) 应采用可信验证机制对接入到网络中的设备进行可信验证,保证接入网络的设备真实可信。
Ftrans方案响应
所有跨网文件交换,统一通过Ftrans的受控端口进行通信,避免开通过多访问控制规则。
可通过IP地址段限定访问的方式,进一步限制各网络内用户及设备的访问范围。
访问控制
要求
等保三级的要求包括:
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;
e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
等保四级的要求是将三级中的**e)**项调整为:
e) 应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换。
《测评要求》中测评单元(L4-ABS1-11)包括以下要求:
a) 测评指标:应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换。
b) 测评对象:网闸等提供通信协议转换或通信协议隔离功能的设备或相关组件。
c) 测评实施包括以下内容: ◦ 1.应检查是否采取通信协议转换或通信协议隔离等方式进行数据交换;
2.应通过发送带通用协议的数据等测试方式,测试验证设备是否能够有效阻断。
解析
等保三级的访问控制,可基于网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或组件。
等保四级的访问控制,需要基于网闸等提供通信协议转换或通信协议隔离功能的设备或相关组件。
Ftrans方案响应
广泛地支持网闸、防火墙、路由器、交换机和无线接入网关等访问控制方式及网络隔离手段。
基于私有通信协议,完成跨网数据传输与文件交换。
安全审计
要求
等保三级的要求包括:
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
等保四级的要求是删除三级中的**d)**项。
Ftrans方案响应
避免大多数网闸的文件传输审计功能无法关联到人的问题,完整留存用户与交换目标文件之间的操作记录。
除可对常规用户行为及安全事件审计外,也支持对交换文件本身进行审计。
安全计算环境
数据完整性
要求
等保三级的要求包括:
a) 应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
b) 应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
等保四级的要求在三级的基础上增加了:
c) 在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖。
Ftrans方案响应
内置多重内容校验机制及内容核验机制,确保文件在传输及存储过程中的完整性。
才用特有的数据包裹机制,基于元数据及加密算法,数据包裹一旦封装即被固化,不可篡改,配合数字包裹的收发凭证机制,文件交换防抵赖。
数据保密性
要求
等保三级的要求包括:
a) 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、 重要业务数据和重要个人信息等;
b) 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限千鉴别数据、 重要业务数据和重要个人信息等。
等保四级的要求与三级一致。
Ftrans方案响应
采用安全秘钥交换机制,动态生成加密秘钥,以对称加密及非对称加密的混合方式,确保传输过程数据加密安全性。
支持落盘加密,确保数据存储安全性。
总结
以上,我们从通信网络、区域边界、计算环境等安全角度,分析了等保2.0标准的相关要求内涵。Ftrans跨网文件安全交换解决方案完全可以响应等保2.0标准对于等保三级、四级相关指标项的要求,大大加强跨网文件交换场景下的安全等级,可以帮助企业应对等保2.0合规性建设的新挑战。
*本文原创作者:Ftrans飞驰传输,本文属于FreeBuf原创奖励计划,未经许可禁止转载
来源:freebuf.com 2019-08-22 08:00:35 by: Ftrans飞驰传输
请登录后发表评论
注册