等级保护是国家信息安全管理的基本制度

随着政府、企事业单位信息化水平的不断提高,诸如泄密、黑客入侵等信息安全问题逐步凸现出来。近年来,国家层面越来越重视信息安全工作,确立了重要信息系统等级保护是国家信息安全管理的基本制度。

1994 年国务院发布了中华人民共和国国务院令(147 号)《中华人民共和国计算机信息系统安全保护条例》。自此,国家相关主管部门陆续发布了多项政策及标准,等级保护作为国家信息安全保障整改建设的标准,逐步进入落地阶段:

2003 年中办国办联合发布的中办发󞪃]27 号文件—关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知;

2004 年公安部、保密局、国密办以及国信办联合发布的公通字󞪄]66号文件—《关于信息安全等级保护工作的实施意见》;

2005 年后公安部陆续发布了《信息系统安全等级保护实施指南》、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》和《信息系统安全等级保护测评指南》;

2007 年公安部、保密局、国密办和国信办联合发布的公通字󞪇]43号文件—《信息安全等级保护管理办法》。

2008年《信息安全技术 信息系统安全等级保护基本要求》:明确对于各等级信息系统的安全保护基本要求。

2016年11月,《网络安全法》正式发布,2017年6月1日起开始施行。

2018年4月,国家发布《全国医院信息化建设标准与规范(试行)》,此次《规范》中安全防护建设,对数据中心安全、终端安全、网络安全、容灾备份4个方面,19个项目做了明确要求。

2019年5月13日下午,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,网络安全等级保护制度2.0标准正式发布,实施时间为2019年12月1日。

各政府、企事业单位都需要通过开展等级保护工作,推动等级保护整改建设实施,使得相关信息系统能够达到相应等级的基本保护和防护能力,从而满足上级部门的监管要求和政策法规的合规需求。

等保合规建设过程中遇到的问题

由于信息安全保障工作的专业性和复杂性,各个单位在开展等级保护合规建设的过程中都不同程度遇到了诸多问题。

苏州云至深作为专业的信息安全产品公司,在协助政府、金融、能源、设计、地产等行业单位进行等级保护合规建设的过程中发现,60%的单位不了解等级保护建设工作如何开展,70%的单位不熟悉、不理解相关标准要求,大多数单位缺乏相关的知识和解决方案。

苏州云至深的解决方案

在多年信息安全产品建设和诸多成熟客户案例的基础上,苏州云至深推出了深云SDP解决方案,作为帮助支持广大信息系统运营单位应对等级保护合规需求的信息化解决方案。

产品设计背景

传统企业网络架构通过建立一个固定的边界使内部网络与外部世界分离,这个边界包含一系列的防火墙策略来阻止外部用户的进入,但是允许内部用户对外的访问。由于封锁了外部对于内部应用和设施的可见性和可访问性,传统的固定边界确保了内部服务对于外部威胁的安全。对于远程用户访问,最有效的办法也只是VPN接入。但是后期出现了各种各样的问题,云的租户不满足共用防火墙,希望得到更个性化的服务,传统防火墙和VPN不仅接入的体验、访问速度受限,更无法满足租户动态迁移、业务快速部署,策略随需生成、策略及时收回、策略路径可视等要求。另外,BYOD和钓鱼攻击提供了对于内部网络的不可信访问,以及SaaS和IaaS正在改变边界的位置,企业网络架构中的固定的边界模型正在变得过时。

我们通过问卷调研,对于企业网络访问安全有三个发现:

(1)很多企业使用的是过时的方法,在旧的网络安全模型下,缺乏对于限制授权用户和第三方的访问的解决方案。

(2)大部分的信息安全方面的破坏来自于内部威胁。

(3)一些公司并没有经常回顾访问策略,有的甚至已经几年没有这么做了。当策略制定好后,它们不会或者不去自动实施这些安全策略。

企业的网络安全架构需要被重新设计!我们需要一个新的安全模型,这个模型可以更有效的安全和策略下获得更好的用户体验。如用户使用什么设备来建立连接的,何时建立连接的,以及用户的角色。这些信息可以集成到特定的访问规则中,基于参数的认证检查和对于资源的访问能够提供对于边界内部和外部的威胁的更好的防护。

至此,我们推出了深云SDP!

深云SDP如何帮助企业满足等保2.0合规要求

通过等保2.0的各项安全要求进行梳理,深云SDP通过逐一比对明确合规要求。

(1)边界防护、网络架构、入侵防范

边界防护:深云SDP可作为边界隔离产品,不会存在边界设备提供的受控接口进行通信的可能。由于独特的三组件关系,仅能通过Enterplorer企业浏览器,且可绑定具体的UUID授权合法设备后,方才可连入到内部网路。

入侵防范:SDP本身的特性就不存在共享和高危的端口,隐身网关的端口是客户确认的特定UDP端口,仅限制于Enterplorer浏览器客户端访问,极大的限制了使用受限范围。而基于Chromium内核开发的Enterplorer浏览器作为外网访问的唯一入口,也会根据实际需求进行一年二次的内核升级,以确保浏览器自身的漏洞bug导致的风险控制在最低。通过浏览器客户端和管理后台大脑,可检测到入侵的行为,并在发生严重入侵事件时提供报警。

网络结构:深云SDP提供云平台和私有化部署,方便客户按需要进行选择部署。苏州云至深主要做的是应用层的边界防护,隐盾网关起到技术隔离作用,将应用服务器保护在网关后面,使外界扫描工具和攻击来源无法探测到服务器地址和端口。

产品说明:

深云SDP作为边界隔离产品,主要作用边界防护。隐盾网关起到隔离作用,将应用服务器保护在网关后面,完全不存在系统服务或端口暴露在外网的可能,使外界扫描工具和攻击来源无法探测到服务器地址和端口。完全隐身于外网,仅对授权的SDP客户端Enterplorer可见。

深云隐盾网关:服务器的隐身防护罩

让业务服务器只对授权的SDP客户端可见,对其他工具完全不可见

近年来DNS劫持事件频发,通过私有DNS,可以在互联网上隐藏DNS信息,保护企业网络隐私。通过和对应隐盾网关的指向/数据转发,消除网络攻击风险。

(2)访问控制

访问控制:深云SDP的三大组件在限定的软件定义边界,默认不信任任何网络、人、设备,均需验证,默认拒绝一切连接,只有验证合法的访问请求才允许。并根据控制策略下进行了访问控制规则,仅对于SPA敲门验证合法用户,允许受控端口进行通信。即便登陆的用户,也根据自己的权重分配账户和权限。

产品说明:

结合“零信任”安全理念, 只授予员工所需的最小权限,细粒度访问控制!

所有的访问控制,受限于深云SDP安全大脑。用户管理结合应用管理、权重分配,深云SDP已达到按需授权:零信任( Zero-Trust )安全访问模型。

零信任网络安全理念:

1. 不自动信任网络的安全性(内网 ≠ 可信)

2. 对任何接入系统的人和设备都进行验证

3. 每次访问都要进行身份验证和行为审计

4. 细粒度访问控制策略Need-To-Know(最小权限原则)

* 零信任安全概念由Forrester的首席分析师John Kindervag于2010年提出

应用级访问准入:只允许用户访问业务系统,不暴露其他内网资源,避免将风险引入内网。

1. 深云SDP允许用户远程访问,但网络仍然是隔离的。用户与服务器不直连,隐盾网关本身起到一个堡垒机作用。

2. 用户只能访问自己被授权应用,其他内网资源完全不可见。

(3)身份鉴别

身份鉴别:符合等保2.0要求。Enterplorer和深云管理大脑自身已经附带验证体系,标准产品附带手机App扫描登陆。也可根据客户需求增加各种客户已有认证体系,增加身份验证方式。即便设备丢失,也可通过后台进行远程数据擦拭,确保信息留存风险。

产品说明:

增强的用户身份验证,打造多因子智能身份认证,登录的用户进行身份标识和鉴别:

1. 通过UUID设备绑定,身份标识具有唯一性,仅能在特定设备上才能登陆;

2. 支持指纹验证、扫码登陆等验证方式;

3. 对接现有SSO系统,微软AD、OpenLDAP、Oracle IAM、CAS、竹云、九州云腾等多种验证手段。

(4)通信传输

对应通讯过程中的数据增加校验技术、密码技术,以及传输过程中的数据保密性,深云SDP除了自带的Https协议外,也支持企业自身申请的Https协议和国密要求。

(5)可信验证、安全审计、审计管理

可信验证:深云SDP通过Enterplorer企业浏览器进行可信验证,在检测到可信性收到异常后进行报警,并将审计记录反馈至深云管理后台。

安全审计:目前深云SDP的审计内容已经覆盖到每个用户,对于行为和重要事件进行记录。包括日期和时间、事件等。并存于深云管理后台大脑,并进行定期备份,以防止未预期的删除、修改和覆盖等。

审计管理:所有的审计操作,审计管理员均需要身份验证。只在特定界面进行安全审计操作,并对所有操作行为记录。支持审计记录分析,分析结果可进行再处理。

产品说明:

深云SDP的管理后台覆盖集中管控、系统管理、审计管理安全管理,实施对每个用户应用访问,用户行为和安全事件进行审计。且支持三权分立模式,超级管理员可设置三类管理员角色:系统管理员、审计管理员、安全管理员。

DataAware安全态势感知平台,掌握企业办公安全态势,及时发现安全威胁

数字大屏展现全局安全态势,及时发现安全威胁,实时掌握业务系统的使用情况,包括访问次数最多的应用和用户;实时发现异常访问情况,如访问量突然飙升的应用、活跃度飙升的用户、访问地图显示异常登录;通过报表分析,全局掌握公司的数字办公情况,包含当日活跃用户、实施在线用户数、总访问流量、总激活用户数等;

全面追踪用户行为轨迹,精准定位可疑行为

1. 查看用户一段时间内访问了什么地址;

2. 发现被安全策略拦截的越权访问行为;

3. 追踪可疑用户的位置、设备、IP;

细粒度的用户行为审计,防止内部员工有意窃取数据

深云SDP客户端是一个定制化的企业浏览器,因此可以做到终端细粒度的用户行为审计

(6)数据完整性、数据恢复和备份

根据等保2.0要求,深云SDP采用https加密连接,支持传输过程的数据校验,保证重要的数据在传输过程中的完整性。深云SDP可根据企业的需求对应进行一体机或高可用的部署要求,根据实际用户需求进行本地数据备份与恢复功能,并达到预期的并发运行需求。

(7)剩余信息保护、个人信息保护:

深云SDP支持账户隔离,客户端切换账号时自动清除浏览器本地数据,确保用户的浏览信息等隐私不会让暴露给其他用户。并不会搜集用户隐私,不会推精准广告。

总结

深云SDP可以帮助企业满足等保2.0中的多项安全要求,尤其是在边界防护、入侵防范等方面,帮助企业收窄暴露面,保障业务系统的边界安全。SDP以软件定义安全边界标准,正在颠覆传统企业网络安全体系。无论是等保2.0的合规要求,还是内部业务扩展、合作伙伴云上互联,协助客户完成战略发展所需的业务延伸,深云SDP均可协助企业达到预期效果。

客户成功案例

企业面临的挑战:

1. 应用直接暴露在外网,给数据中心带来了重大风险。黑客入侵将服务器做成挖矿机等等安全事件频发。

2. 由于门店员工安全意识较低,终端的安全和权限管理一直让人头疼。

3. 企业数据价值极高,内部泄密事件是不可承受之重。

使用深云SDP消除安全威胁:

1. 深云网关将应用隐身,消除安全威胁,同时身份、设备合法的员工才可以正常访问权限内的应用。

2. 深云客户端可以做到浏览器级别的统一安全管控,提高了终端安全,降低了泄密风险,还降低了运维成本。

3. 深云客户端有效保障终端安全。在文档不落地、数据加密等技术的保护下,员工可以放心使用自己的设备,没有后顾之忧。

成功案例:大型企业客户、政府、金融、地产、能源

绿地集团

上海城市建设设计研究总院

国电电力山东新能源

东莞银行

深云SDP

零信任SDP专业平台

立即试用

立即试用