5月份发布的网络安全等级保护2.0标准(以下简称“等级保护2.0”)已成为我国网络安全建设新的纲领性、指导性标准。伴随其正式出台,针对各行各业的一场大型安全考试也正式拉开帷幕,一方面,是海量升级和改造需求,一方面是巨大的合规与达标挑战。
经过多年的技术沉淀和丰富的项目经验积累,通过深入了解用户需求和透彻解读等保2.0安全标准,建恒信安推出了重量级安全产品——应用堡垒,该创新性产品能够有效解决当前业务系统的安全访问和业务操作过程中的安全管控问题,能够全面满足新的等保体系下应用和业务系统安全合规需求。
◆既想要效率,又想要安全,应用与业务系统的合规痛点颇多
等保2.0安全标准充分体现了“一个中心,三重防御”的思想,进行了安全分类结构的调整,其中最重要的调整是计算资源的一体化保障,事实上可以认为在新标准当中将以往的“主机、应用、数据”三个层面整合成了“安全计算环境”一个大领域。因此对于应用和业务系统的安全合规提出了更高的要求和挑战。“一个中心三重防护”,就是针对安全管理中心和计算环境安全、区域边界安全、通信网络安全的安全合规进行方案的定制化设计,建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的信息安全整体保障体系。
以等保2.0的第三级安全要求为例(等保三级),我们讨论一下现在业务和应用系统的安全痛点,事实上也是长期以来一直存在的安全难题。
①过于脆弱或者过于繁琐的身份鉴别机制;
等保2.0“身份鉴别”章节要求应用系统采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,但现有应用系统的认证强度普遍不高,大部分应用还是采用静态的用户名口令认证方式。
②遥不可及的最小权限和形同虚设的应用访问控制;
等保2.0“访问控制”章节要求对应用系统进行严格的访问控制管理。 目前的应用系统更多的是采用基于平台角色的功能授权,而不是基于业务所需的最小授权,因此越权和敏感信息泄露的事件层出不穷。
③几近于无的应用系统审计和根本不存在的业务审计;
等保2.0“安全审计”章节要求应用系统提供详尽的用户行为,操作审计。 现有的应用系统一般只具备用户网络访问层面的系统审计信息,根本不考虑用户的业务行为和操作层面的审计,更缺乏安全事件审计和控制,也无法与等保2.0架构中的安全管理中心形成有效的反馈和联动。
④应用系统入侵防范手段匮乏,致命威胁往往来自内部;
等保2.0“入侵防范”章节要求应用系统关闭非必要的服务和端口,同时进行接入方式和地址的限制等,然而现在大多数的业务系统风险意识相对淡薄,内控措施匮乏。
⑤不可能完成的任务——可信验证;
等保2.0“可信验证”章节,要求在应用程序的关键执行环节进行动态可信验证并将验证结果形成审计记录送至安全管理中心。但是现有的业务应用软硬件平台几乎无法完成。
⑥效率与安全之间的两难选择,加不加密是个问题;
等保2.0“数据保密性”章节要求,采用密码技术保证重要数据在传输和存储过程中的保密性。但是常规的业务系统,特别是内部应用,基于效率的考虑一般都是非加密传输的,对于企业的业务部门和安全部门来讲,这永远是一个两难的选择。
◆主动拥抱等保2.0,合规建设时不我待 ,建恒信安应用堡垒助网络安全大升级
有人说,大浪淘沙沉者为金,等保2.0时代,将会有很多的安全厂商与部门机构乘风破浪,激流勇进。然而,这不只是一个勇敢者的游戏,还需要经验、智慧、信仰与钻研,方能有资格抵达彼岸,笑傲群雄。建恒信安作为一家在网络安全领域具有多年身份及访问控制运维经验的厂商,通过深入研究等保2.0,特推出重量级安全产品——应用堡垒。
应用堡垒作为满足等级保护应用安全合规性要求的安全产品,定位于解决应用系统访问全链条当中的安全问题,提供业务操作的安全管控与用户行为的安全审计。
针对等保2.0“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“可信验证”、“数据保密性”等章节的要求,建恒信安应用堡垒具有以下特征:
√灵活的个人信息保护与强认证机制;
应用堡垒提供了统一的认证枢纽,隔离了静态认证机制,提供多种强认证方式。
√应用的最小权限管理与应用安全管控;
应用堡垒提供用户访问应用系统的门户,它是用户访问业务系统的唯一入口,大大提升安全性。
√业务行为审计与智能安全风险分析;
应用堡垒对业务操作行为可进行屏幕录像,对应用系统访问情况做出完整记录。
√业务系统攻击检测与应用入侵防范;
集内容发布技术、安全容器技术、水印技术、安全会话票据技术等核心技术于一身的应用堡垒,从业务访问的全链条上保证了应用系统的安全性。
√高效加密协议转换与业务机密性保障;
应用堡垒在自身与用户之间建立加密链路,而在自身与后台业务系统之间建立明文传输链路,完美兼顾安全和效率。
√可信验证解决方案,支持国密算法;
除了满足安全验证需求,应用堡垒解决了当前业务系统面临的另外一个重大难题。
根据等保2.0以及其它相关安全标准的要求,业务系统访问必须支持国密算法,应用堡垒在不改造应用系统的前提下可以快速解决此问题。
√完备的数据安全技术保障;
应用堡垒可以提供水印,敏感数据脱敏、上下行文件审核等功能,阻断数据泄密通道。
基于以上技术,建恒信安应用堡垒可实现应用安全隔离、应用集中认证与登录、应用入侵防护、应用数据保护、应用行为审计分析等,为企业提供用户业务行为画像,并可以基于AI技术对业务行为的风险进行分析预算。应用堡垒采用旁路部署,不改变用户现有的网络架构,部署灵活便利,可大大节约企业成本。
总之:建恒信安应用堡垒通过遵从“一个中心、三重防护”的安全架构设计,帮助用户满足等保2.0和《网络安全法》的合规要求。在网络安全新时代、新威胁、新体系、新能力要求的背景下,建恒信安不断提升等保解决方案,以等保合规为基础,打造主动、动态、自适应等保2.0标准的新体系,致力为客户提供安全、有效、合规的等级保护解决方案,为客户建立集“智能、防御、检测、响应、运营”于一体的安全闭环,实现安全威胁快速检测与有效防御。