經(jīng)過多年的技術(shù)沉淀和豐富的項(xiàng)目經(jīng)驗(yàn)積累,通過深入了解用戶需求和透徹解讀等保2.0安全標(biāo)準(zhǔn),建恒信安推出了重量級(jí)安全產(chǎn)品——應(yīng)用堡壘,該創(chuàng)新性產(chǎn)品能夠有效解決當(dāng)前業(yè)務(wù)系統(tǒng)的安全訪問和業(yè)務(wù)操作過程中的安全管控問題,能夠全面滿足新的等保體系下應(yīng)用和業(yè)務(wù)系統(tǒng)安全合規(guī)需求。
既要效率又要安全應(yīng)用與業(yè)務(wù)系統(tǒng)的合規(guī)痛點(diǎn)頗多
等保2.0安全標(biāo)準(zhǔn)充分體現(xiàn)了“一個(gè)中心,三重防御”的思想,進(jìn)行了安全分類結(jié)構(gòu)的調(diào)整,其中最重要的調(diào)整是計(jì)算資源的一體化保障,事實(shí)上可以認(rèn)為在新標(biāo)準(zhǔn)當(dāng)中將以往的“主機(jī)、應(yīng)用、數(shù)據(jù)”三個(gè)層面整合成了“安全計(jì)算環(huán)境”一個(gè)大領(lǐng)域。因此對于應(yīng)用和業(yè)務(wù)系統(tǒng)的安全合規(guī)提出了更高的要求和挑戰(zhàn)。
“一個(gè)中心三重防護(hù)”,就是針對安全管理中心和計(jì)算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全的安全合規(guī)進(jìn)行方案的定制化設(shè)計(jì),建立以計(jì)算環(huán)境安全為基礎(chǔ),以區(qū)域邊界安全、通信網(wǎng)絡(luò)安全為保障,以安全管理中心為核心的信息安全整體保障體系。
以等保2.0的第三級(jí)安全要求為例(等保三級(jí)),我們討論一下現(xiàn)在業(yè)務(wù)和應(yīng)用系統(tǒng)的安全痛點(diǎn),事實(shí)上也是長期以來一直存在的安全難題。
①過于脆弱或者過于繁瑣的身份鑒別機(jī)制:
等保2.0“身份鑒別”章節(jié)要求應(yīng)用系統(tǒng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別,但現(xiàn)有應(yīng)用系統(tǒng)的認(rèn)證強(qiáng)度普遍不高,大部分應(yīng)用還是采用靜態(tài)的用戶名口令認(rèn)證方式。
②遙不可及的最小權(quán)限和形同虛設(shè)的應(yīng)用訪問控制:
等保2.0“訪問控制”章節(jié)要求對應(yīng)用系統(tǒng)進(jìn)行嚴(yán)格的訪問控制管理。
目前的應(yīng)用系統(tǒng)更多的是采用基于平臺(tái)角色的功能授權(quán),而不是基于業(yè)務(wù)所需的最小授權(quán),因此越權(quán)和敏感信息泄露的事件層出不窮。
③幾近于無的應(yīng)用系統(tǒng)審計(jì)和根本不存在的業(yè)務(wù)審計(jì):
等保2.0“安全審計(jì)”章節(jié)要求應(yīng)用系統(tǒng)提供詳盡的用戶行為,操作審計(jì)。
現(xiàn)有的應(yīng)用系統(tǒng)一般只具備用戶網(wǎng)絡(luò)訪問層面的系統(tǒng)審計(jì)信息,根本不考慮用戶的業(yè)務(wù)行為和操作層面的審計(jì),更缺乏安全事件審計(jì)和控制,也無法與等保2.0架構(gòu)中的安全管理中心形成有效的反饋和聯(lián)動(dòng)。
④應(yīng)用系統(tǒng)入侵防范手段匱乏,致命威脅往往來自內(nèi)部:
等保2.0“入侵防范”章節(jié)要求應(yīng)用系統(tǒng)關(guān)閉非必要的服務(wù)和端口,同時(shí)進(jìn)行接入方式和地址的限制等,然而現(xiàn)在大多數(shù)的業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)意識(shí)相對淡薄,內(nèi)控措施匱乏。
⑤不可能完成的任務(wù)——可信驗(yàn)證:
等保2.0“可信驗(yàn)證”章節(jié),要求在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心。但是現(xiàn)有的業(yè)務(wù)應(yīng)用軟硬件平臺(tái)幾乎無法完成。
⑥效率與安全之間的兩難選擇,加不加密是個(gè)問題:
等保2.0“數(shù)據(jù)保密性”章節(jié)要求,采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲(chǔ)過程中的保密性。但是常規(guī)的業(yè)務(wù)系統(tǒng),特別是內(nèi)部應(yīng)用,基于效率的考慮一般都是非加密傳輸?shù)?對于企業(yè)的業(yè)務(wù)部門和安全部門來講,這永遠(yuǎn)是一個(gè)兩難的選擇。
主動(dòng)擁抱等保2.0合規(guī)建設(shè)應(yīng)用堡壘助網(wǎng)絡(luò)安全大升級(jí)
有人說,大浪淘沙沉者為金,等保2.0時(shí)代,將會(huì)有很多的安全廠商與部門機(jī)構(gòu)乘風(fēng)破浪,激流勇進(jìn)。然而,這不只是一個(gè)勇敢者的游戲,還需要經(jīng)驗(yàn)、智慧、信仰與鉆研,方能有資格抵達(dá)彼岸,笑傲群雄。
建恒信安作為一家在網(wǎng)絡(luò)安全領(lǐng)域具有多年身份及訪問控制運(yùn)維經(jīng)驗(yàn)的廠商,通過深入研究等保2.0,特推出重量級(jí)安全產(chǎn)品——應(yīng)用堡壘。
應(yīng)用堡壘作為滿足等級(jí)保護(hù)應(yīng)用安全合規(guī)性要求的安全產(chǎn)品,定位于解決應(yīng)用系統(tǒng)訪問全鏈條當(dāng)中的安全問題,提供業(yè)務(wù)操作的安全管控與用戶行為的安全審計(jì)。
針對等保2.0“身份鑒別”、“訪問控制”、“安全審計(jì)”、“入侵防范”、“可信驗(yàn)證”、“數(shù)據(jù)保密性”等章節(jié)的要求,建恒信安應(yīng)用堡壘具有以下特征:
靈活的個(gè)人信息保護(hù)與強(qiáng)認(rèn)證機(jī)制:應(yīng)用堡壘提供了統(tǒng)一的認(rèn)證樞紐,隔離了靜態(tài)認(rèn)證機(jī)制,提供多種強(qiáng)認(rèn)證方式。
應(yīng)用的最小權(quán)限管理與應(yīng)用安全管控:應(yīng)用堡壘提供用戶訪問應(yīng)用系統(tǒng)的門戶,它是用戶訪問業(yè)務(wù)系統(tǒng)的唯一入口,大大提升安全性。
業(yè)務(wù)行為審計(jì)與智能安全風(fēng)險(xiǎn)分析:應(yīng)用堡壘對業(yè)務(wù)操作行為可進(jìn)行屏幕錄像,對應(yīng)用系統(tǒng)訪問情況做出完整記錄。
業(yè)務(wù)系統(tǒng)攻擊檢測與應(yīng)用入侵防范:集內(nèi)容發(fā)布技術(shù)、安全容器技術(shù)、水印技術(shù)、安全會(huì)話票據(jù)技術(shù)等核心技術(shù)于一身的應(yīng)用堡壘,從業(yè)務(wù)訪問的全鏈條上保證了應(yīng)用系統(tǒng)的安全性。
高效加密協(xié)議轉(zhuǎn)換與業(yè)務(wù)機(jī)密性保障:應(yīng)用堡壘在自身與用戶之間建立加密鏈路,而在自身與后臺(tái)業(yè)務(wù)系統(tǒng)之間建立明文傳輸鏈路,完美兼顧安全和效率。
可信驗(yàn)證解決方案,支持國密算法:除了滿足安全驗(yàn)證需求,應(yīng)用堡壘解決了當(dāng)前業(yè)務(wù)系統(tǒng)面臨的另外一個(gè)重大難題。根據(jù)等保2.0以及其它相關(guān)安全標(biāo)準(zhǔn)的要求,業(yè)務(wù)系統(tǒng)訪問必須支持國密算法,應(yīng)用堡壘在不改造應(yīng)用系統(tǒng)的前提下可以快速解決此問題。
完備的數(shù)據(jù)安全技術(shù)保障:應(yīng)用堡壘可以提供水印,敏感數(shù)據(jù)脫敏、上下行文件審核等功能,阻斷數(shù)據(jù)泄密通道。
基于以上技術(shù),建恒信安應(yīng)用堡壘可實(shí)現(xiàn)應(yīng)用安全隔離、應(yīng)用集中認(rèn)證與登錄、應(yīng)用入侵防護(hù)、應(yīng)用數(shù)據(jù)保護(hù)、應(yīng)用行為審計(jì)分析等,為企業(yè)提供用戶業(yè)務(wù)行為畫像,并可以基于AI技術(shù)對業(yè)務(wù)行為的風(fēng)險(xiǎn)進(jìn)行分析預(yù)算。應(yīng)用堡壘采用旁路部署,不改變用戶現(xiàn)有的網(wǎng)絡(luò)架構(gòu),部署靈活便利,可大大節(jié)約企業(yè)成本。
總之:建恒信安應(yīng)用堡壘通過遵從“一個(gè)中心、三重防護(hù)”的安全架構(gòu)設(shè)計(jì),幫助用戶滿足等保2.0和《網(wǎng)絡(luò)安全法》的合規(guī)要求。在網(wǎng)絡(luò)安全新時(shí)代、新威脅、新體系、新能力要求的背景下,建恒信安不斷提升等保解決方案,以等保合規(guī)為基礎(chǔ),打造主動(dòng)、動(dòng)態(tài)、自適應(yīng)等保2.0標(biāo)準(zhǔn)的新體系,致力為客戶提供安全、有效、合規(guī)的等級(jí)保護(hù)解決方案,為客戶建立集“智能、防御、檢測、響應(yīng)、運(yùn)營”于一體的安全閉環(huán),實(shí)現(xiàn)安全威脅快速檢測與有效防御。
關(guān)于建恒信安:
建恒信安是國內(nèi)知名的擁有完全自主知識(shí)產(chǎn)權(quán)的信息安全產(chǎn)品、服務(wù)及解決方案提供商,自主研發(fā)四大系列安全產(chǎn)品線,包括身份管理及訪問控制、安全審計(jì)與分析、風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)存儲(chǔ)與容災(zāi)備份,并在安全領(lǐng)域首提“定制安全、智慧安全”服務(wù)理念,為中國工商銀行、中國光大銀行、中國郵政儲(chǔ)蓄銀行、恒豐銀行、天翼終端公司、國家電網(wǎng)有限公司、中國科學(xué)院等用戶提供定制化解決方案及服務(wù)。
