当前位置:文档之家 › 基于零信任的新一代网络安全体系重构

基于零信任的新一代网络安全体系重构

  • 格式:pptx
  • 大小:7.33 MB
  • 文档页数:26

下载文档原格式

  / 26

合集下载

基于零信任的网络安全架构研究与应用

基于零信任的网络安全架构研究与应用

图2 基于零信任的SDP安全架构(1)精细化的权限管理基于零信任的SDP模型有别于传统宽泛的网络接入,不再以IP地址作为网络访问策略的授权依据,而是采用身份访问管理技术(Identity and Access Manager,简称IAM)将企业网络环境中的应用系统、数据库、主机、网络设备和安全设备等资源的账号、认证、访问控制、审计工作纳入统一管理,其逻辑架构如图3所示。

无论互联网还是企业内部网络接入环境均以个人身份信息作为认证依据,只有通过认证和授权才能允许对系统进行单次有效的访问,降低了账号管理复杂度,同时解除了普通用户在访图5 零信任SDP应用方案组网架构器,其中控制器与安全网关应分离部署,并都支持独立硬件与虚拟化部署。

其中控制器和安全网关参照SDP架构进行控制面和数据面的分离,客户端支持沙箱功能,分离个人空间与工作空间实现终端数据防泄密。

另外,系统支持对外开放API接口,可将外部的第三方组件集成到零信任架构来,形成以SDP架构为中心的统一安全防护体系。

4.1 安全接入控制器安全接入控制器是系统的核心组成部分,负责认证、授权、策略管理与下发,是整体的调度与管理中心。

该模块可采用虚拟化集群部署的模式,通过与该电信运营商的统一认证平台对接,实现账号实名制管理,并对系统的其他组件行统一的管控,包括接入设备管理、用户身份管理、认证管理、授权策略管理、接入评估、访问控制、可视化管理、审计管理等,其认证策略逻辑如图6所示。

安全接入控制器负责控制建立连接和切断主体(用户)与客体(应用)之间的通信连接(通过给网关发送控制指命),生成客户端用于访问应用的身份验证令牌或凭证。

该模块支持IAM身份认证、动态权限控制,对接入的身份、终端、环境、行为进行信任评估,基于策略引擎配置的策略结果,决定最终允许或拒绝会话。

如果会话被授权且请求已被认证,则控制器通知网关允许代理访问。

如果会话被拒绝,则控制器向网关发出指令以切断连接。

基于零信任的网络安全架构研究与应用

基于零信任的网络安全架构研究与应用

02
研究表明,基于零信任的网络安全架构可以有效地提高网 络的安全性和可靠性,降低了传统网络安全架构的局限性 ,能够适应不断变化的网络环境和业务需求。
03
本文还对一种基于零信任的 SDP(软件定义边界)安全架 构进行了详细介绍,这种架构可以实现业务资源访问的最 小化权限控制,具有身份访问管理技术、动态准入控制、 可视化管理等优势。
零信任网络安全架构的原理
打破信任边界
动态访问控制
零信任网络安全架构强调信任的建立 不再依赖于传统的网络边界,而是将 信任建立在学习、行为分析、威胁检 测和响应等多个方面。这种信任的打 破,使得网络安全防护更加全面和实 时。
零信任网络安全架构采用动态访问控 制技术,根据用户的行为、设备、网 络环境等因素进行实时分析,对访问 请求进行动态评估和决策,确保只有 授权的访问请求得到允许,而未经授 权的访问请求则被拒绝。
需要全局视角的网络 安全管理
随着网络规模的不断扩大和攻击手段 的不断升级,网络安全管理需要具备 全局视角。未来的零信任网络安全架 构将需要具备更全面的网络安全管理 功能,能够实时监测、分析和预警网 络威胁和攻击,提供准确的应急响应 和故障排除服务。
结论
05
研究成果总结
01
基于零信任的网络安全架构在保护网络通信和业务访问方面具有 显著优势。这种架构能够打破传统网络安全理念的限制,通过强 身份验证技术保护数据,降低资源访问过程中的安全风险,防止 数据泄露,并限制网络内部横向移动。
对未来研究的建议和展望
针对基于零信任的网络安全架构的研究和应用,本文认为可以进一步加强对身份验 证和访问控制技术的研发和应用,提高安全防护体系的智能化水平。
还可以加强对网络攻击行为的分析和识别技术的研究,提高网络安全预警和防护的 实时性和准确性。

零信任网络安全架构

零信任网络安全架构

零信任网络安全架构零信任网络安全架构是一种新型的网络安全模型,其核心理念是“不信任任何设备或用户,坚持最小特权原则”。

它认为传统的基于边界的网络安全策略已经不再适用于当前信息技术的发展趋势,尤其是云计算和移动设备的普及,使得边界不再明确和固定,安全威胁也更加复杂多样。

在零信任网络安全架构中,所有用户和设备都被视为潜在的安全风险,需要经过验证和授权才能访问网络资源。

它建立在强身份验证(Multi-factor Authentication)和细粒度的访问控制(Micro-segmentation)基础上,将网络内外部的数据流量进行细致的监测和控制,确保只有经过授权的用户和设备才能访问所需的资源。

零信任网络安全架构的关键特点有以下几个方面:1. 认证和授权:所有用户和设备都需要进行身份认证和访问授权,以确保只有经过验证的用户才能访问特定的资源。

强制要求多重身份验证可以防止钓鱼和盗用身份的攻击。

2. 细粒度的访问控制:根据用户和设备的身份、位置、时间和其他属性进行细致的访问控制和权限管理。

不同级别的用户和资源之间可以设置不同的访问权限,以减少安全漏洞的风险。

3. 基于策略的数据保护:基于策略的数据保护能够根据数据的敏感程度和访问环境确定适当的数据安全措施。

例如,对于高度敏感的数据可以使用加密、数据分片或随机化等技术进行保护,以防止机密信息的泄露。

4. 连接性的控制:通过网络层面的隔离和访问控制措施,确保只有合法的用户和设备能够建立连接和传输数据。

通过使用虚拟专用网络(VPN)、入侵检测系统(IDS)和防火墙等技术,对网络流量进行安全筛查和过滤,以防止未经授权的访问和攻击。

5. 连续的监测和审计:为了及时发现和回应安全事件,需要对网络流量和设备活动进行连续的监测和审计工作。

通过使用安全信息和事件管理系统(SIEM)、行为分析和威胁情报等技术,可以及时发现异常行为和威胁,并采取相应的应对措施。

总结起来,零信任网络安全架构通过多层次的保护和访问控制措施,确保只有经过授权和验证的用户和设备才能访问到需要的资源,从而提高网络的安全性和保护隐私信息的能力。

零信任网络安全架构

零信任网络安全架构

零信任网络安全架构随着互联网的迅猛发展和数字化转型的推进,网络安全问题日益突出。

传统的网络安全模式已经无法应对不断进化的网络威胁,因此零信任网络安全架构应运而生。

零信任网络安全架构以“不信任、验证、权限最小化、隔绝”为原则,为企业提供更加安全的网络环境。

零信任网络安全架构的核心概念是“不信任”,即不信任任何网络中的主体。

传统的网络模式通常采用一个边界防御系统来保护内部网络免受外部的威胁,但是一旦入侵者越过了这个边界,他们就可以自由地在内部网络中移动和攻击。

相反,零信任网络安全架构采用一种“从零开始”的方法,将所有主体都视为潜在的威胁,并要求对其进行验证和授权才能访问网络资源。

验证是零信任网络安全架构的基础。

在这种模式下,用户、设备和应用程序都需要经过身份验证,以确认其身份和访问权限。

传统的用户名和密码验证方式已经变得不够安全,因为黑客可以通过各种手段获取用户的登录凭证。

因此,零信任网络安全架构通常采用多重身份验证技术,如双因素认证、生物识别等,以增加安全性。

权限最小化是零信任网络安全架构的另一个重要原则。

传统的网络模式通常给予用户过多的权限,这使得黑客在入侵后可以自由地操纵和获取敏感数据。

相比之下,零信任网络安全架构通过将用户的权限限制在最小范围内,即使黑客入侵了某个用户账户,也只能获得有限的权限,无法对整个网络造成灾难性的破坏。

隔离是零信任网络安全架构的另一个重要特性。

在传统网络模式中,一旦黑客入侵了一个主机,他们就可以自由地在网络中移动,攻击其他主机。

为了防止这种横向扩散的攻击,零信任网络安全架构采用了网络分割和隔离技术,将网络划分为多个只与特定用户或应用程序相关联的独立区域,从而有效地限制了攻击的范围。

零信任网络安全架构的实施需要综合使用各种技术和解决方案。

例如,企业可以使用虚拟专用网络(VPN)来为远程用户提供安全的访问方式,使用防火墙和入侵检测系统来监控和封锁网络入侵,使用数据加密和数据遗漏防护技术来保护敏感数据的隐私。

零信任网络安全架构

零信任网络安全架构

零信任网络安全架构随着互联网的快速发展,网络安全问题日益凸显,传统的防御手段已经无法满足当今复杂多变的网络威胁。

在这样的背景下,零信任网络安全架构应运而生,成为了当前网络安全领域的热门话题。

零信任网络安全架构是一种基于“不信任,始终验证”的理念,通过对网络内外的所有用户、设备和流量进行严格的验证和控制,实现对网络的全面保护。

本文将从零信任网络安全架构的概念、原则和实施方法等方面进行探讨。

首先,零信任网络安全架构的核心理念是“不信任”。

传统的网络安全模式往往是基于信任的,一旦内部网络遭受攻击,攻击者就可以在网络内部自由活动,造成更大的损失。

而零信任网络安全架构则认为内部网络同样不可信任,所有用户、设备和流量都需要经过严格的验证和控制,不给予任何信任。

这种基于“不信任”的理念,使得网络安全防御更加全面和有效。

其次,零信任网络安全架构的实施需要遵循一些基本原则。

首先是“最小权限原则”,即用户和设备只能获得完成工作所需的最低权限,避免过度的权限赋予导致安全风险。

其次是“持续验证原则”,即对用户、设备和流量进行持续的验证和监控,及时发现和阻止异常行为。

再次是“零信任原则”,即始终不给予内部网络任何信任,对所有的访问和流量都进行严格的验证和控制。

最后是“安全访问原则”,即通过安全的访问控制手段,确保用户和设备只能访问其需要的资源,避免未经授权的访问。

最后,零信任网络安全架构的实施方法包括多个方面。

首先是对网络内外的用户和设备进行身份验证和授权,确保其合法性和安全性。

其次是通过访问控制技术,对网络流量进行细粒度的控制和审查,防止恶意流量的传播。

再次是建立安全的隔离和分割机制,将网络划分为多个安全域,限制攻击者的活动范围。

最后是加强安全监控和日志审计,及时发现和应对网络安全事件,降低损失。

综上所述,零信任网络安全架构是一种基于“不信任,始终验证”的理念,通过严格的验证和控制,实现对网络的全面保护。

在当前复杂多变的网络威胁下,零信任网络安全架构成为了一种必要的安全防御手段。

基于“零信任”模型的安全网络构建

基于“零信任”模型的安全网络构建

科技与创新┃Science and Technology &Innovation文章编号:2095-6835(2021)09-0072-02基于“零信任”模型的安全网络构建孙梅梅,朱彦斐,刘刚(山东电子职业技术学院,山东济南250200)近年来,互联网技术的飞速发展打破了常规的时空限制,其尝试把现实社会发生的一切变得数字化和数据化,伴随着人工智能的兴起,在大量黑客面前,任何细微漏洞都可以被捕获,导致安全风险被无限放大。

这使人们不得不对传统的网络安全架构进行升级和改造,由传统的模型转变为新的安全防护模型,即“零信任”模型。

1“零信任”模型是什么“零信任”即企业网络不自动信任任何内部或者外部节点,对任何试图进入企业网络的人、事、物都要进行验证,简言之,“零信任”的策略就是不相信任何人。

随着网络的安全性越来越受到关注,防火墙的引入是为了在互联网内部以及公共和私人网络之间建立边界,然后在企业内部添加额外的防火墙以进一步分割网络,“零信任”模型是将分段一直进行到网络边缘上的每个用户、设备、服务和应用程序。

用户、设备或应用程序创建的每个会话在允许通信之前必须经过身份验证、授权和账户认证,这也是“零信任”原则的体现,即“Trust no-one.Verify everything”。

“零信任”网络在网络边缘强制实施安全策略,并在源头遏制恶意流量。

在《零信任网络:在不可信网络中构建安全系统》一书中,零信任网络被描述为建立在以下5个断言上:①网络无时无刻不处于危险的环境中;②网络中始终存在着外部或内部的威胁;③网络位置不足以决定其可信程度;④所有的用户、设备和网络流量都应当经过认证和授权;⑤安全策略必须是动态,并给予尽可能多的数据源计算而来的。

以上断言很好地阐述了“零信任”的理念,也总结了“零信任”的几个原则:验证用户、验证设备、合理的访问规则与权限控制,以及配套的动态机制。

零信任网络架构如图1所示。

2传统的基于区域的安全模型“零信任”模型与传统的基于区域的安全模型是不同的。

“零信任”安全体系架构和实践

“零信任”安全体系架构和实践“零信任”安全体系是一种新型的安全架构,它将传统的基于边界的
网络安全模型完全颠覆,采用了一种全新的信任模型。

在“零信任”安
全体系中,所有的用户和设备都不再被默认信任,无论是内部还是外
部的网络。

这种安全体系要求验证每一个请求、每一个连接,即使是
来自内部网络的也不能例外。

“零信任”安全体系的基本原则是:不信任、始终验证、最小权限。

这意味着只有在验证了用户的身份和设备的安全状态后,才能允许其
访问需要的资源,而且只能访问必要的权限和数据。

这种安全体系能
够有效减少内部和外部威胁对系统的风险。

在实践中,构建“零信任”安全体系需要综合应用技术、策略和流程。

首先,需要建立强大的身份验证和访问控制机制,确保用户只能访问
他们被授权的资源。

其次,还需要部署行为分析和安全信息与事件管
理系统,用于监控和检测异常活动。

同时,不断更新和改进网络安全
政策和流程也是构建“零信任”安全体系的重要步骤。

除了技术和流程层面的准备,员工的安全意识培训也是构建“零信任”安全体系的关键。

员工是安全的第一道防线,他们需要了解安全政策、熟悉安全风险,并且知道如何报告安全事件。

只有所有员工都积
极参与到安全工作中,才能构建健壮的“零信任”安全体系。

总的来说,“零信任”安全体系架构和实践要求企业不断提升安全意识、加强技术防御、优化安全流程,从而构建一个多层次、全方位的
安全防护系统。

通过全面的安全措施和策略,企业可以更好地应对来自内部和外部的各种威胁,确保企业信息和系统的安全。

零信任解决方案

(2)部署零信任网关:在各安全域之间部署零信任网关,作为访问控制的核心设备,实现对用户和设备的认证、授权和审计。
(3)采用微服务架构:对业务系统进行微服务化改造,降低单个服务组件的攻击面,提高系统安全性。
2.用户身份与设备识别
(1)身份认证:采用多因素认证方式,如密码、短信验证码、生物识别等,确保用户身份的真实性。
(3)安全运维:定期进行安全检查、漏洞修复和安全培训,提升整体安全水平。
四、实施步骤
1.项目启动:成立项目组,明确项目目标、范围和预期成果。
2.技术选型:根据企业现状,选择合适的零信任技术和产品。
3.系统设计与开发:按照零信任架构,进行系统设计与开发。
4.系统部署与调试:在各安全域部署零信任设备,进行系统调试和优化。
2.技术选型:根据企业现状,选择合适的零信任技术和产品。
3.系统设计与开发:按照零信任架构,进行系统设计与开发。
4.系统部署与调试:在各个安全域部署零信任设备,进行系统调试。
5.用户培训与推广:对员工进行零信任安全意识培训,推广零信任解决方案。
6.安全评估与优化:定期对系统进行安全评估,根据评估结果进行优化调整。
第2篇
零信任解决方案
一、背景分析
随着信息化时代的到来,企业信息系统已成为支撑业务运行的核心。然而,网络安全威胁日益增多,传统边界防御模式已无法满足安全需求。零信任安全模型作为一种全新的安全理念,通过“永不信任,总是验证”的原则,旨在提高企业信息系统的安全性。本方案将为企业制定一套详细的零信任解决方案。
二、目标设定
1.实现对企业网络资源的精细化管理,确保数据安全。
2.防范内外部安全威胁,降低安全风险。
3.提高用户访问体验,保障业务系统的高可用性。

零信任架构在网络安全中的实践

零信任架构在网络安全中的实践在当今数字化高速发展的时代,网络安全已经成为了企业和组织面临的重要挑战。

随着云计算、移动办公、物联网等技术的广泛应用,传统的基于边界的网络安全防护模式已经难以应对日益复杂和多样化的威胁。

零信任架构作为一种新兴的网络安全理念和架构模式,正逐渐受到关注并在实践中得到应用。

零信任架构的核心思想是“默认不信任,始终验证”,即不再基于网络位置或用户身份等传统因素来授予访问权限,而是对每一次访问请求都进行严格的身份验证、授权和持续的信任评估。

这种理念打破了传统网络安全中“信任内部网络,不信任外部网络”的固有思维,将安全防护的边界从网络边界扩展到了每一个访问请求。

那么,零信任架构在网络安全实践中是如何具体实现的呢?首先,身份和访问管理是零信任架构的关键基础。

在零信任环境中,需要建立一个强大的身份管理系统,对用户、设备、应用等实体进行精细的身份定义和认证。

这包括多因素认证、生物识别技术、单点登录等手段,以确保只有合法的实体能够获得访问权限。

同时,基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)等技术被广泛应用,根据用户的身份、角色、设备状态、访问时间等多种属性来动态授予访问权限。

其次,微隔离技术在零信任架构中起到了重要作用。

传统的网络分区往往基于网络拓扑结构,而微隔离则将网络进一步细分为更小的安全区域,实现更精细的访问控制。

通过微隔离,可以将不同的应用、服务和工作负载隔离开来,减少攻击面,防止横向移动。

例如,在数据中心中,可以将不同的虚拟机或容器进行隔离,只有经过授权的流量才能在它们之间流动。

再者,持续的信任评估和动态授权是零信任架构的核心环节。

在用户或设备进行访问请求时,不仅要进行初始的身份验证,还要持续监测其行为和环境因素,实时评估信任级别。

如果发现异常行为或风险因素,如设备感染病毒、用户访问异常数据等,系统将及时调整访问权限或中断访问。

这种动态的授权机制能够有效地应对不断变化的威胁态势。

零信任安全理念体系

零信任安全理念体系
零信任安全理念体系是一种全新的安全架构,旨在应对不断增长的网络威胁和
数据泄露事件。

它坚持不信任任何用户或者设备,将网络内外视为同等不可信的环境,通过动态、精确地验证用户的身份和访问权限来保护敏感数据和系统。

在传统的网络安全模型中,用户只需要经过一次身份验证即可获得相应的访问
权限,并在一定时间内保持该权限。

然而,在零信任安全理念体系中,用户在每次访问资源时,都需要进行身份验证和访问控制,无论用户是否在企业网络内部或外部。

这种精确的验证能够降低被未经授权的用户访问或者滥用权限的风险。

零信任安全体系建立在以下基本原则之上:
1. 最小权限原则:用户只能获得访问其工作职责所必需的权限,避免过度授权
所带来的安全隐患。

2. 多重身份验证:通过多种验证因素(如密码、指纹、智能卡等)来确认用户
的身份,确保访问请求的真实性。

3. 基于策略的访问控制:根据组织内部设定的策略和规则,对用户的访问进行
动态控制和审计,确保用户只能访问允许的资源。

4. 严格的网络隔离:通过细粒度的网络隔离,将用户和资源隔离开来,减少横
向传播风险。

5. 实时监测与响应:建立实时的监控系统,对用户和系统的活动进行全面监测,一旦发现异常行为,能够及时作出响应。

零信任安全体系能够有效应对当前复杂的网络环境,降低数据泄露和安全事件
的风险。

它将安全保护从传统的边界防御扩展至内部网络,提供了一种更加灵活和可靠的安全架构。

对于企业来说,采用零信任安全理念体系将成为未来发展的重要趋势,确保网络安全和数据保护的可持续性。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

深度参与安全规范编制工作
我司作为唯一全部参与等保2.0三个部分(基本、测评、安全设计)标准起草单位的安全厂商,深度参与相关规 范的编制工作。
深度参与安全规范编制工作
需求分析-媒体行业安全建设现状
融媒体等平台快速发展,大量引入 云计算、大数据的等新技术,原本 薄弱的安全基础更显不足。
业务网络的快扩展,资产不清、风险难 于管理等问题逐步暴露出来,同时在安 全管理、运维尚未构成相应的体系
需求分析-安全合规需求
《国家信息化领导小组关于加强信息安全保障工作的意见》中办发〔2003〕27号 《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》国发〔2012〕23号 《中华人民共和国网络安全法》第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,自2017年6月1日起施行。 《》(发改高技[2015]996号) 《关于推动传统媒体和新兴媒体融合发展的指导意见》 《关于加强县级融媒体中心建设的意见》2018年11月14日,中央全面深化改革委员会第五次会议审议通过了《关于加强县级融媒体中心建设的意见》
安全防护理念从传统 “网络/系统” 转向了以“人/数据”为中心!
Google-BeyondCorp零信任架构实践
Google BeyondCorp是在构建零信任网络6年经验的基础上打造的新一代企业安全 架构。通过将访问权限控制措施从网络边界转移到具体的设备, BeyondCorp让员 工可以更安全地在任何地点工作,而不必借助于传统的VPN 。
《县级融媒体中心网络安全规范》 《县级融媒体中心网络安全规范》 《县级融媒体中心监测监管规范 》 《县级融媒体中心省级技术平台规范要求》 《广播电视相关信息系统 安全等级保护基本要求 》GD/J 038—2011 《广播电视相关信息系统安全等级保护测评要求》GD/J 044—2012 《广播电视相关信息系统安全等级保护定级指南》GD/J 037—2011
零信任概念
网络内外部始终存在威胁。 信任与位置无关,默认不信任从任何人/设备/系统发起的访问。 任何设备、人员和网络流访问业务都要经过身份验证和授权。 策略必须是动态的,并且需要尽可能多的(上下文)数据用以计算(安全鉴别和评估)。
传统安全架构VS零信任架构
对比项 定义
部署位置 主要技术手段 访问控制模型 执行控制策略 控制细粒度
信息泄露事件层出不穷
• 外部黑客攻击泄露 • 内部人员非法泄露 • 第三方运维人员非法泄露 • 黑色产业链泄露
关键基础设施频遭破坏
• 2017年“永恒之蓝”勒索病毒事 件。
• 2018年华住酒店5亿个人信息泄露 事件。
• 2019年委内瑞拉电力系统遭受网 络攻击停电事件。
计算虚拟化
Clo云u计d算OS
网络虚拟化
存储虚拟化
云计算
大数据
物联网
攻击手段发展带来的安全变化
传统安全信任级别与“位置”强关联 默认内网是安全的,内部员工天生拥有“特权凭
证”,可以“随心所欲” 攻击者把获取“凭证”及对应“特权”作为首要
目标 传统防外的安全防护手段很难分辨内部攻击者的
敌我身份 根据Verizon报告分析指出,2018年重大数据
泄露中被盗身份是主要突破口,81%的相关安全 事件都源于被盗、默认或弱口令。
安全观念的变革
被动防御
动态防护
主动防御 安全可信 动态感知 全面审计
安全观念的变革
防外
修内
• 以传统边界围、堵、防方 式,跟随攻击者而动,无 法知己知彼,被动防御。
• 以人/数据为中心,知彼先知己, 基于身份进行动态防护,实现主 动防御。
CONTENTS 目录
新的安全形势 行业应用实践
信息技术发展带来的安全威胁挑战
新技术带来的安全挑战
• 网络安全边界泛化 • 虚拟化安全问题 • 海量数据安全存储问题 • 万物互联物联网安全问题
攻击手法不断升级
• DDOS攻击、病毒、木马 • APT攻击:Oday攻击、鱼叉
钓鱼攻击、社会工程等 • 拖库、撞库、洗库 • 网络诈骗、盗刷、黑色产业 • 大规模国家级网络攻击
用户终端与应用系统之间,应用系统与数据服务之间等
防火墙、IPS、AV等。
身份访问与管理(IAM)、PKI/PMI、可信技术等。
ACL、DAC、MAC、RBAC 静态策略
基于角色粗放授权,细颗粒度低 中
ABAC(基于属性的访问控制) 动态策略
精细化最小授权,细颗粒度高 高
CONTENTS 目录
新的安全形势 行业应用实践
安全意识欠缺
业务人员安全意识较为薄弱,原有封闭性 技术体系深入人心,对敏感数据、个人信 息等关注较少。
融媒体中心总体安全框架设计
设计规范化 建设集约化 行业驱动化 平台集成化
安全运维 体系
安全运维 管理规范
安全运维 管理制度
安全运维 管理人员
安全管·理制度
安全平台
融媒体中心安全解决方案架构
安全管理体系
安全性
传统安全架构
基于边界构筑网络安全架构,某种程度上假设、或 默认了内网是安全的,通过防火墙等手段对网络出 口进行重重防护,忽略了内网的安全。
各网络/系统出口等
零信任架构
默认情况下不应该信任网络内部和外部的任何人/设备/系统, 以身份为中心,重构安全边界,基于动态的认证和授权重 构访问控制的信任基础。
安全运维审计
安全管理机构
安全建设管理
安全运维管理
安全技术体系
安全管理平台
态势感平台
攻防演练平台
安全管理人员
安全计算 环境
PKI/PMI 统一身份认证
漏洞扫描
Web应用安全 防护
网页防篡改
应用安全审计
数据库安全
数据防泄漏
数据备份 与恢复
可信验证 文档加密 云安全资源池
终端准入控制 终端安全管理 终端病毒防范
终端安全管理 日志审计
《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息安全技术 信息系统安全等级保护实施指南》GB/T 25058-2010 《信息安全技术 信息系统安全等级保护定级指南》GB/T 22240-2008 《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019 《信息安全技术 网络安全等级保护安全设计要求》GB/T25070-2019 《信息安全技术 信息系统安全等级保护测评要求》GB/T28448-2019