警惕!这些政府信息泄密,只因一件事没做好……
作者:国保科技
时间:2023-01-11

美国国家标准技术研究院(NIST)在《零信任架构》中指出,传统安全方案对授权用户开放了过多的访问权限。零信任的首要目标就是重建信任,基于身份实现细粒度的访问控制,解决越权访问的风险。与此同时,对零信任安全做了如下定义:零信任安全提供一系列概念、理念、组件及其交互关系,以便消除针对信息系统和服务进行精准访问判定所存在的不确定性。此定义指出了零信任需要解决的关键问题:消除对数据和服务的未授权访问,强调了需要进行细粒度访问控制的重要性。

本文将对零信任安全架构的核心技术与应用场景进行具体分析。

核心技术


身份安全
身份安全提供身份管理、身份认证和授权能力,作为零信任的技术组件之一,对应零信任架构的“身份安全基础设施”。
(1)身份管理
身份管理是对身份数据的管理。身份管理包含身份识别、数据同步、身份存储、密码管理、特权管理等能力,覆盖了身份全生命周期管理、身份属性自定义、电子身份唯一化、电子身份自动化等方面。
(2)身份认证
身份认证技术是确认操作者真实身份过程中使用的方法或手段。在零信任安全模型下,对用户访问行为的监控是持续进行的,能够根据用户的行为实时调整策略。因此,基于公钥密码算法的身份认证技术仍将被广泛应用的同时,多因子认证、动态认证等身份认证技术会更多地被采用,并且在全面身份化的背景下,物联网设备大多采用基于区块链的认证技术。



访问代理

零信任访问代理融合了传输加密、业务隐藏、访问代理、流量检测等技术。
(1)传输加密
对业务访问流量进行加密,保证数据通信安全,有效抵抗中间人攻击。
(2)业务隐藏
融合SDP的端口隐藏技术,可以对应用资源和服务进行“端口隐藏”。
(3)全场景的访问代理
零信任访问代理需要支持Web访问流量转发、网络层流量转发、API调用转发等使用场景。
(4)流量检测
检测、认证、授权所有访问流量。




访问控制

零信任架构的核心即对资源的访问控制。访问控制是通过某种途径显式准许或限制主体对客体访问能力及范围的一种方法,其目的在于限制用户的行为和操作。当前应用比较广泛的访问控制技术包括基于角色的访问控制(Role-Based Access Control,RBAC)和基于属性的访问控制(Attribute-Based Access Control,ABAC)。零信任模型下,需要解决对用户的最小化授权、动态授权控制等问题。现有的零信任实现方案虽有采用RBAC模式,但多基于ABAC实现,也有采用了RBAC和ABAC结合的授权方式,即基于策略的访问控制(Policy Based Access Control,PBAC),既兼顾RBAC的简单、明确的特性,也具备ABAC的灵活性,实现了基于主体属性、客体属性、环境风险等因素的动态授权。




信任评估

持续信任评估是零信任体系从零开始构建信任的关键手段。通过建立包含信任评估模型和算法的信任评估引擎,实现基于身份的信任评估能力。同时利用环境感知技术,获取终端环境及身份的信任评分,结合身份属性信息,对访问的上下文环境进行风险判定,对访问请求进行异常行为识别,并对信任评估结果进行调整,覆盖“运行态”访问安全。当访问上下文和环境存在风险时,需要对访问权限进行实时干预,并评估是否需要对访问主体的信任降级。
美国国防部在《零信任参考架构》中将信任算法分为基于条件的评估、基于分值的评估、基于独立请求信息的评估和基于上下文的评估 。理想情况下,零信任架构应采用上下文相关的信任算法。但在定义和实现信任算法时,必须根据应用场景,平衡安全性、可用性和成本效益。



应用场景
企业环境可基于零信任原则来设计规划。根据用户类型、终端类型、数据敏感程度等各典型业务场景,在零信任参考架构的指引下,通过低耦合高内聚的能力叠加建设,将零信任架构的控制平面、数据平面分别由不同的零信任组件逐步叠加,应用于远程访问、大数据平台的数据交换、物联网泛终端接入等现代IT场景。




低耦合高内聚能力



叠加和场景扩展

(1)数据平面纵深扩展
数据平面对不同粒度的受保护资产,以不同形态、层次、能力实施保护措施,各层数据平面均具备水平扩展能力,可与具体场景层级深度结合,并能结合新兴场景、实际需求进行持续演进,解决用户在访问应用、数据交换、工作负载、物联网接入等场景下,收缩暴露面、保护资产、访问控制的安全诉求。
(2)控制平面水平扩展
控制平面的核心组件具有高度的一致性,控制平面具备统一控制调度能力,即对于数据平面统一的控制能力、管理能力、分析能力。零信任架构除了自身能力构建,还需同时具备完整的开放性,通过OpenC2、Restful API等通用协议接口与外部进行信息交互、完成策略与指令控制。




远程访问

远程访问场景,可细化为业务、办公远程访问、开发测试、特权运维、面向用户的公共访问等几类场景。该场景是通过在主体和客体之间的访问路径上构建完整的信任链,实现访问控制过程的安全可控。对远程接入的用户和设备实施身份验证和持续授权,解决远程安全接入、动态授权和可控业务访问的问题。




远大数据平台的数据交互

大数据平台主要的数据交互场景有两类:一类是用户或者外部系统通过数据中心网络出口访问内部系统数据;另一类是大数据平台内部工作负载之间交互。

(1)外部数据出入交换

在大数据平台的外部设置安全接入区,部署API代理控制服务,所有外部数据的交换都通过安全接入区才能访问,实现内部、外部用户和应用对于大数据平台API服务的安全接入,并且可根据访问主体实现细粒度的访问授权。

(2)内部工作负载交互

使用微隔离的技术手段实现服务器之间的隔离,一个服务器访问另一个服务器资源时需要进行身份认证。解决传统环境、虚拟化环境、混合云环境下内部流量的识别与访问控制问题。




远物联网泛终端接入

在物联网实施零信任安全,是通过部署边缘物联接入管理设备,建立物联设备标识管理机制,生成由主体属性、环境属性和客体属性构成的物联设备身份指纹,建立物联设备安全基线库。采用持续主动扫描、被动监听检测、安全接入控制区等方式,解决终端的身份认证和访问控制。允许身份可信、经过动态授权的物联设备入网,并对物联终端进行持续信任评估、访问控制,解决物联终端的身份仿冒和恶意访问。


涉密载体必须在符合国家保密标准的保密文件柜中保存,做到人走柜锁,不得放置在不安全的环境中。不合格的产品,容易被撬开、被解锁,安全度低,存在重大泄密隐患。涉密人员应当做好保密文件柜管理,谨慎采购,国家利益高于一切,切莫疏忽大意。


保密柜

柜锁双认证证书


国保V系列保密柜经过国家保密局认证,获得柜锁双认证证书,符合国家保密新标准(BMB54-2020),适合存放国家机密级以下载体。该产品融入国保研发第五代核心科技,具备半导体指纹识别、日志记录、即时报警等安全功能,能够有效防止小黑盒和暴力开启;保密锁可根据实际需要,使用密码或指纹、密码+指纹、双指纹合开等开锁方式。



保密柜

国保V系列保密柜


  广州国保科技有限公司专注为国保密30年,集研发、生产、销售于一体,服务于国家党政军机关、企事业单位等涉密部门,是中央政府及各省市政府采购中标供应商,是党的十五大到十九大会议会务专用保密设备服务商。同时为华为、苹果、迪士尼、阿里巴巴、腾讯等众多500强企业提供高品质保密服务。旗下涉密安全产品:保密柜手机屏蔽柜、保险柜、密码锁文件柜、档案文件柜、碎纸机等获得客户的高度认可,引领保密行业发展。想要了解更多详情,请点击官方网站:https://www.guub.cn/ 。



上一篇:展望2023:值得关注的十大网络安全趋势


推荐阅读:

•《企业用传统文件保险柜管理重要文件真的安全吗?

•《手机屏蔽柜怎么选?

•《一文带你深入了解国保商密载体保密柜

•《选购保密文件柜时,应当注意什么?

•《一文带你秒懂新国标保密柜

正品保证 优质服务 急速物流 售后无忧