經過多年的技術沉淀和豐富的項目經驗積累,通過深入了解用戶需求和透徹解讀等保2.0安全標準,建恒信安推出了重量級安全產品——應用堡壘,該創新性產品能夠有效解決當前業務系統的安全訪問和業務操作過程中的安全管控問題,能夠全面滿足新的等保體系下應用和業務系統安全合規需求。
既要效率又要安全應用與業務系統的合規痛點頗多
等保2.0安全標準充分體現了“一個中心,三重防御”的思想,進行了安全分類結構的調整,其中最重要的調整是計算資源的一體化保障,事實上可以認為在新標準當中將以往的“主機、應用、數據”三個層面整合成了“安全計算環境”一個大領域。因此對于應用和業務系統的安全合規提出了更高的要求和挑戰。
“一個中心三重防護”,就是針對安全管理中心和計算環境安全、區域邊界安全、通信網絡安全的安全合規進行方案的定制化設計,建立以計算環境安全為基礎,以區域邊界安全、通信網絡安全為保障,以安全管理中心為核心的信息安全整體保障體系。
以等保2.0的第三級安全要求為例(等保三級),我們討論一下現在業務和應用系統的安全痛點,事實上也是長期以來一直存在的安全難題。
①過于脆弱或者過于繁瑣的身份鑒別機制:
等保2.0“身份鑒別”章節要求應用系統采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,但現有應用系統的認證強度普遍不高,大部分應用還是采用靜態的用戶名口令認證方式。
②遙不可及的最小權限和形同虛設的應用訪問控制:
等保2.0“訪問控制”章節要求對應用系統進行嚴格的訪問控制管理。
目前的應用系統更多的是采用基于平臺角色的功能授權,而不是基于業務所需的最小授權,因此越權和敏感信息泄露的事件層出不窮。
③幾近于無的應用系統審計和根本不存在的業務審計:
等保2.0“安全審計”章節要求應用系統提供詳盡的用戶行為,操作審計。
現有的應用系統一般只具備用戶網絡訪問層面的系統審計信息,根本不考慮用戶的業務行為和操作層面的審計,更缺乏安全事件審計和控制,也無法與等保2.0架構中的安全管理中心形成有效的反饋和聯動。
④應用系統入侵防范手段匱乏,致命威脅往往來自內部:
等保2.0“入侵防范”章節要求應用系統關閉非必要的服務和端口,同時進行接入方式和地址的限制等,然而現在大多數的業務系統風險意識相對淡薄,內控措施匱乏。
⑤不可能完成的任務——可信驗證:
等保2.0“可信驗證”章節,要求在應用程序的關鍵執行環節進行動態可信驗證并將驗證結果形成審計記錄送至安全管理中心。但是現有的業務應用軟硬件平臺幾乎無法完成。
⑥效率與安全之間的兩難選擇,加不加密是個問題:
等保2.0“數據保密性”章節要求,采用密碼技術保證重要數據在傳輸和存儲過程中的保密性。但是常規的業務系統,特別是內部應用,基于效率的考慮一般都是非加密傳輸的,對于企業的業務部門和安全部門來講,這永遠是一個兩難的選擇。
主動擁抱等保2.0合規建設應用堡壘助網絡安全大升級
有人說,大浪淘沙沉者為金,等保2.0時代,將會有很多的安全廠商與部門機構乘風破浪,激流勇進。然而,這不只是一個勇敢者的游戲,還需要經驗、智慧、信仰與鉆研,方能有資格抵達彼岸,笑傲群雄。
建恒信安作為一家在網絡安全領域具有多年身份及訪問控制運維經驗的廠商,通過深入研究等保2.0,特推出重量級安全產品——應用堡壘。
應用堡壘作為滿足等級保護應用安全合規性要求的安全產品,定位于解決應用系統訪問全鏈條當中的安全問題,提供業務操作的安全管控與用戶行為的安全審計。
針對等保2.0“身份鑒別”、“訪問控制”、“安全審計”、“入侵防范”、“可信驗證”、“數據保密性”等章節的要求,建恒信安應用堡壘具有以下特征:
靈活的個人信息保護與強認證機制:應用堡壘提供了統一的認證樞紐,隔離了靜態認證機制,提供多種強認證方式。
應用的最小權限管理與應用安全管控:應用堡壘提供用戶訪問應用系統的門戶,它是用戶訪問業務系統的唯一入口,大大提升安全性。
業務行為審計與智能安全風險分析:應用堡壘對業務操作行為可進行屏幕錄像,對應用系統訪問情況做出完整記錄。
業務系統攻擊檢測與應用入侵防范:集內容發布技術、安全容器技術、水印技術、安全會話票據技術等核心技術于一身的應用堡壘,從業務訪問的全鏈條上保證了應用系統的安全性。
高效加密協議轉換與業務機密性保障:應用堡壘在自身與用戶之間建立加密鏈路,而在自身與后臺業務系統之間建立明文傳輸鏈路,完美兼顧安全和效率。
可信驗證解決方案,支持國密算法:除了滿足安全驗證需求,應用堡壘解決了當前業務系統面臨的另外一個重大難題。根據等保2.0以及其它相關安全標準的要求,業務系統訪問必須支持國密算法,應用堡壘在不改造應用系統的前提下可以快速解決此問題。
完備的數據安全技術保障:應用堡壘可以提供水印,敏感數據脫敏、上下行文件審核等功能,阻斷數據泄密通道。
基于以上技術,建恒信安應用堡壘可實現應用安全隔離、應用集中認證與登錄、應用入侵防護、應用數據保護、應用行為審計分析等,為企業提供用戶業務行為畫像,并可以基于AI技術對業務行為的風險進行分析預算。應用堡壘采用旁路部署,不改變用戶現有的網絡架構,部署靈活便利,可大大節約企業成本。
總之:建恒信安應用堡壘通過遵從“一個中心、三重防護”的安全架構設計,幫助用戶滿足等保2.0和《網絡安全法》的合規要求。在網絡安全新時代、新威脅、新體系、新能力要求的背景下,建恒信安不斷提升等保解決方案,以等保合規為基礎,打造主動、動態、自適應等保2.0標準的新體系,致力為客戶提供安全、有效、合規的等級保護解決方案,為客戶建立集“智能、防御、檢測、響應、運營”于一體的安全閉環,實現安全威脅快速檢測與有效防御。
關于建恒信安:
建恒信安是國內知名的擁有完全自主知識產權的信息安全產品、服務及解決方案提供商,自主研發四大系列安全產品線,包括身份管理及訪問控制、安全審計與分析、風險評估、數據存儲與容災備份,并在安全領域首提“定制安全、智慧安全”服務理念,為中國工商銀行、中國光大銀行、中國郵政儲蓄銀行、恒豐銀行、天翼終端公司、國家電網有限公司、中國科學院等用戶提供定制化解決方案及服務。
