首頁 > 關于安博通 > 新聞中心
等保2.0解讀 | 安全策略控制如何化難為易?
2019-05-17
835

安博通“晶石”之策助力用戶加速實現等保2.0




隨著《網絡安全法》出臺,網絡安全等級?;ぶ貧缺惶嶸攪朔剎忝?,國家網絡安全等級?;すぷ鶻肓?.0時代,各行各業的網絡運營者對等級?;け曜冀兄匭卵?、認識,并基于相關標準建設網絡安全防護措施。等保2.0標準的發布為等級?;ぶ貧鵲穆涫堤峁┝擻辛ΡU?,然而等保2.0標準相對等保1.0標準的擴展與調整也給網絡運營者帶來了新的困難,尤其是如何實現標準中新增的控制措施。


等保2.0標準中?;ざ韻蟮玫嚼┱?,由單一信息系統擴展到整個網絡空間,將網絡基礎設施、重要信息系統、大數據中心、云計算平臺、物聯網、工控系統、公眾服務平臺等全部納入等級?;ぜ喙?;內容進一步完善,除定級、備案、整改、測評和監督檢查外,增加了風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置、自主可控、供應鏈安全、效果評價、綜合考核等內容,充分體現了變被動防御為主動防御的核心思想。


在安全要求范圍擴展的同時,等保2.0標準針對安全要求的架構和部分細則也進行了調整。技術控制措施由原來的物理、網絡、主機、安全、數據五方面調整為安全管理中心統籌安全計算環境、安全區域邊界、安全網絡通信的“一個中心三重防御”體系,更加強調對整體防護體系的管控。細則調整中,安博通重點關注到了對安全策略的控制要求,以等保三級要求為例,包括:


1.jpg

 

如此多新增的安全策略控制要求,對網絡運營者來說的確是一個不小的問題,然則標準的要求一定是來源于運維的痛點,相信很多網絡運營者都感受到了安全策略精準運維的切膚之痛。安博通晶石安全策略可視化平臺針對上述安全策略相關要求均提供了解決方案,對應關系如下:

 

2.jpg

 

晶石解決之道詳解

 

3.jpg

 

01安全策略集中管控

 

安全策略可視化平臺可實現對企業全網防火墻、路由交換、負載均衡、VPN等異構品牌、異構型號的網絡安全設備進行統一集中管理,包括策略采集、策略解析、策略歷史、策略變更監控、策略查詢、策略清理、策略開通等相關功能。平臺可通在線方式遠程采集被管設備的安全策略配置文件,對提取到的防火墻策略在數據格式上進行標準化與統一化處理,并統一解析,實現對全網安全設備以及全網安全策略的統一、集中可視化呈現及操作。 滿足等保2.0中有關安全管理和集中管控的控制點和要求項。


4.jpg

 

02安全策略優化清理

 

平臺采用“靜”、“動”結合方式實現安全策略的優化清理,確保訪問控制規則最小化?!熬病奔椿誆唄雜嘔觳樗惴ǘ苑闌鵯?、路由器、交換機網絡節點設備的安全訪問控制策略配置文件進行優化檢查,梳理出各類冗余策略、隱藏策略、過期策略、可合并策略、空策略等,管理員可根據分析結果再對策略進行精簡和優化調整?!岸奔雌教ㄍü杉闌鵯繳璞傅陌踩唄勻罩窘型臣品治?,并與安全策略進行原子級五元組比對,實現安全策略命中與收斂分析功能。

 

安全策略命中分析可針對防火墻上每條策略實現歷史一段時間的命中流量總數呈現,同時通過策略命中,調整策略順序,命中數多的策略優先級高,提高防火墻效率;找出長期無用策略,針對性進行縮緊和刪除。安全策略收斂分析功能則通過策略收斂度比值的方式呈現目標防火墻上每條策略的寬松程度,策略收斂度值越小的策略越寬松,同時可以查看實際命中原子策略信息,通過策略收斂分析,找出寬松策略和長期無效策略,針對性進行縮緊和刪除??墑迪腫钚』夢什唄栽?,從而提升網絡的整體安全防御能力。

 

5.jpg

 

03安全策略風險分析

 

平臺基于系統預置的安全策略風險規則庫,對防火墻設備安全策略配置進行策略風險規則檢測,并提供防火墻設備安全策略風險告警以及整改措施。策略風險規則涵蓋統計風險、寬松風險、高危端口、配置風險、合規風險等多個維度。同時平臺支持域間訪問白名單與持續監控功能,系統可自動梳理各安全域之間的訪問控制關系,配合人工干預快速形成全網安全域間訪問控制白名單,實現對全網安全域間訪問控制白名單可視化管理;并通過持續監測,及時發現違反訪問控制白名單的違規路徑和安全策略,有效規避安全策略風險。

 

6.jpg

 

04安全策略智慧運維

 

平臺提供更加智能化的安全策略自動化運維解決方案,安全策略自動開通與配置功能包含開通業務請求、開通建議、策略風險分析、策略遠程下發以及策略開通驗證等功能,從而賦能網絡安全管理員,協助安全管理員根據業務需求設置安全策略,包括定義訪問路徑、選擇安全組件、配置安全策略。該方案不僅可確保變更內容準確,提高工作效率,降低維護成本,同時讓整個安全策略運維管理工作更加合規。

 

7.jpg

 

等級?;すぷ韉穆涫滌行嶸宋夜耐綈踩闌つ芰?。等保2.0的發布,對云計算、移動互聯、物聯網、工業控制及大數據安全等領域的安全防護能力提出有效補充,是實現國家網絡安全戰略目標的新一級臺階。安博通將發揮自身技術優勢,始終貫徹網絡安全等級?;ぶ貧?,為國家網絡安全建設工作貢獻力量!