基于零信任的新一代网络安全体系重构课件

基于零信任的新一代网络安全体系重构基于零信任的新一代网络安全体系重构CONTENTS目录新的安全形势行业应用实践CONTENTS目录新的安全形势行业应用实践信息技术发展带来的安全威胁挑战CloudOS计算虚拟化存储虚拟化网络虚拟化云计算大数据云计算物联网网络安全边界泛化虚拟化安全问题海量数据安全存储问题万物互联物联网安全问题新技术带来的安全挑战DDOS攻击、病毒、木马APT攻击：Oday攻击、鱼叉钓鱼攻击、社会工程等拖库、撞库、洗库网络诈骗、盗刷、黑色产业大规模国家级网络攻击攻击手法不断升级外部黑客攻击泄露内部人员非法泄露第三方运维人员非法泄露黑色产业链泄露信息泄露事件层出不穷2017年“永恒之蓝”勒索病毒事件。2018年华住酒店5亿个人信息泄露事件。2019年委内瑞拉电力系统遭受网络攻击停电事件。关键基础设施频遭破坏信息技术发展带来的安全威胁挑战CloudOS计算虚拟化存储攻击手段发展带来的安全变化传统安全信任级别与“位置”强关联默认内网是安全的，内部员工天生拥有“特权凭证”，可以“随心所欲”攻击者把获取“凭证”及对应“特权”作为首要目标传统防外的安全防护手段很难分辨内部攻击者的敌我身份根据Verizon报告分析指出，2018年重大数据泄露中被盗身份是主要突破口，81%的相关安全事件都源于被盗、默认或弱口令。攻击手段发展带来的安全变化传统安全信任级别与“位置”强关联安全观念的变革被动防御动态防护主动防御安全可信动态感知全面审计安全观念的变革被动防御动态防护主动防御安全可信动态感知全面审安全观念的变革防外修内以传统边界围、堵、防方式，跟随攻击者而动，无法知己知彼，被动防御。以人/数据为中心，知彼先知己，基于身份进行动态防护，实现主动防御。安全防护理念从传统“网络/系统”转向了以“人/数据”为中心！安全观念的变革防外修内以传统边界围、堵、防方式，跟随攻击者而Google-BeyondCorp零信任架构实践GoogleBeyondCorp是在构建零信任网络6年经验的基础上打造的新一代企业安全

架构。通过将访问权限控制措施从网络边界转移到具体的设备，BeyondCorp让员

工可以更安全地在任何地点工作，而不必借助于传统的VPN。

Google-BeyondCorp零信任架构实践Google零信任概念网络内外部始终存在威胁。信任与位置无关，默认不信任从任何人/设备/系统发起的访问。任何设备、人员和网络流访问业务都要经过身份验证和授权。策略必须是动态的，并且需要尽可能多的（上下文）数据用以计算（安全鉴别和评估）。零信任概念网络内外部始终存在威胁。对比项传统安全架构零信任架构定义基于边界构筑网络安全架构，某种程度上假设、或默认了内网是安全的，通过防火墙等手段对网络出口进行重重防护，忽略了内网的安全。默认情况下不应该信任网络内部和外部的任何人/设备/系统，以身份为中心，重构安全边界，基于动态的认证和授权重构访问控制的信任基础。部署位置各网络/系统出口等用户终端与应用系统之间，应用系统与数据服务之间等主要技术手段防火墙、IPS、AV等。身份访问与管理（IAM）、PKI/PMI、可信技术等。访问控制模型ACL、DAC、MAC、RBACABAC(基于属性的访问控制）执行控制策略静态策略动态策略控制细粒度基于角色粗放授权，细颗粒度低精细化最小授权，细颗粒度高安全性中高传统安全架构VS零信任架构对比项传统安全架构零信任架构定义基于边界构筑网络安全架构，某CONTENTS目录新的安全形势行业应用实践CONTENTS目录新的安全形势行业应用实践需求分析-安全合规需求《国家信息化领导小组关于加强信息安全保障工作的意见》中办发〔2003〕27号《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》国发〔2012〕23号《中华人民共和国网络安全法》第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过，自2017年6月1日起施行。《》（发改高技[2015]996号）《关于推动传统媒体和新兴媒体融合发展的指导意见》《关于加强县级融媒体中心建设的意见》2018年11月14日，中央全面深化改革委员会第五次会议审议通过了《关于加强县级融媒体中心建设的意见》《计算机信息系统安全保护等级划分准则》GB17859-1999《信息安全技术信息系统安全等级保护实施指南》GB/T25058-2010《信息安全技术信息系统安全等级保护定级指南》GB/T22240-2008《信息安全技术网络安全等级保护基本要求》GB/T22239-2019《信息安全技术网络安全等级保护安全设计要求》GB/T25070-2019《信息安全技术信息系统安全等级保护测评要求》GB/T28448-2019《县级融媒体中心网络安全规范》《县级融媒体中心网络安全规范》《县级融媒体中心监测监管规范》《县级融媒体中心省级技术平台规范要求》《广播电视相关信息系统安全等级保护基本要求》GD/J038—2011《广播电视相关信息系统安全等级保护测评要求》GD/J044—2012《广播电视相关信息系统安全等级保护定级指南》GD/J037—2011需求分析-安全合规需求《国家信息化领导小组关于加强信息安全保深度参与安全规范编制工作我司作为唯一全部参与等保2.0三个部分（基本、测评、安全设计）标准起草单位的安全厂商，深度参与相关规范的编制工作。深度参与安全规范编制工作我司作为唯一全部参与等保2.0三个部深度参与安全规范编制工作深度参与安全规范编制工作需求分析-媒体行业安全建设现状业务网络的快扩展，资产不清、风险难于管理等问题逐步暴露出来，同时在安全管理、运维尚未构成相应的体系安全意识欠缺安全管理不足安全基础薄弱融媒体等平台快速发展，大量引入云计算、大数据的等新技术，原本薄弱的安全基础更显不足。业务人员安全意识较为薄弱，原有封闭性技术体系深入人心，对敏感数据、个人信息等关注较少。需求分析-媒体行业安全建设现状业务网络的快扩展，资产不清、风融媒体中心总体安全框架设计设计规范化建设集约化行业驱动化平台集成化以安全管理体系为指导以安全技术体系为手段以安全服务体系为支撑以运维服务体系为保障融媒体中心总体安全框架设计设计规范化建设集约化行业驱动化平台安全技术体系设计安全技术体系设计基于零信任理念的业务安全访问设计示例基于零信任理念的业务安全访问设计示例安全管理体系设计安全管理体系设计安全组织机构安全管理人员安全管理制度风险管理安全审计安全支撑安全领导小组安全管理人员安全执行人员应急响应人员岗位职责明确安全培训教育人员考核外部人员管理总体安全管理方针安全管理制度及流程操作规范及标准审计专员审计策略响应策略风险评估风险处置资产安全管理漏洞安全管理安全技术支撑管理平台第三方威胁情报合作单位支撑日志、记录、表格安全态势感知安全管理体系设计安全管理体系设计安全组织机构安安全运维体系设计构建由运维机制、运维队伍、运维工具、运维支撑和运维管理办法组成的运维保障体系。通过自行运维和第三方支持相结合的方式组建运维力量。1、安全运维管理规范；2、安全运维管理平台；3、安全运维管理力量；4、安全运维知识库信息系统生命周期全覆盖安全运维体系设计构建由运维机制、运维队伍、运维工具、运维支撑安全服务体系设计安全规划设计指导行业信息化安全建设项目的开展，在信息系统建设的重点业务环节、重点风险环节提供安全防护要求风险评估安全加固针对整体网络系统进行风险评估，做好差距分析。完善基础防护设施，针对特定安全漏洞进行安全技术加固。适当引入第三方安全测评服务。针对各类安全突发事（案）件，为行业融媒体生产网、制播网等提供安全事件应急响应和处置服务，在发生信息破坏事件、大规模病毒事件、网站漏洞事件等信息安全事件时，提供应急响应人员及技术服务，协助快速处置。同时加强人员安全意识培训。规划设计服务技术支持服务应急响应服务应急响应安全培训安全服务体系设计安全规划设计指导行业信息化安全建设项目的开展成功案例分享大冶市融媒体中心融媒体平台建设项目大冶市融媒体中心融媒体平台建设项目严格参照网络安全等级保护及县级融媒体中心网络安全规范等相关标准进行建设，是全省县级融媒体中心安全建设最早落地的一个，目前已经完成项目实施工作，具备等保测评验收条件。成功案例分享大冶市融媒体中心融媒体平台建设项目大冶市融媒体中成功案例分享中央电视台广电总局中国国际广播电台中央人民广播电台歌华有线国家有线北京电视台新华社新华网中国西藏网………县级融媒体案例：大冶市融媒体中心融媒体平台建设项目-已实施十堰市房县融媒体中心融媒体平台建设项目-已中标成功案例分享中央电视台县级融媒体案例：公司概况介绍联想集团成立信息安全事业部

2001年2004年