等保2.0解读 | 安全策略控制如何化难为易?
安博通“晶石”之策助力用户加速实现等保2.0
随着《网络安全法》出台,网络安全等级保护制度被提升到了法律层面,国家网络安全等级保护工作进入了2.0时代,各行各业的网络运营者对等级保护标准进行重新学习、认识,并基于相关标准建设网络安全防护措施。等保2.0标准的发布为等级保护制度的落实提供了有力保障,然而等保2.0标准相对等保1.0标准的扩展与调整也给网络运营者带来了新的困难,尤其是如何实现标准中新增的控制措施。
等保2.0标准中保护对象得到扩展,由单一信息系统扩展到整个网络空间,将网络基础设施、重要信息系统、大数据中心、云计算平台、物联网、工控系统、公众服务平台等全部纳入等级保护监管;内容进一步完善,除定级、备案、整改、测评和监督检查外,增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综合考核等内容,充分体现了变被动防御为主动防御的核心思想。
在安全要求范围扩展的同时,等保2.0标准针对安全要求的架构和部分细则也进行了调整。技术控制措施由原来的物理、网络、主机、安全、数据五方面调整为安全管理中心统筹安全计算环境、安全区域边界、安全网络通信的“一个中心三重防御”体系,更加强调对整体防护体系的管控。细则调整中,安博通重点关注到了对安全策略的控制要求,以等保三级要求为例,包括:
如此多新增的安全策略控制要求,对网络运营者来说的确是一个不小的问题,然则标准的要求一定是来源于运维的痛点,相信很多网络运营者都感受到了安全策略精准运维的切肤之痛。安博通晶石安全策略可视化平台针对上述安全策略相关要求均提供了解决方案,对应关系如下:
晶石解决之道详解
01安全策略集中管控
安全策略可视化平台可实现对企业全网防火墙、路由交换、负载均衡、VPN等异构品牌、异构型号的网络安全设备进行统一集中管理,包括策略采集、策略解析、策略历史、策略变更监控、策略查询、策略清理、策略开通等相关功能。平台可通在线方式远程采集被管设备的安全策略配置文件,对提取到的防火墙策略在数据格式上进行标准化与统一化处理,并统一解析,实现对全网安全设备以及全网安全策略的统一、集中可视化呈现及操作。 满足等保2.0中有关安全管理和集中管控的控制点和要求项。
02安全策略优化清理
平台采用“静”、“动”结合方式实现安全策略的优化清理,确保访问控制规则最小化。“静”即基于策略优化检查算法对防火墙、路由器、交换机网络节点设备的安全访问控制策略配置文件进行优化检查,梳理出各类冗余策略、隐藏策略、过期策略、可合并策略、空策略等,管理员可根据分析结果再对策略进行精简和优化调整。“动”即平台通过采集防火墙设备的安全策略日志进行统计分析,并与安全策略进行原子级五元组比对,实现安全策略命中与收敛分析功能。
安全策略命中分析可针对防火墙上每条策略实现历史一段时间的命中流量总数呈现,同时通过策略命中,调整策略顺序,命中数多的策略优先级高,提高防火墙效率;找出长期无用策略,针对性进行缩紧和删除。安全策略收敛分析功能则通过策略收敛度比值的方式呈现目标防火墙上每条策略的宽松程度,策略收敛度值越小的策略越宽松,同时可以查看实际命中原子策略信息,通过策略收敛分析,找出宽松策略和长期无效策略,针对性进行缩紧和删除。可实现最小化访问策略原则,从而提升网络的整体安全防御能力。
03安全策略风险分析
平台基于系统预置的安全策略风险规则库,对防火墙设备安全策略配置进行策略风险规则检测,并提供防火墙设备安全策略风险告警以及整改措施。策略风险规则涵盖统计风险、宽松风险、高危端口、配置风险、合规风险等多个维度。同时平台支持域间访问白名单与持续监控功能,系统可自动梳理各安全域之间的访问控制关系,配合人工干预快速形成全网安全域间访问控制白名单,实现对全网安全域间访问控制白名单可视化管理;并通过持续监测,及时发现违反访问控制白名单的违规路径和安全策略,有效规避安全策略风险。
04安全策略智慧运维
平台提供更加智能化的安全策略自动化运维解决方案,安全策略自动开通与配置功能包含开通业务请求、开通建议、策略风险分析、策略远程下发以及策略开通验证等功能,从而赋能网络安全管理员,协助安全管理员根据业务需求设置安全策略,包括定义访问路径、选择安全组件、配置安全策略。该方案不仅可确保变更内容准确,提高工作效率,降低维护成本,同时让整个安全策略运维管理工作更加合规。
等级保护工作的落实有效提升了我国的网络安全防护能力。等保2.0的发布,对云计算、移动互联、物联网、工业控制及大数据安全等领域的安全防护能力提出有效补充,是实现国家网络安全战略目标的新一级台阶。安博通将发挥自身技术优势,始终贯彻网络安全等级保护制度,为国家网络安全建设工作贡献力量!