CSA GCR 发布|《SDP 实现等保 2.0 合规技术指南》

网络安全等级保护制度标准于 2019 年 12 月 1 日实施,是国家信息安全保障的基本制度、基本策略、基本方法。等保 2.0 将等保 1.0 的被动式传统防御思路转变为主动式防御,覆盖工业控制系统、云计算、大数据、物联网等新技术新应用,为落实信息系统安全工作提供了方向和依据。

      云安全联盟提出的 SDP 软件定义边界是实施零信任安全架构的解决方案,SDP 将基于传统静态边界的被动防御转化为基于动态边界的主动防御,与等保 2.0 的防御思路非常吻合,成为满足等保 2.0 合规要求的优选解决方案。CSA 大中华区 SDP 工作组对等保 2.0 做了深入解读,并编写出了《SDP 实现等保 2.0 合规技术指南》(以下简称“指南”),指南对 SDP 的基本原理、等保 2.0 的发展背景及要求、SDP 与等保 2.0 的关系、SDP 满足等保 2.0 的二级、三级、四级安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求等做了详细的阐述和说明,力求将 SDP 与等保 2.0 的每一项具体要求进行对比说明,方便读者对 SDP 如何满足等保 2.0 的具体细节有更清晰的认知。

1. 安全通用要求:
      2019 年 12 月 1 日网络安全等级保护制度 2.0 标准正式实施,各政府、企事业单位都需要通过开展等级保护工作,推动等级保护整改建设实施,使得相关信息系统能够达到相应等级的基本保护和防护能力。《SDP 实现等保 2.0 合规技术指南》的『安全通要要求』能够有效的帮助用户了解信息系统如何满足等级保护的要求,构建符合等级保护的安全架构。
在指南中『安全通用要求』部分覆盖:安全通信网络、安全区域边界、安全计算环境、安全管理中心等内容;在身份鉴别、通信传输、边界防护、访问控制、入侵防范、安全审计部分 SDP 对业务系统能形成更有效的保护,可以帮助业务系统完成等级保护整改建设。

2. 云计算安全扩展要求:

      在云计算环境中,由于计算、存储和网络等元素的资源池化,业务所在的物理位置和网络位置的频繁变化,以及从单用户到多租户的管理运维模式变化,导致了传统的安全防护和管理运维手段无法有效应对云计算环境的情况,这使得如何满足等级保护 2.0 中对云计算的扩展要求成为一个棘手的问题。再加上云端应用的用户比传统用户的接入方式更加灵活,当用户、业务都可变时,网络路径就变得不确定,因而相对应的防护手段也遇到了挑战。这使得安全通信网络成为云计算环境满足等级保护 2.0 要求的核心问题之一。
      软件定义边界(SDP)恰好给这种情况提供了一种行之有效的应对思路。SDP 是以用户身份为中心的,而没有基于预设的发起方(IH)和接受方(AH)的网络地址等信息,因而能够在内外部环境,尤其是网络地址和拓扑都持续发生变化的情况下,提供可靠的隔离和访问控制手段。CSA 提出采用以身份体系代替物理位置、网络区域的 SDP 零信任架构逐渐获得业界认可。
      本章针对云计算扩展中的不同等级的具体要求,给出了 SDP 的适用性建议,帮助读者快速了解如何借助 SDP,在云计算环境中满足等级保护 2.0 中的相关要求,便于读者进行架构规划设计,以及选用恰当的方案和产品。

3. 移动互联安全扩展要求:

移动互联应用架构

      移动互联网应用越来越普及,移动终端接近全覆盖,基于移动互联网的应用也越来越多,涉及工作、生活、家居、娱乐等各方面,移动互联网安全也越显重要。因此在等保 2.0 中提出了移动互联网安全扩展要求,对移动互联网的移动终端、移动应用、无线网络等提出了特殊的安全要求,包括物理安全、边界防护、访问控制、入侵防范、终端管控、软件开发等。软件定义边界(SDP)强化移动互联网应用的安全机制,利用动态信任评估、网络隐藏、双向验证、网络微隔离、安全远程访问等技术手段实现增强移动互联网安全的目的。

4. 物联网安全扩展要求:
      物联网近些年正在快速发展,联网设备呈指数型增加,终端功能越来越复杂,而这个过程中面临着众多的安全风险。因此在等保 2.0 中提出了物联网安全扩展要求,对物联网系统的终端感知节点、感知网关节点、远程数据中心提出了接入控制、入侵防范、节点管理等要求。软件定义边界(SDP)将通过“零信任”框架,重构物联网系统的安全机制,并利用强化身份验证、身份与设备的双向验证、网络微隔离、安全远程访问等技术手段实现增强物联网安全,实现对于等保 2.0 的满足或部分满足。

物联网构成

      本章首先对物联网安全架构进行概述,然后分析 2 级、3 级、4 级等保要求,再根据每个等保要求分析 SDP 的适用情况,最后阐述哪些 SDP 技术能够对等保 2.0 要求满足的适用策略,读者可以从中找到合适的策略用在自己的物联网系统中。

5. 工控系统安全扩展要求:
      我国在推动制造业升级,迈向工业 4.0 时代,如何做好工业控制系统安全和合规是当下各单位面临的挑战。本章节依据《网络安全等级保护基本要求》工业控制系统安全扩展要求,结合 SDP 技术,从网络架构、通信传输、访问控制、无线使用等方面提供安全使用建议,覆盖二、三、四级的工业控制系统安全防护,力助各单位利用 SDP 技术做好工业控制系统安全防护与合规。

总结
      基于零信任理念的软件定义边界(SDP)技术不仅能够帮助企业做好网络安全建设,同时也能够满足等保 2.0 中的多项安全要求,除了在通用安全方面,还在诸如云计算、移动互联、物联网、工业控制等新兴领域方面发挥着巨大的作用。在边界防护、入侵防范、通信传输、身份鉴别、数据保密等方面,可以帮助企业进一步收窄业务系统暴露面,保障业务系统的边界安全,是更符合新时代网络安全发展趋势的安全解决方案。
      在网络安全已经上升到国家战略层面的今天,以等保 2.0 为代表的国家标准正在发挥越来越重要的作用。而如何将这些标准做到“落地实施”,则需要依托于所有的网络安全从业人员和厂商的共同努力。而这其中,以软件定义边界 SDP 为代表的新一代网络完全架构,正在颠覆传统的企业网络安全体系,将在今后企业网络安全建设和发展过程中发挥举足轻重的作用。

特别感谢参与本文档编写的专家(排名不分先后):
**总编辑:** 陈本峰(云深互联)
安全通用要求章节:
组长:卢艺(深信服),组员:刘鹏(深信服)、鹿淑煜(三未信安)、潘盛合(顺丰)、刘洪森
云计算安全扩展要求章节:
组长:薛永刚(华为) 组员:秦益飞(易安联)、于继万(华为)、魏琳琳(国云科技)、杨洋
移动互联安全扩展要求章节:
组长:何国锋  组员:张全伟(吉大正元)、张泽洲(奇安信)、孙刚、赵锐
物联网安全扩展要求章节:
组长:余晓光(华为) 组员:张大海(三未信安)、高轶峰、马红杰、王安宇(OPPO)、杨喜龙
工控系统安全扩展要求章节:
组长:汪云林(天融信)组员:靳明星(易安联)、袁初成(缔安科技)、姚凯、于新宇(安几网安)
CSA GCR 研究助理:朱晓璐、高健凯、廖飞

感谢以下单位对本文档的支持和贡献(按拼音排序):

北京三未信安科技发展有限公司、北京天融信网络安全技术有限公司、长春吉大正元信息技术股份有限公司、国云科技股份有限公司、华为技术有限公司、江苏易安联网络技术有限公司、OPPO 广东移动通信有限公司、奇安信科技集团股份有限公司、上海安几科技有限公司、上海缔安科技股份有限公司、深信服科技股份有限公司、深圳顺丰泰森控股(集团)有限公司、深圳竹云科技有限公司、云深互联(北京)科技有限公司