技术·原创 | 零信任 VS 等保2.0访问控制技术

最新推荐文章于 2024-09-20 14:36:25 发布
原创 最新推荐文章于 2024-09-20 14:36:25 发布 · 1.7k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文详细介绍了等保2.0访问控制的要求,对比了不同安全级别的差异。重点讲解了基于网络的访问控制技术,包括ACL规则、状态检测、应用协议和内容控制以及通信协议转换隔离技术。同时,探讨了零信任架构下的SDP和微隔离技术,强调它们在提升南北向和东西向流量安全防护中的作用。最后,提到了息象科技的天龙安全访问控制平台,作为实现这些技术的解决方案。

作者:息象科技—夏天

等保2.0关于访问控制的规定

等保2.0标准中对访问控制做了详细要求,下面表格中列出了等保2.0对访问控制的要求,黑色加粗字体表示是针对上一安全级别增强的要求。

表1、等保2.0不同保护级别的访问控制技术要求对比

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
等保2.0中主要在安全区域边界和安全计算环境中提到访问控制要求。安全区域边界主要指在网络边界进行访问控制,通过应用ACL、会话状态、应用协议、应用内容、通信协议转换和通信协议隔离等方式达到访问控制要求。安全计算环境主要指在主机终端进行访问控制,通过强化用户账户和权限的授权管理、授权主体配置访问控制策略、应用强制访问控制规则等方式达到访问控制要求。

在等保3级中,安全区域边界要求实现基于应用协议和应用内容的访问控制,安全计算环境要求实现重要主客体的安全标记和访问控制。在等保4级中,安全区域边界要求通过通信协议转换或通信协议隔离等方式进行数据交换,安全计算环境要求实现主客体安全标记和强制访问控制。

鉴于强制访问控制技术网上已经有很详细的论述,本文重点讲解基于网络的访问控制技术。

基于网络的访问控制技术

1、基于ACL规则的访问控制技术

访问控制列表(ACL)是一种基于包过滤的访问控

最低0.47元/天 解锁文章
程序员如何打造个人品牌:技术博客与开源项目双轮驱动
AI天才研究院
05-13 672
简历筛选的"海平面效应":相似技术栈难以体现差异化竞争力职业发展的"暗箱困境":技术能力与晋升机会的非线性关系价值变现的"渠道瓶颈":单一雇佣关系限制个人价值最大化本文构建"内容输出+技术资产沉淀"双引擎模型,帮助开发者突破上述瓶颈。覆盖从0到1搭建个人品牌的全流程,重点解析技术博客与开源项目的协同运营策略,适用于工作1-5年希望提升行业影响力的开发者。底层逻辑:解析个人品牌的本质构成与双轮驱动模型核心体系:构建博客内容框架与开源项目开发方法论实战落地:演示从环境搭建到持续运营的完整流程。
2024年Unity 面试题 |五萬字 二佰道| Unity面试题大全,面试题总结【全网最全,收藏一篇足够面试】
热门推荐
努力前行,总会成为自己心中的那道光
02-23 16万+
正所谓 金三银四 ,又到了找工作的大好时机了,不知道大家有没有意向找一份更好的工作呢~ 之前写了很多Unity的学习实例文章,但是面试题部分还没有一个系统的整理。 那本篇文章就来整理一下Unity中一些常见的面试题,说不准就会面试的时候就会遇到! 本篇文章会将Unity所有方面的面试资料都融会贯通,绝对是2022年Unity面试领域最实用的文章啦!
安全区域边界(举例设备为互联网防火墙)
m0_52527037的博客
04-01 1855
安全区域边界(举例设备为互联网防火墙)
安全区域边界(设备技术注解)
ryanzzzzz的博客
11-13 4042
基于基于可信根对边界设备的系统引导程序、系统程序、重要配置参数通信应用程序等进行可信验证并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。10.1工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务。-IPS入侵保护系统、抗APT攻击系统、抗DDoS攻击系统、网络回溯系统、威胁情报检测系统。
防火墙规则未实施基于应用访问控制,导致特定应用程序的漏洞被利用
ZOMO的博客
05-30 567
本文分析了防火墙规则未实施基于应用访问控制所导致的问题,并提出了相应的解决方案。在未来的工作中,企业应高度重视防火墙策略的管理分析,不断提升自身的网络安全水平。同时,政府、行业组织安全厂商也应共同努力,推动网络安全领域的技术进步应用普及,为建设安全、可靠的网络环境提供强有力的支持。
信任架构下的访问控制技术
weixin_70101757的博客
07-17 2071
基于信任理念构建信任架构,打破传统安全架构基于网络边界构筑信任域的理念,基于各类主体的身份进行细粒度的风险度量访问授权,通过持续信任评估实现动态访问控制,避免核心资产直接暴露,最大程度减少被攻击面以及被攻击的风险。身份认证、信任评估、动态访问控制、业务安全访问信任的核心能力。访问控制模块持续依据评估结果建立访问主体访问资源之间的映射关系,调整并下发执行控制策略,构建对核心业务资产的保护屏障,将核心业务资产的暴露面隐藏。传统访问控制模型中,访问主体通过角色属性获取相应权限。但是在信任架构下,以
linux xtfp 授予权限_一项一项教你测等保2.0——Linux访问控制
weixin_36315722的博客
01-22 1125
一、前言前边我们已经讲了windows系统下的访问控制,现在我们讲讲Linux系统下的访问控制,其实两个系统下的测评项都是一样的,不一样的就是不同的系统查看系统配置的方法不一样,windows系统使用的都是图形交互界面,而且我们平时使用windows系统比较多,查找起来比较方便,Linux系统是要使用命令来查看系统配置的,需要有一些Linux系统命令的基础,当然也都比较简单,现在就让我们来看看Li...
等保测评2.0:Windows访问控制
2401_84434570的博客
07-05 1489
安全参数的设置是安全管理中心安全类中的安全管理中的测评项里说的,如果安全管理中的安全安全管理员的安全是一个意思,那么安全管理员的职能就应该包括安全参数的设置。如果不涉及强制控制控制的话,那么指定由windows的某个账户分配权限即可,即该账户应拥有windows重要文件的权限(且仅该用户拥有),以及修改用户权限的权限(设置用户隶属于哪个用户组的权限组策略的打开权限)。对于默认账户、匿名账户的访问权限的限制,实际上是guest、users、Everyone组的权限的限制。
RSA创新沙盒盘点|BastionZero——信任基础设施访问服务
weixin_44981569的博客
05-25 960
RSAConference2022将于旧金山时间6月6日召开。大会的Innovation Sandbox(沙盒)大赛作为“安全圈的奥斯卡”,每年都备受瞩目,成为全球网络安全行业技术创新投资的风向标。 前不久,RSA官方宣布了最终入选创新沙盒的十强初创公司:Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber SecurityTorq。 绿盟君将通过背景介绍、产
信任策略下K8s安全监控最佳实践(K+)
数据库技术
09-19 790
本文重点将围绕监控防护展开,逐层递进地介绍如何在复杂的分布式容器化环境中借助可观测性平台,持续监控K8s集群,及时发现异常的 API 访问事件、异常流量、异常配置、异常日志等行为,并且结合合理的告警策略建立更主动的安全防御体系。
等保测评中的网络隔离与访问控制
A526847的博客
08-06 920
在信息安全领域,等保测评(信息安全等级保护测评)是确保信息系统安全性的重要手段。其中,网络隔离与访问控制作为等保测评的关键环节,对于防范网络攻击、保护敏感数据具有重要意义。本文将深入探讨等保测评中的网络隔离与访问控制机制。
等保测评中的访问控制与用户认证
2301_79955948的博客
09-05 1217
等保测评中,访问控制用户认证是确保信息系统安全的关键组成部分。访问控制要求系统能够根据用户的身份角色来限制对敏感资源的访问,以最小化安全风险。用户认证则是验证用户身份的过程,确保只有合法用户才能访问系统资源。
linux中syscmd用法,等保测评主机安全:centos访问控制(续)
weixin_39900023的博客
05-13 915
一、说明权限控制在等保测评里仅仅说了要求,但是怎么落地却基本没写,怎么说呢,比较抽象。所以,我觉得还是有必要了解一下centos系统大概有什么方法可以实现对用户的权限控制,不至于测评的时候完全不知道怎么测。这里我把我现在知道的关于权限控制的方法都列举出来,供大家参考参考。这里是访问控制的上一篇文章,大家可以先看看上一篇:二、 更精细化的文件权限控制一般的,对目录文件,可以实现创建者、所属组、其他...
基于应用程序的访问控制:如何管理应用程序的数据访问权限
AI天才研究院
07-12 3606
作者:禅与计算机程序设计艺术 "基于应用程序的访问控制:如何管理应用程序的数据访问权限" 引言 1.1. 背景介绍 随着信息技术的迅速发展,应用程序在各个领域中的应用越来越广泛。这些应用程序中包
等级保护 —— 安全控制点,安全要求
Karka_的博客
03-06 1759
2)一般来说,对于主流路由器交换机设备,可以实现对系统错误、网络接口的变化、登录失败、ACL匹配等进行审计,审计内容包括了时间、类型、用户等相关信息。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。应核查网络中是否部署了对非授权无线设备管控措施,能够对非授权无线设备进行检查、屏蔽。
等保2.0基本安全要求之技术要求分类
weixin_45365048的博客
03-03 5898
【*】基本要求分类后面的标记,代表从第二/三级开始才有相应要求,未标记的则是通用。 一、安全物理环境 安全物理环境要求包括了针对人员威胁针对自然环境威胁的控制要求。针对人员威胁的控制要求包括物理访问控制、防盗窃防破坏、电磁防护等。针对自然环境威胁的控制要求包括防火、防水防雷击等。 2.安全通信网络 安全通信网络主要是指组织中的数据通信网络,其由网络设备、安全设备、可信计算设备通信链路等相...
天融信-SDP
潇峰的博客
04-24 6042
信任的核心思想是“从不信任,持续验证”,通过软件来定义企业的安全边界,“数据在哪里,安全就在哪里”。天融信SDP方案 基于软件定义边界的理念, 方案可 覆盖终端安全、用户身份管理、网络安全应用安全以及数据安全,帮助客户 解决 传统网络安全架构上的多个核心“痛点”。 1、以身份治理,建立新“边界” 企业远程办公、应用上云、协作办公的全新业务模式,导致网络安全边界逐渐模糊,基于物理边界的安全建设逐渐失效,导致企业内部攻击、外部威胁等安全问题不断增加。 天融信SDP方案基于以身份为信任机制的安全方案,通过身份
等保2.0的一些理解
最新发布
2301_80127468的博客
09-20 459
其定义可以概括为:在继承发展等保1.0的基础上,针对云计算、大数据、物联网、移动互联网等新兴技术的广泛应用,以及网络空间安全面临的新威胁新挑战,制定的一套更为完善、更具针对性的信息系统安全保护标准要求。等保2.0的实施要求涵盖了网络基础设施、信息系统、大数据、物联网、云平台、工控系统、移动互联网智能设备等多个方面。--安全管理制度:要求建立健全信息安全管理制度,包括安全责任制、安全管理制度、安全培训等。--数据保护:要求对重要数据进行分类、加密、备份等措施,保护数据的机密性、完整性可用性。
安全区域边界技术测评要求项
ryanzzzzz的博客
08-29 1859
4)3级及以上系统,限制无线网络的使用,要求无线网络单独组网后连接到有线网络,且必须通过受控的边界防护设备接入内部有线网络。a+++)对边界设备的系统引导程序、系统程序、重要配置参数通信应用程序等进行可信验证并在应用程序的。a+)对边界设备的系统引导程序、系统程序等进行可信验证并在检测到其可信息性受到破坏后进行报警,并。e)应能够在发现非授权设备私自联到内部网络的行为或内部用户非授权联到外部网络的行为时,对其。,对事件的日期时间、用户、事件类型、事件是否成功及其他与审计相关的信息进行记录。
SDP引领等保2.0合规性:信任解决方案应用指南
资源摘要信息:"软件定义边界SDP实现等保2.0合规技术指南.zip文件包含了关于如何使用SDP(软件定义边界)技术来满足等保2.0(信息安全等级保护制度2.0版本)的合规要求的详细指南。SDP是一种基于信任安全模型的解决...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值