零信任安全白皮书-2023 -网宿安全.pdf
《零信任安全白皮书-2023 -网宿安全.pdf》由会员分享,可在线阅读,更多相关《零信任安全白皮书-2023 -网宿安全.pdf(28页珍藏版)》请在咨信网上搜索。
1、网宿安全2023版零信任安全白皮书零信任安全白皮书 01目录 CONTENTS第一章 严峻的网络威胁态势小结261.1.传统边界模型面对挑战1.2.数据安全与隐私合规1.3.网络攻击愈演愈烈020305第二章 零信任安全框架和标准2.1.零信任安全理念框架2.2.零信任安全核心价值0709第三章 零信任典型应用场景3.1.安全办公业务访问3.2.三方人员安全接入3.3.数据防泄露保护3.4.物联网安全连接3.5.一机两用安全办公1011111213第四章 网宿零信任安全实践4.1.网宿零信任平台能力4.2.零信任安全建设框架 4.2.1.远程办公访问 4.2.2.网络攻击防护 4.2.3.数据
2、防泄露4.3.零信任典型客户案例 4.3.1.案例一:某股份银行零信任安全办公项目 4.3.2.案例二:某市政务外网零信任接入项目 4.3.3.案例三:某机械制造集团零信任远程访问项目141717182122222325零信任安全白皮书 02随着云、大数据、移动互联网、5G、IoT等技术的快速发展,日趋开放和复杂的网络边界已经成为互联网安全的重要挑战。传统的网络边界注重建设多重防护设施,难以应对有组织的、武器化的、以数据及业务为攻击目标的高级持续攻击,仅仅依靠传统边界防护难以应对从身份、权限、系统漏洞等多维度的攻击向量,现有的传统基于内网边界防御的框架已无法因应当下全方位网络异构多样化的挑战。
3、整个新冠疫情时期宣告着远程办公时代的全面到来,无论大型还是小型企业,迅速因应变革工作环境,整个世界都转向线上活动,大量员工远程办公、外包协作、三方合作伙伴、供应链协同,这一切导致线上的网络和业务、数据交互快速增长,其迁移速度和规模十分惊人,多样化的人员、设备、分支、地域间的互联与业务数据访问带来更多的网络边界敞口和安全控制风险。工业OT领域的风险也不可忽视,工业控制系统由于设计之初没有考虑到海量异构设备以及外部网络的接入,随着物联网开放性日益增加、远程监控和远程操作加快普及,网络攻击者更容易利用系统性漏洞和运营薄弱环节发动入侵攻击,一旦成功即可造成多达数十亿台设备的集体沦陷,导致生产业务中断、
4、数据被加密和窃取。从云化到Shadow IT(影子IT设施)到ICS(工业控制系统),均在工业4.0时代快速就位并准备好迅速扩张,这种转变背后潜在着巨大的网络风险,因为随之而来的就是网络暴露面大大增加。概括而言,传统网络安全类似物理安全的做法,通过堆叠安全设备构筑组织内网边界,数据和业务均放置在企业内部IDC,假设坏人在外部、内部只有好人,护城河式防御针对的是入向威胁。随着移动业务快速扩展,物联网、车联网、智慧城市的持续发展,资产防护的安全边界越来越不清晰,传统的边界防护架构越来越显得力不从心,传统的边界安全主要存在的问题如下:1、旧有VPN访问模式,不可避免漏洞频发,由于其服务暴露在互联网,
5、采取偏静态化的控制机制,黑客易于渗透,通过劫持边界内的设备并横向移动攻击企业应用、关键基础设施和敏感数据;2、随着使用自带设备(BYOD)越来越普遍,设备不受企业管控,成为企业安全建设中效率成本与强安全管控的矛盾点,不安全的设备在内网接入和接入内部敏感业务系统,引入不可控风险;3、远程办公兴起和普及,2020年开始的疫情大大推动了这一进程,用户接入位置不限于企业内网,企业迫切需要随时随地快捷流畅、安全可靠的远程访问模式;4、随着数字化转型发展,外包人员、合作伙伴、供应链上下游均需要接入不同类型的业务应用,连接人员身份、设备多样化,而配套的安全控制机制十分薄弱;5、企业的业务资源除了部署在传统数
6、据中心,也在不断向外部云资源扩展,包括PaaS、IaaS和SaaS的广泛应用。传统边界安全网络设备无法很好地保护企业的云上应用资源,对于云迁移的企业,需要统一保护处于企业内部、公有云上的私有应用和SaaS应用。传统上,大多数网络和安全架构都是由企业主导设计的,数据中心作为访问需求的目标焦点,支持相对静态的用户。但数字化转型推动了对新数字功能场景的多样化需求,现在有更多的用户、设备、应用、服务需要连接交互,并且数据同时分布在企业内部外部。原来的基于一系列企业IDC边界外围安全设备的网络安全设计,已经不再满足现代数字业务的动态、泛化地域和其混合办公、协作模式的诉求。旧边界必须转变为一组以用户第一章
7、 严峻的网络威胁态势1.1.传统边界模型面对挑战零信任安全白皮书 03近年来,中国网络安全立法进程加快,合规监管深入行业内部。网络安全不再局限于个人和企业的自身防护,开始成为涉及各行业产业链乃至国家安全的重要问题。2022年,中国颁布多部与网络安全相关的政策法规,进一步推进国家网络、数据安全体系和能力建设,强化网络安全、数据安全和个人信息保护,从多个维度完善了安全合规要求与标准,筑牢国家数字安全屏障,为网络安全技术与产业发展提供指引。随着网络安全法、数据安全法、个人信息保护法等一系列基础性法律法规落地,中国已建立起一套基本的网络安全法律合规框架。据全国信息安全标准化技术委员会发布的2022年网
8、络安全国家标准需求清单,清单共包含34项标准,其中制定标准20项,修订标准14项。涉及重要数据处理、关键信息基础设施安全评测、网络安全保险、网络安全服务能力等方面,针对三部关键上位法的体系化标准、规范支持实施已经全面展开。2022年2月,新修订的网络安全审查办法实施,将原来的“数据处理者”变更为“网络平台运营者”,连同关键信息基础设施运营者作为网络安全审查的规制对象,要求网络平台运营者开展数据处理活动,影响或者可能影响国家安全的应进行网络安全审查。其中,明确规定掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。针对数据出境专项问题,2022年7月,国家网信办公布数据出
9、境安全评估办法,并于2022年9月1日起施行。办法规定了数据出境安全评估的范围、条件和程序,为数据出境安全评估工作提供具体指引,明确了数据处理者向境外提供在中国境内运营中收集和产生的重要数据和个人信息的安全评估适用。办法规定,数据处理者向境外提供重要数据,关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息,以及国家网信部门规定的其他情形,均需申报数据出境安全评估。此外,数据出境安全评估办法还要求数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,其中重点
10、评估的事项包括出境数据的规模、范围、种类、敏感程度等。云上数据安全方面,全国信安标委发布信息技术 安全技术 公有云中个人信息保护实践指南7月15日发布,自2023年2月1日实施。同期,信息安全技术关键信息基础设施安全保护要求国家标准获批发布,保护要求规定了关键信息基础设施运营者在识别分析、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求,将于2023年5月1日实施。同时,各地也纷纷针对数据安全提出法规和政策指引,强化中华人民共和国数据安全法、中华人民共和个人信息保护法 等上位法的要求,强化属地监管和安全要求:(1)浙江省发布浙江省公共数据条例强调个人信息安全的保护,将于3月1日
11、执行,条例共五十一条内容,明确提出打造公共数据平台,建立公共数据共享机制,构建公共数据有序开放制度。这是国内首部以公共数据为主题的地方性法规,也是保障浙江省数字化改革的基础性法规。1.2.数据安全与隐私合规和应用为中心的融合功能,并在企业需要的时间和地点进行实施支持,即动态创建的基于策略的边界控制。零信任安全白皮书 04(2)广东省发布广东省公共数据安全管理办法(征求意见稿),强调公共数据的安全性,征求意见稿共六章三十二条,进一步加强了数字政府公共数据安全管理,规范公共数据处理活动,促进数据资源有序开发利用,保护个人、组织的合法权益。(3)深圳发布公共数据安全要求领域标准,将数据安全与网络安全
12、等级保护要求有效结合,为深圳经济特区数据条例的落地提供坚实指导。(4)四川省数据条例,条例共有八章七十条,包括总则、数据资源、数据流通、数据应用、数据安全、区域合作、法律责任和附则,自2023年1月1日起实施。(5)厦门经济特区数据条例发布,条例为了规范数据处理活动,保障数据安全,保护自然人、法人和非法人组织的合法权益,培育数据要素市场,促进数据有序流动和开发利用。新兴行业市场的网络安全风险,尤其互联网、云平台、数字化高度依赖和集中的各行业,也已经快速推进网络与数据安全的行业标准的体系化,以规范化的标准强化行业内的安全经营和风险控制。2022年12月,工信部发布工业和信息化领域数据安全管理办法
13、(试行),管理办法作为工业和信息化领域数据安全管理顶层制度文件,共八章四十二条,重点解决工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。2022年2月25日,工信部印发车联网网络安全和数据安全标准体系建设指南,聚焦车联网终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等重点领域。图 1 车联网网络安全和数据安全标准体系框架图101 术语和定义100 总体与基础共性200 终端与设施网络安全车联网网络安全和数据安全标准体系400 数据安全500 应用服务安全600 安全保障与支撑102 总体架构103 密码应用201 车载设备网络安全202 车端网络安全203
14、路侧通信设备网络安全204 网络设施与系统安全301 通信安全302 身份认证401 通用要求402 分类分级403 出境安全404 个人信息保护405 应用数据安全501 平台安全502 应用程序安全503 服务安全601 风险评估602 安全监测与应急管理603 安全能力评估300 网联通信安全零信任安全白皮书 052022年4月8日,工业和信息化部等五部门联合发布了关于进一步加强新能源汽车企业安全体系建设的指导意见,该意见强调,加强网络安全防护,企业要依法落实关键信息基础设施安全保护、网络安全等级保护、车联网卡实名登记、汽车产品安全漏洞管理等要求。对车辆网络安全状态进行监测,采取有效措施
15、防范网络攻击、入侵等危害网络安全的行为。2022年8月29日,国家卫生健康委、国家中医药局、国家疾控局联合发布医疗卫生机构网络安全管理办法。办法共六章三十四条,涉及网络安全管理、数据安全管理、监督管理、管理保障等内容。2022年10月,民航局印发关于民航大数据建设发展的指导意见,指导意见阐明民航大数据建设的6大主要任务和14个方面具体工作任务,要求加强法规体系建设、构建数据标准体系、提升数据管理水平、加强数据质量管理、推进数据要素流通、加强民航数据网络建设、强化安全管理责任、提升安全保障能力等。随着各行业数字化的快速进展,疫情期大大促进了远程办公业务、云化服务的广泛应用,同时也使得组织的安全敞
16、口变大,在缺少体系化防御措施的情况下,在各个行业网络攻击的态势更趋向严重。据SonicWall在2023年发布的网络威胁报告,在整个2022年度,恶意软件、网络入侵、加密劫持和物联网恶意软件出现明显增长,其中,入侵尝试高达6.3万亿次,恶意软件攻击达55亿次,而针对物联网的恶意软件攻击出现87%上升幅度,达1.12亿次。另外,位于业界No.1关注热度的勒索软件攻击,虽因为俄乌战争等因素出现下降(业界分析勒索软件攻击中一些政府支持的团体因为制裁措施被迫收缩),但是仍然高达4.93亿次攻击,且针对关键的医疗健康、金融、教育领域分别出现8%、41%和275%的上升。1.3.网络攻击愈演愈烈图 2 全
17、球勒索软件攻击数量趋势6亿4亿2亿2017201820192020202120220183,600,000206,400,000187,909,053304,638,987623,254,877493,327,151零信任安全白皮书 06网络威胁实施者利用不断变化的局面,抓住机会采用各种手段和方法,成功渗透进世界各地的组织和企业中,攻击者瞄准政府、金融、能源、医疗等承载重要社会职能、拥有大量数据资源的行业信息系统作为实施攻击的“高价值”目标,一旦得手往往造成重大损失,勒索软件攻击是对组织形成最大威胁的攻击,窃取敏感数据且阻断运营,如下仅列举部分近年来造成恶劣影响的勒索软件网络攻击和数据窃取事件
18、。2022年12月,蔚来汽车公司收到外部邮件,发件人表示拥有大量蔚来内部数据,并以泄露数据勒索225万美元(当前约1570.5万元人民币)等额比特币。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。2022年6月,澳大利亚交易巨头ACY证券暴露了60GB的用户数据,总部位于澳大利亚悉尼的贸易公司 ACY Securities()在网上公开了大量用户和企业的个人和财务数据供公众访问。2022年6月,富士康证实其墨西哥一家工厂在5月底遭遇了勒索攻击,黑客窃取了100GB的未加密文件,并删除了20TB至30TB的备份内容,并索取1804比特币(约合人民币2.3亿元)赎金。
19、该事件极大程度上干扰了富士康的生产节奏,其影响波及富士康整体上下游产业链。2022年4月,哥斯达黎加多个政府机构遭到Conti组织的勒索网络攻击,政府程序、签名和邮票系统被破坏,财政部的数字服务无法使用,这影响了整个“生产部门”,总统罗德里戈查韦斯(Rodrigo Chaves)宣布全国进入紧急状态。2022年2月底,全球最大的轮胎制造商之一普利司通遭受LockBit勒索攻击,普利司通公司承认其一家子公司在2月份遭遇勒索软件攻击,导致其在北美和中美地区的计算机网络和生产中断了约一周时间,攻击者威胁从普利司通公司系统中删除信息,并将这些信息予以公布,该组织提供给被勒索的公司一个在发布数据之前付款
20、窗口,并添加了一个倒计时器,以此产生戏剧性效果。2021年11月,丹麦风力涡轮机巨头维斯塔斯(Vestas WindSystems)于19日前后遭到网络攻击。此次事件中公司数据被挟持和加密,并且遭到勒索高额赎金,事件导致了尚未明确的数据泄露,部分受到攻击的设备正在恢复中,攻击事件发生后,维斯塔斯的股价跌至两周低点。2021年5月,美最大成品油管道运营商科洛尼尔遭DarkSide组织勒索软件攻击,导致美国东部沿海主要城市输送油气的管道系统被迫下线,成品油供应中断,美国于当地时间5月9日宣布进入国家紧急状态。科洛尼尔支付约500万美元(约合人民币3200万元)的加密货币勒索赎金,获得暗面组织提供的
21、勒索软件解密工具,但由于该工具恢复数据速度缓慢,科洛尼尔已采用备份数据进行系统恢复。各组织在网络基础设施和业务被攻陷,多与网络暴露、身份和访问控制的漏洞及内部泄漏等相关,当下,应用、用户、业务和数据大量迁移到传统内网边界之外,传统的固化边界安全的有效性降低,企业无法依靠基于固化边界的安全工具来保护其内部敏感业务和数据,边界内部,外部引入设备数量、类型也在快速增长,移动终端、远程办公、企业业务在内网和公有云同时部署,这样的趋势已经破坏了企业使用的传统固化边界安全模型。急需要一种新型的安全模式提供高强度、一致化和兼具灵活度的访问边界安全构建。零信任安全白皮书 07 图 3 零信任访问控制策略引擎零
22、信任网络访问ZTNA(Zero trust network access)在身份安全、设备安全、传输安全和数据安全上保障企业资源的安全接入,首先在网络边界模糊的趋势下给业务资源提供隐身衣,使网络黑客看不到目标而难以针对性发动攻击,在访问准入控制上,充分校验接入者身份合法、设备符合安全基线,并动态评估接入者行为风险来控制访问权限。从安全原则上讲,零信任首次颠覆了传统网络安全里面的重要前提:“缺省信任”。而从技术本质,零信任是在一个不可信的开放网络环境下,以身份为中心,通过动态的访问控制技术,围绕核心保护对象,遵循最小权限原则,构筑端到端的逻辑身份边界的安全体系。零信任概念自2010年由知名咨询机
23、构Forrester提出,直到2017年,谷歌对其内部网络进行基于零信任安全的改造成功后,验证了零信任安全模型在大型复杂网络环境中的实际落地可行性,各界开始关注零信任理念和实践,出现越来越多的零信任产品、平台及标准规范,2020年Covid-19疫情爆发带来远程办公需求激增,将零信任热度推向了一个新高度。零信任安全访问模型,将传统的基于边界“城堡与护城河式”的安全管理方式,转变为按需在单个资源与客户之间构建信任的安全管理方式。在零信任模式下,用户将基于经不断重新验证的内外部因素建立可信连接,遵行零信任关键理念原则:(1)不自动信任网络的安全性(内网可信);(2)对任何接入系统的人和设备都进行验
24、证;(3)每次访问都要进行身份验证和行为审计;(4)细粒度访问控制策略Need-To-Know(最小权限原则);第二章 零信任安全框架和标准2.1.零信任安全理念框架访问主体Agent终端设备访问客体零信任策略引擎PE零信任策略管理PA零信任策略执行点PEP零信任策略执行点安全网关零信任安全白皮书 08对当前愈演愈烈的网络攻击,部署零信任已然成为企业和组织IT安全架构转型中重要一环,在实施过程中,它是对网络生态系统的边界模糊的有效应对,它认为组织架构内每个组件都有弱点,每一层设施均需要保护。而得益于近期计算能力的提升,零信任架构已经在广泛的行业中得到应用。零信任不仅仅是一种技术修复,它是一套相
25、互交织、洞悉敌对活动及相关业务风险、并致力于消减风险的方案集合。(1)零信任是IT安全架构和行为模式的转变,它假设安全风险无处不在,通过各种方法加大攻击活动渗透到组织网络的难度。(2)零信任核心理念是实践最小权限原则,在整个网络中建立强有力的验证措施,以确保只有具有权限的访问者才能以适当的方式接入相应应用和数据。(3)零信任构建软件定义的安全边界,当今云大物移网络架构演变迅速,传统边界防御机制趋于失效,零信任模型提供了一种解决方案,它要求对所有连接网络的用户、设备、应用进行认证和授权,在访问过程中进行持续验证。(4)零信任核心是了解关键数据位于何处,以及谁有权访问这些数据,它在整个网络中建立强
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 零信任安全白皮书-2023 -网宿安全 信任 安全 白皮书 2023
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Stan****Shan】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Stan****Shan】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。