本文简介:企业的信息安全的边界在哪里?如何管理企业网络安全的边界,保护企业网络安全,防止企业网络安全事件的发生。从下面几点了解一下。一、零信任网络零信任网络是近几年才火起来的一个安全概念,实际上这个概念从出现到今天差不多有十年。2010年,佛瑞斯特研究所的一个分析师就指出,传统的基于边界的网络安全架构存在缺陷,通常被认为可信的内部网络实际上是充满威胁的,现在被过度滥用的信任是安全的致命弱点。基于这样的判断,
企业的信息安全
的边界在哪里?如何管理企业网络安全的边界,保护企业网络安全,防止企业网络安全事件的发生。从下面几点了解一下。
一、零信任网络
零信任网络是近几年才火起来的一个安全概念,实际上这个概念从出现到今天差不多有十年。2010年,佛瑞斯特研究所的一个分析师就指出,传统的基于边界的网络安全架构存在缺陷,通常被认为可信的内部网络实际上是充满威胁的,现在被过度滥用的信任是安全的致命弱点。
基于这样的判断,该分析师提出了零信任的概念,并对安全架构思路提出了一个新的建议:在默认的情况下,不应该相信网络内部和外部的任何设备系统和应用,而是应该基于认证和授权来重构访问控制的信任基础,并且这种授权和信任不是静态的,需要基于对访问实体的风险度量进行动态的调整。
这位分析师提出零信任概念后的几年时间里,实际上这个概念并没有得到大家的关注。但是在2015年前后,随着全球信息安全形势不断恶化,很多企业安全人员都在寻找能够更好地解决信息安全问题的方案。正是在这个时候,零信任网络的概念才逐渐引起人们的注意。
2022年,谷歌宣布基于零信任网络的新一代企业网络安全架构BeyondCorp项目成功完成,并通过论文的形式将其实现方式公之于众,在这个时候,零信任网络真正地进入了大众的视野,并迅速成为信息安全圈的一个热点。
1、零信任网络是个啥?
我觉得零信任网络实际上是一个理念,也可以说是一种架构。零信任网络是架构层面的,而不是操作层面的,所以它不是一个具体的产品,也不是一种具体的技术,是在一种更高的维度上表达客体对主体安全访问的一种模型。它针对的是目前普遍存在的具有网络位置和区域的默认信任模式。比如内网是可信的,互联网是不可信的;同一个区域内的服务器是可信的,跨区域是不可信的。
2、实体是什么,客体是什么?
在零信任网络中,实体一般理解为发起网络访问的一方,客体是被访问的一方。实体可以是用户、主机、设备、系统等,客体也可以是主机、系统、网络服务接口,甚至是数据等。在零信任网络的术语里面,理论上并没有限制实体和客体的形态,所以只要是在实际的架构中或者实际的运用中,能够进行定义描述和识别的,都可以作为实体和客体。
3、有什么新的技术吗?
个人认为真没有。现在网络使用的基本都是已有的技术,零信任网络并没有发明什么新的技术,只是把已有的技术如身份认证、加密、PKI、大数据等整合到一起,形成了一个全新的、完整的安全架构。
4、能解决什么问题?
零信任网络解决了一个核心的问题是非许可的访问。企业现在面临的问题根源,其实就是因为很多非许可的访问导致了大量的安全问题。零信任网络解决的问题按照谷歌的说法,能够访问什么服务,取决于我们对你和你的设备知道多少,而所有的访问都是应该得到认证、授权和加密。即首先是要认证,要确定主体的身份,只有是被认可的主体才可以继续访问;其次是授权,即确定这个主体是否具有访问指定客体的权限。从这个角度来看,认证是很关键的一个概念,认证是一道看不到的边界,这个边界与传统的基于网络区域的隔离边界完全不是一回事,它更偏向于应用系统层面,甚至包含了一点业务逻辑的味道。
5、现有的安全机制是什么关系?
零信任网络的初衷是以一种身份因素,重新定义一下安全的边界,增强外部对内部访问的安全性,实际上它和现有的各种安全机制是不冲突的,没有相互取代关系。 传统的安全机制和架构,如纵深防御、区域隔离、权限最小化原则等,仍然是信息安全的基础性、成熟的架构,对于保护企业内部的各种资源仍是必须的。零信任网络基于身份认证的思路,只是进一步用来加强对网络资源的保护。
6、对信息安全还有什么价值?
按照《零信任网络》一书序言中的说法,零信任网络对信息安全的价值体现在:第一,在传统网络安全边界失效、攻击面难以穷尽的情况下,零信任引导人员更加关注保护面,而不是攻击面,由于有可信网关的存在,资源全是躲在网关后面的,攻击者并不能直接访问到后台的资源。反过来,只有通过网关识别、配置和保护的资源才会被前端间接访问到。第二,在实践机制上拥抱灰度哲学,以安全与易用性平衡的持续认证改进固化的一次强认证(弹性认证),以基于风险和信任持续度量的动态授权机制替代简单的二元判定的静态授权,以开放智能的身份治理优化封闭僵化的身份管理。。
7、听着不错,马上干起来?
听起来确实很美很好,但真要干的话还得考虑,关键的是看目标是什么?如果照着谷歌或者书中描述的场景一套全干起来,我觉得一时半会基本没戏。第一,零信任是一个架构,不是单一的产品或者技术,要进行推广势必要对it技术架构和应用系统进行大的调整和改造。投入大,见效慢,如果没有来自高层领导的鼎力支持,几乎是推不动的。第二,目前有一部分企业的it的能力还保持在“能用”这样一个水平,标准化程度不高能否进行改造本身就是一个比较大的问题。 第三,零信任网络是一个理念,要落地必须跟企业的实际结合起来,但目前比较难买到很适合的成套的产品。当然企业也可以自己开发,但一般安全团队的工程化能力不一定能够把开发工作真正做起。
8、有什么建议?
完全复制别人的模式有难度,但可以吸收零信任的精华,从基础做起。个人认为零信任网络整体的框架重有两点非常重要:一是建立身份管理中心,二是设立支持身份识别的网关。身份管理是零信任网络的必备的条件,如果没有统一的身份管理中心,身份认证根本无从谈起。我们还要保护好身份管理中心,确保这个系统不会被攻破。
设立网关的目的在于将原先能直连的主体和客体断开,让他们不能直接互通,同时利用网关支持身份识别的特性可以进行授权。做到这两点就可以算是一个轻量级的、局部的零信任网络的实践了。有了这样的基础,我们以后再逐渐增加新的组件,添加新的功能,不断积累和完善零信任网络。
9、身边的零信任
实际上大部分安全人员应该都实际过零信任网络,并且可能做的还不错,举两个例子。第一是运维堡垒机。堡垒机中都会有用户管理,不管他是自己建的账号,还是说跟外部的数据源对接,其实都可以理解为一种身份管理。堡垒机事实上起到一个作用,即阻断了运维人员的终端和运维目标的直接连接,用户必须通过堡垒机才能对运营目标进行维护,因此我们可以认为堡垒机是一种支持身份识别、应用协议识别和访问授权的网关。
第二是上网行为管理设备。现在大部分公司员工从内网访问互联网时都要通过上网行为管理设备,不管它串接的网关,还是代理的,上网行为管理设备都起到了一个作用,内网的电脑不能直接跟互联网相连。我们访问一个外面的网站,肯定要经过上网行为管理设备的转接,并且上网行为管理设备一般都具有身份识别的能力,还可以配用户的访问的权限。
上网行为管理设备与堡垒机不同的是,一般情况下上网行为管理设备采用的黑名单机制,默认允许访问各种外部资源,但会屏蔽掉一些不适合的。假如把上网行为管理设备部在内网,采用白名单机制,用户能够访问哪个内部资源要在上网行为管理设备上进行授权,这就跟零信任网络比较像了。
10、控制平面和数据平面
前面在介绍典型的架构图时讲到零信任网络将整体的架构分为控制平面和数据平面。我个人认为这个提法非常好,控制平面的职责是用来控制和指挥数据平面,数据平面实际上是暴露在边界上的,控制平面是隐藏在内部的。这种方式和网络管理中常用的带外管理有非常大的相似之处,但这样的一个提法适用性会更广泛一些。从安全的角度来看,我觉得现在很多信息化过程中的对象,如数据中心、网络,一台主机或者一个系统,其实都是可以按照这种逻辑来进行相应的切分。
二、设备边界安全
零信任网络其实有考虑接入设备自身的安全性,但认为要持续地评估接入设备的完全状态,并且在有问题的情况下要立刻进行调整。但从目前零信任网络所涉及的情形来看,并没有涉及到如何防止数据在接入设备上被泄露。
在远程办公的模式下,企业网络的边界已经延伸至远程办公的接入设备上,所以企业在远程办公时,一定要考虑接入设备的边界,否则很可能引起像数据泄露等相关安全问题。
在接入设备上设立边界,我个人认为有以下几种可能性:一是对设备进行完全的控制,如规定它只能跟企业的网络进行交互;二是对设备进行部分控制,他可以在不同的区域内同时跟企业网络和其他网络交互;三是对设备完全不做控制。
对设备进行完全控制应该不是一个特别好的方案,哪怕设备是企业所有的,也一定会遭到用户的反对。反过来,对设备不做任何的控制,估计咱们安全人员都不太好意思把方案交上去。所以我比较推荐第二种方式,对接入设备进行部分控制,
那么企业在实践中该如何做呢?我也只能根据自身的经历给一些个人建议。
对于移动设备来说,按照现在市场上能够提供的技术,推荐使用沙箱或者沙盒的技术,在移动设备上划出一块虚拟空间,用来处理和存放跟企业有关的数据,虚拟空间与设备本身的自身空间在逻辑上是保持隔离的,就是说它虽然存在设备自身,但它是一个独立的存在,从外面是没办法去访问到这个虚拟空间里面的信息。
和移动设备相对应的,针对电脑设备,我个人首选是虚拟化,简单粗暴,安全效果好,不过投入比较大,要舍得花钱。当然目前国内也有公司在桌面操作系统做沙箱产品,也是一个不错的、值得跟踪的思路。如果桌面操作系统能够把沙箱的产品做得非常好,达到和移动设备相同的水平,我觉得这样的解决方案应该会更轻盈,也更有效。
安全是个系统性的一种架构,企业安全性的强弱,取决于最短的那个木条
企业防泄密软件哪款好用?公司防泄密软件推荐使用
企业防泄密软件哪款好用?公司防泄密软件推荐使用
99% 的企业每年都有员工离职:员工离职带走核心图纸导致严重泄密...
85% 的安全威胁来自企业内部:公司重要文档图纸泄露造成严重损失...
80% 的企业每年都发生泄密事件:重要文档数据随意扩散造成诸多麻烦...
没有保护的数据资产,会被有意无意的任意流传扩散,价值也就无从谈起,因此,无论在内部办公还是对外交流过程中,文档的自身安全应该受到重视。如何保护重要文件不被泄密,用哪款防泄密软件?
公司防泄密软件推荐使用
为了保障企业的数据安全,选择一款高效、稳定的企业防泄密软件显得尤为重要。在众多防泄密软件中,安企神软件以其卓越的性能和全面的功能,成为了众多企业的首选。
安企神文件加密软件对用户而言是透明、无感知的。文件的保存加密、打开解密完全由后台驱动内核自动完成,整个过程无需人工干涉,也不影响员工原来的操作习惯和工作习惯,员工们甚至感觉不到加密软件的存在。
文件未经审批通过U盘拷贝、QQ、微信、电子邮件或其它任何方式流传出去,文件将自动损毁而无法打开。如果文件需要发给客户或公司外面的人,则需要经过管理人员的批准解密。
软件功能介绍
安企神软件采用了先进的加密技术,可以对企业数据进行高效的加密保护。无论是存储在本地电脑上的文件,还是通过网络传输的数据,安企神软件都能提供强大的加密支持,确保数据在传输和存储过程中的安全性。
软件还能审计和追踪文件的访问、修改和删除等操作,为管理员提供全面的数据安全保障。支持外发文件控制,有效防止敏感数据被非法复制和传播。详细功能如下:
1、加密数据
能够对单个文件或文件夹进行加密,确保只有经过授权的用户才能访问。
对敏感数据进行加密是一种常见的防泄密措施。通过加密,即使数据被窃取或丢失,也无法被未授权人员轻易解密和使用。
2、控制访问权限
可以控制员工在电脑上进行的操作,如禁止复制、删除、修改等。
限制对敏感数据的访问权限是另一种有效的防泄密措施。只有经过授权的人员才能访问敏感数据,从而减少数据泄漏的风险。
3、审计和监控
通过审计和监控工具,企业可以跟踪和记录对敏感数据的访问和使用情况,及时发现异常行为并进行处理。
4、数据备份和恢复
定期备份敏感数据并制定有效的恢复计划,可以确保在数据丢失或损坏时能够及时恢复,降低数据泄漏对企业的影响。
5、U盘外设管理
能够限制U盘等外部设备的接入,规范员工对外部设备的使用。
6、操作管控
可以记录员工的电脑操作行为,包括文件操作、应用程序使用等。
7、日志审计
能够对员工的电脑使用情况进行全面监控和记录,便于后期审查。
8、敏感内容识别
具备智能的敏感内容识别功能,能够自动检测和过滤敏感信息。
9、资产和运维管理
能够统一管理公司的电脑设备,进行资产管理、远程控制等操作。
软件优势
安企神数据防泄密软件是一款高效、稳定且功能全面的数据保护工具,其优势主要体现在以下几个方面:
1、全方位的数据保护: 具备强大的数据加密功能,能够对企业内部的各种数据类型进行全方位的保护。
2、灵活的权限控制: 软件支持根据员工的职务和权限设置不同的文件访问权限,确保每个员工只能获得必要的信息。
3、丰富的审计功能: 软件能够记录所有文件的访问历史,包括文件的打开、修改、删除等操作,以便企业进行监控和追溯。
4、易用性和灵活性: 软件支持移动设备的使用,员工可以在手机或平板电脑上随时随地查看和编辑文件,提高工作效率。
5、高效稳定的性能: 采用高效的数据处理技术和算法,确保系统运行流畅且不影响业务正常运行。
四、总结
综上所述,安企神数据防泄密软件以其全方位的数据保护、灵活的权限控制、丰富的审计功能、易用性和灵活性以及高效稳定的性能等优势,成为了企业保护数据安全的重要工具。如果您正在寻找一款可靠的防泄密软件来保护企业的数据安全,那么安企神软件将是您的理想选择。
本文为收集整理,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。https://www.wgj7.com/cjwt/10971.html