新型冠状病毒防控对网络安全防护的启示
2020-03-16
近段时间,新型冠状病毒在全球掀起了惊涛骇浪,国内疫情刚刚处于稳定可控状态,但其他国家接连面临病毒爆发式传播局面,全球已有一百多个国家、地区发现确诊病例,意大利、伊朗、韩国等国家患者激增,美国、法国、德国等国家形势严峻。目前,多个国家的政府部门、医疗企业、研究机构正组织相关资源力量对新型冠状病毒及其治疗药物进行分析研究,但尚未取得重大突破。总的来看,病源从何而来尚无定论,治疗药物疫苗有待突破,个体免疫能力至关重要。
那么生物病毒与网络病毒有哪些相似之处?首先是传播危害机理类似,均是经过了小范围传播——病毒潜伏——批量感染——大规模爆发——严重危害的过程;其次是防护处理流程趋同,从处理过程来看,都是经过了预防——监测——隔离——治疗的流程;从治疗手段来看,首先依赖于个体免疫能力,药物和疫苗都存在明显的滞后性。总之,对于生物病毒防控和网络病毒防护来说,预防是最经济最有效的健康策略,免疫力是最好的医生。
那么新冠病毒防控能够给网络安全防护带来哪些启示呢?从政府、企业/小区、个人三个层次来看,主要有三方面防控措施:个体免疫、区域管控、监测管理。其中个体免疫包括增强体质(如锻炼身体、科学饮食)、讲究卫生(如勤洗手、戴口罩)、自我检查(如量体温、查症状)等手段,区域管控包括身份状态鉴别(如用户身份+体温测量)、动态访问控制(如用户状态评估(是否隔离期)+访问区域限制)等手段,监测管理主要包括防控策略部署(如隔离要求、出行要求、复工要求)、疫情事件处理(如疫情监控、事件处理)等手段。
对于网络安全防护,也可以围绕这三个方面开展相关工作。大唐高鸿信安作为可信计算技术的使能者,建议基于可信计算技术提升个体免疫能力,结合零信任安全架构下的身份认证和访问控制思路强化资源访问控制,通过等保2.0标准体系强调的安全管理中心实现统一监测管理。
可信计算技术
可信计算首先在计算机系统中建立信任根,然后构建一条信任链,从信任根开始到硬件平台、操作系统、应用程序,把信任扩展到整个计算机系统,从而确保整个计算机系统可信。可信计算强调计算机系统硬件、软件在设计时考虑安全保障和安全扩展,融合了内生安全的技术理念,从体系结构、应用行为、数据存储、策略管理等各个环节提供安全免疫能力,为计算机系统的安全提供支撑。基于可信计算技术可以显著提升设备/平台的免疫能力。
零信任安全架构
零信任安全架构是一种新型网络安全架构,其本质是以身份为中心,对资源访问进行严格的控制,可信计算技术是实施零信任安全架构下的身份认证和访问控制思路的有效技术手段。在具体实现上,通过用户身份、设备身份、设备可信状态、基线管理规则等构建新型身份认证体系,通过动态按需授权及可信网络连接技术,实现细粒度访问控制。基于可信计算技术,结合零信任安全架构下的身份认证和访问控制思路,可以增加网络/资源的访问控制强度、细化访问控制粒度。
安全管理中心
安全管理中心是等保2.0标准相较等保1.0标准新增加的内容,主要针对较高级别的等级保护对象,提出实现集中的安全管理、安全监控和安全审计等要求。标准强调,为了保证分散于各个层面的安全功能在统一策略的指导下实现,各个安全控制在可控情况下发挥各自的作用,应建立集中的管理中心,集中管理等级保护对象中的各个安全控制组件,支持统一安全管理。通过等保2.0标准体系强调的安全管理中心可以实现技术/运维层面的集中监测和统一安全管理。
大唐高鸿信安具有可信计算/操作系统安全加固/机密计算相关的技术、产品和解决方案,在零信任安全架构方面具有一定的技术积累和实践经验,在等保2.0方面具有操作系统可信增强系统、安全管理中心、可信服务器等对标产品,以及实施经验和咨询服务,能够为各类客户业务系统提升网络安全防护能力、满足合规管理要求提供支撑和助力!
