• <menu id="w4mmk"></menu>
    <menu id="w4mmk"><strong id="w4mmk"></strong></menu>
    <menu id="w4mmk"></menu><menu id="w4mmk"><strong id="w4mmk"></strong></menu>
    <nav id="w4mmk"></nav>
  • <menu id="w4mmk"><tt id="w4mmk"></tt></menu>
    <menu id="w4mmk"></menu>
  • 辦公系統零信任技術應用研究

    發布者:趙欣發布時間:2022-05-16瀏覽次數:10

        隨著信息化飛速發展,企業無紙化辦公越來越普遍。為保證辦公網的安全,防護技術從最簡單的防火墻、殺毒軟件的應用,到如今態勢感知、威脅情報等防御技術方案的配置,使得定向威脅攻擊防護能力得到顯著提升。與此同時,零信任技術的提出與廣泛應用,為解決傳統邊界安全防護不足相關問題提出新思路,本文將重點討論零信任技術在辦公系統中的應用。

     

    零信任安全辦公管理系統設計

      

    1. 系統總體設計

    深度融合零信任與傳統防護體系,充分考慮面向用戶和辦公系統移動化的需求,參考國際通用安全架構,并依據網絡安全等級保護要求、信息系統密碼應用基本要求,以實際應用場景為導向,結合PKI/CA基礎設施及商用密碼技術,最終實現身份可信、權限可控、傳輸加密和動態監測的目標。

    1)用戶可信:通過身份、憑證、訪問管理和多因子技術,對可信用戶身份進行持續驗證,并持續監測和驗證用戶可信度、訪問權限,確保用戶的登錄操作是由本人操作。

    2)設備可信:確??尚庞脩羰褂每尚旁O備進行操作,且終端具備基礎安全防護能力,滿足安全基線要求,對終端發起資源請求程序進行驗證,防止惡意程序的偽裝。

    3)權限資源可信:保障資源被擁有權限的用戶正確獲取,而非以被越權或被攻擊的方式獲取。通過安全控制策略限制訪問,僅指定人、應用才能夠訪問指定的服務資源,減小業務系統安全風險暴露面。

    4)鏈路傳輸可信:保障終端訪問服務器的流量是加密的,避免被中間人劫持。

    5)動態監測:對訪問用戶、設備和環境的可信狀態實施持續動態監測,保護自身監測能力和第三方的安全狀態信息。

    6)動態防護:一旦監測對象的安全狀態發生變化,由可信變為不可信狀態,應動態進行隔離、阻斷、降級等操作,防止進一步的攻擊和滲透。

     

    2. 系統組成

    1)密碼基礎設施

    零信任安全辦公管理系統由密碼基礎設施、可信身份管控平臺、網關管理平臺、智能策略控制中心和終端環境感知中心五大模塊組成。密碼基礎設施依托密碼設施為網絡平臺提供密碼密鑰管理服務,密碼服務平臺結合密碼設備提供加解密、簽名驗簽、隨機數生成等密碼服務功能;電子認證基礎設施(PKI/CA)基于國產商用密碼算法,為辦公系統人員、設備、應用、服務等提供數字證書管理服務。

    2)可信身份管控平臺

    可信身份管控平臺依托密碼支撐體系,以身份為中心,對不同對象進行規范化統一管理;通過身份認證服務,實現用戶、應用、設備等實體身份鑒別、鑒別結果可信傳遞、單點登錄等功能;通過授權管理服務,基于角色、屬性等授權模型,實現細粒度的授權管理與鑒權控制等功能;安全審計服務采集應用系統的運行記錄、操作日志、性能指標等信息,對各種不同數據進行統一的規范化處理和綜合分析,從而幫助安全管理工作真正做到事前及時預警、事中準確定位、事后有據可查。

     可信身份管控平臺??尚派矸莨芸仄脚_為用戶提供所有對象的可信身份,是實現零信任辦公安全管理系統的關鍵支撐模塊。該平臺將可信身份作為訪問控制的基礎,實現用戶對人/設備/系統全面、動態、智能的訪問控制。為各應用系統提供基于多種憑證的認證機制、權限管理,實現各種實體的身份化及身份生命周期管理,對授權策略提供細粒度管理和跟蹤分析、行為審計,增強安全防護能力,提升管理效率和質量。

     身份風險服務模塊。身份風險服務模塊動態監測企業應用及服務訪問場景中用戶的動態訪問行為。該模塊主要針對訪問控制的實時性要求,采用大數據分析、機器學習、偏離度算法等多項核心技術,集中解決用戶在持續訪問過程中的行為安全問題,為企業提供行為分析、風險計算、持續監控、數據監測等能力。零信任體系下,身份風險服務模塊與智能策略控制中心進行聯動,持續收集用戶訪問過程中的行為軌跡,并與終端環境感知中心聯動,通過持續感知用戶終端環境健康度,如終端安全狀態、終端所在物理位置等,來確定該身份訪問客體行為的安全等級。策略中心依據安全等級和安全策略,持續監控該用戶身份訪問控制權限的變更并進行身份認證。



    3. 網關管理平臺

    網關管理平臺支持多因子認證機制,結合動態上下文環境監測,實現不同接入通道下為用戶提供細粒度的統一訪問控制機制,支持多臺分布式部署網關的集中管理和統一調度。構筑各類安全邊界,自動編排策略并下發至各執行點,實現動態訪問控制。根據授權信息動態構造用戶邊界實現內部網絡隱藏,支持前端(客戶端到網關)流量加密、后端(網關到應用)流量加密,提供客戶端和服務端事件證書來提升通信安全性。

    網關管理平臺將零信任軟件定義邊界理念與PKI密碼技術融合,面向現代IT環境,以身份為中心,提供全流量加密和自適應訪問控制的零信任服務。



    4. 智能策略控制中心

    智能策略控制中心負責風險匯聚、信任評估和指令傳遞下發;根據從環境感知中心、權限管理中心、審計中心和認證中心等風險來源,進行綜合信任評估和指令下發;指令接收及執行的中心可以是認證中心、安全防護平臺和安全訪問平臺。策略控制中心支持多租戶模式,提供基于角色、基于屬性和基于策略的安全訪問控制模型和細粒度授權模式,支持多種網關策略分發和統一管理。

    智能策略控制中心對應NIST零信任標準SP.800-207中的策略引擎(PE)、策略管理員(PA),增加了策略信息發布管理(PIP)、零信任策略執行點管理(PEP)、會話管理等業務功能,是零信任網絡環境下的智能控制器,構建所有認證與訪問控制策略的大腦??蓪与娮诱J證基礎設施和可信身份管控平臺,構造基于角色、屬性、策略用于各零信任策略執行點的多模型訪問控制策略模型,并可對異構環境下的不同PEP提供統一的策略推送和集中管理。



    5. 終端環境感知中心

    終端環境感知中心負責對終端身份進行可信標識,對終端環境進行感知和度量,并傳遞給策略控制中心,協助策略控制中心完成終端的可信環境核查,從而實現動態訪問控制的目的。通過用戶行為分析中心和環境感知中心,建立信任評估模型和算法,實現基于身份的信任評估能力,同時需要對訪問的上下文環境進行風險判定,對訪問請求進行異常行為識別并對信任評估結果進行調整。

    終端環境感知中心自下而上分為硬件層、內核層、數據平臺層、信任平臺層和應用層,整體可切分成控制平臺和數據平面兩部分。當系統運行時,會生成系統環境的數據平臺和安全可信環境的控制平臺?;谕{離業務越來越近的現狀,通過多維度的終端感知與風險度量,并結合業務訪問控制手段,實現對終端唯一身份的識別、風險的動態感知與度量功能,將終端威脅對業務的影響面降到最低。



     

     


    ??安徽財經大學 ????地址:安徽省蚌埠市曹山路962號????皖ICP備050122397

    亚洲AⅤ精品无码一区二区pro
  • <menu id="w4mmk"></menu>
    <menu id="w4mmk"><strong id="w4mmk"></strong></menu>
    <menu id="w4mmk"></menu><menu id="w4mmk"><strong id="w4mmk"></strong></menu>
    <nav id="w4mmk"></nav>
  • <menu id="w4mmk"><tt id="w4mmk"></tt></menu>
    <menu id="w4mmk"></menu>