扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
“密码定义安全是一种网络安全理念和技术体系,更强调密码技术在保障数据全生命周期安全、保障网络系统运行安全和保障计算逻辑安全中的核心地位。从密码的本质特征出发,将网络安全与密码绑定。”在2023年11月23日的2023第八届IDC数字化转型年度盛典上、信大云谷密码定义安全服务网格系列产品发布后,中国科学院院士、著名密码学家、信息分析专家,国创中心安全技术专家委员会主任郑建华如是评价到。
什么是密码定义安全?这个技术理念新在何处?该技术理念是如何实现产品化转化落地的?怎么实现零信任的全场景落地?信大云谷总经理周谷澄在发布会上作了全面的介绍。
零信任全面开花、但其落地实现未能形成统一认知
但不论在供应侧还是在需求侧,实施零信任的部署都面临一些实际困境,如:
零信任机制怎么部署,在哪部署,如何使用密码进行认证,如何进行密码管理和全场景实现等尚未形成统一认知;
在用户现有网络条件下,如何保障新、旧体系的衔接、安全设备兼容、用户网络与应用免改造等问题;
终端客户非常关注的投资效能、业务免改造等一系列实际问题。特别是在新能源、智慧交通等行业,客户更关注实施零信任过程中,要求合规、密改、等保、零信任等能够一站式解决,以避免重复建设。
网络安全新范式:密码定义安全
与零信任一脉相承,但更强调密码的体系化应用
“密码定义安全”新在何处?
基于业务切片的内生安全设计
业务切片是把网络空间中的用户、主体、网络活动、物理空间、时间等属性纳入业务定义,通过业务数据的密码标识、对保护业务数据的密码资源进行安全切分,而业务切片之间的可控互联、业务数据的安全流动以及对业务资源的受控操作都通过动态生成的密码防护策略实现,从而基于密码实现在相同网络基础设施下不同业务的逻辑隔离,避免业务之间的风险传递。
研究表明,任何网络攻击活动都不可以分解成若干个这种业务活动,通过密码分割这些业务,就可以阻断常见的网络攻击。因此,“密码定义安全”从设计上就具备内生安全。
支持零信任的体系化落地
现有零信任的实现多采用软件定义边界(SDP)模式,通过SDP网关、SDP控制器的部署,实现对南北向接入和业务访问的控制。但从本质上去讲,这种方式仍然没有摆脱边界防护的技术路线,与DOD倡导的零信任七大基本原则还有相当的差距。从技术方面讲,在这种模式下,基于单包认证机制(SPA)实现的攻击界面最小化必须基于密码实现,但现有的SDP方案并没有给出有效的密钥的分发管理机制。
而密码定义安全的技术路径,是在涉及诸多用户、主体和资源的情形下,根据访问要求,按需部署若干个策略执行节点,形成“安全服务网格”,支持动态评估和持续认证、用户对资源访问的密文信道构建。基于密码定义实现不同的业务切片和业务路径,以及基于密码策略实现访问资源的微分区/微隔离,无论从南北向,还是东西向,都可以很好的适配零信任访问原则,进而实现零信任的体系化落地。
将网络防御等级升级为密码安全
“密码定义安全”采用全密文信道、逐包认证、端口隐藏、数据安全封装、密码标识和设备认证等安全机制,将网络防御转换为密码对抗,实现系统抗攻击能力的有效跃升。
由理念到产品、由产品到实践,国内首个基于密码定义的零信任全场景落地解决方案
信大云谷重磅发布:密码定义安全服务网格
密码定义安全服务网格产品体系CDX执行引擎、CDX决策引擎以及CDX管理平台共同构成。
CDX执行引擎
CDX执行引擎是决策的执行者,包括加密传输、身份认证、签名验签、端点检测与响应(Endpoint Detection and Response,EDR)信任评估、行为控制等安全功能都可以通过软件定义,具有嵌入式、工控式和机架式等多种产品形态,可满足关键网络节点、业务服务边缘或数据采集边缘等多场景落地部署要求。
CDX决策引擎
CDX决策引擎工作在控制平面,主要实现密码防御策略翻译、密码防御策略决策、密码防御策略分发、安全管理通道构建等功能,通常部署在安全管理中心或安全服务边缘,为执行引擎的动态防御决策提供支持。
CDX管理平台
CDX管理平台工作在管理平面,主要实现密码防御策略定义、执行引擎信息管理、策略执行状态监控、业务安全风险评估等功能,通常部署在安全管理中心,为执行引擎和决策引擎等设备信息管理、策略管理和状态监控提供支持。
体系化零信任落地 应用免改造的自主密码升级替代 边界模糊网络的业务安全切分
从而实现等保、密评和零信任提供一站式解决方案。
密码定义安全服务网格系列产品实际上也已经过实践验证,信大云谷总经理周谷澄表示,国内首台套“工业互联网数据采集网关”以及“基于国密的可信数据采集与监视控制(Supervisory Control And Data Acquisition,SCADA)系统”都是应用了信大云谷的密码定义安全服务网格产品实现的。
针对如何将产品进行有效的部署、从而满足行业安全需求的问题,信大云谷也在发布会上给了场景化解决方案的介绍。
风机等终端设备“无人值班、少人值守”,风机侧网络接入控制至关重要; “无边界化”复杂网络结构、系统跨区互联,传统手段难以应对网络安全风险; 工控SCADA系统的现代化、通信协议的标准化、互联性,使得SCADA系统更容易被攻击。
以风电场SCADA数据安全防护的实践为例,信大云谷总经理周谷澄也在发布会上分享了他们的解决思路。
该方案针对每个风机部署CDX执行引擎,在确保风机接入安全与通信安全的同时,实现SCADA服务与其他业务服务的分区分域保护。
信大云谷总经理周谷澄表示,该解决方案在遵循电力系统十六字方针的原则基础上,针对以风电为代表的新能源场景,提出和实践“密码定义、业务切片、横向隔离、持续认证 ”,确保风电安全。今年3月份,该方案也入选国家工信部商用密码典型应用案例。
在密码定义安全理念的指导下以及业务实践中,信大云谷针对自主密码升级替代、边界模糊网络的业务安全切分、虚拟电厂安全、工业互联网数据安全、新能源风电安全等不同场景,不断实践和持续完善产品体系,已形成有效解决方案和体系产品支撑。
关于信大云谷
信大云谷成立于2019年,其核心技术研发团队由原军地顶级密码与网络安全专家组成,是一家以密码创新应用为核心,聚焦新型网络架构下的数据安全、物联网安全和工控安全,面向能源电力、交通、公共事业等行业数字化转型,为客户实现国密改造和零信任落地的新型密码厂商。
未来,信大云谷将坚持技术引领、市场导向,为客户提供更完善的安全解决方案。
《中国安全信息》杂志倾力推荐
“企业成长计划”
点击下图 了解详情
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...