等保2.0關(guān)于訪問控制的規(guī)定

　　等保2.0標準中對訪問控制做了詳細要求，下面表格中列出了等保2.0對訪問控制的要求，黑色加粗字體表示是針對上一安全級別增強的要求。

　　等保2.0中主要在安全區(qū)域邊界和安全計算環(huán)境中提到訪問控制要求。安全區(qū)域邊界主要指在網(wǎng)絡(luò)邊界進行訪問控制，通過應(yīng)用ACL、會話狀態(tài)、應(yīng)用協(xié)議、應(yīng)用內(nèi)容、通信協(xié)議轉(zhuǎn)換和通信協(xié)議隔離等方式達到訪問控制要求。安全計算環(huán)境主要指在主機終端進行訪問控制，通過強化用戶賬戶和權(quán)限的授權(quán)管理、授權(quán)主體配置訪問控制策略、應(yīng)用強制訪問控制規(guī)則等方式達到訪問控制要求。

　　在等保3級中，安全區(qū)域邊界要求實現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制，安全計算環(huán)境要求實現(xiàn)重要主客體的安全標記和訪問控制。在等保4級中，安全區(qū)域邊界要求通過通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進行數(shù)據(jù)交換，安全計算環(huán)境要求實現(xiàn)主客體安全標記和強制訪問控制。

　　鑒于強制訪問控制技術(shù)網(wǎng)上已經(jīng)有很詳細的論述，本文重點講解基于網(wǎng)絡(luò)的訪問控制技術(shù)。

　　基于網(wǎng)絡(luò)的訪問控制技術(shù)

　　1、基于ACL規(guī)則的訪問控制技術(shù)

　　訪問控制列表（ACL）是一種基于包過濾的訪問控制技術(shù)，它可以根據(jù)設(shè)定的條件對接口上的數(shù)據(jù)包進行過濾，允許其通過或丟棄。訪問控制列表被廣泛地應(yīng)用于路由器、三層交換機和包過濾防火墻等，借助于訪問控制列表，可以有效地控制用戶對網(wǎng)絡(luò)的訪問，從而最大程度地保障網(wǎng)絡(luò)安全。

　　包過濾防火墻是用一個軟件查看所流經(jīng)的數(shù)據(jù)包的包頭，由此決定整個包的命運。包過濾防火墻根據(jù)事先定義的ACL規(guī)則對通過設(shè)備的數(shù)據(jù)包進行檢查，限制數(shù)據(jù)包進出內(nèi)部網(wǎng)絡(luò)。包過濾防火墻不檢測會話狀態(tài)和數(shù)據(jù)包內(nèi)容。

　　2、基于狀態(tài)檢測的訪問控制技術(shù)

　　狀態(tài)檢測防火墻采用了“狀態(tài)檢測”機制來進行包過濾。“狀態(tài)檢測”機制以流量為單位來對報文進行檢測和轉(zhuǎn)發(fā)，即對一條流量的第一個報文，進行包過濾規(guī)則檢查，并將判斷結(jié)果作為該條流量的“狀態(tài)”記錄下來。對于該流量的后續(xù)報文都直接根據(jù)這個“狀態(tài)”來判斷是轉(zhuǎn)發(fā)還是丟棄，而不會再次檢查報文的數(shù)據(jù)內(nèi)容。這個“狀態(tài)”就是我們平常所述的會話表項。這種機制迅速提升了防火墻產(chǎn)品的檢測速率和轉(zhuǎn)發(fā)效率，已經(jīng)成為目前主流的包過濾機制。

　　查詢和創(chuàng)建會話的流程

　　基于狀態(tài)檢測的訪問控制技術(shù)由于不需要對每個數(shù)據(jù)包進行規(guī)則檢查，而是一個連接的后續(xù)數(shù)據(jù)包通過散列算法，直接進行狀態(tài)檢查，從而使得性能得到了較大提高；而且，由于狀態(tài)表是動態(tài)的，因而可以有選擇地、動態(tài)地開通1024號以上的端口，使得安全性得到進一步地提高。

　　3、基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制技術(shù)

　　應(yīng)用層防火墻，也稱應(yīng)用防火墻，是一種防火墻，經(jīng)由應(yīng)用程序或服務(wù)來控制網(wǎng)絡(luò)封包的流入、流出與系統(tǒng)調(diào)用，因為運作在OSI模型中的應(yīng)用層而得名。它能夠監(jiān)控網(wǎng)絡(luò)封包，阻擋不符合防火墻設(shè)定規(guī)則的封包進入、離開以及呼叫系統(tǒng)調(diào)用。這類防火墻，通常又可以分成以網(wǎng)絡(luò)為基礎(chǔ)的應(yīng)用防火墻與以主機為基礎(chǔ)的應(yīng)用防火墻。本節(jié)重點討論以網(wǎng)絡(luò)為基礎(chǔ)的應(yīng)用防火墻。

　　基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制技術(shù)在NGFW中的應(yīng)用

　　基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制技術(shù)，是目前各種應(yīng)用防火墻安全防護的基礎(chǔ)。應(yīng)用協(xié)議識別當前比較流行的技術(shù)包括深度包檢測技術(shù)（DPI）和深度流檢測技術(shù)（DFI）。DPI技術(shù)在進行分析報文包頭的基礎(chǔ)上，結(jié)合不同的應(yīng)用協(xié)議的“指紋”綜合判斷所屬的應(yīng)用。DFI是一種流量行為分析的應(yīng)用識別技術(shù)。不同的應(yīng)用類型體現(xiàn)在會話連接或數(shù)據(jù)流上的狀態(tài)各有不同。DPI技術(shù)由于可以比較準確的識別出具體的應(yīng)用，因此廣泛的應(yīng)用于各種需要準確識別應(yīng)用的系統(tǒng)中，如運營商的用戶行為分析系統(tǒng)等；而DFI技術(shù)由于采用流量模型方式可以識別出DPI技術(shù)無法識別的流量，如P2P加密流等，當前越來越多的在帶寬控制系統(tǒng)中得到應(yīng)用。應(yīng)用內(nèi)容分析，當前各類安全產(chǎn)品主要聚焦在文本、文件提取等技術(shù)，提取文本文件后用于敏感信息檢索、APT檢測等動作，根據(jù)檢測結(jié)果判定是否放行。

　　4、基于通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離的訪問控制技術(shù)

　　通信協(xié)議轉(zhuǎn)換是一種映射，就是把某一協(xié)議的收發(fā)信息序列映射為另一協(xié)議的收發(fā)信息序列。通信協(xié)議轉(zhuǎn)換裝置就是網(wǎng)關(guān)，用于構(gòu)架網(wǎng)絡(luò)連接，將一種協(xié)議轉(zhuǎn)換為另一種協(xié)議。通信協(xié)議隔離應(yīng)用了網(wǎng)絡(luò)隔離技術(shù)，在兩個或兩個以上的計算機或網(wǎng)絡(luò)在斷開連接的基礎(chǔ)上，實現(xiàn)信息交換和資源共享。采用通信協(xié)議隔離技術(shù)既可以使兩個網(wǎng)絡(luò)實現(xiàn)物理上的隔離，又能在安全的網(wǎng)絡(luò)環(huán)境下進行數(shù)據(jù)交換。

　　在電力行業(yè)，正向隔離裝置和反向隔離裝置都應(yīng)用了通信協(xié)議隔離的相關(guān)技術(shù)。在智能制造行業(yè)，隨著萬物互聯(lián)和工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，通信協(xié)議轉(zhuǎn)換裝置應(yīng)用更加普遍。

　　5、基于零信任架構(gòu)的訪問控制技術(shù)

　　零信任安全架構(gòu)基于“以身份為基石、業(yè)務(wù)安全訪問、持續(xù)信任評估、動態(tài)訪問控制”四大關(guān)鍵能力，構(gòu)筑以身份為基石的動態(tài)虛擬邊界產(chǎn)品與解決方案。

　　數(shù)據(jù)中心網(wǎng)絡(luò)的南北和東西向流量

　　基于零信任架構(gòu)的訪問控制技術(shù)可以解決南北向和東西向的安全防護問題。NIST白皮書總結(jié)了零信任的幾種實現(xiàn)方式，SDP技術(shù)是用于實現(xiàn)南北向安全的（用戶跟服務(wù)器間的安全），微隔離技術(shù)是用于實現(xiàn)東西向安全的（服務(wù)器跟服務(wù)器間的安全）。

　　SDP全稱是Software Defined Perimeter，即軟件定義邊界，是由國際云安全聯(lián)盟CSA于2013年提出的基于零信任理念的新一代網(wǎng)絡(luò)安全技術(shù)架構(gòu)。SDP以預(yù)認證和預(yù)授權(quán)作為它的兩個基本支柱。通過在單數(shù)據(jù)包到達目標服務(wù)器之前對用戶和設(shè)備進行身份驗證和授權(quán)，SDP可以在網(wǎng)絡(luò)層上執(zhí)行最小權(quán)限原則，可以顯著地縮小攻擊面。

　　基于SDP的南北向安全防護

　　SDP架構(gòu)由客戶端、安全網(wǎng)關(guān)和控制中心三個主要組件組成。客戶端和安全網(wǎng)關(guān)之間的連接是通過控制中心與安全控制通道的信息交互來管理的。該結(jié)構(gòu)使得控制平面與數(shù)據(jù)平面保持分離，以便實現(xiàn)完全可擴展的安全系統(tǒng)。此外，SDP架構(gòu)的所有組件都可以集群部署，用于擴容或提高系統(tǒng)穩(wěn)定運行時間。

　　微隔離的概念最早由VMware在發(fā)布NSX產(chǎn)品時正式提出，而真正讓它備受關(guān)注是從2016年開始連續(xù)3年被評為全球十大安全項目之一，并在2018年的 《Hype Cycle for Threat-Facing Technologies》（威脅應(yīng)對技術(shù)成熟度曲線）中首次超過下一代防火墻（NGFW）。

　　微隔離技術(shù)的領(lǐng)先者illumio產(chǎn)品的東西向流量可視化

　　微隔離是在數(shù)據(jù)中心和云平臺中以創(chuàng)建安全區(qū)域的方式，隔離工作流，并對其進行單獨保護，目的是讓網(wǎng)絡(luò)安全更具粒度化。微隔離是一種能夠識別和管理數(shù)據(jù)中心與云平臺內(nèi)部流量的隔離技術(shù)。對于微隔離，其核心是對全部東西向流量的可視化識別與訪問控制。微隔離是一種典型的軟件定義安全結(jié)構(gòu)。它的策略是由一個統(tǒng)一的計算平臺來計算的，而且需要根據(jù)虛擬化環(huán)境的變化，做實時的自適應(yīng)策略重算。微隔離技術(shù)的核心指標就在于它能夠管理的工作負載的規(guī)模。

　　當前比較流行的SDP和微隔離技術(shù)，均是典型的軟件定義安全的技術(shù)。以上述零信任技術(shù)為核心的安全產(chǎn)品，正在越來越多的應(yīng)用到IT和OT的各個領(lǐng)域，有效的提升企業(yè)南北和東西向流量的可視化識別與訪問控制。零信任產(chǎn)品的快速應(yīng)用，可以滿足企業(yè)等保2.0安全測評的要求，同時提升企業(yè)安全運維自動化和智能化的水平。

　　3、訪問控制技術(shù)對比分析

　　上面小節(jié)討論的訪問控制技術(shù)的對比分析如下表：