等级保护和准入控制

        自2009年发布《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》以来,许多企事业单位开始相关的评测、自查和安全加固工作,准入控制市场开始掀起新一轮的浪潮。追根溯源,准入控制技术和等级保护保准其实是相互促进的一对孪生兄弟。
        首先,自安然事件之后,美国过会通过了针对企业的内控措施和制度,这就是著名的萨班斯法案,其中涉及都内网信息安全的部分被诸多的安全厂商解读成不同的需求,今儿衍生出许多产品和技术,最快跟进并研发出内网控制产品的当属思科的NAC技术,即网络准入控制。
        在萨班斯法案之后,国际标准化组织针对互联网的安全和信息系统安全,制定了ISO27000一系列的标准;在中国公安部、国信办、工信部等相继发布了互联网安全管理办法,如被业界广泛关注的43号文件,28号文件等等,并同时提出了等级保护的概念。
         在技术层面,思科开创的NAC技术也发展成诸多厂商和技术衍生的准入控制市场。产品技术也从不同的角度、不同的层次、不同的方法发展繁荣起来。有基于交换设备的老厂商,有基于桌面的传统安全厂商,也有开创新技术的新贵,并逐步发展成交换机厂商、桌面系统和内网管理平台三个不同的方向。
纵观等级保护标准的条文,在网络安全、主机安全等几个层面,基本强调的管理其实与准入控制技术是非常吻合的。关注用户(人)的准入,关注终端的安全状况,关注整体网络的资源(IP),关注权限管理(访问控制),以及行为审计等几个方面。
        在国内市场,准入控制产品同样划分为3个不同的方向,以华三为代表的是交换机厂商,以联软为代表的是桌面厂商,以艾科网信(ACK)为代表的是内网管理平台创新厂商。
        所谓内网管理平台是新兴的准入控制技术,此类产品不仅仅关注准入,而是从整体上关注内网安全和内网规范管理,使得内网更加符合等级保护和标准,客户更易于把管理制度通过技术来实现。其基本理念是:什么人,使用哪一台终端,使用的那一个IP接入到网络,能够访问网络的那些应用,并对上述行为进行记录和审计。因此涉及到人员管理、终端管理、IP地址管理、访问控制和日志审计。其理念可用下图表示。
 

  以ACK的内网管理平台为基础的内网规范管理解决方案,可以实现与诸多安全产品、基础交换设备联动,可以在内网中实现符合等保的规范管理。人员的准入,终端的准入,IP地址管理,访问控制管理,安全域管理等等,特别是近期ACK与网康行为管理实现IP2ID的联动,解决了行为管理中实名制的难题,在一些部委案例中受到等保测评非常良好的效果。