技术·原创 | 零信任 VS 等保2.0访问控制技术

最新推荐文章于 2024-07-05 09:05:49 发布
最新推荐文章于 2024-07-05 09:05:49 发布
阅读量1.4k 收藏 3
点赞数
分类专栏: 技术 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xixiangkeji/article/details/115732765
版权
本文详细介绍了等保2.0访问控制的要求,对比了不同安全级别的差异。重点讲解了基于网络的访问控制技术,包括ACL规则、状态检测、应用协议和内容控制以及通信协议转换隔离技术。同时,探讨了零信任架构下的SDP和微隔离技术,强调它们在提升南北向和东西向流量安全防护中的作用。最后,提到了息象科技的天龙安全访问控制平台,作为实现这些技术的解决方案。
摘要由CSDN通过智能技术生成

作者:息象科技—夏天

等保2.0关于访问控制的规定

等保2.0标准中对访问控制做了详细要求,下面表格中列出了等保2.0对访问控制的要求,黑色加粗字体表示是针对上一安全级别增强的要求。

表1、等保2.0不同保护级别的访问控制技术要求对比

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
等保2.0中主要在安全区域边界和安全计算环境中提到访问控制要求。安全区域边界主要指在网络边界进行访问控制,通过应用ACL、会话状态、应用协议、应用内容、通信协议转换和通信协议隔离等方式达到访问控制要求。安全计算环境主要指在主机终端进行访问控制,通过强化用户账户和权限的授权管理、授权主体配置访问控制策略、应用强制访问控制规则等方式达到访问控制要求。

在等保3级中,安全区域边界要求实现基于应用协议和应用内容的访问控制,安全计算环境要求实现重要主客体的安全标记和访问控制。在等保4级中,安全区域边界要求通过通信协议转换或通信协议隔离等方式进行数据交换,安全计算环境要求实现主客体安全标记和强制访问控制。

鉴于强制访问控制技术网上已经有很详细的论述,本文重点讲解基于网络的访问控制技术。

<

最低0.47元/天 解锁文章
息象科技
关注
专栏目录
基于应用程序的访问控制:如何管理应用程序的数据访问权限
程序员光剑
07-12 3332
作者:禅与计算机程序设计艺术 "基于应用程序的访问控制:如何管理应用程序的数据访问权限" 引言 1.1. 背景介绍 随着信息技术的迅速发展,应用程序在各个领域中的应用越来越广泛。这些应用程序中包
软考-访问控制技术原理与应用
苍木念川的博客
10-19 1842
访问控制是计算机安全的一个重要组成部分,用于控制用户或程序如何使用系统资源。访问控制的目标是确保只有经过授权的用户或程序可以访问特定的资源,例如文件、文件夹、系统设置、网络服务和数据库等。访问控制由以下三个概念构成:主体:主体是指被授权或未经授权试图访问系统的用户、程序或进程。资源:资源是指需要被保护的系统资源,例如文件、数据、设备或服务等。访问控制规则:访问控制规则是指由系统管理员定义的规则,用于限制主体对资源的访问权限。
等保测评2.0:Windows访问控制
最新发布
2401_84434570的博客
07-05 1013
安全参数的设置是安全管理中心安全类中的安全管理中的测评项里说的,如果安全管理中的安全和安全管理员的安全是一个意思,那么安全管理员的职能就应该包括安全参数的设置。如果不涉及强制控制控制的话,那么指定由windows的某个账户分配权限即可,即该账户应拥有windows重要文件的权限(且仅该用户拥有),以及修改用户权限的权限(设置用户隶属于哪个用户组的权限和组策略的打开权限)。对于默认账户、匿名账户的访问权限的限制,实际上是guest、users、Everyone组的权限的限制。
linux中syscmd用法,等保测评主机安全:centos访问控制(续)
weixin_39900023的博客
05-13 801
一、说明权限控制在等保测评里仅仅说了要求,但是怎么落地却基本没写,怎么说呢,比较抽象。所以,我觉得还是有必要了解一下centos系统大概有什么方法可以实现对用户的权限控制,不至于测评的时候完全不知道怎么测。这里我把我现在知道的关于权限控制的方法都列举出来,供大家参考参考。这里是访问控制的上一篇文章,大家可以先看看上一篇:二、 更精细化的文件权限控制一般的,对目录和文件,可以实现创建者、所属组、其他...
零信任架构下的访问控制技术
weixin_70101757的博客
07-17 1499
基于零信任理念构建零信任架构,打破传统安全架构基于网络边界构筑信任域的理念,基于各类主体的身份进行细粒度的风险度量和访问授权,通过持续信任评估实现动态访问控制,避免核心资产直接暴露,最大程度减少被攻击面以及被攻击的风险。身份认证、信任评估、动态访问控制、业务安全访问是零信任的核心能力。访问控制模块持续依据评估结果建立访问主体和被访问资源之间的映射关系,调整并下发执行控制策略,构建对核心业务资产的保护屏障,将核心业务资产的暴露面隐藏。传统访问控制模型中,访问主体通过角色属性获取相应权限。但是在零信任架构下,以
linux xtfp 授予权限_一项一项教你测等保2.0——Linux访问控制
weixin_36315722的博客
01-22 1030
一、前言前边我们已经讲了windows系统下的访问控制,现在我们讲讲Linux系统下的访问控制,其实两个系统下的测评项都是一样的,不一样的就是不同的系统查看系统配置的方法不一样,windows系统使用的都是图形交互界面,而且我们平时使用windows系统比较多,查找起来比较方便,Linux系统是要使用命令来查看系统配置的,需要有一些Linux系统命令的基础,当然也都比较简单,现在就让我们来看看Li...
安全区域边界(设备和技术注解)
ryanzzzzz的博客
11-13 2011
基于基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。10.1工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务。-IPS入侵保护系统、抗APT攻击系统、抗DDoS攻击系统、网络回溯系统、威胁情报检测系统。
RSA创新沙盒盘点|BastionZero——零信任基础设施访问服务
weixin_44981569的博客
05-25 776
RSAConference2022将于旧金山时间6月6日召开。大会的Innovation Sandbox(沙盒)大赛作为“安全圈的奥斯卡”,每年都备受瞩目,成为全球网络安全行业技术创新和投资的风向标。 前不久,RSA官方宣布了最终入选创新沙盒的十强初创公司:Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq。 绿盟君将通过背景介绍、产
零信任策略下K8s安全监控最佳实践(K+)
阿里云技术
09-19 576
本文重点将围绕监控防护展开,逐层递进地介绍如何在复杂的分布式容器化环境中借助可观测性平台,持续监控K8s集群,及时发现异常的 API 访问事件、异常流量、异常配置、异常日志等行为,并且结合合理的告警策略建立更主动的安全防御体系。
2024年Unity 面试题 |五萬字 二佰道| Unity面试题大全,面试题总结【全网最全,收藏一篇足够面试】
热门推荐
努力前行,总会成为自己心中的那道光
02-23 12万+
正所谓 金三银四 ,又到了找工作的大好时机了,不知道大家有没有意向找一份更好的工作呢~ 之前写了很多Unity的学习和实例文章,但是面试题部分还没有一个系统的整理。 那本篇文章就来整理一下Unity中一些常见的面试题,说不准就会面试的时候就会遇到! 本篇文章会将Unity所有方面的面试资料都融会贯通,绝对是2022年Unity面试领域最实用的文章啦!
实训笔记2.0
m0_65456462的博客
03-24 372
3.22 CSRF漏洞介绍 CSRF (Cross--site request forgery,跨站请求伪造))也被称为 One Click Attack 或者 Session Riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同,XSS 利用站点内的信任用户,而 CSRF 则通过伪装成受信任用户请求受信任的网站。与 XSS 攻击相比,CSRF 攻击往往不大流行(因此对其进行防范的资源也相当稀少)也难以防范,所以被认为比 X
等级保护 —— 安全控制点,安全要求
Karka_的博客
03-06 1210
2)一般来说,对于主流路由器和交换机设备,可以实现对系统错误、网络和接口的变化、登录失败、ACL匹配等进行审计,审计内容包括了时间、类型、用户等相关信息。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。应核查网络中是否部署了对非授权无线设备管控措施,能够对非授权无线设备进行检查、屏蔽。
等保2.0基本安全要求之技术要求分类
weixin_45365048的博客
03-03 5553
【*】基本要求分类后面的标记,代表从第二/三级开始才有相应要求,未标记的则是通用。 一、安全物理环境 安全物理环境要求包括了针对人员威胁和针对自然环境威胁的控制要求。针对人员威胁的控制要求包括物理访问控制、防盗窃和防破坏、电磁防护等。针对自然环境威胁的控制要求包括防火、防水和防雷击等。 2.安全通信网络 安全通信网络主要是指组织中的数据通信网络,其由网络设备、安全设备、可信计算设备和通信链路等相...
网络安全等级保护测评高风险判定-安全区域边界-3
y995zq的博客
01-13 4479
目录 1.边界防护 1.1网络边界访问控制设备不可控 1.2无违规内联检查措施 1.3无违规外联检查措施 1.4无线网络无管控措施 2访问控制 2.1重要网络区域边界访问控制配置不当 2.2通信协议无转换或隔离措施 3入侵防范 3.1无外部网络攻击防御措施 3.2无内部网络攻击防御措施 4恶意代码和垃圾邮件防范 4.1无恶意代码防范措施 5安全审计 5.1无网络安全审计措施 1.边界防护 1.1网络边界访问控制设备不可控 对应要求:应保证跨越边界的访问和数据流通过边界设备
安全区域边界技术测评要求项
ryanzzzzz的博客
08-29 1346
4)3级及以上系统,限制无线网络的使用,要求无线网络单独组网后连接到有线网络,且必须通过受控的边界防护设备接入内部有线网络。a+++)对边界设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证并在应用程序的。a+)对边界设备的系统引导程序、系统程序等进行可信验证并在检测到其可信息性受到破坏后进行报警,并。e)应能够在发现非授权设备私自联到内部网络的行为或内部用户非授权联到外部网络的行为时,对其。,对事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息进行记录。
等保2.0三级安全要求
zjdda的博客
06-07 3万+
第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾害,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。 以下加粗字段为等保三级与二级的区别,需重点关注。
CBAC(基于内容访问控制)
weixin_34068198的博客
10-20 890
CBAC提供以下功能: *流量过滤 *流量检测 *警报和审计跟踪 ****阻断 就是过滤 CBAC基于应用协议会话信息智能化地过滤TCP和UDP数据包。当CBAC被配置之后,仅当初始化了到相关的需要访问的网络连接的时候才会允许特定的TCP和UDP流量通过防火墙。CBAC可以检查会话是起源于内部还是起源于外部,它可以用于intranet,extranet,i...
等保2.0下的可信计算防御策略与技术解析
等保2.0强调了网络安全等级保护制度,要求网络运营者根据不同的安全等级采取相应的安全保护措施,包括但不限于数据加密、访问控制、安全审计和应急响应。 可信计算技术实现主要包含以下几个方面: 1. 可信启动:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值