美国国家标准技术研究院(NIST)在《零信任架构》中指出,传统安全方案对授权用户开放了过多的访问权限。零信任的首要目标就是重建信任,基于身份实现细粒度的访问控制,解决越权访问的风险。与此同时,对零信任安全做了如下定义:零信任安全提供一系列概念、理念、组件及其交互关系,以便消除针对信息系统和服务进行精准访问判定所存在的不确定性。此定义指出了零信任需要解决的关键问题:消除对数据和服务的未授权访问,强调了需要进行细粒度访问控制的重要性。
访问代理
访问控制
零信任架构的核心即对资源的访问控制。访问控制是通过某种途径显式准许或限制主体对客体访问能力及范围的一种方法,其目的在于限制用户的行为和操作。当前应用比较广泛的访问控制技术包括基于角色的访问控制(Role-Based Access Control,RBAC)和基于属性的访问控制(Attribute-Based Access Control,ABAC)。零信任模型下,需要解决对用户的最小化授权、动态授权控制等问题。现有的零信任实现方案虽有采用RBAC模式,但多基于ABAC实现,也有采用了RBAC和ABAC结合的授权方式,即基于策略的访问控制(Policy Based Access Control,PBAC),既兼顾RBAC的简单、明确的特性,也具备ABAC的灵活性,实现了基于主体属性、客体属性、环境风险等因素的动态授权。
信任评估
低耦合高内聚能力
叠加和场景扩展
远程访问
远程访问场景,可细化为业务、办公远程访问、开发测试、特权运维、面向用户的公共访问等几类场景。该场景是通过在主体和客体之间的访问路径上构建完整的信任链,实现访问控制过程的安全可控。对远程接入的用户和设备实施身份验证和持续授权,解决远程安全接入、动态授权和可控业务访问的问题。
远大数据平台的数据交互
大数据平台主要的数据交互场景有两类:一类是用户或者外部系统通过数据中心网络出口访问内部系统数据;另一类是大数据平台内部工作负载之间交互。
(1)外部数据出入交换
在大数据平台的外部设置安全接入区,部署API代理控制服务,所有外部数据的交换都通过安全接入区才能访问,实现内部、外部用户和应用对于大数据平台API服务的安全接入,并且可根据访问主体实现细粒度的访问授权。
(2)内部工作负载交互
使用微隔离的技术手段实现服务器之间的隔离,一个服务器访问另一个服务器资源时需要进行身份认证。解决传统环境、虚拟化环境、混合云环境下内部流量的识别与访问控制问题。
远物联网泛终端接入
在物联网实施零信任安全,是通过部署边缘物联接入管理设备,建立物联设备标识管理机制,生成由主体属性、环境属性和客体属性构成的物联设备身份指纹,建立物联设备安全基线库。采用持续主动扫描、被动监听检测、安全接入控制区等方式,解决终端的身份认证和访问控制。允许身份可信、经过动态授权的物联设备入网,并对物联终端进行持续信任评估、访问控制,解决物联终端的身份仿冒和恶意访问。
涉密载体必须在符合国家保密标准的保密文件柜中保存,做到人走柜锁,不得放置在不安全的环境中。不合格的产品,容易被撬开、被解锁,安全度低,存在重大泄密隐患。涉密人员应当做好保密文件柜管理,谨慎采购,国家利益高于一切,切莫疏忽大意。
柜锁双认证证书
国保V系列保密柜经过国家保密局认证,获得柜锁双认证证书,符合国家保密新标准(BMB54-2020),适合存放国家机密级以下载体。该产品融入国保研发第五代核心科技,具备半导体指纹识别、日志记录、即时报警等安全功能,能够有效防止小黑盒和暴力开启;保密锁可根据实际需要,使用密码或指纹、密码+指纹、双指纹合开等开锁方式。
广州国保科技有限公司专注为国保密30年,集研发、生产、销售于一体,服务于国家党政军机关、企事业单位等涉密部门,是中央政府及各省市政府采购中标供应商,是党的十五大到十九大会议会务专用保密设备服务商。同时为华为、苹果、迪士尼、阿里巴巴、腾讯等众多500强企业提供高品质保密服务。旗下涉密安全产品:保密柜、手机屏蔽柜、保险柜、密码锁文件柜、档案文件柜、碎纸机等获得客户的高度认可,引领保密行业发展。想要了解更多详情,请点击官方网站:https://www.guub.cn/ 。
上一篇:《保密会议的设施、设备管理应当这样做!》
推荐阅读:
•《手机屏蔽柜怎么选?》
•《一文带你秒懂新国标保密柜》