当前位置:首页 > 报告详情

夏冰冰:零信任与密码-从美国联邦政府看零信任落地实践要点(18页).pdf

上传人: 懒人 编号:82873 2022-07-14 18页 1.42MB

1、 信任是网络秩序的基石,是数字交互的基础和前提,是数字经济的润滑剂数据的可信数据的可信可信数据电文、可信的日志、可信的代码/算法身份的可信可靠的身份信息源、可信的标识、可信的数字身份凭证.行为的可信行为的可信访问行为的事前授权和事后审计、个人意愿的充分表达、产品/服务的合法合规.随着数字经济的发展,信息系统的复杂度日益提升,网络信任呈现出明显 的复杂化、动态化特征云计算的广泛应用导致用 户、企业数据离开原有的 物理安全边界移动访问方式的增长导致 接入系统的外部人员和外 部设备增多基于大数据应用的新型业 务模式导致跨信任域的业 务交互增多网络信任的复杂化信任的评估依赖于多种 因素,评估的结果往往

2、 不是绝对化的是或否网络信任的动态化信任评估的结论会随着 影响因素的变化而变化,是有时效性的零信任安全是以建立和管理网络信任为基础,多种安全保障措施协同构建 网络安全保障体系的理念或思路网络信任的复杂化信任的评估依赖于多种 因素,评估的结果往往 不是绝对化的是或否网络信任的动态化信任评估的结论会随着 影响因素的变化而变化,是有时效性的综合多种要素确定信任水平综合多种要素(身份、设备、网络、应 用、数据、)进行信任评估,避免 单纯依赖那些不可靠的默认要素(如IP 地址),持续性地实施管理信任对每次访问行为进行持续的信任评估,并根据信任的动态变化随时调整安全策 略,避免仅通过一次鉴别、一次授权就

3、给予永久性、无限制的访问权限美国联邦政府是目前针对零信任战略发声的“最重量级的用户”之一对其战略的分析有助于我们从用户视角更好地理解零信任落地实践的要点 美国管理和预算办公室OMB发布的M-22-09号备忘录美国联邦政府认为,实现零信任安全的关键能力体现为“五大支柱”,即:身份、设备、网络环境、应用与工作负载、数据2020年8月,美国国家标准与技术研究院(NIST)发布SP800-207零信任架构2021年2月,美国国家安全局(NSA)发文拥抱零信任安全模 型2021年2月,美国国防部(DOD)发布零信任参考架构2021年5月,美国总统拜登发布了14028号行政令改善国家网络安全2021年6月

4、,网络安全与基础设施安全局(CISA)为响应14028号行政令的要求发布了零信任成熟度模型(征求意见稿)2021年9月,同样是为了响应14028号行政令的要求,行政管理 和预算局(OMB)发布了题为美国政府向零信任网络安全原 则的迁移的征求意见稿2022年1月,行政管理和预算局(OMB)发布美国政府向零信 任网络安全原则的迁移正式版本目标:政府雇员应使用联邦政府管理的身份访问政务应用,需要能够抵 御钓鱼攻击的多因素鉴别机制保护这些身份免遭针对性的线上攻击行动:1.各政府机构应为自己的雇员建立中心化的身份管理系统,该系统支持 与应用或通用平台集成2.各政府机构应使用高安全强度的多因素鉴别机制(M

5、FA)3.当授权用户访问资源时,除了用户身份信息外,各政府机构应至少额 外考虑一项设备层面的信任信号OMB备忘录引用NIST SP 800-63B 数字身份指南鉴别和生命周期管 理标准的内容:基于短信验证、OTP等技术的双因素机制都不防钓鱼我国GB/T 22239-2019 网络安全等级保护基本要求对三级及以上系统的 要求:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术 对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现密码技术对于 建立身份信任 的关键作用目标:联邦政府建立一套完整的设备信息库,包含所有受控的、许可使 用的设备,并能够阻止、发现和响应这些设备遭遇的安

6、全事件行动:1.各政府机构应建立自己的资产清单库(借助CISA的持续性诊断和改 进项目CDM)2.各政府机构应确保自己的端点检测与响应工具(EDR)满足CISA的技术要求并广泛部署使用资产清单库用哪种“标识”来标记、识别设备?序列号、MAC地址还是设备证书?端点检测与响应工具的重要功能:设备软硬件配置的可信程度密码技术对于 建立设备信任 的关键作用目标:各机构应加密保护所有DNS请求和所有HTTP流量,并开始执行将 传统网络边界重构为网络安全隔离的计划行动:1.在技术条件允许的情况下,各政府机构应使用支持加密功能的DNS系 统解析DNS请求2.各政府机构应确保所有(包含内网)Web访问和API

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
本文主要探讨了零信任安全理念在数字经济时代的应用与重要性。零信任安全强调在网络环境中,信任的建立与管理是动态化、复杂化的,需要综合考虑身份、设备、网络、应用、数据等多种因素进行信任评估。美国联邦政府将零信任安全视为网络安全的关键战略,通过制定政策和标准,如NIST的零信任架构指南和总统拜登的行政令,推动其在政府机构中的实施。零信任安全实践需要密码技术的正确应用,以确保网络流量的安全性、应用的完整性以及数据的保密性。同时,密钥管理在零信任环境中面临着新的挑战,需要结合具体应用场景进行规划设计。
"零信任安全如何构建网络信任体系?" "密码技术在零信任安全中发挥哪些关键作用?" "如何应对零信任安全实践中密钥管理的新挑战?"
客服
商务合作
小程序
服务号
折叠