零信任态势评估:CIS安全控制内容与实施
摘要:
CIS安全控制从安全领域专家的视角,针对企业网络不同层面的安全问题,提出了相应的安全保护措施和操作规范,供不同规模的企业参考实施。为了分析企业网络安全的风险来源,构建零信任安全态势的评估指标体系,本文对CIS安全控制的内容和实施方式进行梳理和介绍,为零信任安全态势评估的相关研究提供参考。
关键字:网络安全 CIS安全控制 零信任 态势评估
一、CIS控制的发展背景
CIS安全控制(简称CIS控制)最初的目标是帮助企业识别网络中的安全风险,并针对各种攻击采取有效的防范措施。早期版本的CIS控制通过一个标准化的攻击列表,来测试控制措施是否有效。从2013年开始,CIS与Verizon数据泄露调查报告(DBIR)团队合作,将其分析结果直接映射到CIS控制,以便将常见攻击与防护措施匹配起来,提高并改善企业防御方案的针对性。
在CIS社区防御模型(CDM)的研究中,CIS基于DBIR和MS-ISAC的数据分析成果,通过MITRE组织的ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)模型对2019年最常见5种攻击(包括Web应用攻击、内部人员权限滥用、恶意软件、勒索软件和针对性入侵)的攻击模式进行了定义,并将其防御手段纳入到CIS控制中。
这些研究活动保证了CIS控制不仅是一系列安全基线,同时也是符合行业或政府安全要求的规范性要求。本文主要介绍CIS控制(v8版本)的基本内容,该版本的设计原则包括:
以攻促防
CIS控制建立依据是明确的特定攻击行为,以及对应的有效阻止方法。
聚焦重点
帮助防御者确定当前最迫切的事情,以阻止重要攻击,避免试图解决所有安全问题或者锦上添花。
合理可行
每个建议(防护措施)均针对特定问题,且有效。
精确可测
所有CIS控制(特别是IG1)必须可度量且不存在二义性。
和谐一致
以现有合规监管、标准框架等保持一致,无冲突。
二、CIS控制的实施方法
从7.1版开始,CIS将控制内容划分为3个实施组(Implementation Group,IG),来形成优先级分类。每个IG都是一个CIS控制子集,适用于资源规模或安全风险比较相近的一类企业。另外,IG之间存在包含关系,即IG2包括IG1,IG3包括所有IG1和IG2中的防护措施。
IG1。适用于IT和网络安全专家非常有限的中小型企业,保护措施主要确保企业业务的正常运营,避免宕机。企业数据的敏感性较低,主要与员工和财务信息相关。IG1防护措施不应依赖专业的安全知识,主要针对一般性的非目标攻击,也适用于小型或家庭办公室环境。
IG2(包括IG1)。IG2适用的企业一般都有专人负责管理和保护IT基础设施,企业各部门基于工作职能和任务面临不同的风险,而且存在监管合规的负担。IG2企业通常需要存储和处理敏感客户或企业的信息,能够承受服务的短暂中断,但如果出现违规行为,将会带来公关问题。IG2防护措施有助于安全团队应对不断增加的操作复杂性,但有些措施需要依赖于企业级技术和特定领域专家的专业技能。
IG3(包括IG1和IG2)。IG3适用的企业一般有专门的网络安全专家(包括风险管理、渗透测试、应用程序安全等领域)。这些企业的资产和数据包含受监管的敏感信息或功能,以及合规监督,因此必须解决服务可用性、敏感数据机密性和完整性的保护问题,企业网络一旦遭受攻击可能对公共福利造成重大损害。IG3防护措施必须阻止来自熟练攻击者的针对性攻击,并减少零日攻击的危害和影响。
三、CIS控制内容与措施
1
硬件资产清单和控制
主动管理(包括清点、跟踪和纠正)通过物理、虚拟、远程、云环境等方式连接到企业基础设施的所有资产(包括终端用户设备,如便携式和移动设备;网络设备,如非计算/物联网(IoT)设备;服务器等),以准确地了解需要被监控和保护的资产总量。
|
序号 |
措施 |
资产 |
功能 |
IG1 |
IG2 |
IG3 |
|
1 |
建立设备清单 |
设备 |
识别 |
√ |
√ |
√ |
|
2 |
处理未经授权的资产 |
设备 |
响应 |
√ |
√ |
√ |
|
3 |
使用主动工具发现、识别网内资产 |
设备 |
检测 |
× |
√ |
√ |
|
4 |
使用DHCP记录/更新清单 |
设备 |
识别 |
× |
√ |
√ |
|
5 |
使用被动工具发现、识别网内资产 |
设备 |
检测 |
× |
× |
√ |
2
软件资产清单和控制
主动管理(清点、跟踪和更正)所有软件(操作系统和应用程序),确保只有经过授权的软件才能安装和执行,发现并防止未经授权和非托管软件的安装或执行。
|
序号 |
措施 |
资产 |
功能 |
IG1 |
IG2 |
IG3 |
|
1 |
建立软件清单 |
软件 |
识别 |
√ |
√ |
√ |
|
2 |
确保只支持软件清单中的已授权软件 |
软件 |
识别 |
√ |
√ |
√ |
|
3 |
处理未授权软件 |
软件 |
响应 |
√ |
√ |
√ |
|
4 |
使用自动化工具发现、识别软件资产 |
软件 |
检测 |
× |
√ |
√ |
|
5 |
通过准许清单等技术手段,确保只有已授权软件可以运行并被访问 |
软件 |
保护 |
× |
√ |
√ |
|
6 |
通过技术手段确保只有已授权动态库(如.dll, .ocx, .so)可以加载到进程中 |
软件 |
保护 |
× |
√ |
√ |
|
7 |
通过技术手段(如数字签名、版本控制)确保只有已授权脚本(如.ps1, .py)可以执行 |
软件 |
保护 |
× |
× |
√ |
3
数据保护
制定流程和技术控制,以识别、分类、安全地处理、保留和处置数据。
|
序号 |
措施 |
资产 |
功能 |
IG1 |
IG2 |
IG3 |
|
1 |
建立数据管理流程 |
数据 |
识别 |
√ |
√ |
√ |
|
2 |
建立数据清单 |
数据 |
识别 |
√ |
√ |
√ |
|
3 |
配置数据访问控制列表 |
数据 |
保护 |
√ |
√ |
√ |
|
4 |
按数据管理流程处理数据持有时限 |
数据 |
保护 |
√ |
√ |
√ |
|
5 |
确保数据处置与其敏感等级相当 |
数据 |
保护 |
√ |
√ |
√ |
|
6 |
采用密码技术保护终端数据 |
设备 |
保护 |
√ |
√ |
√ |
|
7 |
建立数护分类模式 |
数据 |
识别 |
× |
√ |
√ |
|
8 |
基于数据管理流程,建立数据流记录文档 |
数据 |
识别 |
× |
√ |
√ |
|
9 |
加密移动介质 |
数据 |
保护 |
× |
√ |
√ |
|
10 |
对传输的敏感数据加密 |
数据 |
保护 |
× |
√ |
√ |
|
11 |
对存储的敏感数据加密 |
数据 |
保护 |
× |
√ |
√ |
|
12 |
基于敏感度分段/级处理和存储数据 |
网络 |
保护 |
× |
√ |
√ |
|
13 |
部署数据防泄漏解决方案 |
数据 |
保护 |
× |
× |
√ |
|
14 |
记录敏感数据访问 |
数据 |
检测 |
× |
× |
√ |
4
软/硬件安全配置
建立和维护企业软、硬件资产的安全配置。
|
序号 |
措施 |
资产 |
功能 |
IG1 |
IG2 |
IG3 |
|
1 |
建立软、硬件资产的安全配置流程 |
软件 |
保护 |
√ |
√ |
√ |
|
2 |
建立网络基础设施的安全配置流程 |
网络 |
保护 |
√ |
√ |
√ |
|
3 |
配置访问会话超时自动锁定 |
用户 |
保护 |
√ |
√ |
√ |
|
4 |
通过防火墙保护服务器 |
设备 |
保护 |
√ |
√ |
√ |
|
5 |
通过防火墙保护终端 |
设备 |
保护 |
√ |
√ |
√ |
|
6 |
加强企业软、硬件资产管理 |
网络 |
保护 |
√ |
√ |
√ |
|
7 |
加强软硬件资产的缺省账户管理 |
用户 |
保护 |
√ |
√ |
√ |
|
8 |
卸载/禁用非必要服务 |
设备 |
保护 |
× |
√ |
√ |
|
9 |
配置可信DNS服务 |
设备 |
保护 |
× |
√ |
√ |
|
10 |
配置终端设备认证失败后自动锁定 |
设备 |
响应 |
× |
√ |
√ |
|
11 |
配置便携设备支持远程数据擦除 |
设备 |
保护 |
× |
√ |
√ |
|
12 |
在移动设备上隔离工作、私人空间 |
设备 |
保护 |
× |
× |
√ |
5
账号管理
建立流程和工具对软、硬件资产的用户账号进行管理和授权,包括管理员账号、系统服务账号等。
|
序号 |
措施 |
资产 |
功能 |
IG1 |
IG2 |
IG3 |
|
1 |
建立、维护账号清单 |
用户 |
识别 |
√ |
√ |
√ |
|
2 |
针对不同资产使用唯一性口令 |
用户 |
保护 |
√ |
√ |
√ |
|
3 |
禁用非活动账号 |
用户 |
响应 |
√ |
√ |
√ |
|
4 |
限制管理员权限的使用范围 |
用户 |
保护 |
√ |
√ |
√ |
|
5 |
建立服务账号清单 |
用户 |
识别 |
× |
√ |
√ |
|
6 |
集中化账号管理 |
用户 |
保护 |
× |
√ |
√ |
6
访问控制管理
建立流程和工具对软、硬件资产的账号权限和凭证进行管理,包括创建、分配,调整、撤销等。
|
序号 |
措施 |
资产 |
功能 |
IG1 |
IG2 |
IG3 |
|
1 |
建立访问授权流程 |
用户 |
保护 |
√ |
√ |
√ |
|
2 |
建立访问撤销流程 |
用户 |
保护 |
√ |
√ |
√ |
|
3 |
对外暴露应用需使用MFA |
用户 |
保护 |
√ |
√ |
√ |
|
4 |
远程访问需使用MFA |
用户 |
保护 |
√ |
√ |
√ |
|
5 |
管理性访问需使用MFA |
用户 |
保护 |
√ |
√ |
√ |
|
6 |
建立、维护认证授权系统的台账 |
用户 |
识别 |
× |
√ |
√ |
|
7 |
集中化访问控制 |
用户 |
保护 |
× |
√ |
√ |
|
8 |
定义、实施RBAC访问控制 |
数据 |
保护 |
× |
× |
√ |
7
持续漏洞管理
针对企业基础设施的资产,制定持续的漏洞跟踪、评测计划,修复并最大限度地缩小攻击窗口,监控并收集安全行业公共、专用资源发布的威胁和脆弱性情报。
|
序号 |
措施 |
资产 |
功能 |
IG1 |
IG2 |
IG3 |
|
1 |
建立漏洞管理流程 |
软件 |
保护 |
√ |
√ |
√ |
|
2 |
建立漏洞修复流程 |
软件 |
响应 |
√ |
√ |
√ |
|
3 |
实施系统补丁自动化管理 |
软件 |
保护 |
√ |
√ |
√ |
|
4 |
实施应用软件补丁自动化管理 |
软件 |
保护 |
√ |
√ |
√ |
|
5 |
针对内部资产开展自动化漏洞扫描 |
软件 |
识别 |
× |
√ |
√ |
|
6 |
针对对外暴露的资产开展自动化漏洞扫描 |
软件 |
识别 |
× |
√ |
√ |
|
7 |
修复已发现漏洞 |
软件 |
响应 |
× |
√ |
√ |
8
审计日志管理
对有助于攻击检测、分析和恢复的事件信息进行收集、告警、审查和记录。
|
序号 |
措施 |
资产 |
功能 |
IG1 |
IG2 |
IG3 |
|
1 |
建立审计日志管理流程 |
网络 |
保护 |
√ |
√ |
√ |
|
2 |
收集审计日志 |
网络 |
检测 |
√ |
√ |
√ |
|
3 |
确保充足的日志存储 |
网络 |
保护 |
√ |
√ |
√ |
|
4 |
使用同步的标准化时间 |
网络 |
保护 |
× |
√ |
√ |
|
5 |
收集日志的产生细节 |
网络 |
检测 |
× |
√ |
√ |
|
6 |
收集DNS查询日志 |
网络 |
检测 |
× |
√ |
√ |
|
7 |
收集URL请求日志 |
网络 |
检测 |
× |
√ |
√ |
|
8 |
收集控制台命令的使用日志 |
设备 |
检测 |
× |
√ |
√ |
|
9 |
集中化审计日志管理 |
网络 |
检测 |
× |
√ |
√ |
|
10 |
审计日志至少保留90天 |
网络 |
保护 |
× |
√ |
√ |
|
11 |
对日志进行审查 |
网络 |
检测 |
× |
√ |
√ |
|
12 |
收集采买服务中的日志 |
数据 |
检测 |
× |
× |
√ |
9
邮件/Web防护
提高对电子邮件和Web的威胁检测和保护,防范攻击者利用浏览器等发起的“拟人化”攻击。
|
序号 |
措施 |
资产 |
功能 |
IG1 |
IG2 |
IG3 |
|
1 |
确保只使用准许的浏览器和邮件客户端 |
软件 |
保护 |
√ |
√ |
√ |
|
2 |
使用DNS过滤服务 |
网络 |
保护 |
√ |
√ |
√ |
|
3 |
部署、维护基于网络的URL过滤系统 |
网络 |
保护 |
× |
√ |
√ |
|
4 |
限制非必要/未授权的客户端软件扩展 |
软件 |
保护 |
× |
√ |
√ |
|
5 |
实施DMARC防护策略 |
网络 |
保护 |
× |
√ |
√ |
|
6 |
禁用非必要的邮件附件类型 |
网络 |
保护 |
× |
√ |
√ |
|
7 |
为邮件服务提供恶意代码保护 |
网络 |
保护 |
× |
× |
√ |
10
恶意代码防范
防止或控制恶意程序、代码或脚本在企业资产上安装、传播和执行。
|
序号 |
措施 |
资产 |
功能 |
IG1 |
IG2 |
IG3 |
|
1 |
部署、维护恶意代码防范软件 |
设备 |
保护 |
√ |
√ |
√ |
|
2 |
自动更新恶意代码特征库 |
设备 |
保护 |
√ |
√ |
√ |
|
3 |
禁用移动介质的自动运行/播放功能 |
设备 |
保护 |
√ |
√ |
√ |
|
4 |
自动对移动介质进行恶意代码扫描 |
设备 |
检测 |
× |
√ |
√ |
|
5 |
启动“数据执行阻断”等操作系统特性 |
设备 |
保护 |
× |
√ |
√ |
|
6 |
集中管理恶意代码防范软件 |
设备 |
保护 |
× |
√ |
√ |
|
7 |
使用基于行为特征的恶意代码防范软件 |
设备 |
检测 |
× |
√ |
√ |
11
数据恢复
建立和维护充分的数据恢复措施,保证企业资产能恢复到攻击事件发生之前或受信任的状态。
|
序号 |
措施 |
资产 |
功能 |
IG1 |
IG2 |
IG3 |
|
1 |
建立数据恢复流程 |
数据 |
恢复 |
√ |
√ |
√ |
|
2 |
执行数据自动备份 |
数据 |
恢复 |
√ |
√ |
√ |
|
3 |
对恢复数据进行保护 |
数据 |
保护 |
√ |
√ |
√ |
|
4 |
为恢复数据维护单独的保护实例 |
数据 |
恢复 |
√ |
√ |
√ |
|
5 |
对恢复数据进行测试 |
数据 |
恢复 |
× |
√ |
√ |
12
网络基础设施管理
建立并实施对网络设备的主动管理(跟踪、报告、纠正),防止攻击者利用网络服务和访问漏洞发起攻击。
|
序号 |
措施 |
资产 |
功能 |
IG1 |
IG2 |
IG3 |
|
1 |
确保网络基础设施更新/升级 |
网络 |
保护 |
√ |
√ |
√ |
|
2 |
建立、维护安全的网络架构 |
网络 |
保护 |
× |
√ |
√ |
|
3 |
强化网络基础设施管理 |
网络 |
保护 |
× |
√ |
√ |
|
4 |
建立、维护网络架构图等文档 |
网络 |
识别 |
× |
√ |
√ |
|
5 |
集中化网络认证、授权、审计 |
网络 |
保护 |
× |
√ |
√ |
|
6 |
使用安全的网管和通信协议 |
网络 |
保护 |
× |
√ |
√ |
|
7 |
远程设备需使用VPN接入企业AAA系统 |
设备 |
保护 |
× |
√ |
√ |
|
8 |
限制管理访问可以使用的设备资源 |
设备 |
保护 |
× |
× |
√ |
13
硬件资产清单和控制
健全网络监控和防御操作流程和工具,防范跨网络基础设施和用户群的安全威胁。
|
序号 |
措施 |
资产 |
功能 |
IG1 |
IG2 |
IG3 |
|
1 |
集中化安全事件告警 |
网络 |
检测 |
× |
√ |
√ |
|
2 |
部署基于主机的IDS |
设备 |
检测 |
× |
√ |
√ |
|
3 |
部署基于网络的IDS |
网络 |
检测 |
× |
√ |
√ |
|
4 |
在网段间执行流量过滤 |
网络 |
保护 |
× |
√ |
√ |
|
5 |
对远程资产实施访问控制 |
设备 |
保护 |
× |
√ |
√ |
|
6 |
收集网络流量日志 |
网络 |
检测 |
× |
√ |
√ |
|
7 |
部署基于主机的IPS |
设备 |
保护 |
× |
× |
√ |
|
8 |
部署基于网络的IPS |
网络 |
保护 |
× |
× |
√ |
|
9 |
部署端口级的访问控制 |
设备 |
保护 |
× |
× |
√ |
|
10 |
执行应用层过滤 |
网络 |
保护 |
× |
× |
√ |
|
11 |
周期性调整事件告警的阈值 |
网络 |
检测 |
× |
× |
√ |
14
安全意识与技能培训
建立并维护安全意识计划,培养员工的安全意识和行为,降低企业的网络安全风险。
|
序号 |
措施 |
资产 |
功能 |
IG1 |
IG2 |
IG3 |
|
1 |
建立安全意识教程 |
/ |
保护 |
√ |
√ |
√ |
|
2 |
培训员工辨别“社会工程攻击” |
/ |
保护 |
√ |
√ |
√ |
|
3 |
开展“身份认证”应用实践培训 |
/ |
保护 |
√ |
√ |
√ |
|
4 |
开展“敏感数据处置”应用实践培训 |
/ |
保护 |
√ |
√ |
√ |
|
5 |
开展“无意识数据暴露”应用实践培训 |
/ |
保护 |
√ |
√ |
√ |
|
6 |
开展“安全事件识别与报告”培训 |
/ |
保护 |
√ |
√ |
√ |
|
7 |
开展“系统安全更新问题”报告方法培训 |
/ |
保护 |
√ |
√ |
√ |
|
8 |
开展“接入并使用不安全网络传输数据的危险”培训 |
/ |
保护 |
√ |
√ |
√ |
|
9 |
针对不同岗位开展安全意识和技能训练 |
/ |
保护 |
× |
√ |
√ |
15
服务提供商管理
制定敏感业务或关键IT平台服务提供商(Service Provider)的评估流程,确保他们对相关平台和数据提供了适当的保护。
|
序号 |
措施 |
资产 |
功能 |
IG1 |
IG2 |
IG3 |
|
1 |
建立SP清单 |
/ |
识别 |
√ |
√ |
√ |
|
2 |
建立SP管理政策 |
/ |
识别 |
× |
√ |
√ |
|
3 |
对SP实施分类管理 |
/ |
识别 |
× |
√ |
√ |
|
4 |
确保SP遵守安全要求 |
/ |
保护 |
× |
√ |
√ |
|
5 |
按管理政策对SP进行评估 |
/ |
识别 |
× |
× |
√ |
|
6 |
对SP实施监管 |
数据 |
检测 |
× |
× |
√ |
|
7 |
加强SP退出管理 |
数据 |
保护 |
× |
× |
√ |
16
应用软件安全
对内部开发、托管或购置的软件进行安全生命周期管理,对它们进行漏洞检测和修复,防止影响企业资产安全。
|
序号 |
措施 |
资产 |
功能 |
IG1 |
IG2 |
IG3 |
|
1 |
建立安全软件开发流程 |
软件 |
保护 |
× |
√ |
√ |
|
2 |
建立软件漏洞处理流程 |
软件 |
保护 |
× |
√ |
√ |
|
3 |
对安全漏洞进行根源分析 |
软件 |
保护 |
× |
√ |
√ |
|
4 |
建立第三方组件清单 |
软件 |
保护 |
× |
√ |
√ |
|
5 |
使用最新、可信的第三方组件 |
软件 |
保护 |
× |
√ |
√ |
|
6 |
建立软件漏洞分级系统和流程 |
软件 |
保护 |
× |
√ |
√ |
|
7 |
使用标准配置模板加固软件基础设施 |
软件 |
保护 |
× |
√ |
√ |
|
8 |
为生产、非生产系统提供隔离环境 |
软件 |
保护 |
× |
√ |
√ |
|
9 |
对开发人员进行安全理念和编程培训 |
软件 |
保护 |
× |
√ |
√ |
|
10 |
在软件架构中应用安全设计原则 |
软件 |
保护 |
× |
√ |
√ |
|
11 |
在软件安全组件中使用审查过的模块或服务 |
软件 |
保护 |
× |
√ |
√ |
|
12 |
开展代码级安全检查 |
软件 |
保护 |
× |
× |
√ |
|
13 |
开展软件渗透测试 |
软件 |
保护 |
× |
× |
√ |
|
14 |
开展软件安全威胁分析、建模 |
软件 |
保护 |
× |
× |
√ |
17
事件响应管理
制定事件响应能力(例如政策、计划、程序、角色定义、训练和交流)开发和维护计划,对攻击事件进行准备、检测和快速响应。
|
序号 |
措施 |
资产 |
功能 |
IG1 |
IG2 |
IG3 |
|
1 |
委托专人负责安全事件处理 |
/ |
响应 |
√ |
√ |
√ |
|
2 |
建立安全事件报告的联系人名单 |
/ |
响应 |
√ |
√ |
√ |
|
3 |
建立安全事件报告流程 |
/ |
响应 |
√ |
√ |
√ |
|
4 |
建立安全事件响应流程 |
/ |
响应 |
× |
√ |
√ |
|
5 |
对关键责任人进行分工和责任划分 |
/ |
响应 |
× |
√ |
√ |
|
6 |
规范事件响应中的交流机制 |
/ |
响应 |
× |
√ |
√ |
|
7 |
开展安全事件响应例行演练 |
/ |
恢复 |
× |
√ |
√ |
|
8 |
开展安全事件审查 |
/ |
恢复 |
× |
√ |
√ |
|
9 |
建立安全事件的等级阈值 |
/ |
恢复 |
× |
× |
√ |
18
渗透测试
通过识别和利用安全控制(包括人员、流程和技术)中的漏洞缺陷,模拟攻击者的目标和行动,测试企业资产的安全性。
|
序号 |
措施 |
资产 |
功能 |
IG1 |
IG2 |
IG3 |
|
1 |
建立渗透测试流程 |
/ |
识别 |
× |
√ |
√ |
|
2 |
周期性开展外部渗透测试 |
网络 |
识别 |
× |
√ |
√ |
|
3 |
修复渗透测试发现的问题 |
网络 |
保护 |
× |
√ |
√ |
|
4 |
验证安全措施的有效性 |
网络 |
保护 |
× |
× |
√ |
|
5 |
周期性开展内部渗透测试 |
/ |
识别 |
× |
× |
√ |
、
为了建立能反映企业IT安全态势的安全指标体系,为零信任访问控制上下文提供科学、合理的安全属性,我们研究了与态势评估相关的风险管理理论、安全指标体系、量化评估模型、合规测试、内容自动化和安全控制等方面的最新技术发展,本文为“零信任态势评估”系列文章第二篇,欢迎大家研究讨论。
Ⅰ.零信任态势评估:安全指标的构建原则
零信任态势评估:CIS安全控制内容与实施相关推荐
- 持安科技CEO何艺:零信任在实战攻防演练中的价值
当我们7.8月份在安全圈聊的火热时,我们可能在聊什么?面对这逐渐升温的国家级大事件,零信任如何应对? 2022年7月8日,持安科技创始人&CEO何艺受邀参加网络安全行业门户FreeBuf举办的 ...
- 实施零信任要考量什么因素?| CSA发布《实战零信任架构》
关注微信公众号"云安全联盟CSA" 回复"实战零信任架构"即可下载全文 为什么选择零信任? 5G .云计算.物联网 (IoT) 和面向微服务的架构广泛使用,固定 ...
- 零信任能力成熟度模型白皮书发布!内附下载资源
摘要:华为云重磅发布全球首个<华为云零信任能力成熟度模型白皮书>,向行业展示了华为云安全的新能力和新突破. 10月16-17日,2021"天府杯"国际网络安全大赛暨国际 ...
- 零信任安全,从微分段做起
很多网络安全从业人员早上起床后的第一个念头是:在我睡觉的几个小时内,世界上又有新的威胁或攻击出现了吗? 根据<CyberEdge Group 2021 网络威胁防御报告>,86.2% 的受 ...
- 零信任,重构网络安全架构!
文章目录 一.引言 二.传统安全架构的困境 三.零信任的概念 四.零信任的发展 五.零信任架构 5.1 设计/部署原则 5.2 零信任体系架构的逻辑组件 5.3 零信任架构常见方案 六.应用场景 6. ...
- BeyondCorp 打造得物零信任安全架构
1. 背景 当前,大部分企业都使用防火墙 (firewall) 来加强网络边界安全.然而,这种安全模型是有缺陷,因为当该边界被破坏,攻击者可以相对容易地访问公司的特权内部网. 边界安全模型通常被比作中 ...
- 一文读懂零信任架构的概念、现状和挑战(来自玉符科技CEO专访内容)
2020年,企业高管和CISO们的头号任务就是数据安全和隐私保护,对于拥有海量用户数据的企业来说,数据安全和隐私保护正面临三大挑战:合规.远程办公加速安全边界消失.数字化转型(上云).而零信任正是当下 ...
- 零信任策略下云上安全信息与事件管理实践
简介:随着企业数字化转型的深入推进,网络安全越来越被企业所重视.为了构建完备的安全防御体系,企业通常会引入了防火墙(Firewall).防病毒系统(Anti-Virus System,AVS).入侵防 ...
- 【零信任落地案例】吉大正元某大型集团公司零信任实践案例
1方案背景 随着信息化技术不断发展,企业智慧化.数字化理念的不断深化已经深入各个领域, 云计算.大数据.物联网.移动互联.人工智能等新兴技术为客户的信息化发展及现代 化建设带来了新的生产力,但同时也给 ...
最新文章
- python中if elif else流程图_python中的if、elif、else语法
- 2018目标,提高免疫力,身体工作双丰收
- 第16届智能车竞赛参赛队员提问-05-24
- cglib与java反射的比较
- 用telnet 测试Http协议
- java实现 SSL双向认证
- Sql 最简单的Sqlserver连接
- 如何用HTML语言设计进度条,html5代码如何实现进度条功能?(示例)
- 小米组织架构再调整:手机部成立参谋部 朱磊出任参谋长
- WinForm中导出Excel
- js插值法的使用_js 实现排序算法 -- 插入排序(Insertion Sort)
- 10 mysql选错索引
- python调试方法logging_python中logging使用方法
- Please port CPUType detection to your platform (CPU_ABI string ‘loongarch64‘)
- IOUtils快速进行内容复制与常用方法
- 关于如何用vscode使用Competitive Programming Helper (cph)插件以及网页插件competitive-companion实现高效刷题
- 什么是单元测试?该怎么做单元测试?
- 浙江最新通信施工安全员机考真题及答案解析
- HTTP的返回状态码
- 翻看完张一鸣近10年的所有微博,感觉挺可怕的。