等级保护由1.0到2.0是被动防御变成主动防御的变化。”
——中国工程院院士 沈昌祥
在2019年初锐捷网络提出了“动态安全”理念,并推出整体解决方案,通过集成虚拟哨兵、文件沙箱、流量探针等前沿安全产品技术让传统的“堆盒子”式防御转化为主动的全维度网络安全法防护。这一理念及方案与国家近期颁布的“等保2.0”不谋而合。
而锐捷网络正式推出的 “等级保护2.0解决方案”,则基于“动态安全”架构,将“有用、好用、合规、有效”的场景化安全理念融入其中,为用户提供“一站式”的安全进化。
“一个中心三重防御”
等保2.0充分体现了“一个中心三重防御”的思想。一个中心指“安全管理中心”,三重防御指“安全计算环境、安全区域边界、安全网络通信”,同时等保2.0强化可信计算安全技术要求的使用。
锐捷等保2.0解决方案围绕这个思想进行详细的架构设计。
图/分模块阐述等保2.0相关产品
安全通信网络
与1.0时代不同,等保2.0的保护对象从“信息”扩展到了“网络”本身,因此也就要求单位网络设备的处理能力、带宽需要满足业务高峰期需要,同时关键设备和链路提供冗余,以确保业务不会因为安全问题中断。
锐捷网络等保2.0方案中充分发挥了自身在基础网络领域的深厚积淀,提出了基于SDN的ServiceChain技术,实现物理安全设备资源池化管理,满足灵活部署需求。
图/锐捷“安全通信网络”方案示意图
通过将SDN技术应用到网络安全等保建设中,一方面解决了传统网络安全方案设计中“串糖葫芦”式的部署模式带来的单点故障和性能瓶颈,另一方面也智能化地实现了跨厂商安全设备冗余,灵活满足性能需求。
安全区域边界
针对层出不穷的变种勒索病毒、信息盗取等恶性黑客事件,等保2.0中要求用户“应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型攻击行为的分析”。
传统网络安全防护的“特征”模式很显然无法应对互联网上层出不穷的“未知威胁”,为此锐捷网络将“安全大数据分析”、“流量探针”、“动态防御DDP”等安全技术引入方案,帮助客户网络安全从依赖“特征”,转变为分析网络行为的主动安全模式,并通过锐捷安全态势感知平台将网络安全部署统一为一个整体,从而实现安全资产的协同联动。
图/锐捷针对安全区域边界的设计构架
安全计算环境
作为等保2.0升级的重要升级内容,“安全计算环境”是拓展网络安全边界的手段之一。针对这项内容,锐捷网络等保2.0方案可以帮助用户通过大数据手段进行运维人员认证与业务数据库安全的保障。
同时方案也可以帮助客户快速实现多重因素认证与业务访问权限的部署,让网络行为得到有效的控制与监测。
图/快速部署“多重因素认证”与“业务权限设置”
安全管理中心
今天的网络安全已经不再是散点的安全资产堆叠,而是需要能够将全网安全看作整体的全面升级。锐捷网络等保2.0方案中创新性的将“安全+运维”进行了无缝结合,实现了网络管理员通过一个平台就能对全网进行安全与运维的双重管理。
图/锐捷大数据安全平台与运维管理平台界面
举例来说,假设运维平台报告某业务系统CPU/内存资源占用超90%,随后安全大数据平台就会对其访问进行分析并得出“高危挖矿行为”的结论,同时分析黑客入侵路径并产出针对性的加固,最终将问题不“拆分”的进行统一解决。
总结来看,锐捷网络等保2.0方案涵盖了等保2.0的绝大多数要求,并且将网络与安全进行了融合,而不是孤立的只谈网络安全,综合实现了“好用”且“安全”的综合场景化解决方案。