股票代码:688225
Menu

产品全景图 >

云安全
终端安全
高级威胁治理
网络与通信安全
安全管理
身份安全
数据安全
态势感知
工业安全
信息技术应用创新
SaaS服务

安全服务 >

安全运营 >

云安全
信舱云主机安全【DeepSecurity】
信池云安全管理平台【AISDSEC】
终端安全
TrustOne新一代终端安全
高级威胁治理
信桅高级威胁监测系统【TDA】
信桅高级威胁分析系统【DDAN】
信桅高级威胁邮件防护系统【DDEI】
信桅蜜罐系统【AISBIG】
信池统一安全管理平台【UAP】
网络与通信安全
信舷网络威胁入侵防护系统【AISTPS】
信舷防毒墙【AISEDGE】
信舷防火墙系统【AISFW】
信桨网络流量审计分析系统【SpiderFlow】
信舷抗拒绝服务系统【AISADS】
信舷网页防篡改系统【AISWD】
信舷安全隔离与信息交换系统【AISIES】
域名服务和地址分配及管理系统【DDI】
DNS全业务域名解析系统【AISDNS】
集中IPoE接入认证系统【AISDHCP】
信磐互联网接入认证系统【AISOBS】
信舷上网行为审计系统【AISACG】
信舷WEB应用防火墙系统【AISWAF】
安全管理
日志审计分析系统【AIRDS】
漏洞扫描系统【SpiderScan】
身份安全
信磐堡垒机【AISIFORT】
信磐零信任访问控制系统【AISDP】
信磐统一身份认证与访问管理系统【AISIAM】
数据安全
信数多方计算平台【AISMPC】
信数数据库访问控制【AISDBAC】
信数数据库防火墙【AISDBFW】
信数数据脱敏系统【AISDM】
信数数据库审计系统【AISDBA】
信数数据安全治理平台【AISDSG】
态势感知
信舵安全管理与分析平台【MAXS】
工业安全
信桨工控防火墙【ICFireWall】
信桨工业流量审计分析系统【ICFlow】
信桨工业主机安全加固【ICHost】
信桨工业安全管理平台【ICSMP】
信桨工业安全隔离与信息交换系统 【ICGAP】
信桨工业运维安全管理与审计系统【ICOPS】
信桨工控等保检查工具箱【ICSI】
信息技术应用创新
信创DHCP系统
信创DNS全业务域名解析系统
信创AAA系统
信创零信任访问控制系统
信创统一帐号认证授权平台
信创防毒墙系统
信创高级威胁监测系统
信创WEB应用防火墙系统
信创防火墙系统
SaaS服务
天穹共享免疫SaaS系统【ImmunityOne】
安全运营
MSS托管安全运营
热点推荐
<
|
>
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

告警!市政供水系统被攻破,零信任能否对黑客说不?
发布时间 :2021年04月08日
分享:

互联网的出现,让人们的生产、生活方式发生了翻天覆地的改变。大数据、人工智能和科技信息化加速发展的今天,互联网带给了人们方便和快捷,但也带来了更加严峻的安全挑战。数字化、智能化无疑已经成为破解大型机构提升生产效率的有效路径,随时随地的网络接入与访问、新兴的远程办公模式带来了更多的想象。但软件系统的安全性一旦出了问题,其带来的影响有可能会危及生命安全。


近日,美国已经发生了两起有人能够远程登录市政供水系统的事件。在这两起案件中,这些市政当局都给自己的系统留下了被篡改的机会--他们自己安装了远程访问软件,这样员工就可以登录系统进行远程办公,当然也可以关闭消毒流程,或者将供应水中某种物质(如:氢氧化钠)的含量临时调高了100倍以上。根据司法部的一份声明,被告Travnichek在在离职几个月后“远程登录”并非法篡改公共饮用水系统,威胁了整个社区的安全和健康,现在他将面临最高20年的监禁。远程办公安全再度引起了网络安全从业者的广泛关注!

5abde819d5f40179681890c68f59e10f.jpg

其实,在亚信安全发布《2020年度安全威胁回顾及预测》中就指出,疫情仍在继续,“远程办公”、“远程教学”等模式已经常态化,企业数据存储位置发生变化、传统网络安全边界正在消失。因此,IT运维人员需要把远程办公安全保障当作常态化的状态,提出一整套的安全举措用于替代2020年“应急”建立起来的远程办公安全防御系统,着手采用“零信任”等一系列新的技术,放弃 “高围墙,铁丝网”组成的传统物理边界。



零信任安全架构的核心是基于现代身份管理技术进行构建,本质是基于身份的访问控制,其策略就是默认不相信任何人、任何设备、任何行为,这便避开了旧的“内部受信任,外部不受信任”的模型。零信任可以建立企业全新的身份边界,其价值在于控制对数据的访问权限,而与数据所在的位置无关,与访问发起者的位置无关。

零信任可以减少数据泄露、数据丢失事件的发生,拒绝未授权的访问,因此在数据安全方面价值巨大。但零信任架构不是一个单一的网络架构,而是一套网络基础设施设计和操作的指导原则。

为此,亚信安全认为应该以身份为基础,持续进行信任评估和动态访问控制,将各种安全产品、安全模块整合起来,形成一个紧密耦合的安全体系,进而协助用户构建安全的ICT基础设施,保障应用和数据的安全性。


9dd4ea0d73e831ae551f7dcf383e6517.png


以身份为基石


以身份为核心,是指业务身份。举例来说,一个自然人,公安是权威源,身份证是合法凭据,而不是靠人的名字来认证。而在零信任体系中,就是以身份为核心取代以账号为核心。同时,不仅仅是人,设备、应用、服务、数据也需要建立唯一的、可信的身份,才能在整体过程中进行有效控制。

持续信任评估

不是以一次认证作为全过程的凭据,而是一旦环境发生变化就要去验证访问者是不是真实可信的,从而避免了盗用身份、跨不同安全级别等风险。在具体实施中,就需要基于身份再次进行信任评估、基于环境的风险重新判定,基于行为的异常做出“检测+响应+阻止”,进而全面降低攻击者在网络中横向移动的风险(其代表就是APT攻击)。

动态访问控制

在不同层级的控制点(PEP)上进行零信任的访问控制,这些控制点(PEP)不论是横向还是纵向,都是连通联动的。具体包括:


  • 终端上的零信任控制负责检测环境安全,对接入、环境进行控制;

  • 应用网关在访问者访问业务系统时按身份和场景,对访问身份和被访资源之间的授权关系进行控制;

  • 服务网关在前后台之间,在数据交换API之间,按访问身份和被访资源之间的授权关系进行控制;

  • 数据网关在数据被访问时按访问源头身份进行控制。


上一篇:终端安全 | 从C-BRAIN到USE,终端安全演进为哪般?

下一篇:【威胁直击】每周快报:虚拟货币暗网洗钱涉案3000万

返回列表
分享到微信
X