《SZSD01 0016—2024基于零信任的数字机关应用运行安全体系建设与评估指南.docx》由会员分享,可在线阅读,更多相关《SZSD01 0016—2024基于零信任的数字机关应用运行安全体系建设与评估指南.docx(11页珍藏版)》请在优知文库上搜索。
1、基于零信任的数字机关应用运行安全体系建设与评估指南1范围本文件提供了济南市数字机关基于写信任理念构建应用运行安全体系的建设的总体框架、零信任安全评估体系以及典里应用场景等内容。本文件适用于济南市市、县(区数字机关零信任应用运行防护体系建设的参考,以及数字机关和测评单位对零信任应用运行安全体系的评估依据.2规范性引用文件卜列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款,其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,共以新版本(包括所有的修改单)适用于本文件.GB.T187943-2003信息技术开放系统互连开放系统安全框架第3部分:访问控制框架GB.T
2、20984信息安全技术信刖安全风险评估规范GB.T25069信息安全技术术语3术语和定义GB.T25069界定的术语和定义适用于本文件。数字机关digitalgovernmentagencies将数字化理念和数字技术应用到事务工作的全过程、全领域的机关单位。3.2零信任zeroTrust一种以资源保护为核心的网络安全理念。认为对资源的访问,无论主体和资源是否可信,主体和资源之间的信任关系椰衙要从宅开始,通过符续环境感知与动态怕任评估进行构建,从而实施访何控制.3.3零信任技术ZerOtrusttechnology以零信任安全理念,降低访问过程安全风险的持续动态安全访问控制技术.3.4零信任系统
3、ZefOtnIStSySlem基于零信任技术的相关产品和极务.或者是产品和服务的组合.35访问主体accessSUfcjeela)能支持与终玷代理及应用代理建立加密隧遒,保证数据的传输安全;b)能支持对应用资源创建WEB代理、TCPaDP代理等反向代理.防止未授权的资源访问:c)能支持根据策略时特定流量进行还原转发,以进一步识别风险:d)能支持进行访问Fl忐采集上报,便于踪合的动态风险评估.4,1.4军信任访问主体零信任访问主体包括终端代理和应用代理,主要功能包括但不限于:a)能支持与零侑任网关之间建立加密隧道,保证通伯链路的传输安全:b)能支持识别终端和应用的身份,便于终端访问业务资源以及应
4、用之间互相访问资源时的份认证以及权限控制:c)能支持终端环境信息采集上报,便于对接入终端的执行环境进行风险评估:d)能支持终湘行为日志采集上报,便于对接入的终端用户的行为进行风险评估:C)能支持接收零信任控刎中心下发的安全策略,依据最略对终端迸行相应的安全控制。4.2建设过程及要求4.2.1设计阶段设计阶段应依据法律法观要求,胜丁零信任理会进行安全衢求分析,解定安全设计原则和安全标准:a)应桢理用户、设备、数据和应用清单并进行风险评(品b)应桢理用户和应用之间,应用和应用之间的访问关系、访问权限等.并进行风险评估:C)应依据风除评估报告,结合零信任理念和业务需求设计安全体系建设方案:d)安全体
5、系建设方案中应选用具有自主知识产权的零信任解决方案和相关产品:e)安全体系建设方案应满足警保条例以及密改密评中对应的安全要求:D安全体系建设方案应通过安全专家组的评审”4.2.2建设阶段建设阶段应按照建设方案实施,确保安全体系的建设合法合规且具符安全对抗能力:a)应选择具有安全资质的集成商负责安全体系的建设:b)应实现以身份为中心的访问控制机制,为用户、设备和应用设置统一的身份标识:C)应采用细粒度访问控制策略对各个应用的访问权限进行设置;d)应统一管理用户和应用之间,应用和应用之间的访问关系和访问权限;e)应基于最小权限原则给访问主体分配所需的功能和接U权限:f)应对访问主体的身份、行为、网
6、络环境、终端环境等因素进行挣续风险评估:g)应基干持续的风险评估结果动态调整访问主体对资源的访问权限:h)应满足网络、存储和计算等性能要求,确保安全体系的枪定运行;i)应具备指导用户进行系统运行维护的相关文档:j)应对运维等相关人员进行培训:k)应在交付前时运行安全体系进行专门的安全测试.4.2.3运行阶段运行阶段缁保证安全体系的检定运行,从而保障数字机关业务系统的安全运行:a)应及时处置安全体系的告界和异常事件信息:b)应定期对安全体系的各个组件进行巡检,及时发现并处理安全风隆:5.3.2设备设备是指数字机关的硬件、软件、固件等资产。为确保所有设备的安全性,管理安全风险,并Bl止未授权设备访
7、问资源,相关技术要求如下:a)策珞执行和合规监控,应在设备和虚拟资产的整个生命周期中,持续检杳并执行合规策略;b)应在数字机关的所有环境中对设备、软件、配置和漏洞管理进行整合,包括虚拟资产:c)资产与供应链风险管理,应提供全面的、实时或接近实时的、踏供应商和服务提供商的资产视图,在合适情况下,自动化其供应链风险管理;d)资源访问.应在资源访问时应对设备和虚拟资产进行实时风险分析:e)设法威胁保护,应部署集中式的,具有先进功能的威勋保护安全解决方案,对所有设备和虚拟资产进行保护.并在设备威胁保护、策略实施和合规监控方面采用统一的方法:f)终端安全聃声,终端设备如存在一机两用场景,陶支持安全隔离.
8、即将工作秘密区与非工作秘密区进行隔离,包括网络隔向、会话隔离和存储隔离.5.3.3网络为保证整个数字机关网络的安全,相关技术要求如下:a)网络微l国.数字机关内相关应用之间要建立分布式的微隔离边界,当应用之间需要交互时,微隔离平台应提供即时的、适度的联通;b)网络流法管理,应具备网络流量管理功能,依据不同应用的特性,构建动态的网络规则和闻置,并持续进行评估,依楙任务的关犍性和风险.不断调整应用的优先级:c)流量加密,应根据需要持续加密流fit密物的管理采用最小权限原则.以保证密钊的安全.井采取了最佳实践来方便密码的使Hhd)网络弹性,应能及时憾知所有工作负我的可用性变化,提供相应的弹性机制,在
9、工作负我异常过大时,仍然能提供基本的服务,保持网络的可用性.5.3.4应用和工作负载数字机关内部署有大堂的系统、计驾机程序和服务,包括内部应用和公共应用。为保护这些应用和工作负敦的安全,相关技术要求如下:a)应用访问控制,应对应用程序枭取持续的访问授权机制,并结合实时的风险分析,以及行为或使用模式等因索的影响:b)附用喊胁防护.应将高级戒胁保护集成到所有应用的工作流中,提供实时可见性和内容感知保护,以应对特定于应用程序的史杂攻击:c)可访问的应用,应根据需要,把所有适用的应用通过开放的公共网络提供给授权用户和设备使用:(1)安全的应用开发和发布流程,在可行的情况卜充分利用不可变工作负载,只能通
10、过重新部署来更改工作负我,支持自动化的代码部署流程,并取消管理员对郃哲环境的访问权眼:e)应用安全测试,应将应用安全测试生成到从开发到部署的整个软件开发周期中,弁实现日常、自动化测试.5.3.5数据数据包括所有结构化和非结构化的文件和碎片,存在于系统、设番、网络、应用程序、数据库、她础设施和爸份中,包括招关的元数据,班干等信任的数字机关安全防护体系,在数据防护方面的相关技术要求如下:3)应确保数字机关数据的识别和清点,能自动检测到数据环境的任何更改:评估指标基本级增强级身份a.bc.d网法b.cd应用和工作负级a.b.cd.0致榭ab.cde,f设备d,b,cd,e可视化与分析a,b.cvde
11、.f.g.h自动化与小排a.bc.d.e.f附录A(资料性)南北向安全防护应用场景Al场景描述数字机关南北向资源访问捽制主要通过零信任控制中心、安全协同系统、零信任网关以及零信任终端完成,数字机关用北向资源访问控制场景见图2,具体组成包括:a)终端用户(访问主体为资源访问发起方;b)等信任网关提供对来访请求的转发和拦微功能:c)零信任控制中心提供对来访请求的认证和持续访问控制功旎:d)安全协同系统通过接11为控制中心提供证书类、分析类以及防护类安全支掠.辅助字信任控制中心决策数字机关业务系统(访问客)体提供被访问的资源眼务,图AJ数字机关南北向安全防护场景A. 2关键功能要求A2.1通信安全通
12、信传输安全功能应符合以下要求:a)控制通信传怆加密功能应支持客户邮agent与控制中心通信应采用双向加密,相互验证,防止伪造的服务器或者终端。如双向加格传输等:b)数据通道传输加密功能应支持客户端代理可以把任意流M加玄,再咕发到网关再鉴权解密到目的系统.防止终端到网关的网络存在中间人劫持,如https等.A2.2安全认证安全认证功能应符合以下要求:H)应支持统一身份认证以及对接用户的认证信息:b)应能够提供本地账户的创建、批量导入、批量导出(加密导出,明文导出)、修改、删除:C)应支持马第三方认证体系对接,能移f可步第三方对应的账户、祖织架构信息等;d)多因素认证功能应支持数字证书、动态令牌、
13、短信、扫码、token、人脸识别等:c)单点登录授权功能应支持SAM1.2.0.OaIrth2称议.b)应支持提供给第三方安全协同系统调用的接口,出现安全M险的时候,支持阻断身份、应用、终端设法标识对应的所有访问连接:C)应支持安全状态信息收集接口,接收第三方安全协同系统状态信息,用于用色判断用户访问策略,提供安全状态信息接收接口:d)应支持访问行为日志对外输出,可以提供给第三方安全分析系统针对本系统获取到的日志,如认证、访问日志等.A.2.8部署要求A281控制中心部署控制中心部署功能要求如下:a)应支持单机、集忖、多覆部*模式,集群模式具备犷展性,实现服务的弹性伸缩,象群内避免异构部*铢式
14、:多级模式下,控制中心独立郃*、互相隔湍,仅通过服务总线实现湾控制中心服务调用;b)应支持新井发机制,确保单节点并发处理能力满足并发处理要求,时寓翁访问数据米用符速分布式缓存,确保限务达到响应时间要求;C)应支挣数据库的分布式部署,建设分布式数楙库集群,隶属于控制中心的数据库仅支持本控制中心垂直访问:d)应支持可运维性,统计和展示服务调用量、异常量、最高并发量等运行情况,支持系统的安装、能置、部罟、升级操作:e)应支持授权、保护等策略管理包括制定修改、删除、审核与发布等.A2.8.2网关部署网关部署功能要求如下:a)宜支杼集群部署.集群架构具备扩展性.实现极务的舛件伸缩,集群内遇免异构部署模式
15、:b)宜支持加速和动态分发,采用负段均衡技术,实现接入的均衡分布.A283客户端部署零信客户端功能要求如下:a)能支持有代理模式支持的客户朔操作系统类型应包括且不限于班屈、统伯等:b)能支持无代理模式,支持各类标准浏览器访问.附录B(资料性)东西向安全防伊应用场景Bl场景描述数字机关东西向资源访问捽制主要是遹过零信任控制中心、零信EIJ关以及零信任应用代理三部分.数字机关东西向资源控制场景如图3所示:a)零信任控刎中心提供认证、访问授权、策略统一管理、策珞动态调整、安全管理能力和第三方联动管理:b)零信任网关负责在网络层接殳并执行控制中心下发的策珞,对应用进行访问授权,记录应用访问日志并加密上传至控制中心,根据需要扩充安全监测、安全防护能力:c)零信任代理负费对业芬应用进行认证,接受并执行控制中心下发的策略,对应用及接11进行访问授权,记录工作负截访问日走并加密上传至控制中心.图B.I数字机关东西向资源访问控制B2关键功转要求B.2.1认证功能要求认证功能要求应符合:a)应支持自身具备或可从外部获取工作