返回顶部


            新闻中心


行业新闻
当前位置:主页 > 新闻中心 > 行业新闻 >

等保20了防火墙真要被“颠覆”了?

  虽然2019年才过去仅仅5个月,但如果要评选本年国内年度最具影响力的安全事件,那非“颁布等保2.0”莫属。即便是未来,乃至很长一段时间,“等保2.0”都将是安全界最具影响力的事件。此前业界虽早已风传等保2.0即将落地,但当它真的来的时候,依旧在网安行业中引起了轰动。

  5月13日下午,国家市场监督管理总局召开新闻发布会,正式发布《信息安全技术网络信息安全等级保护基本要求》国家标准,将于2019年12月1日正式实施,“等保2.0”时代正式到来。

  和等保1.0相比较,等保2.0最大的变化在于增加了四项安全扩展要求,即:云计算安全扩展要求、移动互联网安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。这也是业界最为关注的焦点。

  在一次活动中,笔者有幸听到蔷薇灵动创始人严雷关于等保2.0后的分享,其中不少知识令人眼前一亮,颇有在黑暗中摸索,却发现原来光明早已存在的感觉。如通过蔷薇灵动的微隔离技术解决防火墙不能解决的安全问题便是其中的代表。

  2015年,严雷和蔷薇灵动的另一位创始人作为业内知名技术专家,了解到了等保2.0的相关技术内容。而根据等保2.0的安全理念和具体技术要求,他们发现现有的防火墙技术在等保2.0之后将面临巨大的挑战,尤其是难以适应云环境的发展。

  等保2.0作为国内企业定级、测评的标准,所涉及的技术内容自然是未来的发展趋势,这点毋庸置疑。

  也就是从那时开始,严雷和伙伴们开始思考如何才能把握住这一市场机遇,解决企业面临的这个痛点问题。最终,微隔离技术的出现有望解决企业云化后,内部安全策略配置难题,并很有可能以此“颠覆”传统的防火墙技术。

  对于网络安全而言,毫无疑问这是一次巨大的技术创新。等保2.0的颁布意味着我国网络安全进入到新的历史时期,并覆盖了云计算、大数据、移动平台,物联网和工控安全等多个领域。而微隔离的技术的应用正是为了适应这一新的网络安全形式。

  当人们的目光聚集于安全扩展要求时,严雷敏锐的发现,在基础技术部分,等保2.0也有相当大的调整。其中,大多数企业都在这两个“不起眼”的地方被“坑”大发了。

  这是等保2.0中的访问控制部分的说明,非常明确的指出应使用“白名单”安全机制。而在等保1.0中,只是提出了要设置访问控制设备,并能提供状态检测能力,和部分应用检测能力。

  黑白名单一直是访问控制策略的两种机制。所谓白名单是除了策略中允许的通信外,默认阻断其他全部通信;而黑名单则恰恰相反,除了策略中需要阻断的通信外,默认开放其他全部通信。

  从安全的角度来看,白名单策略明显要优于黑名单,可以将所有威胁拒之门外。然而,黑名单访问控制策略是企业网络安全实践中普遍采用的一种机制。

  原因在于白名单存在很大的风险,不在网络安全,而在业务发展上。应用白名单必须要设计相应的允许通信名单,但网络安全管理者往往难以彻底理解业务,因此无法设计出一个很完善的白名单来。

  因此,白名单制度很大程度上会阻断业务的发展,即将“正常业务”当做“不安全的威胁”而拒绝其通信。

  随着网络安全攻击技术不断发展,黑名单制度渐渐力不从心,大量的恶意攻击快速出现变种,使得黑名单策略难以囊括安全威胁。当某一种新的攻击未处于名单之内时,攻击行为便可在企业中畅行无阻。

  但却给企业网络安全带来新的挑战,网络安全管理者必须要深入理解业务的发展,从而制定相对应的白名单制度。

  “坑”就出现在这里。企业云化后,随便一个业务系统便有超级复杂的业务关系,大量虚拟机的应用让网络安全管理者的策略配置工作陷入困境。

  这还仅仅是业务间的关系,不包括虚拟机之间的关系。由此可见白名单策略下,企业网络安全管理者背负的压力有多大,一个不慎就会阻断业务的发展,并因此被事后问责。

  这是等保2.0中的入侵防范控制要求,其中明确提出要进行内部威胁防御,也就是业内常说的东西向防御。而等保1.0要求是在边界处进行对指定类型的攻击进行防御,传统的理解大多是应对边界外的威胁、攻击。

  南北向流量指通过网关进出数据中心的流量,东西向流量指由数据中心内部服务器彼此相互访问所造成的内部流量。具体如下图所示。

  等保2.0之前大多采取的是南北向防御,即将防火墙部署在数据中心的出口处,来做南北向流量的安全防护,而缺乏对企业内部东西向流量的安全防御。这也是为什么一旦攻击绕过防御进入到企业内部后便畅行无阻的原因。

  等保2.0之后要求企业进行东西向防御,而真正“坑”的地方在于东西向流量不像南北向流量存在“网关”,东西向流量没有关键路径,这无疑将给安全管理者带来巨大的工作量。

  目前,业界有较为成熟的两个思路。一是“引流”,将所有流量牵引到一个固定的地方进行处理,将南北向技术强行用于解决东西向问题的方法;二是将控制点下沉,如在每一台接入交换机的位置都部署上安全设备,这个方法效果不错,但却不是所有人都能玩得转,采购、部署、维护成本高昂。

  而云计算的出现加剧了这一现象。一方面,当代数据中心规模庞大,尤其是数据中心体量以10万计,再加上容器技术带来的节点数激增,使得云内的东西向安全已经成为了一个禁区。

  另一方面,由于云计算普遍采用虚拟化技术,因此只有虚拟化安全产品才可能在云内得以部署,对云基础架构有着强依赖关系。而即便是虚拟化防火墙,在东西向防御上也没有关键路径,因此只能顶着高昂的成本密集部署,云内东西向安全依旧困难重重。

  如果说上文的两大“坑”已经让网络安全管理者焦头烂额,当这两大“坑”撞在一起时,其画面大概和史诗级灾难片的现场没有什么分别。

  如果说只在边界处做白名单,网络安全管理者咬咬牙还能顶着压力坚持,然而,当企业东西向流量也要使用白名单策略时,其复杂关系不是一两句话能够解释的清楚。先上一张图,企业内部业务关系可谓是错综复杂。

  据说曾经有大型央企的安全部门尝试进行内部业务梳理,将近半年过去了,连冰山一角都还没摸清楚,不得不放弃了这个尝试。

  毕竟,内部既有数不胜数的私有协议和应用,又没人了解它们的网络特性,这些都给东西向防御的白名单策略带来了巨大的障碍,也给网络安全工作者设计了一个超级“天坑”。两者结合在一起,其破坏力远不是1+1=2这么简单,而是类似于氢气和氧气碰在一起发生的剧烈化学反应。

  微隔离技术的出现,使得这一史诗级天坑被填上成为可能:近可帮助用户满足等级保护2.0关于内部安全的一系列要求;未来还将成为未来数据中心尤其是云化数据中心东西向网络安全的基石。

  由于很多人对微隔离技术还不甚了解,笔者在这类进行简单的科普。微隔离技术起于VMware兴于Gartner,作为一种新兴的安全防御方法,可用来保护企业的关键资产、数据和用户,免遭侵害。

  事实上,微隔离还有个另外一个更加专业的名字,软件定义隔离(Software Defined Segementation)。而这个名字反而更加能说明微隔离的特点,即隔离点(enforcement point)与策略控制(policy)相分离,从而让隔离更加灵活,更加智能,进而有可能对由海量工作负载构成的复杂而多变的虚拟化网络进行隔离管理。

  “云在杀死防火墙”,这句话不是说说而已。专家们表示,云和混合环境、移动访问以及在线应用已经使防火墙几乎过时了,而数据中心运营商应该考虑用更精细化的安全技术来替代原先的防火墙。

  而微隔离这一技术的创新之处在于能够适应更加复杂、多变的云环境和企业内部业务系统,以更加精细化的控制来保障企业安全,故而才能“颠覆”传统防火墙技术。也就是说,不是微隔离在“杀死”防火墙,而是僵硬的防火墙渐渐跟不上网络安全的脚步。

  上文已经说过,白名单制度和东西向防御已经成为网络安全管理者的超级“天坑”,其本质是因为难以依靠人力梳理清楚内部的企业业务关系,而搞不清楚业务关系便不能设定相应的安全策略。

  为避免陷入这个超级“天坑”中,国内在微隔离领域中独树一帜的蔷薇灵动创新性地提出“监测、学习、验证、梳理”四步走的安全解决方案。

  为了弄清楚东西向防御中白名单的问题,蔷薇灵动通过在每个工作节点上部署流量收集器,依靠计算引擎就可以绘制出一个完整的内部业务拓扑图(如下图)。回答了系统内部存在哪些业务关系,以及业务关系的具体内容。

  有了清楚的云内业务拓扑图后,蔷薇灵动提供一整套的交互式策略设计方法,通过点击图中的线和点,管理员可以非常方便的设计出内网安全策略。值得一提的是,蔷薇灵动微隔离能够根据具体业务情况自动生成安全策略,还可以自适应调整,毕竟手动对每台机器进行配置无异于是一场灾难。蔷薇灵动策略管理语言也是独树一帜,完全是面向业务标签而非具体的IP,云内IP是多么的不稳定,大多数安全管理者都深有体会。

  为了确保这策略确实有效,蔷薇灵动将策略分为测试状态和防护状态。在测试状态中,策略并没有真实的部署在节点上,而是通过模拟的形式进行策略计算,并将可能的结果展现出来。只有真正验证过后才会上线真正的策略,既可以避免破坏业务,又能保证效果真实。

  同时,在防护过程中,蔷薇灵动将会持续记录东西向访问,以作为必要时的溯源工具,并对一切网络访问阻断进行记录,以用于对内部威胁进行分析。

  据了解,蔷薇灵动已经为诸多政府部门、大型国企、央企提供微隔离产品和相应的服务,其部署的环境覆盖了VMware,OpenStack,阿里云,腾讯云,华为云,华三云,天翼云,青云,K8s等各种云计算和虚拟化系统,操作系统覆盖了包括windows的全线服务器版本,所有的主流linux版本以及部分国产化操作系统。

  有人说,微隔离技术无非就是一种更加精细化的隔离而已,只是恰好碰上了等保2.0这一大潮流趋势而已。

  首先提一个简单的问题,为什么要用等保2.0来取代等保1.0?答案是,“为适应网络安全的新形势、新变化以及新技术、新应用发展的要求”。也就是说,等保2.0的出现是为了迎合网络安全技术的发展,代表着未来的发展趋势。

  微隔离的提出正是为了适应这样的趋势,而非仅仅是解决等保2.0的问题。哪怕没有等保2.0,这样的趋势依旧存在,微隔离也依旧会出现。因此,与其说微隔离能够满足等保2.0的需求,不如说等保2.0是其发展的必经之路而已。

  随着云计算、大数据、移动互联网,物联网和工控系统的出现和应用,传统的安全市场逐步扩大至整个网络空间世界。在一个如此庞大的、复杂的、多变的系统中,网络安全未来该如何发展,原有的安全防御体系是否使用,是安全从业者必须要考虑的问题。

  众所周知,等保2.0和等保1.0之间存在着不少差异,但其最本质的变化是等保所倡导的安全管理理念发生了深沉次的变革。微隔离的提出代表的正是在这样的变革下的一种创新性的安全方法论,是要“颠覆”难以适应网络安全发展的防御体系。

  未来,这样的“颠覆性”技术将会越来越多,而微隔离的出现则为这场浩浩荡荡的变革开了个头。返回搜狐,查看更多

  这就是我们将能够更改防火墙配置并指示它允许相关应用程序通过防火墙正确通信的地方, 在关闭所有窗口之前接受更改在系统中有效且非常重要。

  新规更加强了对承销商发行定价、簿记建档的行为规范。要求承销商在发行承销工作中切实防范道德风险,严肃做好簿记建档工作,加强现场工作人员的行为规范。新规对研报撰写也有更加细致的要求,如研报应分别提供两种估值方法作为参考,并建立健全投资价值研究报告的综合评价体系,以进一步提高投资价值研究报告的客观性和公信力,引导市场理性定价。在对承销商的自律规范上,明确承销的事前、事中、事后报送要求,加强自律规则执行情况检查和落实,加大自律惩戒处罚力度,完善与证监会行政处罚的衔接等等。

  \u6e56\u5357\u6e58\u957f\u5bcc\u667a\u80fd\u95e8\u7a97\u6709\u9650\u516c\u53f8\u81ea\u521b\u529e\u6570\u5e74\u4ee5\u6765\uff0c\u672c\u516c\u53f8\u4e00\u76f4\u4ee5\u6ee1\u8db3\u5e7f\u5927\u7528\u6237\u7684\u9700\u6c42\u4e3a\u76ee\u6807\uff0c\u4ee5\u5b8c\u5584\u7684\u5584\u540e\u670d\u52a1\uff0c\u826f\u597d\u7684\u4fe1\u8a89\u548c\u5f3a\u5927\u7684\u6280\u672f\u5b9e\u529b\u4ee5\u53ca\u8fc7\u786c\u7684\u6280\u5e08\u529b\u91cf\u4e3a\u540e\u76fe\uff0c\u59cb\u7ec8\u575a\u6301\u6280\u672f\u4e0e\u8d28\u91cf\u5e76\u4e3e\uff0c\u9500\u552e\u4e0e\u670d\u52a1\u5171\u8fde\uff0c\u4ea7\u54c1\u4e0e\u5e02\u573a\u76f8\u8f85\u7684\u539f\u5219\u3002\u4f18\u8d28\u7684\u4ea7\u54c1\u548c\u4f18\u8d28\u7684\u670d\u52a1\u4fe1\u5ff5\u5f15\u5bfc\u6211\u4eec\u6210\u4e3a\u884c\u4e1a\u4e2d\u7684\u4f7c\u4f7c\u8005\u3002\u54c1\u724c\u4f18\u52bf:\u591a\u5e74\u4e13\u6ce8\u94dd\u5408\u91d1\u8f66\u5e93\u95e8\u7814\u53d1\u3001\u8bbe\u8ba1\u548c\u5236\u9020\u3001\u65f6\u523b\u628a\u63e1\u5e02\u573a\u8109\u640f\uff0c\u6df1\u523b\u5206\u6790\u5ba2\u6237\u6f5c\u5728\u9700\u6c42\u3001\u5c55\u793a\u9ad8\u7aef\u54c1\u724c\u529b\u91cf\uff0c\u94f8\u9020\u94dd\u827a\u884c\u4e1a\u5178\u8303\u3002\u54c1\u8d28\u4f18\u52bf:\u6ce8\u91cd\u6bcf\u4e2a\u4ea7\u54c1\u7ec6\u8282\uff0c\u52aa\u529b\u5efa\u7acb\u6d88\u8d39\u8005\u653e\u5fc3\u9009\u62e9\u7684\u54c1\u724c\u3002\u5065\u5eb7\u73af\u4fdd\u3001\u4f4e\u78b3\u3001\u8212\u9002\u3001\u5b89\u5168\u3001\u8010\u7528\u3001\u597d\u7528\u3001\u653e\u5fc3\u662f\u957f\u5bcc\u95e8\u7a97\u77e2\u5fd7\u4e0d\u6e1d\u7684\u8ffd\u6c42\u3002

  为了实现理想,文琪前往国外参加演出,却因此和家人产生分歧。在演出的前一天,文琪仍然无法专心投入训练,…[详细]

  如果我们的错误与某个应用程序通过防火墙进行通信的权限有关,那么我们可以返回控制面板的“防火墙”窗口,然后单击“通过防火墙允许应用程序或功能”选项 Windows Defender。

  6、防雨、潮措施:在岩棉板施工完的顶部未挂石材打胶之前,我们需要用塑料布遮盖好,从而防止下雨渗漏于岩棉板内侧。5、锚固点的布置方式:在岩棉板四角以及水平缝中间均设置锚固点。锚栓件的安装纵向间距300mm,横向间距400mm,梅花形布置,基层墙体转角处加密至间距200mm,而且同时满足其设计以及相关标准的要求。

  一旦设置完成,我们可以检查使用默认值设置防火墙的所有值的事实是否已解决了我们的问题。

  岩棉板必须进行界面处理,利于提高拉拔强度TR7.5岩棉板锚固件打在网格布外侧;TR15岩棉板锚固件打在岩棉板上;岩棉复合板必须打锚固件;粘结面积不小于60%;基层应为找平墙体;岩棉薄抹灰外保温体系应注意岩棉的相关注意问题岩棉的性能

  思科表示,思科 Firepower 2100 系列中思科 Firepower 软件里的内部数据包处理功能有 另一个漏洞 ,能够让未认证的远程攻击者造成受影响的设备停止处理流量,从而导致 DOS 的情况。

  侧卫战机是前苏联霍伊设计局研制的一系列单座双发全天候空中优势重型战斗机,主要任务是国土防空、护航、海上巡逻等。北约组织给予的绰号是侧卫也就是侧卫战机。有四种基本型号苏-27 “侧卫”、苏-30“超级侧卫”、苏-33“海侧卫”(即舰载机)、苏-35“终极侧卫”。(来源:烽火议军情)

  2. 本页面信息为用户自行上传,本网不对该页面内容(包括但不限于文字、图片、视频)真实性和知识产权负责,如您认为该页面内容侵犯您的权益,请及时联系本网站进行处理,不收取任何费用。

  近5万股民被闷杀!35亿A股公司确定暂停上市 营收为0、员工只剩2人!

  例如,思科 写道 ,思科 Firepower 威胁防御软件的 SMB 协议预处理检测引擎中的多个漏洞能够允许未认证的相邻、世界博彩公司app远程攻击者造成拒绝服务攻击(DoS)的情况。

  福喜多详细询问室阻燃软包采用自动化出产线,以性能优异的皮革和发泡树脂为主要原料询问室防撞防火墙面软包,经密炼发泡等特别工艺制成,详细询问室阻燃软包其主要特点为;低密度,密闭式气泡结构,导热系数、水汽透过率、吸水率低,富柔软性,施工方便。适用温度范围广,且抗老化性能好,经久耐用。

  轻质隔墙板是一种新型节能墙材料,它是一种外型象空心楼板一样的墙材,但是它两边有公母隼槽,安装时只需将板材立起,公、母隼涂上少量嵌缝砂浆后对拼装起来即可。它是由聚苯颗粒、硅酸钙板、水泥等多种材料组成,经变频蒸汽加压养护而成。

  互联网从业人员叶先生对自己安卓手机上安装的109个应用进行了统计,104个APP都有“读取已安装应用列表”权限,由此可以了解用户的行为习惯及分析同行情况;第二受关注的权限就是“读取本机识别码”,这是用于确定用户,因为每个手机识别码都是独一无二的;第三是“读取位置信息”权限,有80个APP需要这一权限,可搜集用户的活动范围。

  岩棉板被广泛的应用于我们的建筑行业中,它有很多优良的特性,比如质量轻,隔热性能佳等优点,所以在研发了二十多年后也依然被广泛的使用着,为了使更多的人了解岩棉板这种建筑材料,我们就为大家讲解它的一些施工要点。岩棉板的施工要点有哪些?