等保2.0關于訪問控制的規定

　　等保2.0標準中對訪問控制做了詳細要求，下面表格中列出了等保2.0對訪問控制的要求，黑色加粗字體表示是針對上一安全級別增強的要求。

　　等保2.0中主要在安全區域邊界和安全計算環境中提到訪問控制要求。安全區域邊界主要指在網絡邊界進行訪問控制，通過應用ACL、會話狀態、應用協議、應用內容、通信協議轉換和通信協議隔離等方式達到訪問控制要求。安全計算環境主要指在主機終端進行訪問控制，通過強化用戶賬戶和權限的授權管理、授權主體配置訪問控制策略、應用強制訪問控制規則等方式達到訪問控制要求。

　　在等保3級中，安全區域邊界要求實現基于應用協議和應用內容的訪問控制，安全計算環境要求實現重要主客體的安全標記和訪問控制。在等保4級中，安全區域邊界要求通過通信協議轉換或通信協議隔離等方式進行數據交換，安全計算環境要求實現主客體安全標記和強制訪問控制。

　　鑒于強制訪問控制技術網上已經有很詳細的論述，本文重點講解基于網絡的訪問控制技術。

　　基于網絡的訪問控制技術

　　1、基于ACL規則的訪問控制技術

　　訪問控制列表（ACL）是一種基于包過濾的訪問控制技術，它可以根據設定的條件對接口上的數據包進行過濾，允許其通過或丟棄。訪問控制列表被廣泛地應用于路由器、三層交換機和包過濾防火墻等，借助于訪問控制列表，可以有效地控制用戶對網絡的訪問，從而最大程度地保障網絡安全。

　　包過濾防火墻是用一個軟件查看所流經的數據包的包頭，由此決定整個包的命運。包過濾防火墻根據事先定義的ACL規則對通過設備的數據包進行檢查，限制數據包進出內部網絡。包過濾防火墻不檢測會話狀態和數據包內容。

　　2、基于狀態檢測的訪問控制技術

　　狀態檢測防火墻采用了“狀態檢測”機制來進行包過濾?！盃顟B檢測”機制以流量為單位來對報文進行檢測和轉發，即對一條流量的第一個報文，進行包過濾規則檢查，并將判斷結果作為該條流量的“狀態”記錄下來。對于該流量的后續報文都直接根據這個“狀態”來判斷是轉發還是丟棄，而不會再次檢查報文的數據內容。這個“狀態”就是我們平常所述的會話表項。這種機制迅速提升了防火墻產品的檢測速率和轉發效率，已經成為目前主流的包過濾機制。

　　查詢和創建會話的流程

　　基于狀態檢測的訪問控制技術由于不需要對每個數據包進行規則檢查，而是一個連接的后續數據包通過散列算法，直接進行狀態檢查，從而使得性能得到了較大提高；而且，由于狀態表是動態的，因而可以有選擇地、動態地開通1024號以上的端口，使得安全性得到進一步地提高。

　　3、基于應用協議和應用內容的訪問控制技術

　　應用層防火墻，也稱應用防火墻，是一種防火墻，經由應用程序或服務來控制網絡封包的流入、流出與系統調用，因為運作在OSI模型中的應用層而得名。它能夠監控網絡封包，阻擋不符合防火墻設定規則的封包進入、離開以及呼叫系統調用。這類防火墻，通常又可以分成以網絡為基礎的應用防火墻與以主機為基礎的應用防火墻。本節重點討論以網絡為基礎的應用防火墻。

　　基于應用協議和應用內容的訪問控制技術在NGFW中的應用

　　基于應用協議和應用內容的訪問控制技術，是目前各種應用防火墻安全防護的基礎。應用協議識別當前比較流行的技術包括深度包檢測技術（DPI）和深度流檢測技術（DFI）。DPI技術在進行分析報文包頭的基礎上，結合不同的應用協議的“指紋”綜合判斷所屬的應用。DFI是一種流量行為分析的應用識別技術。不同的應用類型體現在會話連接或數據流上的狀態各有不同。DPI技術由于可以比較準確的識別出具體的應用，因此廣泛的應用于各種需要準確識別應用的系統中，如運營商的用戶行為分析系統等；而DFI技術由于采用流量模型方式可以識別出DPI技術無法識別的流量，如P2P加密流等，當前越來越多的在帶寬控制系統中得到應用。應用內容分析，當前各類安全產品主要聚焦在文本、文件提取等技術，提取文本文件后用于敏感信息檢索、APT檢測等動作，根據檢測結果判定是否放行。

　　4、基于通信協議轉換或通信協議隔離的訪問控制技術

　　通信協議轉換是一種映射，就是把某一協議的收發信息序列映射為另一協議的收發信息序列。通信協議轉換裝置就是網關，用于構架網絡連接，將一種協議轉換為另一種協議。通信協議隔離應用了網絡隔離技術，在兩個或兩個以上的計算機或網絡在斷開連接的基礎上，實現信息交換和資源共享。采用通信協議隔離技術既可以使兩個網絡實現物理上的隔離，又能在安全的網絡環境下進行數據交換。

　　在電力行業，正向隔離裝置和反向隔離裝置都應用了通信協議隔離的相關技術。在智能制造行業，隨著萬物互聯和工業互聯網的快速發展，通信協議轉換裝置應用更加普遍。

　　5、基于零信任架構的訪問控制技術

　　零信任安全架構基于“以身份為基石、業務安全訪問、持續信任評估、動態訪問控制”四大關鍵能力，構筑以身份為基石的動態虛擬邊界產品與解決方案。

　　數據中心網絡的南北和東西向流量

　　基于零信任架構的訪問控制技術可以解決南北向和東西向的安全防護問題。NIST白皮書總結了零信任的幾種實現方式，SDP技術是用于實現南北向安全的（用戶跟服務器間的安全），微隔離技術是用于實現東西向安全的（服務器跟服務器間的安全）。

　　SDP全稱是Software Defined Perimeter，即軟件定義邊界，是由國際云安全聯盟CSA于2013年提出的基于零信任理念的新一代網絡安全技術架構。SDP以預認證和預授權作為它的兩個基本支柱。通過在單數據包到達目標服務器之前對用戶和設備進行身份驗證和授權，SDP可以在網絡層上執行最小權限原則，可以顯著地縮小攻擊面。

　　基于SDP的南北向安全防護

　　SDP架構由客戶端、安全網關和控制中心三個主要組件組成。客戶端和安全網關之間的連接是通過控制中心與安全控制通道的信息交互來管理的。該結構使得控制平面與數據平面保持分離，以便實現完全可擴展的安全系統。此外，SDP架構的所有組件都可以集群部署，用于擴容或提高系統穩定運行時間。

　　微隔離的概念最早由VMware在發布NSX產品時正式提出，而真正讓它備受關注是從2016年開始連續3年被評為全球十大安全項目之一，并在2018年的 《Hype Cycle for Threat-Facing Technologies》（威脅應對技術成熟度曲線）中首次超過下一代防火墻（NGFW）。

　　微隔離技術的領先者illumio產品的東西向流量可視化

　　微隔離是在數據中心和云平臺中以創建安全區域的方式，隔離工作流，并對其進行單獨保護，目的是讓網絡安全更具粒度化。微隔離是一種能夠識別和管理數據中心與云平臺內部流量的隔離技術。對于微隔離，其核心是對全部東西向流量的可視化識別與訪問控制。微隔離是一種典型的軟件定義安全結構。它的策略是由一個統一的計算平臺來計算的，而且需要根據虛擬化環境的變化，做實時的自適應策略重算。微隔離技術的核心指標就在于它能夠管理的工作負載的規模。

　　當前比較流行的SDP和微隔離技術，均是典型的軟件定義安全的技術。以上述零信任技術為核心的安全產品，正在越來越多的應用到IT和OT的各個領域，有效的提升企業南北和東西向流量的可視化識別與訪問控制。零信任產品的快速應用，可以滿足企業等保2.0安全測評的要求，同時提升企業安全運維自動化和智能化的水平。

　　3、訪問控制技術對比分析

　　上面小節討論的訪問控制技術的對比分析如下表：