透过等保2.0解读业务安全新趋势

当前国际关系风云变幻，网络空间纷繁复杂，大数据、云计算、物联网、移动互联网等新技术高速发展，基础应用持续深化。随之，高危漏洞、数据泄露、网络攻击、智能犯罪等网络安全问题也发生了新的变化。在移动互联网爆发式发展，传统网络边界日渐模糊的趋势下，移动安全和身份认证成为了网络安全的主战场，严重威胁着国家安全和社会稳定。为应对当前更加复杂的网络安全环境，在公安部的牵头和指导下，“信息安全等级保护”升级为“网络安全等级保护”（等级保护2.0）。

2019年5月13日，国家市场监督管理总局、国家标准化管理委员会正式颁布了网络安全等级保护2.0的新标准和规范，包含：

（1）《信息安全技术 网络安全等级保护基本要求》

（2）《信息安全技术 网络安全等级保护测评要求》

（3）《信息安全技术 网络安全等级保护安全设计技术要求》

01安全通用要求部分

在安全计算环境要求中明确指出要对涉及的网络设备、安全设备、操作系统和应用系统等实现双因素认证。

应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；具有登录失败处理功能；在进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应该使用密码技术来实现。

其中重点提出，目前市场上的堡垒机产品主要提供网络访问控制功能和管理员操作审计功能，无法根本上实现网络设备、安全设备、操作系统和应用系统等的双因素认证。

芯盾时代多因素认证解决方案

芯盾时代多因素认证解决方案，开创性的将身份认证由传统的“账号+密码”的模式与手机认证模式相融合。通过芯盾时代特色设备认证技术，集合移动设备指纹、生物指纹等信息生成用户唯一数字凭证，用户只需扫一下码/点一下屏幕/按一下指纹的方式，即可实现对用户身份的多因素认证，将易用性、安全性进行了完美的的融合。

02安全扩展要求部分

关于移动互联的安全要求重点提到以下方面的内容：

安全区域边界

边界防护

访问控制

入侵防范

安全计算环境

要求进行移动终端管控，保证移动终端安装、注册并运行终端管理客户端软件；移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制，如：远程锁定、远程擦除等；

要求进行移动应用管控，要求应具有选择应用软件安装、运行的功能；要求应只运行指定证书的应用软件安装和运行；应具有软件白名单功能，应能根据白名单控制应用软件安装、运行。

芯盾时代移动安全管理解决方案

芯盾时代移动安全管理平台是国内首创的集合MTD（终端威胁态势感知）、EMM（企业移动管理）、MSPlus（移动安全扩展）于一体的统一移动安全管控系统。 

芯盾时代终端威胁态势感知（MTD）主要针对移动设备的安全威胁及安全问题进行整体防护，包括移动杀毒、安全准入、应用扫描、安全事态感知、应用封装、安全沙箱等六大功能，多维度对移动设备的安全问题进行整体解决；

芯盾时代企业移动安全管理（EMM）模块，从设备、应用、内容三个层次对移动设备进行强有力的管控功能；

芯盾时代移动安全扩展（MSPlus）模块，针对移动信息化建设中不同的需求进行扩展模块的提供，帮助相关组织更好的完成移动信息化的建设。

业务安全

新趋势

从等级保护2.0的技术要求内容解读来看，其对身份鉴别和访问控制提出了更广泛更高标准的要求。

芯盾时代基于零信任安全模型，从验证用户、验证设备、限制访问与权限、自适应、统一身份认证管理五个维度出发，提出了“以人为核心的业务安全”解决方案。

验证用户

基于位置、设备和行为来评估用户安全情况，确定用户是否是其所声称的身份。采取恰当的措施（比如多因子身份验证）来确保用户真实性；

验证设备

无论是公司设备、BYOD还是公共主机、笔记本电脑或移动设备，基于设备身份和安全情况实施访问控制策略。只允许受信终端访问公司的资源；

限制访问与权限

如果用户和设备通过了验证，对资源实施基于角色的访问控制模型，赋予其仅供完成当次工作的最小权限，对特定应用和基础设施开放有限时间的适时访问权；

自适应

各类源（比如用户、其设备、与之相关的所有活动）总在不断产生信息。利用机器学习来设置上下文相关访问策略，自动调整并适应策略；

统一身份认证管理

芯盾时代统一身份认证管理平台，通过一套平台即可实现用户全场景的身份认证，实现了“一点接入、全网通行、安全无忧”。

芯盾时代整体业务安全解决方案，通过专利技术实现了“人—设备—应用”之间的强绑定，保证了合法的用户，通过合法的设备，访问合法的业务应用和系统，真正实现了“以人为核心的业务安全”理念，该方案已广泛应用于政府、金融机构、运营商、大型企业、教育等行业，实际落地了新形势下的“以人为核心的业务安全”。