【李新顺】 SDP架构下的安全矩阵设计（19页）.pdf

1、SDP架构下的安全矩阵设计单位：云涌科技 主讲人：李新顺股票代码：68806001.背景前言02.零信任安全矩阵实践02-1 五大SDP安全控制02-2 增强IAM、行为分析和态势感知 02-3 主机可信计算 02-4 零信任远程浏览器隔离 02-5 边缘网关隔离0 1背景前言04年成立 云涌科技创立于2004年，是国内较早将嵌入式技术应用于工业互联网、工业物联网信息安全领域的公司之一。5个机构总部位江苏泰州，同时在北京、郑州、南京、深圳设有4个分支机构，集研发、生产、销售、服务为一体。1/3研发团队公司研发人员占比44.79%，本科以上员工占比90%。人员涵盖信息安全、嵌入式系统、工业自动化

2、、物联网，零信任，可信计算等多个技术领域。500家客户公司累计推出上百款产品，服务客户超过500家、现场稳定运行设备超过30万台。特别是在电力调度安全和配网自动化安全等领域，公司具有较强的核心竞争力。公 司 介 绍鸡蛋不要放在一个篮子里没有一种安全框架能解决所有场景的安全问题没有单点的安全控制永远不会被绕过串行的多层安全控制链不能解决累积攻击采用最新的安全框架，组合已有成熟传统技术，矩阵式的安全控制联动使攻击者在每个阶段的攻击清零，达到最佳防护效果零信任方案提供商有责任，也是最佳的一体化安全矩阵的规划和建设者0 2零信任安全矩阵实践零 信 任 安 全 矩 阵 实 践基于SDP架构的五层安全保护

3、体系通过边缘计算节点的全生命周期管理和基于设备指纹的身份认证实现服务隔离，以远程安全浏览器隔离实现关键数据的数据防泄漏和安全运维以灵活配置的用户行为分析策略，威胁情报数据保证持续验证和动态授权通过集成服务主机侧的可信计算技术实现主动安全零 信 任 解 决 方 案 建 设 目 标 的 8 个 保 证：正 确 的 人，使 用 正 确 的 设 备，通 过 正 确 的 应 用，在 正 确 的 时 间，正 确 的 地点，用 正 确 的 身 份，以 正 确 的 权 限，访 问 正 确 的 服 务五 大 S D P 安 全 控 制端口扫描，握手攻击，服务隐藏 ，减少攻击面U D P 实 现 真 正 的 单

4、包 授 权需 要 解 决 的 问 题：UDP传输不可靠性的用户体验 加密问题 重放攻击，多IP处理 UDP flood攻击，SPA轻量化的问题SPA五 大 S D P 安 全 控 制持续检测安全基线的检测版本，补丁，密码策略，防火墙，远程端口开放.病毒及恶意程序检测响应策略制定响应策略集中配置全局或服务级别MFA/告警/阻断终端设备检测五 大 S D P 安 全 控 制传 输 层 加 密强制所有传输通道TLS 消 除 弱 加 密SHA1 cbc padding oracle attackRSA 1024 多 隧 道 技 术服务级别控制，支持应用层虚拟主机级别的服务授权，性能更高，控制粒度更细m

5、TLS五 大 S D P 安 全 控 制缺省静态规则：默认拒绝一切访问基于SPA的包过滤动态规则建立和删除规则实施于任何用户设备和网关，网关与网关，网关与控制器规则有时效性，自动过期动态防火墙五 大 S D P 安 全 控 制应用绑定通过管理控制中心设定只有授权的白名单应用进程可以通过TLS隧道传输数据，消除木马病毒在后台的网络访问隐患多隧道模式控制每个服务隧道只有管理员配置的对应服务的客户 端应用可以访问基 于 S D P 框 架 的 安 全 矩 阵真正的零信任不信任任何其他的安全节点的防御是完全成功的根据不同的业务场景和安全需求等级，运维能力，可以在轻量级的SDP网络安全框架上，通过统一的

6、管理，提供不同的安全联动节点增 强 I A M、行 为 分 析 和 态 势 感 知 任何用户使用行为的改变都是可疑的使用地点，时间，设备更换 基于持续审计日志分析的攻击报警 客户端使用环境的安全基线的变化 威胁情报平台,EDR 和 XDR的集成，提高监控预警响应能力，自动化运维，快速应对突发威胁 主 机 可 信 计 算静态度量重要配置参数可信验证可信引导程序可信验证动态度量基于服务端可信计算的四大主动防御体系主 机 可 信 计 算 从系统引导阶段开始提供全面的操作系统内核级程