零信任威胁隔离防护 让企业更贴近安全合规监管

1 网络安全合规监管日益重视

当今时代，互联网发展日新月异，信息化浪潮席卷全球，党的十八大以来，党中央高度重视网络安全和信息化工作，为维护我国网络空间的安全，保障互联网健康有序的发展，与网络安全相关的法律法规和具体规范逐渐细化，并持续完善。

2017年6月1日起，《中华人民共和国网络安全法》正式施行。作为我国第一部全面规范网络安全管理方面的基础性法律，有着非常重大的意义。它为保障国家网络安全，维护公共利益和合法权益提供了指引。

《信息安全技术个人信息安全规范》是全国信息安全标准化技术委员会2020年3月6日正式发布的规范，于2020年10月1日实施。它规范个人信息控制者在收集、存储、使用、共享、转让、公开披露等信息处理环节中的相关行为，旨在遏制个人信息非法收集、滥用、泄漏等乱象，最大程度地保障个人的合法权益和社会公共利益。

2021年9月1日起，《中华人民共和国数据安全法》开始施行。为国内各行业数据安全提供了监管依据。对于企事业单位利用互联网开展数据处理的行为活动，要求企事业单位应当在网络安全等级保护制度的基础上，履行数据安全保护义务。

在国家日益重视网络安全监管与合规的态势下，一系列法律法规规章和规范性文件的出台与施行，逐步建立健全的互联网空间治理方法并形成行之有效的网络空间法治体系，也为企事业单位的安全建设提供了明确的方向和合规要求。

2 助力企事业单位满足网络安全合规监管的新思路

为了切实满足网络安全监管与合规要求，我们基于远程浏览器隔离技术（Remote Browser Isolation，以下简称RBI），结合零信任架构，自主研创了“远程浏览器——端”的零信任威胁隔离系统。

它是一种采用零信任架构的、非特征检测的、助力企事业单位满足网络安全监管与合规的网络安全防护新思路。

我们假设任何东西都默认存在威胁，不对所有的风险进行已知威胁、未知威胁的预判分类。同时，我们基于RBI构建云上的隔离浏览器环境，当用户使用本地浏览器访问网页时，其本地浏览器和隔离环境的浏览器进行通信，我们对所有的网页默认存在威胁，都将由云端隔离环境下的浏览器执行渲染后，将渲染的结果以视觉编码的方式传到用户端浏览器上显示。访问的所有页面都在隔离云上加载并运行（包含所有嵌入式活动内容的页面），通过这种方式将潜在的威胁与外界隔离开来。该思路无论从原理还是市场实践都被证明具有趋近于“绝对”安全的防护能力。

因此，基于远程浏览器隔离技术的零信任威胁隔离系统，具有引人注目的五大优势。

• 防御恶意攻击效果更佳。由于RBI的技术原理，黑客无法找到攻击入口，更无法实施攻击事件，因此浏览器隔离可以更好地防御恶意软件、勒索软件、零日漏洞等高级攻击；
• 明显减少安全误报情况。相较于传统的威胁情报、规则库比对等信息安全技术，能够免去特征库运维工作并大幅减少误报事件。
• 有效降低企业运维成本。在减少企事业大量的威胁情报、规则库的运维工作量，以及由于威胁情报、规则库引发的误报事件条件下，可以有效减少企事业单位的专业运维人员的人力投入和管理运维成本。
• 本地用户的原生浏览体验。用户不需要改变浏览页面的方式，打开网站的速度和视觉效果与原网站一样。
• 无客户端部署。不需要在用户终端上安装任何客户端软件，支持任意浏览器访问，不会引入因用户使用客户端软件导致的兼容问题和IT投入成本等问题。
  

3 网络安全合规监管偏离分析

为积极贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》，实现国家网络安全战略目标，现依照等保2.0相关的《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》等国家标准，重点剖析防泄密助手软件

该软件主要分为三个功能模块，
一、存储设备常规管理：
1、禁止 USB 存储设备使用，例如 U 盘，移动硬盘等。
2、禁止电脑向 USB 存储设备拷贝文件。
3、禁止 USB 存储设备向电脑拷贝文件。
4、允许特定 USB 存储设备使用，例如 U 盘、移动硬盘。
5、允许电脑向 USB 存储设备拷贝，但必须输入密码。
6、恢复 USB 存储设备。
7、禁用光驱、禁止光驱刻录。
二、网络泄密管理：
8、禁止登录邮箱、只允许登录特定邮箱、只允许收邮 件禁止发邮件。
9、禁止使用网盘或只允许使用特定网盘。
10、禁止程序传文件。例如：禁止微信、钉钉、skype、 旺旺等传文件；支持允许聊天，但禁止传文件功能；支 持自主添加聊天软件的功能等。
11、程序黑白名单，可以设置禁止运行的程序或只允许运行的程序。
12、网页黑白名单，可以设置禁止访问的网页或只允许访问的网页。
13、禁止访问论坛、禁用 FTP 上传文件、禁止手机和电脑通过网络互传文件。
14、内网 MAC 白名单，禁止外部电脑以网线直连的方式拷贝文件。
15、禁止打开购物网站、禁止网购
16、禁止电脑玩网络游戏、禁止打开游戏网站
17、禁止在线看视频、直播
三、操作系统防护：
18、禁用注册表、设备管理器、组策略。
19、禁用计算机管理、任务管理器、msconfig（系统配置）、禁用服务。
20、禁止进入操作系统安全模式、禁止开机进入安全模式。
21、禁用 CMD、禁止格式化和 ghost、禁止修改 IP 和MAC 地址。
22、屏蔽 PrtScn 键、Esc 键、Win 键，禁用剪贴板、Ctrl+Alt+A（QQ 截图）。
23、禁用局域网共享、局域网通讯工具，禁用 Telnet，禁用虚拟机，禁止创建用户。
24、禁用蓝牙红外，禁用串口并口，禁用1394 接口，禁用 PCMCIA，禁用调制解调器。
25、禁用有线/无线网卡、禁用随身 WiFi、禁用手机助手。
26、隐藏进程，禁止访问安装目录。
27、禁止各种途径删除电脑文件
28、禁止打印电脑文件的行为
29、软件拦截日志，详细记录被软件拦截的操作行为。
30、通过管理端对同一局域网内的客户端统一设置。

点击链接加入我们