一、案例背景

為促進(jìn)和推動重點(diǎn)單位和行業(yè)對關(guān)鍵信息基礎(chǔ)設(shè)施和行業(yè)重要系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)，2016年以來，公安部每年組織國家級的網(wǎng)絡(luò)攻防實(shí)戰(zhàn)演習(xí)。演習(xí)采用實(shí)戰(zhàn)方式，選取國內(nèi)數(shù)十支頂尖網(wǎng)絡(luò)安全攻擊隊(duì)伍對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和重點(diǎn)單位運(yùn)營者的信息系統(tǒng)和網(wǎng)絡(luò)設(shè)施進(jìn)行實(shí)戰(zhàn)攻擊。根據(jù)國家網(wǎng)絡(luò)安全相關(guān)法律法規(guī)及集團(tuán)公司相關(guān)要求，為進(jìn)一步降低互聯(lián)網(wǎng)暴露面，減少網(wǎng)絡(luò)攻擊風(fēng)險，區(qū)公司組織相關(guān)單位完善了互聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全管理要求和系統(tǒng)入網(wǎng)申請流程，進(jìn)一步加強(qiáng)對互聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全管理。

一方面，為了實(shí)現(xiàn)安全的遠(yuǎn)程接入辦公，亟需采取一套比傳統(tǒng)安全技術(shù)和架構(gòu)具有顯著提升的新架構(gòu)、新技術(shù)或新產(chǎn)品來解決以上問題，新的網(wǎng)絡(luò)安全架構(gòu)必須采用零信任安全架構(gòu)，新的網(wǎng)絡(luò)安全架構(gòu)需能夠很好的適用于該場景下，并在經(jīng)過測試后，VPN異構(gòu)產(chǎn)品能夠很好的解決VPN設(shè)備出現(xiàn)的安全問題。

另一方面，在信息化高速發(fā)展時期，云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新興技術(shù)的應(yīng)用，為各行各業(yè)的信息化建設(shè)帶來了顛覆性的變革和超高速的發(fā)展的同時也為信息安全的防護(hù)帶來了諸多挑戰(zhàn)，主要表現(xiàn)如下：

1.互聯(lián)網(wǎng)的飛速發(fā)展突破了業(yè)務(wù)常規(guī)的時間、空間限制，移動化、碎片化的訪問方式，導(dǎo)致網(wǎng)絡(luò)的邊界越來越模糊，企業(yè)的安全邊界極易被泛化；

2.大量業(yè)務(wù)大規(guī)模向云上遷移，數(shù)據(jù)的集中導(dǎo)致傳統(tǒng)物理邊界之外的數(shù)據(jù)和基礎(chǔ)設(shè)施成為高價值的攻擊目標(biāo)；

3.應(yīng)用系統(tǒng)的日益增加和累積，導(dǎo)致企業(yè)資產(chǎn)在互聯(lián)網(wǎng)上的攻擊暴露面不斷擴(kuò)大，攻擊者總能比用戶更早的發(fā)現(xiàn)漏洞；

4.日益繁多的業(yè)務(wù)系統(tǒng)導(dǎo)致管理和訪問的難度不斷提升，以賬戶、憑證為基礎(chǔ)的訪問方式已經(jīng)無法確保身份的可信度；

5.基于內(nèi)網(wǎng)用戶、設(shè)備和流量可信假設(shè)的傳統(tǒng)邊界思維，無法有效抵御來自企業(yè)網(wǎng)絡(luò)內(nèi)部的威脅，攻擊者的滲入、員工的疏忽，都會導(dǎo)致數(shù)據(jù)泄露。

因此，亟需一套新的安全體系來滿足現(xiàn)有的企業(yè)信息安全防護(hù)要求。

二、案例概述

在加快新型基礎(chǔ)設(shè)施建設(shè)（“新基建”）以及數(shù)字化轉(zhuǎn)型的大背景下，以云計(jì)算為代表的新技術(shù)基礎(chǔ)設(shè)施與5G為代表的通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施作為“新基建”的底座，都面臨轉(zhuǎn)型升級，以更好地支撐各行各業(yè)全面數(shù)字化轉(zhuǎn)型的要求。

一方面，作為三大運(yùn)營商之一，通過新建系統(tǒng)100%上云，存量系統(tǒng)"關(guān)移轉(zhuǎn)并"三年上云，解決實(shí)際業(yè)務(wù)問題，降本增效提感知，助推企業(yè)數(shù)字化轉(zhuǎn)型的同時，上云后暴露在互聯(lián)網(wǎng)的數(shù)據(jù)和業(yè)務(wù)，因企業(yè)訪問失去了邊界，由原有的傳統(tǒng)企業(yè)內(nèi)網(wǎng)直接拓展到互聯(lián)網(wǎng)，面臨著極高的安全風(fēng)險。具體表現(xiàn)如下：

1.信息集中導(dǎo)致攻擊目標(biāo)明確

某市營業(yè)廳日常訪問的業(yè)務(wù)支撐系統(tǒng)上云后，使得云端平臺存儲了大量的高價值數(shù)據(jù)資源，業(yè)務(wù)和數(shù)據(jù)的集中造成了目標(biāo)的集中和風(fēng)險的集中，成為了黑產(chǎn)最主要的攻擊和竊取目標(biāo)。

2.多元訪問導(dǎo)致權(quán)限管理雜亂

云端部署了大量業(yè)務(wù)支撐系統(tǒng)，不同員工需要在特定環(huán)境下訪問不同的業(yè)務(wù)系統(tǒng)，因授權(quán)板塊分散，用戶權(quán)限不集中管控，導(dǎo)致用戶權(quán)限無法動態(tài)分配、實(shí)時更新，存在大量權(quán)限開放或無人使用的風(fēng)險賬號。

3.封閉端口導(dǎo)致遠(yuǎn)程訪問困難

為避免黑客的攻擊和掃描，云端主機(jī)不能在互聯(lián)網(wǎng)上暴露訪問端口，不能使用VPN訪問。但員工在家辦公或出差時，有遠(yuǎn)程訪問云上業(yè)務(wù)系統(tǒng)的需求。

另一方面，該運(yùn)營商面臨著兼顧員工日常辦公場景和營業(yè)廳業(yè)務(wù)場景穩(wěn)定運(yùn)行雙重挑戰(zhàn)。在辦公場景下，原有接入方式“一次連接，永久授權(quán)”，存在安全隱患；端口暴露在互聯(lián)網(wǎng)上，極易被攻擊者利用等諸多風(fēng)險問題，需要實(shí)時監(jiān)測內(nèi)網(wǎng)終端、主機(jī)、虛擬資源的健康狀態(tài)，并能夠有效防止安全威脅橫向擴(kuò)散，加強(qiáng)對員工建立身份識別與訪問管理體系，確保訪問人員“可信”，訪問權(quán)限“可控”，訪問行為“可視”。營業(yè)廳場景下，原有VPN連接不穩(wěn)定，影響業(yè)務(wù)辦理體驗(yàn)，認(rèn)證方式單一，用戶名密碼可能會被盜用等風(fēng)險問題凸出。需要確保在最大并發(fā)用戶數(shù)情況下的不同用戶角色便捷、高效、安全的接入訪問各個業(yè)務(wù)系統(tǒng)的需求。

三、安全技術(shù)應(yīng)用情況

任子行零信任安全防護(hù)解決方案

基于零信任安全理念，根據(jù)客戶業(yè)務(wù)支撐系統(tǒng)上云后的信息安全需求，提供零信任遠(yuǎn)程接入安全防護(hù)解決方案，助力用戶加強(qiáng)云端數(shù)據(jù)與業(yè)務(wù)安全保護(hù)，有效管理員工訪問權(quán)限，動態(tài)控制遠(yuǎn)程訪問安全，通過對人、終端和系統(tǒng)都進(jìn)行識別、訪問控制、實(shí)現(xiàn)全面的身份化，成功建立網(wǎng)絡(luò)安全新邊界。

具體建設(shè)方案如下：

1.集中訪問通道，應(yīng)用隱身，縮小攻擊暴露面

業(yè)務(wù)支撐系統(tǒng)上云后，必須使用云主機(jī)訪問業(yè)務(wù)系統(tǒng)。通過部署零信任安全網(wǎng)關(guān)，將企業(yè)內(nèi)網(wǎng)應(yīng)用隱身，只有通過認(rèn)證授權(quán)的用戶使用安全瀏覽器才能與零信任網(wǎng)關(guān)和應(yīng)用系統(tǒng)建立加密連接，非授權(quán)的用戶無法掃描到核心應(yīng)用，從而實(shí)現(xiàn)了最細(xì)粒度的應(yīng)用隔離。對企業(yè)內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)進(jìn)行“隱身”，將企業(yè)內(nèi)網(wǎng)應(yīng)用暴露的攻擊面降到最低。

2.統(tǒng)一權(quán)限管控，權(quán)限最小，防止威脅橫向擴(kuò)散

通過層層授權(quán)與防御機(jī)制，只授予員工辦公所需的應(yīng)用訪問權(quán)限，應(yīng)用級最小授權(quán)給用戶，精細(xì)化管理用戶權(quán)限。并根據(jù)用戶訪問的設(shè)備及網(wǎng)絡(luò)環(huán)境，基于信任模型判定用戶安全級別，限定不同安全級別用戶可訪問的應(yīng)用。

3.動態(tài)訪問控制，評估智能，降低數(shù)據(jù)泄露風(fēng)險

始終假設(shè)網(wǎng)絡(luò)充滿威脅，不信任任何網(wǎng)絡(luò)、人、設(shè)備/系統(tǒng)，基于員工身份庫，實(shí)現(xiàn)多因子身份認(rèn)證，基于訪問環(huán)境，動態(tài)控制用戶的訪問策略，基于用戶行為分析，持續(xù)驗(yàn)證用戶身份合法性。精細(xì)化控制用戶遠(yuǎn)程訪問權(quán)限，傳輸鏈路應(yīng)采取加密措施，保證數(shù)據(jù)傳輸?shù)陌踩?弱化內(nèi)部數(shù)據(jù)泄露的風(fēng)險。

4.建立統(tǒng)一業(yè)務(wù)系統(tǒng)，門戶統(tǒng)一，提升用戶訪問體驗(yàn)

智行零信任安全瀏覽器集成SSO單點(diǎn)登錄能力，只需一次瀏覽器認(rèn)證，即可單賬號無縫訪問內(nèi)外網(wǎng)環(huán)境應(yīng)用，消除切換賬號困擾，提升用戶訪問體驗(yàn)。

四、客戶反饋效果

客戶評價

在項(xiàng)目實(shí)施過程中，零信任團(tuán)隊(duì)面臨客戶環(huán)境多樣性、網(wǎng)絡(luò)復(fù)雜性等多方面挑戰(zhàn)。零信任產(chǎn)品上線可在不破壞原有客戶環(huán)境的情況下進(jìn)行，因此需要對客戶外接設(shè)備進(jìn)行逐一對接，對客戶網(wǎng)絡(luò)環(huán)境進(jìn)行深度適配。同時，通過部署任子行智行零信任安全防護(hù)產(chǎn)品，幫助用戶解決遠(yuǎn)程辦公場景下的各種風(fēng)險問題的同時，大大提升了用戶體驗(yàn)和辦公效率。對此，客戶給與任子行產(chǎn)品和技術(shù)服務(wù)高度評價。

安全風(fēng)險降低情況及使用效果情況

1.信息安全加強(qiáng)：身份管理體系作為信息安全加強(qiáng)的重要舉措，可有效保障公司機(jī)密及業(yè)務(wù)數(shù)據(jù)的安全使用，保護(hù)其信息資產(chǎn)不受勒索軟件、犯罪黑客行為、網(wǎng)絡(luò)釣魚和其他惡意軟件攻擊的威脅，加強(qiáng)內(nèi)部人員規(guī)范管理；平均減少了31%的重復(fù)身份。

2.業(yè)務(wù)流程風(fēng)險控制：業(yè)務(wù)流程風(fēng)險控制作為管理核心，身份治理體系可加強(qiáng)內(nèi)外部相關(guān)人員訪問的硬件設(shè)備及業(yè)務(wù)系統(tǒng)進(jìn)行集中管控，同時從管理制度、合規(guī)性、審計(jì)要求進(jìn)行內(nèi)部風(fēng)險控制；通過自動化的賬號創(chuàng)建、變更、回收及重復(fù)密碼工作，提升IT部門91%的運(yùn)維效率。

3.提高企業(yè)生產(chǎn)力：為有效滿足信息系統(tǒng)對業(yè)務(wù)的快捷響應(yīng)能力，減少保護(hù)用戶憑證和訪問權(quán)限的復(fù)雜性及開銷，打造一套標(biāo)準(zhǔn)化、規(guī)范化、敏捷度高的身份管理平臺成為經(jīng)營發(fā)展的基礎(chǔ)保障，可極大提高企業(yè)生產(chǎn)力。通過集中的用戶管理模塊，訪問認(rèn)證模塊及合規(guī)審計(jì)模塊的統(tǒng)一建設(shè)，有效減少88%的信息化重復(fù)投入。

4.降低運(yùn)營成本：實(shí)現(xiàn)身份管理和相關(guān)最佳實(shí)踐，可以多種形式帶來重大競爭優(yōu)勢。大多數(shù)公司需要為外部用戶賦予到內(nèi)部系統(tǒng)的訪問權(quán)限。向客戶、合作伙伴、供應(yīng)商、承包商和雇員開放業(yè)務(wù)融合，可提升效率，降低運(yùn)營成本。用戶從打開網(wǎng)頁到登錄進(jìn)系統(tǒng)的訪問時間，通過統(tǒng)一認(rèn)證與SSO，提升73%的用戶訪問效率。

5.滿足合規(guī)要求：通過加強(qiáng)身份治理，基于業(yè)務(wù)場景的人、終端、環(huán)境、鏈路、流量、資產(chǎn)、行為上下文、內(nèi)容等多維的因素進(jìn)行風(fēng)險計(jì)算動態(tài)調(diào)整用戶訪問權(quán)限，確保訪問人員“可信”、訪問終端“可信”、訪問行為“可信”；為企業(yè)構(gòu)建具備較強(qiáng)風(fēng)險應(yīng)對能力的動態(tài)自適應(yīng)網(wǎng)絡(luò)安全閉環(huán)體系，滿足國家相關(guān)法律法規(guī)及標(biāo)準(zhǔn)要求。