5G、云計(jì)算等的普及應(yīng)用�����,使移動(dòng)/遠(yuǎn)程辦公由概念快速走向落地��。突發(fā)的疫情�,按下了移動(dòng)/遠(yuǎn)程辦公發(fā)展的“加速鍵”,移動(dòng)辦公�����、移動(dòng)審批���、移動(dòng)執(zhí)法等多維場(chǎng)景不斷深入�����,內(nèi)部資源與企業(yè)數(shù)據(jù)因暴露面增加和信任策略缺失遭受的安全沖擊成倍增長(zhǎng)�,基于邊界防護(hù)的傳統(tǒng)安全體系逐步瓦解,零信任安全體系成為移動(dòng)/遠(yuǎn)程辦公安全破局的關(guān)鍵��。
隨著網(wǎng)絡(luò)技術(shù)在海事業(yè)務(wù)如船舶駕駛控制��、貨物裝卸����、推進(jìn)系統(tǒng)、旅客管理��、通信系統(tǒng)等方面的應(yīng)用不斷提升�,越來(lái)越多的對(duì)外信息交互,使海事業(yè)務(wù)遭受網(wǎng)絡(luò)威脅的隱患也不斷加劇���,這些潛在的威脅可能導(dǎo)致有關(guān)的操作�����、安全或安保系統(tǒng)的破壞或信息的泄露�����。
海事局作為維護(hù)國(guó)家海洋權(quán)益����,促進(jìn)國(guó)民經(jīng)濟(jì)建設(shè)的重要職能機(jī)構(gòu),同時(shí)���,網(wǎng)絡(luò)安全將是2021年符合證明(DOC)年度審核的一個(gè)重點(diǎn)領(lǐng)域,迫切需要建立由內(nèi)到外的安全架構(gòu)體系����,保障海事業(yè)務(wù)信息系統(tǒng)安全穩(wěn)定運(yùn)行,滿足移動(dòng)辦公�、審批、執(zhí)法等應(yīng)用場(chǎng)景需求��。
某海事局網(wǎng)絡(luò)安全隱患加劇 安全防護(hù)亟待升級(jí)
網(wǎng)絡(luò)安全是某海事局開(kāi)展海事安全管理體系建設(shè)中的重要組成部分���,自公安部2018年組織國(guó)家級(jí)的網(wǎng)絡(luò)攻防實(shí)戰(zhàn)演練以來(lái)����,某海事局作為實(shí)戰(zhàn)檢驗(yàn)的重點(diǎn)單位��,其信息交互���、網(wǎng)絡(luò)環(huán)境��、信息設(shè)備系統(tǒng)等復(fù)雜性對(duì)網(wǎng)絡(luò)安全綜合防御能力提出重要挑戰(zhàn)����。
經(jīng)過(guò)任子行專(zhuān)業(yè)人士的探訪調(diào)查后,其網(wǎng)絡(luò)安全防護(hù)風(fēng)險(xiǎn)如下:
提供遠(yuǎn)程訪問(wèn)的應(yīng)用系統(tǒng)�、VPN和DMZ區(qū)的系統(tǒng)等都面臨著來(lái)自互聯(lián)網(wǎng)的威脅,是海事局信息化安全建設(shè)面臨的重要挑戰(zhàn)之一���;
2.遠(yuǎn)程辦公的問(wèn)題(VPN接入)
身份無(wú)法確認(rèn):VPN作為一種網(wǎng)絡(luò)接入產(chǎn)品天生缺乏安全基因�����,用戶的證書(shū)/密碼一旦被盜�,就意味著“誰(shuí)”都可以接入訪問(wèn)���;
非法請(qǐng)求���,病毒傳播:VPN打破傳統(tǒng)邊界防御,直達(dá)內(nèi)網(wǎng)�,不可控的終端安全帶來(lái)勒索病毒、蠕蟲(chóng)�、木馬的肆意傳播,同時(shí)可以對(duì)內(nèi)網(wǎng)系統(tǒng)進(jìn)行肆意掃描����,尋找弱點(diǎn)����;
用戶體驗(yàn)差:VPN對(duì)網(wǎng)絡(luò)的傳輸要求較高����,經(jīng)常出現(xiàn)無(wú)法訪問(wèn)和頻繁切換的問(wèn)題;
運(yùn)維難度大:VPN需要基于IP和端口配置安全策略����,配置繁瑣復(fù)雜�����,靈活性差�;
某海事局各個(gè)部門(mén)在執(zhí)行工作中�����,由于操作系統(tǒng)較多��,人員及移動(dòng)應(yīng)用場(chǎng)景復(fù)雜等�,需要對(duì)系統(tǒng)的登錄地址、登錄方式、用戶名口令等頻繁操作��,帶來(lái)不便 ��。
任子行零信任遠(yuǎn)程接入安全防護(hù)解決方案 效率與安全并行實(shí)現(xiàn)
任子行在深入剖析海事局當(dāng)前所面臨的挑戰(zhàn)并結(jié)合其實(shí)際需求后����,為該海事局提供了一套定制化的零信任遠(yuǎn)程接入安全防護(hù)解決方案,助力海事局更好的規(guī)避網(wǎng)絡(luò)安全漏洞����,建立具備綜合防御能力更強(qiáng)的網(wǎng)絡(luò)安全生態(tài)體系。具體實(shí)施方案如下:
1.統(tǒng)一的身份安全和單點(diǎn)登錄�,解決業(yè)務(wù)訪問(wèn)的用戶身份統(tǒng)一安全問(wèn)題
用戶遠(yuǎn)程接入辦公網(wǎng)絡(luò)需要進(jìn)行身份驗(yàn)證,包括:賬戶密碼登錄認(rèn)證����、互聯(lián)網(wǎng)認(rèn)證(微信/企業(yè)微信認(rèn)證)、短信驗(yàn)證碼等多種登錄驗(yàn)證方式��,以單點(diǎn)登錄實(shí)現(xiàn)多套系統(tǒng)的賬戶體系自動(dòng)認(rèn)證�,提高辦公效率。
2.細(xì)膩動(dòng)態(tài)的訪問(wèn)控制策略����,弱化內(nèi)容安全事件發(fā)生的風(fēng)險(xiǎn)
身份驗(yàn)證策略統(tǒng)一由管控平臺(tái)進(jìn)行下發(fā)配置,支持不同的用戶配置不同的身份驗(yàn)證策略,針對(duì)不同的用戶分配不同的應(yīng)用訪問(wèn)權(quán)限進(jìn)行精細(xì)化的控制�����,并且基于信任模型對(duì)用戶的訪問(wèn)風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)評(píng)估�����,動(dòng)態(tài)調(diào)整其安全策略����,以達(dá)到最大程度弱化內(nèi)部安全事件發(fā)生的風(fēng)險(xiǎn)。
3.建立統(tǒng)一的訪問(wèn)門(mén)戶�����,個(gè)性化按“需”配置
在用戶終端建立統(tǒng)一的辦公入口��,進(jìn)行多因子身份驗(yàn)證��、設(shè)備驗(yàn)證��、數(shù)據(jù)安全防護(hù)(數(shù)字水印���、防打印、防復(fù)制、防下載等)����;個(gè)性化Portal頁(yè)面作為遠(yuǎn)程辦公工作臺(tái),可以滿足各類(lèi)用戶Web業(yè)務(wù)訪問(wèn)(OA��、CRM等)�、遠(yuǎn)程研發(fā)(通過(guò)瀏覽器遠(yuǎn)程桌面訪問(wèn)公司內(nèi)網(wǎng)主機(jī))、遠(yuǎn)程運(yùn)維(通過(guò)瀏覽器SSH工具訪問(wèn)公司內(nèi)網(wǎng)設(shè)備)等多種需求�����。用戶通過(guò)點(diǎn)擊應(yīng)用圖標(biāo)即可直接訪問(wèn)被授權(quán)的應(yīng)用系統(tǒng)�,實(shí)現(xiàn)了首頁(yè)按“需”定制,業(yè)務(wù)按“需”分配�,消息按“需”提醒。
4.業(yè)務(wù)系統(tǒng)應(yīng)用隱身���,將企業(yè)內(nèi)網(wǎng)應(yīng)用暴露的攻擊面降到最低
解決業(yè)務(wù)系統(tǒng)暴露問(wèn)題����,使用零信任安全網(wǎng)關(guān)將企業(yè)內(nèi)網(wǎng)應(yīng)用隱身���,只有通過(guò)認(rèn)證授權(quán)的用戶使用安全瀏覽器才能與零信任網(wǎng)關(guān)和應(yīng)用系統(tǒng)建立加密連接�����,非授權(quán)的用戶無(wú)法掃描到核心應(yīng)用�,從而實(shí)現(xiàn)了最細(xì)粒度的應(yīng)用隔離。對(duì)企業(yè)內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)進(jìn)行“隱身”��,將企業(yè)內(nèi)網(wǎng)應(yīng)用暴露的攻擊面降到最低�。
5.統(tǒng)一的安全信任評(píng)估,及時(shí)發(fā)現(xiàn)用戶的異常登錄和異常訪問(wèn)行為
以綜合安全管控平臺(tái)為系統(tǒng)的安全大腦�,對(duì)安全瀏覽器的用戶和設(shè)備進(jìn)行全方位認(rèn)證,實(shí)現(xiàn)對(duì)接企業(yè)已有的身份管理系統(tǒng)和安全策略��,并且基于信任模型對(duì)用戶的訪問(wèn)風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)評(píng)估����,動(dòng)態(tài)調(diào)整其安全策略;此外通過(guò)AI技術(shù)對(duì)瀏覽器��、安全網(wǎng)關(guān)上報(bào)的各類(lèi)行為審計(jì)日志進(jìn)行大數(shù)據(jù)智能分析��,幫助用戶進(jìn)行全局的辦公安全態(tài)勢(shì)感知�,及時(shí)發(fā)現(xiàn)用戶的異常登錄和異常訪問(wèn)行為��。
任子行零信任遠(yuǎn)程接入安全防護(hù)解決方案優(yōu)勢(shì)
任子行零信任遠(yuǎn)程接入安全防護(hù)解決方案�,采用SDP的技術(shù)模型�����,以企業(yè)專(zhuān)用安全瀏覽器的方式將認(rèn)證客戶端與Web應(yīng)用整合����,在實(shí)現(xiàn)零信任核心安全理念的同時(shí)又為用戶帶來(lái)了方便快捷的使用體驗(yàn)��。這種“輕量級(jí)”的實(shí)施方案�����,有助于企業(yè)快速落地零信任安全模型����,使得“零信任”應(yīng)用訪問(wèn)成為企業(yè)安全防護(hù)架構(gòu)中最基礎(chǔ)的防護(hù)設(shè)施。
零信任安全建設(shè)是一個(gè)系統(tǒng)工程����,需要頂層設(shè)計(jì),逐步建設(shè)�,不能一蹴而就。未來(lái)��,任子行將繼續(xù)專(zhuān)注于技術(shù)的深入研究與研發(fā)����,以期最終實(shí)現(xiàn)安全防護(hù)與零信任體系相結(jié)合����,最大限度提升企業(yè)網(wǎng)絡(luò)安全防護(hù)能力��,為國(guó)家網(wǎng)絡(luò)安全建設(shè)貢獻(xiàn)一份力量�����。
公安備案號(hào):44030502000376