一����、案例背景
為促進和推動重點單位和行業(yè)對關鍵信息基礎設施和行業(yè)重要系統(tǒng)的網(wǎng)絡安全保護�����,2016年以來,公安部每年組織國家級的網(wǎng)絡攻防實戰(zhàn)演習����。演習采用實戰(zhàn)方式,選取國內數(shù)十支頂尖網(wǎng)絡安全攻擊隊伍對關鍵信息基礎設施運營者和重點單位運營者的信息系統(tǒng)和網(wǎng)絡設施進行實戰(zhàn)攻擊�����。根據(jù)國家網(wǎng)絡安全相關法律法規(guī)及集團公司相關要求����,為進一步降低互聯(lián)網(wǎng)暴露面,減少網(wǎng)絡攻擊風險�����,區(qū)公司組織相關單位完善了互聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡安全管理要求和系統(tǒng)入網(wǎng)申請流程�����,進一步加強對互聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡安全管理。
一方面�����,為了實現(xiàn)安全的遠程接入辦公����,亟需采取一套比傳統(tǒng)安全技術和架構具有顯著提升的新架構、新技術或新產品來解決以上問題����,新的網(wǎng)絡安全架構必須采用零信任安全架構,新的網(wǎng)絡安全架構需能夠很好的適用于該場景下����,并在經(jīng)過測試后,VPN異構產品能夠很好的解決VPN設備出現(xiàn)的安全問題����。
另一方面�����,在信息化高速發(fā)展時期����,云計算�����、大數(shù)據(jù)����、物聯(lián)網(wǎng)�����、移動互聯(lián)網(wǎng)等新興技術的應用�����,為各行各業(yè)的信息化建設帶來了顛覆性的變革和超高速的發(fā)展的同時也為信息安全的防護帶來了諸多挑戰(zhàn)�����,主要表現(xiàn)如下:
1.互聯(lián)網(wǎng)的飛速發(fā)展突破了業(yè)務常規(guī)的時間�����、空間限制�����,移動化、碎片化的訪問方式����,導致網(wǎng)絡的邊界越來越模糊,企業(yè)的安全邊界極易被泛化�����;
2.大量業(yè)務大規(guī)模向云上遷移����,數(shù)據(jù)的集中導致傳統(tǒng)物理邊界之外的數(shù)據(jù)和基礎設施成為高價值的攻擊目標;
3.應用系統(tǒng)的日益增加和累積�����,導致企業(yè)資產在互聯(lián)網(wǎng)上的攻擊暴露面不斷擴大����,攻擊者總能比用戶更早的發(fā)現(xiàn)漏洞;
4.日益繁多的業(yè)務系統(tǒng)導致管理和訪問的難度不斷提升�����,以賬戶����、憑證為基礎的訪問方式已經(jīng)無法確保身份的可信度;
5.基于內網(wǎng)用戶����、設備和流量可信假設的傳統(tǒng)邊界思維,無法有效抵御來自企業(yè)網(wǎng)絡內部的威脅����,攻擊者的滲入、員工的疏忽�����,都會導致數(shù)據(jù)泄露����。
因此,亟需一套新的安全體系來滿足現(xiàn)有的企業(yè)信息安全防護要求����。二、案例概述
在加快新型基礎設施建設(“新基建”)以及數(shù)字化轉型的大背景下,以云計算為代表的新技術基礎設施與5G為代表的通信網(wǎng)絡基礎設施作為“新基建”的底座�����,都面臨轉型升級����,以更好地支撐各行各業(yè)全面數(shù)字化轉型的要求。
一方面�����,作為三大運營商之一�����,通過新建系統(tǒng)100%上云�����,存量系統(tǒng)"關移轉并"三年上云�����,解決實際業(yè)務問題����,降本增效提感知����,助推企業(yè)數(shù)字化轉型的同時�����,上云后暴露在互聯(lián)網(wǎng)的數(shù)據(jù)和業(yè)務����,因企業(yè)訪問失去了邊界����,由原有的傳統(tǒng)企業(yè)內網(wǎng)直接拓展到互聯(lián)網(wǎng),面臨著極高的安全風險����。具體表現(xiàn)如下:
1.信息集中導致攻擊目標明確
某市營業(yè)廳日常訪問的業(yè)務支撐系統(tǒng)上云后,使得云端平臺存儲了大量的高價值數(shù)據(jù)資源�����,業(yè)務和數(shù)據(jù)的集中造成了目標的集中和風險的集中�����,成為了黑產最主要的攻擊和竊取目標。
2.多元訪問導致權限管理雜亂
云端部署了大量業(yè)務支撐系統(tǒng)�����,不同員工需要在特定環(huán)境下訪問不同的業(yè)務系統(tǒng)����,因授權板塊分散,用戶權限不集中管控����,導致用戶權限無法動態(tài)分配、實時更新�����,存在大量權限開放或無人使用的風險賬號�����。
3.封閉端口導致遠程訪問困難
為避免黑客的攻擊和掃描�����,云端主機不能在互聯(lián)網(wǎng)上暴露訪問端口,不能使用VPN訪問�����。但員工在家辦公或出差時����,有遠程訪問云上業(yè)務系統(tǒng)的需求����。
另一方面,該運營商面臨著兼顧員工日常辦公場景和營業(yè)廳業(yè)務場景穩(wěn)定運行雙重挑戰(zhàn)�����。在辦公場景下�����,原有接入方式;一次連接����,永久授權,存在安全隱患����;端口暴露在互聯(lián)網(wǎng)上�����,極易被攻擊者利用等諸多風險問題�����,需要實時監(jiān)測內網(wǎng)終端����、主機����、虛擬資源的健康狀態(tài),并能夠有效防止安全威脅橫向擴散�����,加強對員工建立身份識別與訪問管理體系����,確保訪問人員可信;,訪問權限可控����,訪問行為可視����。營業(yè)廳場景下�����,原有VPN連接不穩(wěn)定����,影響業(yè)務辦理體驗����,認證方式單一,用戶名密碼可能會被盜用等風險問題凸出����。需要確保在最大并發(fā)用戶數(shù)情況下的不同用戶角色便捷、高效�����、安全的接入訪問各個業(yè)務系統(tǒng)的需求�����。
三、安全技術應用情況
任子行零信任安全防護解決方案
基于零信任安全理念�����,根據(jù)客戶業(yè)務支撐系統(tǒng)上云后的信息安全需求����,提供零信任遠程接入安全防護解決方案,助力用戶加強云端數(shù)據(jù)與業(yè)務安全保護�����,有效管理員工訪問權限�����,動態(tài)控制遠程訪問安全����,通過對人、終端和系統(tǒng)都進行識別�����、訪問控制、實現(xiàn)全面的身份化�����,成功建立網(wǎng)絡安全新邊界�����。
具體建設方案如下:
1.集中訪問通道�����,應用隱身�����,縮小攻擊暴露面
業(yè)務支撐系統(tǒng)上云后�����,必須使用云主機訪問業(yè)務系統(tǒng)����。通過部署零信任安全網(wǎng)關����,將企業(yè)內網(wǎng)應用隱身�����,只有通過認證授權的用戶使用安全瀏覽器才能與零信任網(wǎng)關和應用系統(tǒng)建立加密連接����,非授權的用戶無法掃描到核心應用����,從而實現(xiàn)了最細粒度的應用隔離。對企業(yè)內網(wǎng)業(yè)務系統(tǒng)進行隱身����,將企業(yè)內網(wǎng)應用暴露的攻擊面降到最低。
2.統(tǒng)一權限管控�����,權限最小�����,防止威脅橫向擴散
通過層層授權與防御機制,只授予員工辦公所需的應用訪問權限����,應用級最小授權給用戶,精細化管理用戶權限����。并根據(jù)用戶訪問的設備及網(wǎng)絡環(huán)境,基于信任模型判定用戶安全級別����,限定不同安全級別用戶可訪問的應用。
3.動態(tài)訪問控制�����,評估智能�����,降低數(shù)據(jù)泄露風險
始終假設網(wǎng)絡充滿威脅�����,不信任任何網(wǎng)絡����、人、設備/系統(tǒng)�����,基于員工身份庫����,實現(xiàn)多因子身份認證,基于訪問環(huán)境����,動態(tài)控制用戶的訪問策略,基于用戶行為分析����,持續(xù)驗證用戶身份合法性。精細化控制用戶遠程訪問權限����,傳輸鏈路應采取加密措施,保證數(shù)據(jù)傳輸?shù)陌踩?弱化內部數(shù)據(jù)泄露的風險�����。
4.建立統(tǒng)一業(yè)務系統(tǒng),門戶統(tǒng)一�����,提升用戶訪問體驗
智行零信任安全瀏覽器集成SSO單點登錄能力����,只需一次瀏覽器認證,即可單賬號無縫訪問內外網(wǎng)環(huán)境應用�����,消除切換賬號困擾����,提升用戶訪問體驗。
四�����、客戶反饋效果
客戶評價
在項目實施過程中����,零信任團隊面臨客戶環(huán)境多樣性、網(wǎng)絡復雜性等多方面挑戰(zhàn)����。零信任產品上線可在不破壞原有客戶環(huán)境的情況下進行,因此需要對客戶外接設備進行逐一對接����,對客戶網(wǎng)絡環(huán)境進行深度適配。同時�����,通過部署任子行智行零信任安全防護產品����,幫助用戶解決遠程辦公場景下的各種風險問題的同時,大大提升了用戶體驗和辦公效率����。對此,客戶給與任子行產品和技術服務高度評價�����。
安全風險降低情況及使用效果情況
1.信息安全加強:身份管理體系作為信息安全加強的重要舉措�����,可有效保障公司機密及業(yè)務數(shù)據(jù)的安全使用,保護其信息資產不受勒索軟件�����、犯罪黑客行為�����、網(wǎng)絡釣魚和其他惡意軟件攻擊的威脅�����,加強內部人員規(guī)范管理����;平均減少了31%的重復身份。
2.業(yè)務流程風險控制:業(yè)務流程風險控制作為管理核心����,身份治理體系可加強內外部相關人員訪問的硬件設備及業(yè)務系統(tǒng)進行集中管控,同時從管理制度����、合規(guī)性、審計要求進行內部風險控制�����;通過自動化的賬號創(chuàng)建、變更�����、回收及重復密碼工作����,提升IT部門91%的運維效率����。
3.提高企業(yè)生產力:為有效滿足信息系統(tǒng)對業(yè)務的快捷響應能力,減少保護用戶憑證和訪問權限的復雜性及開銷����,打造一套標準化、規(guī)范化�����、敏捷度高的身份管理平臺成為經(jīng)營發(fā)展的基礎保障�����,可極大提高企業(yè)生產力。通過集中的用戶管理模塊�����,訪問認證模塊及合規(guī)審計模塊的統(tǒng)一建設����,有效減少88%的信息化重復投入。
4.降低運營成本:實現(xiàn)身份管理和相關最佳實踐�����,可以多種形式帶來重大競爭優(yōu)勢�����。大多數(shù)公司需要為外部用戶賦予到內部系統(tǒng)的訪問權限�����。向客戶�����、合作伙伴、供應商�����、承包商和雇員開放業(yè)務融合�����,可提升效率����,降低運營成本����。用戶從打開網(wǎng)頁到登錄進系統(tǒng)的訪問時間,通過統(tǒng)一認證與SSO�����,提升73%的用戶訪問效率�����。
5.滿足合規(guī)要求:通過加強身份治理����,基于業(yè)務場景的人����、終端����、環(huán)境、鏈路����、流量、資產�����、行為上下文����、內容等多維的因素進行風險計算動態(tài)調整用戶訪問權限,確保訪問人員可信�����、訪問終端可信����、訪問行為可信����;為企業(yè)構建具備較強風險應對能力的動態(tài)自適應網(wǎng)絡安全閉環(huán)體系����,滿足國家相關法律法規(guī)及標準要求。
公安備案號:44030502000376