一、案例背景

為促進(jìn)和推動(dòng)重點(diǎn)單位和行業(yè)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施和行業(yè)重要系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)，2016年以來(lái)，公安部每年組織國(guó)家級(jí)的網(wǎng)絡(luò)攻防實(shí)戰(zhàn)演習(xí)。演習(xí)采用實(shí)戰(zhàn)方式，選取國(guó)內(nèi)數(shù)十支頂尖網(wǎng)絡(luò)安全攻擊隊(duì)伍對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和重點(diǎn)單位運(yùn)營(yíng)者的信息系統(tǒng)和網(wǎng)絡(luò)設(shè)施進(jìn)行實(shí)戰(zhàn)攻擊。根據(jù)國(guó)家網(wǎng)絡(luò)安全相關(guān)法律法規(guī)及集團(tuán)公司相關(guān)要求，為進(jìn)一步降低互聯(lián)網(wǎng)暴露面，減少網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，區(qū)公司組織相關(guān)單位完善了互聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全管理要求和系統(tǒng)入網(wǎng)申請(qǐng)流程，進(jìn)一步加強(qiáng)對(duì)互聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全管理。
 

一方面，為了實(shí)現(xiàn)安全的遠(yuǎn)程接入辦公，亟需采取一套比傳統(tǒng)安全技術(shù)和架構(gòu)具有顯著提升的新架構(gòu)、新技術(shù)或新產(chǎn)品來(lái)解決以上問(wèn)題，新的網(wǎng)絡(luò)安全架構(gòu)必須采用零信任安全架構(gòu)，新的網(wǎng)絡(luò)安全架構(gòu)需能夠很好的適用于該場(chǎng)景下，并在經(jīng)過(guò)測(cè)試后，VPN異構(gòu)產(chǎn)品能夠很好的解決VPN設(shè)備出現(xiàn)的安全問(wèn)題。

另一方面，在信息化高速發(fā)展時(shí)期，云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等新興技術(shù)的應(yīng)用，為各行各業(yè)的信息化建設(shè)帶來(lái)了顛覆性的變革和超高速的發(fā)展的同時(shí)也為信息安全的防護(hù)帶來(lái)了諸多挑戰(zhàn)，主要表現(xiàn)如下：

1.互聯(lián)網(wǎng)的飛速發(fā)展突破了業(yè)務(wù)常規(guī)的時(shí)間、空間限制，移動(dòng)化、碎片化的訪問(wèn)方式，導(dǎo)致網(wǎng)絡(luò)的邊界越來(lái)越模糊，企業(yè)的安全邊界極易被泛化；
 

2.大量業(yè)務(wù)大規(guī)模向云上遷移，數(shù)據(jù)的集中導(dǎo)致傳統(tǒng)物理邊界之外的數(shù)據(jù)和基礎(chǔ)設(shè)施成為高價(jià)值的攻擊目標(biāo)；
 

3.應(yīng)用系統(tǒng)的日益增加和累積，導(dǎo)致企業(yè)資產(chǎn)在互聯(lián)網(wǎng)上的攻擊暴露面不斷擴(kuò)大，攻擊者總能比用戶(hù)更早的發(fā)現(xiàn)漏洞；
 

4.日益繁多的業(yè)務(wù)系統(tǒng)導(dǎo)致管理和訪問(wèn)的難度不斷提升，以賬戶(hù)、憑證為基礎(chǔ)的訪問(wèn)方式已經(jīng)無(wú)法確保身份的可信度；
 

5.基于內(nèi)網(wǎng)用戶(hù)、設(shè)備和流量可信假設(shè)的傳統(tǒng)邊界思維，無(wú)法有效抵御來(lái)自企業(yè)網(wǎng)絡(luò)內(nèi)部的威脅，攻擊者的滲入、員工的疏忽，都會(huì)導(dǎo)致數(shù)據(jù)泄露。

因此，亟需一套新的安全體系來(lái)滿(mǎn)足現(xiàn)有的企業(yè)信息安全防護(hù)要求。二、案例概述

在加快新型基礎(chǔ)設(shè)施建設(shè)（“新基建”）以及數(shù)字化轉(zhuǎn)型的大背景下，以云計(jì)算為代表的新技術(shù)基礎(chǔ)設(shè)施與5G為代表的通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施作為“新基建”的底座，都面臨轉(zhuǎn)型升級(jí)，以更好地支撐各行各業(yè)全面數(shù)字化轉(zhuǎn)型的要求。
 

一方面，作為三大運(yùn)營(yíng)商之一，通過(guò)新建系統(tǒng)100%上云，存量系統(tǒng)"關(guān)移轉(zhuǎn)并"三年上云，解決實(shí)際業(yè)務(wù)問(wèn)題，降本增效提感知，助推企業(yè)數(shù)字化轉(zhuǎn)型的同時(shí)，上云后暴露在互聯(lián)網(wǎng)的數(shù)據(jù)和業(yè)務(wù)，因企業(yè)訪問(wèn)失去了邊界，由原有的傳統(tǒng)企業(yè)內(nèi)網(wǎng)直接拓展到互聯(lián)網(wǎng)，面臨著極高的安全風(fēng)險(xiǎn)。具體表現(xiàn)如下：

1.信息集中導(dǎo)致攻擊目標(biāo)明確

某市營(yíng)業(yè)廳日常訪問(wèn)的業(yè)務(wù)支撐系統(tǒng)上云后，使得云端平臺(tái)存儲(chǔ)了大量的高價(jià)值數(shù)據(jù)資源，業(yè)務(wù)和數(shù)據(jù)的集中造成了目標(biāo)的集中和風(fēng)險(xiǎn)的集中，成為了黑產(chǎn)最主要的攻擊和竊取目標(biāo)。
 

2.多元訪問(wèn)導(dǎo)致權(quán)限管理雜亂

云端部署了大量業(yè)務(wù)支撐系統(tǒng)，不同員工需要在特定環(huán)境下訪問(wèn)不同的業(yè)務(wù)系統(tǒng)，因授權(quán)板塊分散，用戶(hù)權(quán)限不集中管控，導(dǎo)致用戶(hù)權(quán)限無(wú)法動(dòng)態(tài)分配、實(shí)時(shí)更新，存在大量權(quán)限開(kāi)放或無(wú)人使用的風(fēng)險(xiǎn)賬號(hào)。
 

3.封閉端口導(dǎo)致遠(yuǎn)程訪問(wèn)困難

為避免黑客的攻擊和掃描，云端主機(jī)不能在互聯(lián)網(wǎng)上暴露訪問(wèn)端口，不能使用VPN訪問(wèn)。但員工在家辦公或出差時(shí)，有遠(yuǎn)程訪問(wèn)云上業(yè)務(wù)系統(tǒng)的需求。
 

另一方面，該運(yùn)營(yíng)商面臨著兼顧員工日常辦公場(chǎng)景和營(yíng)業(yè)廳業(yè)務(wù)場(chǎng)景穩(wěn)定運(yùn)行雙重挑戰(zhàn)。在辦公場(chǎng)景下，原有接入方式;一次連接，永久授權(quán)，存在安全隱患；端口暴露在互聯(lián)網(wǎng)上，極易被攻擊者利用等諸多風(fēng)險(xiǎn)問(wèn)題，需要實(shí)時(shí)監(jiān)測(cè)內(nèi)網(wǎng)終端、主機(jī)、虛擬資源的健康狀態(tài)，并能夠有效防止安全威脅橫向擴(kuò)散，加強(qiáng)對(duì)員工建立身份識(shí)別與訪問(wèn)管理體系，確保訪問(wèn)人員可信;，訪問(wèn)權(quán)限可控，訪問(wèn)行為可視。營(yíng)業(yè)廳場(chǎng)景下，原有VPN連接不穩(wěn)定，影響業(yè)務(wù)辦理體驗(yàn)，認(rèn)證方式單一，用戶(hù)名密碼可能會(huì)被盜用等風(fēng)險(xiǎn)問(wèn)題凸出。需要確保在最大并發(fā)用戶(hù)數(shù)情況下的不同用戶(hù)角色便捷、高效、安全的接入訪問(wèn)各個(gè)業(yè)務(wù)系統(tǒng)的需求。

三、安全技術(shù)應(yīng)用情況
 

任子行零信任安全防護(hù)解決方案

基于零信任安全理念，根據(jù)客戶(hù)業(yè)務(wù)支撐系統(tǒng)上云后的信息安全需求，提供零信任遠(yuǎn)程接入安全防護(hù)解決方案，助力用戶(hù)加強(qiáng)云端數(shù)據(jù)與業(yè)務(wù)安全保護(hù)，有效管理員工訪問(wèn)權(quán)限，動(dòng)態(tài)控制遠(yuǎn)程訪問(wèn)安全，通過(guò)對(duì)人、終端和系統(tǒng)都進(jìn)行識(shí)別、訪問(wèn)控制、實(shí)現(xiàn)全面的身份化，成功建立網(wǎng)絡(luò)安全新邊界。

具體建設(shè)方案如下：

1.集中訪問(wèn)通道，應(yīng)用隱身，縮小攻擊暴露面

業(yè)務(wù)支撐系統(tǒng)上云后，必須使用云主機(jī)訪問(wèn)業(yè)務(wù)系統(tǒng)。通過(guò)部署零信任安全網(wǎng)關(guān)，將企業(yè)內(nèi)網(wǎng)應(yīng)用隱身，只有通過(guò)認(rèn)證授權(quán)的用戶(hù)使用安全瀏覽器才能與零信任網(wǎng)關(guān)和應(yīng)用系統(tǒng)建立加密連接，非授權(quán)的用戶(hù)無(wú)法掃描到核心應(yīng)用，從而實(shí)現(xiàn)了最細(xì)粒度的應(yīng)用隔離。對(duì)企業(yè)內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)進(jìn)行隱身，將企業(yè)內(nèi)網(wǎng)應(yīng)用暴露的攻擊面降到最低。
 

2.統(tǒng)一權(quán)限管控，權(quán)限最小，防止威脅橫向擴(kuò)散

通過(guò)層層授權(quán)與防御機(jī)制，只授予員工辦公所需的應(yīng)用訪問(wèn)權(quán)限，應(yīng)用級(jí)最小授權(quán)給用戶(hù)，精細(xì)化管理用戶(hù)權(quán)限。并根據(jù)用戶(hù)訪問(wèn)的設(shè)備及網(wǎng)絡(luò)環(huán)境，基于信任模型判定用戶(hù)安全級(jí)別，限定不同安全級(jí)別用戶(hù)可訪問(wèn)的應(yīng)用。
 

3.動(dòng)態(tài)訪問(wèn)控制，評(píng)估智能，降低數(shù)據(jù)泄露風(fēng)險(xiǎn)

始終假設(shè)網(wǎng)絡(luò)充滿(mǎn)威脅，不信任任何網(wǎng)絡(luò)、人、設(shè)備/系統(tǒng)，基于員工身份庫(kù)，實(shí)現(xiàn)多因子身份認(rèn)證，基于訪問(wèn)環(huán)境，動(dòng)態(tài)控制用戶(hù)的訪問(wèn)策略，基于用戶(hù)行為分析，持續(xù)驗(yàn)證用戶(hù)身份合法性。精細(xì)化控制用戶(hù)遠(yuǎn)程訪問(wèn)權(quán)限，傳輸鏈路應(yīng)采取加密措施，保證數(shù)據(jù)傳輸?shù)陌踩?弱化內(nèi)部數(shù)據(jù)泄露的風(fēng)險(xiǎn)。
 

4.建立統(tǒng)一業(yè)務(wù)系統(tǒng)，門(mén)戶(hù)統(tǒng)一，提升用戶(hù)訪問(wèn)體驗(yàn)

智行零信任安全瀏覽器集成SSO單點(diǎn)登錄能力，只需一次瀏覽器認(rèn)證，即可單賬號(hào)無(wú)縫訪問(wèn)內(nèi)外網(wǎng)環(huán)境應(yīng)用，消除切換賬號(hào)困擾，提升用戶(hù)訪問(wèn)體驗(yàn)。

四、客戶(hù)反饋效果

客戶(hù)評(píng)價(jià)

在項(xiàng)目實(shí)施過(guò)程中，零信任團(tuán)隊(duì)面臨客戶(hù)環(huán)境多樣性、網(wǎng)絡(luò)復(fù)雜性等多方面挑戰(zhàn)。零信任產(chǎn)品上線可在不破壞原有客戶(hù)環(huán)境的情況下進(jìn)行，因此需要對(duì)客戶(hù)外接設(shè)備進(jìn)行逐一對(duì)接，對(duì)客戶(hù)網(wǎng)絡(luò)環(huán)境進(jìn)行深度適配。同時(shí)，通過(guò)部署任子行智行零信任安全防護(hù)產(chǎn)品，幫助用戶(hù)解決遠(yuǎn)程辦公場(chǎng)景下的各種風(fēng)險(xiǎn)問(wèn)題的同時(shí)，大大提升了用戶(hù)體驗(yàn)和辦公效率。對(duì)此，客戶(hù)給與任子行產(chǎn)品和技術(shù)服務(wù)高度評(píng)價(jià)。

安全風(fēng)險(xiǎn)降低情況及使用效果情況

1.信息安全加強(qiáng)：身份管理體系作為信息安全加強(qiáng)的重要舉措，可有效保障公司機(jī)密及業(yè)務(wù)數(shù)據(jù)的安全使用，保護(hù)其信息資產(chǎn)不受勒索軟件、犯罪黑客行為、網(wǎng)絡(luò)釣魚(yú)和其他惡意軟件攻擊的威脅，加強(qiáng)內(nèi)部人員規(guī)范管理；平均減少了31%的重復(fù)身份。
 

2.業(yè)務(wù)流程風(fēng)險(xiǎn)控制：業(yè)務(wù)流程風(fēng)險(xiǎn)控制作為管理核心，身份治理體系可加強(qiáng)內(nèi)外部相關(guān)人員訪問(wèn)的硬件設(shè)備及業(yè)務(wù)系統(tǒng)進(jìn)行集中管控，同時(shí)從管理制度、合規(guī)性、審計(jì)要求進(jìn)行內(nèi)部風(fēng)險(xiǎn)控制；通過(guò)自動(dòng)化的賬號(hào)創(chuàng)建、變更、回收及重復(fù)密碼工作，提升IT部門(mén)91%的運(yùn)維效率。
 

3.提高企業(yè)生產(chǎn)力：為有效滿(mǎn)足信息系統(tǒng)對(duì)業(yè)務(wù)的快捷響應(yīng)能力，減少保護(hù)用戶(hù)憑證和訪問(wèn)權(quán)限的復(fù)雜性及開(kāi)銷(xiāo)，打造一套標(biāo)準(zhǔn)化、規(guī)范化、敏捷度高的身份管理平臺(tái)成為經(jīng)營(yíng)發(fā)展的基礎(chǔ)保障，可極大提高企業(yè)生產(chǎn)力。通過(guò)集中的用戶(hù)管理模塊，訪問(wèn)認(rèn)證模塊及合規(guī)審計(jì)模塊的統(tǒng)一建設(shè)，有效減少88%的信息化重復(fù)投入。
 

4.降低運(yùn)營(yíng)成本：實(shí)現(xiàn)身份管理和相關(guān)最佳實(shí)踐，可以多種形式帶來(lái)重大競(jìng)爭(zhēng)優(yōu)勢(shì)。大多數(shù)公司需要為外部用戶(hù)賦予到內(nèi)部系統(tǒng)的訪問(wèn)權(quán)限。向客戶(hù)、合作伙伴、供應(yīng)商、承包商和雇員開(kāi)放業(yè)務(wù)融合，可提升效率，降低運(yùn)營(yíng)成本。用戶(hù)從打開(kāi)網(wǎng)頁(yè)到登錄進(jìn)系統(tǒng)的訪問(wèn)時(shí)間，通過(guò)統(tǒng)一認(rèn)證與SSO，提升73%的用戶(hù)訪問(wèn)效率。
 

5.滿(mǎn)足合規(guī)要求：通過(guò)加強(qiáng)身份治理，基于業(yè)務(wù)場(chǎng)景的人、終端、環(huán)境、鏈路、流量、資產(chǎn)、行為上下文、內(nèi)容等多維的因素進(jìn)行風(fēng)險(xiǎn)計(jì)算動(dòng)態(tài)調(diào)整用戶(hù)訪問(wèn)權(quán)限，確保訪問(wèn)人員可信、訪問(wèn)終端可信、訪問(wèn)行為可信；為企業(yè)構(gòu)建具備較強(qiáng)風(fēng)險(xiǎn)應(yīng)對(duì)能力的動(dòng)態(tài)自適應(yīng)網(wǎng)絡(luò)安全閉環(huán)體系，滿(mǎn)足國(guó)家相關(guān)法律法規(guī)及標(biāo)準(zhǔn)要求。