日韩理论片在线观看_野花日本完整版免费观看_国产欧美国产综合每日更新_国产免费网站

EN

某軍工研究所零信任實(shí)踐案例

發(fā)布時(shí)間:2021-11-18
瀏覽量: 8683


、案例背景

隨著(zhù)云計算、大數據、物聯(lián)網(wǎng)、SDN等新技術(shù)的快速應用,信息化的高速發(fā)展使得業(yè)務(wù)規模不斷擴大,分支站點(diǎn)數量不斷增加。傳統運維方式受地理位置和IT資源限制,無(wú)法做到實(shí)時(shí)監測到各個(gè)分支設備的運行狀態(tài),無(wú)法掌握設備系統資源變化趨勢。當設備故障發(fā)生時(shí),運維服務(wù)人員不能第一時(shí)間得到故障信息、設備狀態(tài)、設備的歷史記錄等,無(wú)法做出有效的應對和處理,只能到現場(chǎng)后才能診斷。這樣導致故障的修復時(shí)間長(cháng)、運維效率低、影響信息系統的正常運行。

同時(shí)隨著(zhù)運維精細化要求的日益提升,部署場(chǎng)景復雜化,導致用戶(hù)對數據分析的要求也越來(lái)越高,借助海量的日志數據,提前定位和預知各類(lèi)安全威脅,從而進(jìn)行趨勢預測、數據分析和多維度評估,為運維決策提供有力依據。各行各業(yè)信息化建設不斷深入和完善,良好的運維體系成為了信息化系統健康有序運營(yíng)的必要支撐,因此建立運維故障智能分析模型,實(shí)現快速定位分析和遠程故障排查能力,保障業(yè)務(wù)高可用性,構建新型智能化運維管理體系,成為信息化建設不可分割的部分。


二、案例概述 

通過(guò)對信息化建設和運維管理現狀的調研和深入分析后,了解到目前客戶(hù)IT運維發(fā)展的現狀及面臨的風(fēng)險挑戰如下:

1.各分支機構和總部之間雖有專(zhuān)線(xiàn)形成了一個(gè)局域網(wǎng)用于業(yè)務(wù)的訪(fǎng)問(wèn)和通信加密傳輸安全保障,各業(yè)務(wù)都在一個(gè)局域網(wǎng)里面,未做到業(yè)務(wù)與業(yè)務(wù)之間的隔離,還是存在業(yè)務(wù)交叉泄露的風(fēng)險。

2.各分支機構對接入網(wǎng)絡(luò )的設備、資產(chǎn)、終端未進(jìn)行實(shí)名的身份安全,存在身份被冒用的風(fēng)險,對于訪(fǎng)問(wèn)的業(yè)務(wù)也無(wú)法做到基于身份的細粒度授權,從而導致資源訪(fǎng)問(wèn)混亂和信息泄密的風(fēng)險。

3.分支機構不斷增加,組網(wǎng)規模不斷擴大,缺少一套針對組網(wǎng)設備的統一監控系統,及時(shí)了解邊界網(wǎng)關(guān)硬件設備的運行趨勢,快速故障定位,高效處理故障的解決方案;

4.業(yè)務(wù)服務(wù)的規模增大,規劃、維護、安全、管理等分工更加細致,缺乏對業(yè)務(wù)系統健康狀況和運行安全的監測,及時(shí)了解邊界網(wǎng)關(guān)硬件設備的運行趨勢,快速故障定位,高效處置故障、全網(wǎng)可視化的安全態(tài)勢感知和深層次的安全風(fēng)險分析。

5.缺少終端管控手段,對于所有接入業(yè)務(wù)網(wǎng)絡(luò )的科研、生產(chǎn)和管理用的計算機都處于受控狀態(tài),不受管理的計算機不能連入到內網(wǎng),對于接入內網(wǎng)的計算機的操作都需要進(jìn)行管控和審計,避免數據泄露。

6.邊界網(wǎng)關(guān)設備部署量不斷增多,管理流程日益復雜,管理成本不斷上升,缺乏能夠真實(shí)反映設備和業(yè)務(wù)運行情況與運行質(zhì)量的統計分析報表,無(wú)法為運維、擴容調優(yōu)提供有效的數據支撐。

三、安全技術(shù)應用情況

智行零信任安全解決方案

整個(gè)安全體系建設方案分為網(wǎng)絡(luò )隔離、訪(fǎng)問(wèn)控制、終端控制三個(gè)部分。具體如下:

圖片11111111111111.png

1.專(zhuān)線(xiàn)內的隔離采用SD-WAN部署方案

利用SD-WAN的技術(shù)在現有的專(zhuān)線(xiàn)內網(wǎng)里面組件一個(gè)或者多個(gè)隔離的業(yè)務(wù)專(zhuān)網(wǎng),用于分割不同的業(yè)務(wù)避免業(yè)務(wù)交叉,保障各業(yè)務(wù)網(wǎng)絡(luò )的獨立性和安全性。

在總部中心部署SD-WAN智能管理平臺,納管總部及分支機構Edge智能網(wǎng)關(guān)設備,實(shí)現整網(wǎng)的統一編排、實(shí)時(shí)監控,達成網(wǎng)絡(luò )整體運營(yíng)的歸一化??偛拷尤胛恢貌渴鸶咝阅蹺dge網(wǎng)關(guān),來(lái)對分支機構的上聯(lián)數據流量進(jìn)行整合調度。各分支機構上聯(lián)位置部署Edge網(wǎng)關(guān),對相關(guān)業(yè)務(wù)數據進(jìn)行分類(lèi)、檢測、加固、調度。根據各項目工作組的業(yè)務(wù)需求和組網(wǎng)要求,由智能管理平臺統一模板化下發(fā)篩選調度策略,實(shí)現業(yè)務(wù)工作組內的虛擬專(zhuān)網(wǎng)組建,達到工作組內高效互聯(lián)、工作組外隔離和訪(fǎng)問(wèn)受控的網(wǎng)絡(luò )要求。

2.專(zhuān)網(wǎng)內的終端接入訪(fǎng)問(wèn)控制安全部署方案

采用零信任安全理念對每個(gè)接入隔離業(yè)務(wù)專(zhuān)網(wǎng)的計算機終端進(jìn)行全面的身份認證和動(dòng)態(tài)訪(fǎng)問(wèn)控制授權,保障只有被許可的人員訪(fǎng)問(wèn)被授權的業(yè)務(wù)資源。在SD-WAN形成的業(yè)務(wù)專(zhuān)網(wǎng)里部署一臺零信任安全網(wǎng)關(guān)和零信任安全大腦,作為所有專(zhuān)網(wǎng)內用戶(hù)的身份認證及訪(fǎng)問(wèn)業(yè)務(wù)系統的代理,訪(fǎng)問(wèn)控制和授權所有訪(fǎng)問(wèn)業(yè)務(wù)系統的終端必須安裝零信任安全瀏覽器或者客戶(hù)端,零信任安全大腦對所有訪(fǎng)問(wèn)業(yè)務(wù)系統的瀏覽器和客戶(hù)端進(jìn)行身份認證和授權,未安裝客戶(hù)端的用戶(hù)無(wú)法看到和訪(fǎng)問(wèn)業(yè)務(wù)系統。

3.專(zhuān)網(wǎng)內的終端安全管控與零信任相結合部署方案

采用終端管控技術(shù)對用戶(hù)的訪(fǎng)問(wèn)行為進(jìn)行進(jìn)一步的規范和控制,對于涉密的結構化數據和非結構化數據進(jìn)行管控和審計,防止數據泄密。終端管理與零信任相結合,為訪(fǎng)問(wèn)控制決策提供更加豐富的數據源支撐?;诹阈湃伟踩砟?,以身份管控和動(dòng)態(tài)授權確保業(yè)務(wù)訪(fǎng)問(wèn)安全,以準入控制和介質(zhì)管控確保終端接入安全。

四、客戶(hù)反饋效果

安全風(fēng)險降低情況及使用效果情況

1.健全身份認證系統,加強身份生命周期管理

建設統一身份管理系統。實(shí)現職工在入職、升職、轉崗、調動(dòng)、離職等場(chǎng)景下信息系統賬號的全生命周期管理,建立無(wú)縫的用戶(hù)身份管理體系;完善安全認證系統,為應用系統提供統一的靜態(tài)口令、短信驗證碼、動(dòng)態(tài)令牌等認證方式,并預留未來(lái)指紋、虹膜、人臉等生物識別認證手段的接入準備;集成本單位主要信息系統,將本單位主要信息系統接入至統一身份認證管理系統平臺,充分利用平臺作為身份安全基礎設施提供的身份管理統一認證能力,同時(shí)支持對接上級單位信息系統。

2.實(shí)現動(dòng)態(tài)訪(fǎng)問(wèn)控制,重構網(wǎng)絡(luò )安全訪(fǎng)問(wèn)邊界

以身份為中心,通過(guò)應用層業(yè)務(wù)代理縮小各個(gè)業(yè)務(wù)系統的暴露面,統一用戶(hù)對業(yè)務(wù)系統的訪(fǎng)問(wèn)入口,根據用戶(hù)身份按需開(kāi)放業(yè)務(wù)入口,同時(shí)基于零信任安全理念,遵循以下三個(gè)原則:

網(wǎng)絡(luò )無(wú)特權化原則:不靠網(wǎng)絡(luò )位置建立信任關(guān)系,所有用戶(hù)、設備和訪(fǎng)問(wèn)都應該被認證、授權和加密;

信任最小化原則:在網(wǎng)絡(luò )層面,用戶(hù)只能“看見(jiàn)”和“接觸”到他所需要的訪(fǎng)問(wèn)的業(yè)務(wù)系統,獲得最小權限;

權限動(dòng)態(tài)化原則:訪(fǎng)問(wèn)控制策略應該是動(dòng)態(tài)的,應基于盡量多的數據源進(jìn)行計算和評估。

提升零信任訪(fǎng)問(wèn)控制中心能力,建設零信任安全大腦,將網(wǎng)絡(luò )安全基礎設施納入分析數據源,針對訪(fǎng)問(wèn)主體和訪(fǎng)問(wèn)客體進(jìn)行持續的信任評估,實(shí)現動(dòng)態(tài)的訪(fǎng)問(wèn)控制。

3.建立虛擬專(zhuān)用網(wǎng)絡(luò ),確保分支安全便捷組網(wǎng)

基于現有Internet、MPLS、LTE等任意鏈路,采用Overlay技術(shù)部署SD-WAN,針對各業(yè)務(wù)搭建業(yè)務(wù)專(zhuān)網(wǎng),各業(yè)務(wù)專(zhuān)網(wǎng)之間進(jìn)行隔離,以保障業(yè)務(wù)自身網(wǎng)絡(luò )的獨立性和安全性。

通過(guò)平臺化的智能管理,納管總部及分支機構的接入網(wǎng)關(guān)設備,實(shí)現整網(wǎng)的統一編排、實(shí)時(shí)監控,達成網(wǎng)絡(luò )整體運營(yíng)的歸一化。

4.強化終端基線(xiàn)管控,牢筑數據安全防御壁壘

終端安全管理系統與環(huán)境安全監測中心實(shí)現聯(lián)動(dòng),將現有能力結合終端進(jìn)程、終端用戶(hù)行為納入基線(xiàn)管控,并能有效支撐訪(fǎng)問(wèn)控制策略決策。

在端側集成網(wǎng)絡(luò )準入控制、存儲介質(zhì)管控、文檔不落地、文件外發(fā)管控等功能,強化數據安全防護能力。

5.增強資產(chǎn)威脅感知,構建應用信任評估體系

態(tài)勢感知與安全運營(yíng)平臺和網(wǎng)絡(luò )安全監測分析中心實(shí)現聯(lián)動(dòng),通過(guò)EDR、結合用戶(hù)訪(fǎng)問(wèn)行為全面提升現有資產(chǎn)及流量的威脅感知能力,同時(shí)有效支撐訪(fǎng)問(wèn)控制策略決策,及時(shí)避免威脅向用戶(hù)側反向或資產(chǎn)側橫向擴散。

6.協(xié)同運維工作空間,創(chuàng )建統一運維安全體系

基于零信任安全理念打造的一整套全新的、符合中心化管理、即插即用、靈活擴展的IT運維管理與安全審計解決方案,構建總分型機構內部IT運維服務(wù)支撐環(huán)境的同時(shí),充分滿(mǎn)足IT運維管理過(guò)程中對運維安全、服務(wù)成本和服務(wù)質(zhì)量的訴求,搭建精簡(jiǎn)、高效、安全的IT運維管理體系,幫助IT運維管理人員全面應對各類(lèi)運維資源及運維事件,同時(shí)進(jìn)行集中賬號管理、精細化的權限管理和過(guò)程審計,提升風(fēng)險控制水平,同時(shí)保障內部數據和信息的安全。在遠程IT服務(wù)方面,保障IT技術(shù)人員、合作伙伴以及第三方運維服務(wù)團隊可以在任何時(shí)間、地點(diǎn)和設備上安全完成IT的運維管理工作,并能實(shí)現高效的線(xiàn)上和線(xiàn)下、以及線(xiàn)上和線(xiàn)上全方位的協(xié)同工作。


開(kāi)始試用任子行產(chǎn)品
申請試用

20年公安服務(wù)經(jīng)驗

7*24小時(shí)應急響應中心

自主知識產(chǎn)權的產(chǎn)品裝備

專(zhuān)家級安全服務(wù)團隊

網(wǎng)絡(luò )空間數據治理專(zhuān)家

榮獲國家科學(xué)技術(shù)二等獎

置頂
電話(huà)

400-700-1218

官方熱線(xiàn)電話(huà)

咨詢(xún)
留言
二維碼
微信公眾號
公司微博