在加快新型基礎(chǔ)設(shè)施建設(shè)（“新基建”）以及數(shù)字化轉(zhuǎn)型的大背景下，以云計(jì)算為代表的新技術(shù)基礎(chǔ)設(shè)施與5G為代表的通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施作為“新基建”的底座，都面臨轉(zhuǎn)型升級，以更好地支撐各行各業(yè)全面數(shù)字化轉(zhuǎn)型的要求。

電信作為三大運(yùn)營商之一，通過新建系統(tǒng)100%上云，存量系統(tǒng)"關(guān)移轉(zhuǎn)并"三年上云，解決實(shí)際業(yè)務(wù)問題，降本增效提感知，助推企業(yè)數(shù)字化轉(zhuǎn)型的同時，上云后暴露在互聯(lián)網(wǎng)的數(shù)據(jù)和業(yè)務(wù)，因企業(yè)訪問失去了邊界，由原有的傳統(tǒng)企業(yè)內(nèi)網(wǎng)直接拓展到互聯(lián)網(wǎng)，面臨著極高的安全風(fēng)險。

任子行結(jié)合零信任理念，根據(jù)某省電信的業(yè)務(wù)支撐系統(tǒng)上云后的信息安全需求，提供零信任遠(yuǎn)程接入安全防護(hù)解決方案，助力某省電信加強(qiáng)云端數(shù)據(jù)與業(yè)務(wù)安全保護(hù)，有效管理員工訪問權(quán)限，動態(tài)控制遠(yuǎn)程訪問安全，通過對人、終端和系統(tǒng)都進(jìn)行識別、訪問控制、跟蹤實(shí)現(xiàn)全面的身份化，成功建立網(wǎng)絡(luò)安全新邊界。

業(yè)務(wù)支撐系統(tǒng)上云后，必須使用云主機(jī)訪問業(yè)務(wù)系統(tǒng)。通過部署零信任安全網(wǎng)關(guān)，將企業(yè)內(nèi)網(wǎng)應(yīng)用隱身，只有通過認(rèn)證授權(quán)的用戶使用安全瀏覽器才能與零信任網(wǎng)關(guān)和應(yīng)用系統(tǒng)建立加密連接，非授權(quán)的用戶無法掃描到核心應(yīng)用，從而實(shí)現(xiàn)了最細(xì)粒度的應(yīng)用隔離。對企業(yè)內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)進(jìn)行“隱身”，將企業(yè)內(nèi)網(wǎng)應(yīng)用暴露的攻擊面降到最低。

通過層層授權(quán)與防御機(jī)制，只授予員工辦公所需的應(yīng)用訪問權(quán)限，應(yīng)用級最小授權(quán)給用戶，精細(xì)化管理用戶權(quán)限。并根據(jù)用戶訪問的設(shè)備及網(wǎng)絡(luò)環(huán)境，基于信任模型判定用戶安全級別，限定不同安全級別用戶可訪問的應(yīng)用。

始終假設(shè)網(wǎng)絡(luò)充滿威脅，不信任任何網(wǎng)絡(luò)、人、設(shè)備/系統(tǒng)，基于員工身份庫，實(shí)現(xiàn)多因子身份認(rèn)證，基于訪問環(huán)境，動態(tài)控制用戶的訪問策略，基于用戶行為分析，持續(xù)驗(yàn)證用戶身份合法性。精細(xì)化控制用戶遠(yuǎn)程訪問權(quán)限，弱化內(nèi)部數(shù)據(jù)泄露的風(fēng)險。

任子行零信任遠(yuǎn)程接入安全防護(hù)解決方案，采用SDP的技術(shù)模型，以企業(yè)安全客戶端實(shí)現(xiàn)用戶身份驗(yàn)證，聯(lián)通應(yīng)用加密隧道，訪問發(fā)布的應(yīng)用，在實(shí)現(xiàn)零信任核心安全理念的同時又為用戶帶來了方便快捷的使用體驗(yàn)。這種“輕量級”的實(shí)施方案，有助于企業(yè)快速落地零信任安全模型，使得“零信任”應(yīng)用訪問成為企業(yè)安全防護(hù)架構(gòu)中最基礎(chǔ)的防護(hù)設(shè)施。

零信任安全建設(shè)是一個系統(tǒng)工程，需要頂層設(shè)計(jì)，逐步建設(shè)，不能一蹴而就。未來，任子行將繼續(xù)專注于技術(shù)的深入研究與研發(fā)，以期最終實(shí)現(xiàn)安全防護(hù)與零信任體系相結(jié)合，最大限度提升企業(yè)網(wǎng)絡(luò)安全防護(hù)能力，為國家網(wǎng)絡(luò)安全建設(shè)貢獻(xiàn)一份力量。