【零信任落地案例】北京芯盾时代电信运营商零信任业务安全解决方案落地项目

1方案背景

随着5G、人工智能、云计算和移动互联网等技术的发展，企业不断深化信息化建设，云应用、移动办公等越来越普及，关键业务越来越多地依托于互联网开展，移动成为设备、业务和人员的显著特点，企业IT架构进入无边界时代。任意人员在任意时间，可以通过任意设备，在任意位置对企业内部任意应用进行访问。给企业管理、企业安全、员工使用都带来了巨大的挑战。

根据NIST零信任架构白皮书的相关说明，完整的零信任解决方案将包括增强身份治理、逻辑微隔离、基于网络的隔离等三部分。埃森哲《2019年网络犯罪成本研究报告》中显示，通过对上百家企业采访和统计得出，排在首位的安全威胁是来源于粗心和不知情的雇员，其次是过期的安全访问控制策略，第三是未经授权的访问。可以看出，安全风险较大的场景都与数字世界中“人"相关，安全体系架构从“网络中心化"向“身份中心化''转变将成为必然，本质诉求是围绕数字世界中的“人'‘为中心进行访问控制，在不可信的网络环境中，基于风险进行认证、授权访问和控制管理，从而重构可信且安全的网络框架，满足当下网络的安全需求，降低乃至消除因网络环境开放、用户角色复杂引发的各种身份安全风险、设备安全风险和行为安全风险。

具体安全风险如下： 1. 员工账户员工需要记住多个应用系统的密码，在登录每个应用系统时都需要输入用户名和口令；简单密码容易被破解，复杂密码难以记忆，如果在多个应用系统中使用一套密码，会带来更大的安全隐患。 2. 系统管理员因为用户的账号和权限在各应用系统中是分散独立的，系统管理员需要在每个系统中进行创建、维护、注销以及用户管理和权限管理等一系列操作，这些工作繁琐并容易出现纰漏，更重要的是各应用系统审计功能独立，管理员很难通过分散的日志系统识别全局性的安全风险。 3. 业务发展随着业务的发展，越来越多的新应用或新系统需要接入，而业务应用开发商的开发重点在业务功能实现，对于业务安全部分往往考虑较少，存在诸多安全风险和漏洞，所以业务方考虑到安全原因不愿草率上线，即使上线，一旦漏洞被人利用，损失很大，这造成业务系统上线周期和风险不可控，影响了业务发展。 4. 业务风险随着企业信息化建设的不断发展，企业中几乎所有数据均通过电子信息的方式传播、利用和处理，并在这一过程中不断累积。在这些信息中，既有业务系统收集到的用户信息，也有组织内部的敏感商业数据，如：财务报表，招投标方案,采购计划，业务战略规划等。由于重要信息固有的商业价值和经济价值，总会被不法份子采取各种手段所谋求如盗取账号，冒名进入业务系统，甚至直接与组织内部人员里应外合，或内部人员监守自盗，团伙作案，最终损害组织利益或公众利益。企业需要对用户的操作行为进行实时监控和分析，并快速识别安全风险。

作为国内领先的零信任业务安全厂商，芯盾时代拥有强大的研发团队和敏捷的技术创新能力，并积累了大量黑灰产相关行业的对抗经验，这是领跑零信任业务安全领域的有力保障。芯盾时代零信任业务安全解决方案，覆盖人与业务交互全流程，自登录开始直至登出全过程进行持续的判断和风险评估，并具备对不同风险结果的及时处置能力，帮助企业解决来自外部业务风险和内部身份欺诈，为用户构建智能、自适应的业务安全保障体系和基础设施，避免因黑灰产和恶意网络攻击造成的企业高额经济损失。目前，芯盾时代零信任业务安全解决方案已经在近1000家金融、政府、运营商、大型企业、互联网等行业用户落地实践。

2方案概述和应用场景

芯盾时代零信任业务安全解决方案，以保护企业资源安全为目标，通过保护数字世界中“人"的安全，实现保护企业核心信息资产和金融资产的安全目标。零信任的核心是基于身份的信任链条，芯盾时代零信任安全体系核心功能包括：企业身份管理平台(EnlAM)和零信任业务安全平台(SDP)等。实现身份/设备管控、持续认证、动态授权、威胁发现与动态处理的闭环操作，实现企业业务场景的动态安全，解决当今企业IT环境下的业务风险问题。在某运营商零信任业务安全解决方案项目落地过程中，实施部署遵循松耦合、模块化的原则，需保证与传统的纵深体系没冲突，而是互补和增强；同样的安全模型可以在云上进行构建；项目落地后除了安全性能提升以外，要兼顾用户体验。

具体建设需求总结： 1. 移动端多因素认证

采用密钥分割、设备指纹、白盒算法、环境清场等技术，与移动安全认证系统协同，实现在移动终端的密钥、数字证书全生命周期管理及密码运算。

2. 企业身份管理平台(EnlAM)

增加应用资源动态访问控制功能，实时监控用户所有业务行为，连续自适应风险与信任评估，能够适应复杂组织架构的用户角色，实现分级管理、细粒度授权等功能。并且能够根据用户客户端的安全环境和自然环境（如：时间、地点登录）确定用户使用何种认证方式是最优的，并根据风险情况自动调整认证策略，解决企业内部身份统一管理难题。

3. 零信任业务安全平台（SDP）

对网络环境中所有用户采取“零信任"的态度，针对前期收集的用户信息，在已有规则基础上，针对实际业务特点开发定制深入的违规检测规则；持续通过信任引擎对用户、设备、访问及权限进行风险评估，实现动态访问控制。

4. 零信任风控决策引擎

即引入人工智能引擎，针对用户行为习惯进行大数据分析并根据业务场景建模，通过历史数据发现新规则，建立与专家规则互补并行的分析评估引擎。

5. 国产化

所用技术以及产品系统均符合国产化要求，使用国密算法并兼容国产化芯片及操作系统。

零信任业务安全解决方案实现效果：

1.远程办公

不再区分内外网，在人员、设备及业务之间构建基于身份的逻辑边界，针对不同场景实现一体化的动态访问控制体系，不仅可以减少攻击暴露面，增强对企业应用和数据的保护，还可通过现有工具的集成大幅降低零信任潜在建设成本，满足员工任意时间、任意地点、任意设备安全可控的访问业务

2. 多云/多分支环境

企业使用本地服务、云计算等技术架构，构建多分支跨地域访问，导致企业服务环境越来越复杂，通过零信任访问代理网关将访问流量统一管控，基于动态的虚拟身份边界，并通过计算身份感知等风险信息，建立最小访问权限动态访问控制体系，这样可以极大的减少企业内部资产被非法授权访问的行为，实现在任意分支机构网络环境下的内部资源访问

3. 护网/攻防

随着大数据、物联网、云计算的快速发展，愈演愈烈的网络攻击已经成为国家安全的新挑战，护网或攻防已逐步常态化、持续化，范围越来越广。护网或攻

防的核心目的是寻找网络安全中脆弱的环节，从而提升安全建设能力。通过“网络隐身"技术，对外隐藏业务系统，防止攻击方对业务系统资产的收集和攻击，进而确保业务系统的安全

4. 跨企业协同

企业有时需要第三方合作伙伴为其提供服务，实现数据或服务共享，开放的业务系统为企业带来极大的安全隐患，通过零信任网关，对外隐藏业务服务，针对协同的合作伙伴进行有效的权限管控，安全审计和可控的访问通道，确保业务和数据安全。

从建设零信任安全网络的角度来看，在完成基础网络体系后，根据自身特点和业务情况逐步有序的进行建设。另外，在建设零信任安全网络的过程中，随着控制节点的增加，正常员工和外部用户的访问体验趋向于无感知，但对恶意用户而言是愈加严厉的认证策略。

3优势特点和应用价值

1. 资源隐藏，基于SPA协议进行预认证，并与动态访问控制平台协同，实现应用预授权列表下发。

2. 高强度设备指纹，采用设备硬件和相似度模型相结合的自主研发专利算法, 完美适配主流机型，经过上亿现网用户使用认证无误。

3. 满足合规要求，适配国产化芯片、操作系统、数据库，同时满足国密改造需求。

4. 无需业务改造，通过零信任网关代理业务应用，支持业务系统无改造的情况下，完成单点登录、细粒度授权、基于风险的动态授权等。

5. 多因素认证，支持移动端多种认证方式，包括扫码、动态令牌、人脸、指纹等10+认证方式。

6. 持续信任计算，基于规则引擎与机器学习引擎高效联动，实时计算访问的风险等级。

7）细粒度访问控制策略，按需配置所需权限，最小权限原则，动态调整访问策略

4经验总结

在项目实施过程中，整个项目团队与客户紧密合作、积极沟通并分析探讨业务场景，创新并解决疑难问题。

芯盾时代坚持服务用户应该以人为本，用技术持续推动，全流程保障用户的业务安全。大量用户的累积证明专业的技术服务能力+优质的产品功能+高效专业的售后保障才是获得用户青睐的原因，将用户放在第一位、将需求放在第一位、将服务放在第一位才能加快市场推广进度。

最近考CZTP的人越来越多，看到相关问题下面大家都在求加群，自己建了个交流群，顺便分享下自己考过的相关课程资料。大家可以互相督促，交流经验和进度。想进群的私信我。

文章转自CSA GCR - 2021零信任落地案例集终稿（无水印版）