分享 | 某省级城商行用零信任破解远程访问安全风险

银行建设了各种各样的业务应用系统，不断拓展金融服务的渠道和场景，对远程访问和身份验证的的要求越来越高。零信任架构以其“持续验证、永不信任”的特性，确保只有经过严格身份验证的用户和设备才能访问银行的内部资源，受到了银行客户的广泛认可。

芯盾时代的零信任业务安全解决方案，具备智能化、低改造、全可控的特点，能够帮助银行在强化安全防护能力的同时，提升整体工作效率，鱼与熊掌兼得。某省级城市商业银行（以下简称“L行”）选择与芯盾时代携手，以零信任赋能业务安全，破解身份安全、远程访问安全、数据安全三大难题，筑牢金融数字化转型的安全基石，在金融数字化转型的道路上行稳致远。

项目背景

L行是全省首家城商行，在全省推进实施城商行改革中承担重要使命。L行将数字技术与金融业务深度融合，不断提升金融服务的效能。随着业务应用数量越来越多、远程访问需求持续增加，L行希望从三个方面入手，强化安全防护体系，保障数字化业务安全稳定运行。

1.提升身份安全能力

随着L行业务快速发展，业务应用数量越来越多。这些应用来源、用途、形态各异，身份管理体系各自独立，并且大多数采用账号+密码的认证方式。这导致了L行IT系统内的身份信息不统一、身份认证不安全、权限管理不到位、安全审计不全面，给IT管理、安全管理、用户体验带来了不利影响。L行迫切提升对数字身份的管理能力，强化身份安全防线。

2.保证远程访问安全

因业务需要，L行的各级员工需要随时随地通过互联网访问企业内网中的业务应用，如移动展业、OA系统等。以VPN为代表的远程访问解决方案存在互联网暴露面大、权限管理粗放、访问控制能力弱等问题，难以适应无边界化的网络环境。L行希望依照零信任安全的建设思路，对行业现有的安全架构进行优化，打造属于自己的安全接入系统。

3.强化数据安全防护

作为省级城商行，L行各个业务应用中有大量敏感数据。为了保障数据安全，L行希望落实“最小化授权”原则，对敏感数据实施精细化管控，并通过对数据脱敏防范数据泄露，通过页面水印提升数据的可追溯性。

方案设计

芯盾时代根据L行的网络架构和实际需求，基于自主研发的零信任业务安全平台（SDP），为其建立了统一门户与安全接入系统，一站式解决了身份安全、远程访问安全、数据安全三大难题。方案功能与设计如下：

1.身份管理模块

向上对接权威身份源，向下对接各个业务应用，接管应用的身份管理功能，为所有应用提供统一的员工身份和组织架构信息，进而实现对业务应用身份认证、访问权限、审计日志的统一管理。

2.客户端

提供覆盖PC端、移动端的安全客户端。客户端内置多因素认证、设备指纹、终端威胁态势感知等模块，能为设备生成唯一识别码，并监测终端安全风险。客户端整合统一应用门户，支持多因素认证和单点登录，员工在完成身份认证后可直接访问权限内的业务应用，“一次认证、全网通行”。

3.安全网关

统一代理业务应用访问流量，在网关和客户端之间建立加密隧道，保证访问的安全。网关采用SPA单包授权技术，对访问设备进行预认证，只对通过认证的设备开放端口；通过内置的动态访问控制引擎，综合全局风险信息实施细粒度的动态访问控制；提供动态数据脱敏和页面水印功能。

客户价值

统一门户与安全接入系统投入使用后，L行有效提升身份安全、远程访问安全、数据安全水平，利用零信任强化了安全防护体系，既提升了网络安全能力，保障了数字化业务安全稳定运行，也为员工提供了更好的体验，提升了办公、运维效率。

1.员工身份统一管理，提升身份安全水平

改造完成后，L行实现了业务应用身份信息的统一管理，身份安全能力显著提升。在身份管理方面，L行打破了身份信息孤岛，建立了数字身份管理平台，升级了信息化建设的基础设施。在身份认证方面，芯盾时代SDP提供App扫码、短信验证码、动态口令、社交媒体认证等多种认证方式，消除弱密码隐患，能更好的防范钓鱼攻击、撞库攻击。在权限管理方面，SDP支持ABAC、RBAC、ACL等多种权限管理模型，帮助L行实现对业务资源的分级化、精细化管控。在安全审计方面，运维人员能一站式审计所有业务应用的访问日志，以“身份”为线索追溯访问行为，实现风险的闭环管理。

在提升身份安全的同时，L行也为员工提供更好的操作体验。在日常办公中，员工只需通过客户端完成身份认证，就能通过客户端内的统一应用门户，直接访问权限内的业务应用，做到“一次认证、全网通行”。

2.实施细粒度动态访问控制，远程访问更安全

借助统一门户与安全接入系统，L行建立了智能化、动态化、细粒度的访问控制体系，保证每一次业务访问安全可控。

芯盾时代SDP采用SPA单包授权机制，综合用户身份、设备身份标识、应用身份标识，对所有接入设备进行预认证，只对通过认证的设备开放端口。使用SDP统一代理应用访问流量后，L行实现了网关与业务应用的双重“网络隐身”，有效收敛了业务资源的互联网暴露面，减小了遭受网络攻击的风险。

借助身份管理模块提供的身份和权限信息、客户端提供的终端风险信息，动态访问控制引擎可以实时感知全局风险信息，对每一次业务访问进行实时风险评估。一旦感知到用户有风险访问行为，安全网关自动执行阻断、二次认证等访问控制策略，做到“安全访问全程无感，不确定访问再次认证，不安全访问直接拒绝”。

3.强化数据管控能力，保障数据安全

借助统一门户与安全接入系统，L行可以按照数据的重要程度，为不同的业务资源配置不同的安全策略，从应用侧出发，实现访问权限的精细化管控，落实“最小化授权”原则。

借助系统的动态数据脱敏能力，L行能够自定义用户范围、脱敏范围、脱敏效果，有效避免数据泄露，并通过页面水印功能，提升对数据的追踪溯源能力。

总结

随着移动互联网、云应用的普及，企业利用互联网开展业务的情况会越来越普遍。如何保证远程访问的安全，已经成为企业数字化转型的必答题。零信任强调以“身份”为核心建立安全边界，实施细粒度的动态访问控制，天然适合安全边界模糊化的网络环境和业务模式，被视为远程访问的最佳方案之一。L行的此次改造一箭三雕，切实提升了企业的身份安全、远程访问安全、数据安全水平，为企业的零信任建设树立了标杆。