【零信任落地案例】任子行零信任安全防护解决方案护航海事局移动/远程办公安全

1方案背景

1. 1用户需求及方案必要性

随着网络技术在海事业务如船舶驾驶控制、货物装卸、推进系统、旅客管理、通信 系统等方面的应用不断提升，越来越多的对外信息交互，使海事业务遭受网络威胁的隐 患也不断加剧，这些潜在的威胁可能导致有关的操作、安全或安保系统的破坏或信息的 泄露。

网络安全是某海事局开展海事安全管理体系建设中的重要组成部分，自公安部 2018年组织国家级的网络攻防实战演练以来，某海事局作为实战检验的重点单位，其 信息交互、网络环境、信息设备系统等复杂性对网络安全综合防御能力提出重要挑战。

同时，网络安全将是2021年符合证明（D0C）年度审核的一个重点领域，迫切需要 建立由内到外的安全架构体系，保障海事业务信息系统安全稳定运行，满足移动办公、 审批、执法等应用场景需求。

2方案概述和应用场景

2.1用户需求与解决方案

用户存在的安全需求总结如下：

1. 系统直接暴露在互联网上，导致攻击目标明确，采用VPN存在漏洞和连接终端使 用不顺畅问题；

2. 存在来自于互联网的肉鸡恶意扫描、恶意攻击；

用户在互联网上注册时使用简单好记密码或多个业务使用统一密码，导致访问主 体的身份安全无法保障;

3. 用户在互联网上注册时使用简单好记密码或多个业务使用统一密码，导致访问主 体的身份安全无法保障;

4. 系统和应用程序的漏洞属于致命威胁。

任子行结合海事局的实际需求与面临的挑战，助力海事局建立综合防御能力更强的 网络安全体系，具体实施方案如下：

1. 建立统一工作台，多业务系统统一门户，在解决业务访问主体身份安全问题的同 时实现单点登录；

2. 采用细腻动态的访问控制策略，弱化内网安全事件发生的风险，仅允许合法的请 求和合法的客户端访问业务系统，拒绝非法请求，屏蔽非法流量的攻击；

3. 业务系统隐身，同时隐藏程序漏洞，将企业内网应用暴露的攻击面降到最低；

4. 持续的安全信任评估，及时发现用户的异常登录和异常访问行为。

2.2用户使用部门及规模

安全监督科、工会、组织人事科、办公室等12个科室。（基于信息安全需求，此处不一一列举）

3优势特点和应用价值

任子行智行零信任远程接入安全防护解决方案，采用SDP的技术架构，以安全浏览 器的方式将认证客户端与Web应用访问工具相结合，在实践零信任核心安全理念的同时 为用户带来了方便快捷的使用体验。这种“轻量级"的实施方案，有助于企业快速落地 零信任安全模型，使得零信任访问控制系统成为企业安全防护架构中最基础的防护设施。

3.1技术优势

1、 基于七层应用隧道技术，可完美替换传统VPN

1） 覆盖的安全能力更全面，理念更先进，拥有更强的身份认证和细粒度访问控制 能力。

2） 适用场景更多，不局限于网络远程访问，企业内网零信任安全访问也可以做到。

3） 因只需要通过浏览器快速发布，则可实现快速扩容，对网络链路质量要求没有 VPN严格。

2、 让企业应用彻底“隐身”，将攻击暴露面降至最低

1） 零信任网关可以将企业内网所有核心资产和业务“隐藏"起来。

2） 只有通过专用安全浏览器才能够与零信任网关建立通信隧道，并进而访问到受 保护的业务。

3、 采用“零信任”理念，对用户动态按需授权和动态调整权限

1） 任何用户都必须先进行认证后再接入，对于接入的授权用户，根据最小权限原 则只允许用户访问其允许访问的业务系统。

2） 除了应用的维度之外，还可以对用户的访问设备、访问位置、访问时间等维度 进行安全限制。

3） 系统可为不同用户配置不同的安全策略，并且基于来自终端环境、身份信息、 审计日志等多源数据建立用户的信任模型，对用户的访问风险进行实时评估，根据结果动态调整其安全策略。

3.2应用效果

将零信任身份安全能力内嵌入业务应用体系，构建全场景身份安全便捷，升级企业 安全架构。其主要价值交付有：

1. 信息安全加强

身份管理体系作为信息安全加强的重要举措，可有效保障公司机密及业务数据的安 全使用，保护其信息资产不受勒索软件、犯罪黑客行为、网络钓鱼和其他恶意软件攻击 的威胁，加强内部人员规范管理；平均减少了 31%的重复身份。

2. 业务流程风险控制

业务流程风险控制作为管理核心，身份治理体系可加强内外部相关人员访问的硬件 设备及业务系统进行集中管控，同时从管理制度、合规性、审计要求进行内部风险控制; 通过自动化的账号创建、变更、回收及重复密码工作，提升IT部门91%的运维效率。

3. 提高企业生产力

为有效满足信息系统对业务的快捷响应能力，减少保护用户凭证和访问权限的复杂 性及开销，打造一套标准化、规范化、敏捷度高的身份管理平台成为经营发展的基础保 障，可极大提高企业生产力。通过集中的用户管理模块，访问认证模块及合规审计模块 的统一建设，有效减少88%的信息化重复投入。

4. 降低运营成本

实现身份管理和相关最佳实践，可以多种形式带来重大竞争优势。大多数公司需要 为外部用户赋予到内部系统的访问权限。向客户、合作伙伴、供应商、承包商和雇员开 放业务融合，可提升效率，降低运营成本。用户从打开网页到登录进系统的访问时间， 通过统一认证与SSO,提升73%的用户访问效率。

4经验总结

项目实施过程中，零信任团队面临客户环境多样性、网络复杂性等多方面挑战。零 信任产品上线可在不破坏原有客户环境的情况下进行，因此需要对客户外接设备进行逐 一对接，对客户网络环境进行深度适配。对接流程规范化、对接接口标准化是任子行零 信任产品后续提升的必经之路。

最近考CZTP的人越来越多，看到相关问题下面大家都在求加群，自己建了个交流群，顺便分享下自己考过的相关课程资料。大家可以互相督促，交流经验和进度。想进群的私信我。

文章转自CSA GCR - 2021零信任落地案例集 终稿（无水印版）