【零信任落地案例】杭州漠坦尼-物联网零信任安全解决方案

1方案背景

近年来，能源行业全力推进“互联网+智慧能源"战略贯彻，引入“大云物 移智链5G"等新技术，新技术的应用使网络内部的设备不断增长，尤其新型业 务发展接入了海量的物联网，使网络“边界"越来越模糊，已经突破了传统能源 网络安全防护模型。这些新兴业务的出现所带来的新问题，让安全防护要求变得 更为错综复杂。

2方案概述和应用场景

平台设计采用以端到端安全防护为核心的零信任安全理念，建立以身份为中心，基于持续信任评估和授权的动态访问控制体系，同时结合现有安全防护措施

​1. 动态授权服务系统

提供权限管理服务，同时对授权的动态策略进行配置，包括动态角色、权限风 险策略等。

2. 智能身份分析系统

针对人员认证提供动态口令、人脸识别、指纹识别等身份鉴别技术；针对终 端设备提供基于设备属性的'身份'认证。

3. 访问控制平台

能够接收终端环境感知系统推送的风险通报，能够接收智能身份分析系统与 动态授权服务系统提供的身份与权限信息，反馈执行相应的权限控制策略。能够 为网关分配密钥，下发通信加密证书。

4. 终端环境感知系统

具备智能终端环境实时监测能力，从各类环境属性分析安全风险，确定影响

因素提高对终端信任度量准确度，为信任度评估提供支撑。

5. 终端TEE（安全可信执行环境）

提供终端侧的行为监测、安全认证、内生安全防护等功能，为终端构建安全 隔离执行环境。

目前，平台覆盖了能源行业用户的典型应用场景，如远程办公、外部协作、 物理网防护场景等，同时相关关键技术与产品也可逐步拓展应用到石化、铁路、 水利、轨道交通等多个工业控制领域，具备在全国其他关键信息技术设施进行大 规模推广的前景。

3优势特点和应用价值：

漠坦尼物联网零信任安全防护平台可以帮助能源行业用户面对大规模复杂 物联网环境时保障业务与数据的安全通过对零信任安全防护体系建设，以动态信 任评估体系为核心将安全技术和安全设备融为统一技防体系，降低安全风险概率, 增强终端防护能力，打破空间和时间的限制，以身份为中心为业务与数据提供全 方位持续防护，在保证安全性的同时为业务创新提供强有力的网络架构支撑，更 有效的挖掘数据价值，释放数据潜能。

4经验总结

在项目实施过程中遇到过物联终端设备、哑终端设备管控等一系列挑战与问 题，下一步项目将继续进一步完善，丰富可接入纳管的终端类型，优化安全感知 与响应能力，在更多的业务场景中提供可靠的安全防护。

最近考CZTP的人越来越多，看到相关问题下面大家都在求加群，自己建了个交流群，顺便分享下自己考过的相关课程资料。大家可以互相督促，交流经验和进度。想进群的私信我。

文章转自CSA GCR - 2021零信任落地案例集 终稿（无水印版）