【零信任落地案例】易安联中国核工业华兴建设有限公司EnSDP零信任安界防护平台

1方案背景

中核华兴承担过众多核工程、国防军工工程的建设，参加了国内及出口的大 部分核电站的工程建设。业务系统具有较高的安全等级要求，为响应相关部门及 集团的安全管理要求，参加“HW行动"，检验自身在应对安全威胁的应对能力、 防控能力。

在了解到EnSDP零信任安界访问方案后，中核华兴采用EnSDP来保障业务系 统安全，有效防止攻方针对业务系统发起的渗透攻击等安全威胁。

1. 1网络现状和安全需求

1. 业务系统暴露在互联网，成为黑客攻击、入侵的入口之一； 2. 人员类型复杂，需要同时满足本地用户、下属企业及移动办公用户的远程 安全接入； 3. 老旧的业务系统自身组件如中间件、数据库等存在漏洞，无法妥善处理， 被网安部门通报。 4. 员工终端设备没有进行全面管理，终端设备随意接入公司网络，缺乏终端 防护手段，导致增加网络暴露面。 5. 缺少对业务系统的保护措施，以勒索病毒为例，黑客一旦边界进入到内网， 会进行渗透扫描，寻找有价值的业务服务器，对服务器进行定向攻击。

2方案概述和应用场景 2. 1方案

​易安联结合自身产品，根据对企业的调研，以及中核华兴的安全需求情况, 提供了易安联EnSDP零信任安界访问解决方案。

2.2应用场景

1. 远程办公

可完美替换VPN，解决VPN漏洞多、管理繁、回溯难的问题；可支持普通浏 览器和钉钉/微信小程序接入，提供便捷安全的远程接入方式。

2. 护网行动

基于应用网关的应用隐藏机制，可百分百保障护网行动，应用网关隐藏业务 和自身，红队扫描不到，无从发起攻击，解决客户应对护网的问题。

3. 数据泄露防护

可对端侧工作域内的数据隔离/加密，解决端侧数据泄露的问题。

4. 内部审查

可对用户行为和应用访问深度分析，通过网状关联，即时发现异常给出告警 和策略联动，解决客户内部数据泄露的问题；可有效管控运维人员，解决运维人 员的权限难控制和数据易泄漏的问题。

5. 业务上云

支持公有云、私有云及混合云，有效保障云上应用的东西向安全，助力客户 业务安全上云。

3优势特点和应用价值

3. 1优势特点

本方案充分考虑了系统的可用性、可靠性、及可扩容性。具体的方案优势如 下：

1、 暴露面收敛

EnSDP默认屏蔽任何非授权的访问请求，不响应任何TCP、UDP等形式的报 文，只响应通过可信设备且使用EnAgent客户端登录的请求，所以对于任何人来 讲不能利用端口扫描、漏洞扫描等工具进行渗透攻击。

2、 阻断直接访问形式的安全威胁

非可信账号、非可信设备无法得到业务系统的直接响应，导致攻击方无法尝 试利用WEB系统SQL注入、XSS攻击等方式造成攻击。

3、 核心业务系统一件断网

提供最为便利的远程管理工具，EnSDP可实现对特定应用一键关闭，解决重 要时期或紧急情况的业务系统断网处理。

4、 统一身份管理

打通业务系统之间账号信息，员工不需要记住多套账号密码，为方便维护和 管理，弱口令、弱密码等安全问题得到有效解决。

5、 智能权限控制

通过EnSDP实现对用户鉴定及授权，单次访问仅授予最小权限，并通过用户 身份，终端类型，设备属性，接入网络，接入位置，接入时间等属性来感知用户 的访问上下文行为，并动态调整用户信任级别。

6、 设备管理

主要确保用户每次接入网络的设备是可信的，系统会为每个用户生成 唯一的硬件识别码，并关联用户账号，确保用户每次登陆都使用的是合规、 可信的设备，对非可信的设备要进行强身份认证，用户通过后则允许新设 备入网。

7、 可信环境感知

对发起访问者所使用设备（手机、电脑等）的软环境进行检测，如设 备所使用操作系统的版本、是否安装制定的杀毒软件、杀毒软件是否开启、 杀毒软件的病毒库更新到新版本等。

8、 异常行为审计

从用户请求网络连接开始，到访问服务返回结果结束，使所有的操作、管理 和运行更加可视、可控、可管理、可跟踪。实现重点数据的全过程审计，识别并 记录异常数据操作行为，实时告警，保证数据使用时的透明可审计。

9、 洞察访问态势

实时同步全球安全威胁情报，及时感知已知威胁，全方位多维度安全数据挖 掘，支持用户、设备、应用等维度数据采集，对用户行为、设备等信息进行全面 统计并输出多维度报表。

3.2应用价值

1. 提升中核华兴安全接入管控能力，所有业务系统都通过EnSDP进行安全防 护，实现真正意义上的唯一入口，便于管控。

2. 增强中核华兴业务系统安全防护能力，提上应对攻方发起的内网扫描、嗅 探等渗透攻击方式的应对能力，有效屏蔽XSS攻击、SQL注入攻击等安全威胁。

3. 管理人员利用Web终端功能实现便捷的远程管理维护，同时可以对特定应 用一键断网，实现秒级关闭访问通道。

4. 员工访问通过EnSDP业务统一安全访问入口，使用统一身份认证账号，无 需记住多套账号密码。

4经验总结

我司系统版本经常迭代，用户在版本升级的同时，进行业务发布，未成功保 存，导致业务发布不成功。

最近考CZTP的人越来越多，看到相关问题下面大家都在求加群，自己建了个交流群，顺便分享下自己考过的相关课程资料。大家可以互相督促，交流经验和进度。想进群的私信我。

文章转自CSA GCR - 2021零信任落地案例集 终稿（无水印版）