【零信任落地案例】北京芯盾时代电信运营商零信任业务安全解决方案落地项目

1方案背景

随着5G、人工智能、云计算和移动互联网等技术的发展，企业不断深化信 息化建设，云应用、移动办公等越来越普及，关键业务越来越多地依托于互联网 开展，移动成为设备、业务和人员的显著特点，企业IT架构进入无边界时代。 任意人员在任意时间，可以通过任意设备，在任意位置对企业内部任意应用进行 访问。给企业管理、企业安全、员工使用都带来了巨大的挑战。

根据NIST零信任架构白皮书的相关说明，完整的零信任解决方案将包括增 强身份治理、逻辑微隔离、基于网络的隔离等三部分。埃森哲《2019年网络犯 罪成本研究报告》中显示，通过对上百家企业采访和统计得出，排在首位的安全 威胁是来源于粗心和不知情的雇员，其次是过期的安全访问控制策略，第三是未 经授权的访问。 可以看出，安全风险较大的场景都与数字世界中“人"相关，安全体系架构 从“网络中心化"向“身份中心化''转变将成为必然，本质诉求是围绕数字世界 中的“人'‘为中心进行访问控制，在不可信的网络环境中，基于风险进行认证、 授权访问和控制管理，从而重构可信且安全的网络框架，满足当下网络的安全需 求，降低乃至消除因网络环境开放、用户角色复杂引发的各种身份安全风险、设 备安全风险和行为安全风险。

具体安全风险如下： 1. 员工账户 员工需要记住多个应用系统的密码，在登录每个应用系统时都需要输入用户 名和口令；简单密码容易被破解，复杂密码难以记忆，如果在多个应用系统中使 用一套密码，会带来更大的安全隐患。 2. 系统管理员 因为用户的账号和权限在各应用系统中是分散独立的，系统管理员需要在每 个系统中进行创建、维护、注销以及用户管理和权限管理等一系列操作，这些工 作繁琐并容易出现纰漏，更重要的是各应用系统审计功能独立，管理员很难通过 分散的日志系统识别全局性的安全风险。 3. 业务发展 随着业务的发展，越来越多的新应用或新系统需要接入，而业务应用开发商 的开发重点在业务功能实现，对于业务安全部分往往考虑较少，存在诸多安全风 险和漏洞，所以业务方考虑到安全原因不愿草率上线，即使上线，一旦漏洞被人 利用，损失很大，这造成业务系统上线周期和风险不可控，影响了业务发展。 4. 业务风险 随着企业信息化建设的不断发展，企业中几乎所有数据均通过电子信息的方 式传播、利用和处理，并在这一过程中不断累积。在这些信息中，既有业务系统 收集到的用户信息，也有组织内部的敏感商业数据，如：财务报表，招投标方案,采购计划，业务战略规划等。由于重要信息固有的商业价值和经济价值，总会被 不法份子采取各种手段所谋求如盗取账号，冒名进入业务系统，甚至直接与组织 内部人员里应外合，或内部人员监守自盗，团伙作案，最终损害组织利益或公众 利益。企业需要对用户的操作行为进行实时监控和分析，并快速识别安全风险。

作为国内领先的零信任业务安全厂商，芯盾时代拥有强大的研发团队和敏捷 的技术创新能力，并积累了大量黑灰产相关行业的对抗经验，这是领跑零信任业 务安全领域的有力保障。芯盾时代零信任业务安全解决方案，覆盖人与业务交互 全流程，自登录开始直至登出全过程进行持续的判断和风险评估，并具备对不同 风险结果的及时处置能力，帮助企业解决来自外部业务风险和内部身份欺诈，为 用户构建智能、自适应的业务安全保障体系和基础设施，避免因黑灰产和恶意网 络攻击造成的企业高额经济损失。目前，芯盾时代零信任业务安全解决方案已经 在近1000家金融、政府、运营商、大型企业、互联网等行业用户落地实践。

2方案概述和应用场景

芯盾时代零信任业务安全解决方案，以保护企业资源安全为目标，通过保护 数字世界中“人"的安全，实现保护企业核心信息资产和金融资产的安全目标。 零信任的核心是基于身份的信任链条，芯盾时代零信任安全体系核心功能包括： 企业身份管理平台(EnlAM)和零信任业务安全平台(SDP)等。实现身份/设备 管控、持续认证、动态授权、威胁发现与动态处理的闭环操作，实现企业业务场 景的动态安全，解决当今企业IT环境下的业务风险问题。 在某运营商零信任业务安全解决方案项目落地过程中，实施部署遵循松耦合、 模块化的原则，需保证与传统的纵深体系没冲突，而是互补和增强；同样的安全 模型可以在云上进行构建；项目落地后除了安全性能提升以外，要兼顾用户体验。

具体建设需求总结： 1. 移动端多因素认证

采用密钥分割、设备指纹、白盒算法、环境清场等技术，与移动安全认证系 统协同，实现在移动终端的密钥、数字证书全生命周期管理及密码运算。

2. 企业身份管理平台(EnlAM)

增加应用资源动态访问控制功能，实时监控用户所有业务行为，连续自适应风险与信任评估，能够适应复杂组织架构的用户角色，实现分级管理、细粒度授 权等功能。并且能够根据用户客户端的安全环境和自然环境（如：时间、地点登 录）确定用户使用何种认证方式是最优的，并根据风险情况自动调整认证策略， 解决企业内部身份统一管理难题。

3. 零信任业务安全平台（SDP）

对网络环境中所有用户采取“零信任"的态度，针对前期收集的用户信息， 在已有规则基础上，针对实际业务特点开发定制深入的违规检测规则；持续通过 信任引擎对用户、设备、访问及权限进行风险评估，实现动态访问控制。

4. 零信任风控决策引擎

即引入人工智能引擎，针对用户行为习惯进行大数据分析并根据业务场景建 模，通过历史数据发现新规则，建立与专家规则互补并行的分析评估引擎。

5. 国产化

所用技术以及产品系统均符合国产化要求，使用国密算法并兼容国产化芯片 及操作系统。

零信任业务安全解决方案实现效果：

1.远程办公

不再区分内外网，在人员、设备及业务之间构建基于身份的逻辑边界，针对 不同场景实现一体化的动态访问控制体系，不仅可以减少攻击暴露面，增强对企 业应用和数据的保护，还可通过现有工具的集成大幅降低零信任潜在建设成本， 满足员工任意时间、任意地点、任意设备安全可控的访问业务

2. 多云/多分支环境

企业使用本地服务、云计算等技术架构，构建多分支跨地域访问，导致企业 服务环境越来越复杂，通过零信任访问代理网关将访问流量统一管控，基于动态 的虚拟身份边界，并通过计算身份感知等风险信息，建立最小访问权限动态访问 控制体系，这样可以极大的减少企业内部资产被非法授权访问的行为，实现在任 意分支机构网络环境下的内部资源访问

3. 护网/攻防

随着大数据、物联网、云计算的快速发展，愈演愈烈的网络攻击已经成为国 家安全的新挑战，护网或攻防已逐步常态化、持续化，范围越来越广。护网或攻

防的核心目的是寻找网络安全中脆弱的环节，从而提升安全建设能力。通过“网 络隐身"技术，对外隐藏业务系统，防止攻击方对业务系统资产的收集和攻击， 进而确保业务系统的安全

4. 跨企业协同

企业有时需要第三方合作伙伴为其提供服务，实现数据或服务共享，开放的 业务系统为企业带来极大的安全隐患，通过零信任网关，对外隐藏业务服务，针 对协同的合作伙伴进行有效的权限管控，安全审计和可控的访问通道，确保业务 和数据安全。

​从建设零信任安全网络的角度来看，在完成基础网络体系后，根据自身特点 和业务情况逐步有序的进行建设。另外，在建设零信任安全网络的过程中，随着 控制节点的增加，正常员工和外部用户的访问体验趋向于无感知，但对恶意用户 而言是愈加严厉的认证策略。

3优势特点和应用价值

1. 资源隐藏，基于SPA协议进行预认证，并与动态访问控制平台协同，实现 应用预授权列表下发。

2. 高强度设备指纹，采用设备硬件和相似度模型相结合的自主研发专利算法, 完美适配主流机型，经过上亿现网用户使用认证无误。

3. 满足合规要求，适配国产化芯片、操作系统、数据库，同时满足国密改造 需求。

4. 无需业务改造，通过零信任网关代理业务应用，支持业务系统无改造的情 况下，完成单点登录、细粒度授权、基于风险的动态授权等。

5. 多因素认证，支持移动端多种认证方式，包括扫码、动态令牌、人脸、指 纹等10+认证方式。

6. 持续信任计算，基于规则引擎与机器学习引擎高效联动，实时计算访问的 风险等级。

7）细粒度访问控制策略，按需配置所需权限，最小权限原则，动态调整访 问策略

4经验总结

在项目实施过程中，整个项目团队与客户紧密合作、积极沟通并分析探讨业 务场景，创新并解决疑难问题。

芯盾时代坚持服务用户应该以人为本，用技术持续推动，全流程保障用户的 业务安全。大量用户的累积证明专业的技术服务能力+优质的产品功能+高效专业 的售后保障才是获得用户青睐的原因，将用户放在第一位、将需求放在第一位、 将服务放在第一位才能加快市场推广进度。

最近考CZTP的人越来越多，看到相关问题下面大家都在求加群，自己建了个交流群，顺便分享下自己考过的相关课程资料。大家可以互相督促，交流经验和进度。想进群的私信我。

文章转自CSA GCR - 2021零信任落地案例集 终稿（无水印版）