零信任在中通黑灰产对抗的实践

一、背景

1、业务背景

2、监管背景

信息安全监管

• 落实企业网络安全主体责任

• 加强个人用户信息保护

• 提高企业的信息安全意识水平

《中华人民共和国网络安全法》

《关键信息基础设施安全保护条例》

《中华人民共和国个人信息保护法》

《中华人民共和国数据安全法》

二、挑战

1、技术挑战

技术架构多样——自研1000+应用 外购、本地部署、公有云部署

业务变更频繁——频繁变动的人员、设备和组织

敏感数据庞大——庞大的用户数据 4亿+ 业务流程隐私数据

组织分布广泛——业务分支机构全球分布 4W+网点

2、安全挑战

三、零信任安全

1、零信任理念

2、零信任原则

• 网络身份的治理原则

所有资源操作的认证与授权都是动态的，并需要严格执行

• 资源的治理的原则

企业的所有资产都被视为资源 企业应确保所拥有的资产都应处于最安全的状态

• 应用于数据访问的原则

所有的通信在安全的方式下完成(网络位置并不安全) 基于每个会话的细粒度最小化授权 访问资源的权限由动态策略决定 包括客户端、应用、服务、资 源等多中信息 企业尽可能多地收集有关资产，网络基础设施和通信的当前状态的信息，并使用这些信息来改善其安全状况

3、零信任与业务风控

4、存在的问题

5、探索路线

6、统一身份

7、统一认证

8、统一权限

9、零信任网关

10、零信任流量治理思路

11、资源访问典型处理过程

12、员工安全工作台

13、有端模式的SDP

14、问题发现与取证

15、风控

四、成效

1、无侵入式业务风控

​2、成效

五、总结

1、总结

零信任正在成为安全建设的主方向

• 黑灰产对抗利器

• 软件定义安全

• 构建多维信任

• 动态访问控制

转自中通快递 朱颖骏