一、背景
1、业务背景
2、监管背景
信息安全监管
-
落实企业网络安全主体责任
-
加强个人用户信息保护
-
提高企业的信息安全意识水平
《中华人民共和国网络安全法》
《关键信息基础设施安全保护条例》
《中华人民共和国个人信息保护法》
《中华人民共和国数据安全法》
二、挑战
1、技术挑战
技术架构多样——自研1000+应用 外购、本地部署、公有云部署
业务变更频繁——频繁变动的人员、设备和组织
敏感数据庞大——庞大的用户数据 4亿+ 业务流程隐私数据
组织分布广泛——业务分支机构全球分布 4W+网点
2、安全挑战
三、零信任安全
1、零信任理念
2、零信任原则
-
网络身份的治理原则
所有资源操作的认证与授权都是动态的,并需要严格执行
-
资源的治理的原则
企业的所有资产都被视为资源 企业应确保所拥有的资产都应处于最安全的状态
-
应用于数据访问的原则
所有的通信在安全的方式下完成(网络位置并不安全) 基于每个会话的细粒度最小化授权 访问资源的权限由动态策略决定 包括客户端、应用、服务、资 源等多中信息 企业尽可能多地收集有关资产,网络基础设施和通信的当前状态的信息,并使用这些信息来改善其安全状况
3、零信任与业务风控
4、存在的问题
5、探索路线
6、统一身份
7、统一认证
8、统一权限
9、零信任网关
10、零信任流量治理思路
11、资源访问典型处理过程
12、员工安全工作台
13、有端模式的SDP
14、问题发现与取证
15、风控
四、成效
1、无侵入式业务风控
2、成效
五、总结
1、总结
零信任正在成为安全建设的主方向
-
黑灰产对抗利器
-
软件定义安全
-
构建多维信任
-
动态访问控制
转自中通快递 朱颖骏