產(chǎn)品技術(shù)

為了更好的零信任，我們做了次自我實踐

隨著新型信息技術(shù)不斷迭代，萬物互聯(lián)時代已然到來。當下網(wǎng)絡(luò)邊界泛化模糊化、訪問路徑多樣化帶來諸多安全挑戰(zhàn)，基于邊界的傳統(tǒng)安全防御模型已然無法滿足許多用戶的網(wǎng)絡(luò)安全需求?！傲阈湃巍睓M空出世，打破默認的“信任”，以其“持續(xù)驗證、永不信任”的理念，重新構(gòu)建訪問控制的信任基礎(chǔ)，為廣大用戶提供最堅實的安全保障。

安恒信息AiTrust團隊在廣泛研究和實踐的基礎(chǔ)上，先后通過三個大版本的迭代和數(shù)十個項目，和用戶達成項目投產(chǎn)規(guī)劃上的三大共識：

1 ?實踐場景從簡入手，從低頻轉(zhuǎn)向高頻，并重視用戶內(nèi)部溝通上的成本和挑戰(zhàn)；

2??不急于迭代用戶現(xiàn)網(wǎng)的VPN設(shè)備，要逐步替代或留有緩沖周期并發(fā)多通道；

3??定期維護終端信任評估策略，有條件的用戶，可以考慮建設(shè)UBEA平臺，做無監(jiān)督學習訓(xùn)練，通過訓(xùn)練模型和算法，利用多源日志充分發(fā)掘潛在業(yè)務(wù)風險。

當前，我們已具備快速交付上線的零信任敏捷性方案。接下來，將通過三個真實場景的用戶體驗，在無邊界化趨勢的背景下還原零信任的落地以及其安全價值。

一

安恒信息內(nèi)部零信任落地案例

行動是最好的證明，安恒信息以自己為樣板，詮釋零信任方案的落地。

需求

隨著公司的發(fā)展，外辦員工數(shù)量激增，辦事處銷售、辦事處技術(shù)、合作伙伴、出差的產(chǎn)品組研發(fā)、服務(wù)商......他們在外訪問公司內(nèi)網(wǎng)時存在一定的安全風險。因此，需要將外部訪問的人員通過角色進行細化，根據(jù)他們?nèi)粘ＴL問的應(yīng)用系統(tǒng)和數(shù)據(jù)資源進行梳理和區(qū)分，設(shè)定不同的身份認證機制和安全防護策略，在遠程訪問、遠程運維、遠程開發(fā)場景下，提供敏捷高效安全可控的零信任方案。

行動

安恒信息內(nèi)部案例零信任方案

通過上線安恒信息自研的零信任方案，我們對外提供了以零信任溝通的統(tǒng)一訪問入口，通過終端安全技術(shù)，實現(xiàn)了賬號、設(shè)備、行為一體化的信任評估能力，結(jié)合零信任的特點“先認證后連接”，保證了公司面向互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)資產(chǎn)安全隱身，并通過動態(tài)權(quán)限控制、數(shù)據(jù)保護策略保證了多樣化終端遠程接入后的安全保障能力。

二

CS城市商業(yè)銀行案例

需求

基于用戶在數(shù)字化轉(zhuǎn)型中現(xiàn)狀和安全需求，遵循零信任安全基本理念，逐步規(guī)劃實施零信任。用戶十分重視本次開發(fā)，要求無論全新建設(shè)或者遷移，都需要基于零信任進行整體安全架構(gòu)設(shè)計和規(guī)劃，并盡量減少對員工工作的影響。

行動

CS城市商業(yè)銀行零信任方案

通過零信任第一階段的落地，安恒信息AiTrust團隊實現(xiàn)了對于移動辦公接入終端較高的安全性以及國產(chǎn)化對接推進，并對接行內(nèi)同步建設(shè)的IAM系統(tǒng)，達成了終端設(shè)備、用戶賬號、訪問基線一體化動態(tài)安全策略的初步目標。

后續(xù)我們還將引入UEBA等人工智能分析技術(shù)，持續(xù)優(yōu)化終端的安全畫像，以減少行內(nèi)業(yè)務(wù)系統(tǒng)和重要數(shù)據(jù)資產(chǎn)外泄的風險。

三

WZ大數(shù)據(jù)資源管理局案例

需求

用戶要求在現(xiàn)有的訪問體系下向新的安全訪問控制體系進行遷移，在搭建好基礎(chǔ)架構(gòu)后，統(tǒng)一控制臺的對應(yīng)用系統(tǒng)開放單點登錄及訪問工具集成能力，優(yōu)先對開發(fā)中的和新上線的業(yè)務(wù)系統(tǒng)進行單點登錄對接，并將單點登錄能力形成標準文檔，作為后續(xù)政務(wù)外網(wǎng)應(yīng)用開發(fā)、接入一體化智能化公共數(shù)據(jù)平臺服務(wù)前的必選項之一。

行動

WZ大數(shù)據(jù)資源管理局的零信任方案

安恒信息AiTrust團隊在一體化智能化公共數(shù)據(jù)平臺側(cè)采用分步驟的方式對接口的訪問進行遷移。在項目實施前期階段，并沒有對公共數(shù)據(jù)平臺上已有接口做強制的訪問策略切換，而只針對新上線的接口，在公共數(shù)據(jù)平臺上啟用源IP白名單，只接收API安全代理轉(zhuǎn)發(fā)來的請求。同時，由API安全代理兼容公共數(shù)據(jù)平臺的認證能力，不再向新上線的應(yīng)用提供公共數(shù)據(jù)平臺自身的認證憑證，使其必須經(jīng)API安全管控系統(tǒng)訪問，完成遺留的通道切換后，再處理網(wǎng)絡(luò)策略的連通性。在訪問過程中，統(tǒng)一控制臺收集API安全代理上報的日志，對API的訪問頻度、調(diào)用方分布、異常行為、API敏感數(shù)據(jù)進行分析和展示，根據(jù)分析結(jié)果、API重要程度逐漸進行白名單策略的切換。

安恒信息圍繞以身份為基礎(chǔ)、資源為核心的目標，通過持續(xù)信任評估、動態(tài)訪問控制等手段，實現(xiàn)主客體（用戶、終端、應(yīng)用、服務(wù)、數(shù)據(jù)等）之間的訪問安全，提升企業(yè)網(wǎng)絡(luò)安全防護體系的主動性。方案自推出以來已服務(wù)政府、運營商、金融、商業(yè)企業(yè)等多個重點用戶。

云安全>

大數(shù)據(jù)安全態(tài)勢感知>

物聯(lián)網(wǎng)安全>

工業(yè)互聯(lián)網(wǎng)安全>

新型智慧城市>

>

新一代安全服務(wù)>

偵測服務(wù)>

保護檢測服務(wù)>

監(jiān)控分析服務(wù)>

應(yīng)急服務(wù)>

運營管理服務(wù)>

特色服務(wù)>

安全管理>

數(shù)據(jù)安全>

網(wǎng)絡(luò)安全>

應(yīng)用安全>

端點安全>

>

商用密碼>