銀行零信任安全白皮書

ZeroTrustSecurity派拉軟件發(fā)展研究院ZeroTrustSecurity 派拉軟件發(fā)展研究院summary近年來，隨著新技術(shù)在銀行業(yè)的廣泛應(yīng)用，加快了銀行業(yè)數(shù)字化轉(zhuǎn)型的步伐，銀行的業(yè)務(wù)和管理向著線上化、數(shù)字化、智能化演進(jìn)，銀行的價(jià)值鏈也由封閉走向開放。隨著銀行業(yè)數(shù)字化進(jìn)程的逐漸深入，信息安全風(fēng)險(xiǎn)也日益凸顯。零信任作為信息安全領(lǐng)域的又一次技術(shù)革新，正在成為銀行業(yè)構(gòu)建信息安全防護(hù)體系的重點(diǎn)之一。本白皮書意在指引利用零信任安全技術(shù)的優(yōu)勢(shì)，加快推進(jìn)銀行業(yè)務(wù)安全的建設(shè)，針對(duì)銀行業(yè)的安全挑戰(zhàn)，提出銀行零信任安全框架，并對(duì)銀行的業(yè)務(wù)場(chǎng)景實(shí)現(xiàn)、數(shù)據(jù)安全與隱私保護(hù)等方面進(jìn)行闡述，以期對(duì)銀行業(yè)務(wù)安全提供發(fā)展指引，供讀者思考和實(shí)操參考。目錄content1.1環(huán)境背景1.2安全挑戰(zhàn)2.1技術(shù)特點(diǎn)2.2部署方式P3業(yè)務(wù)場(chǎng)景實(shí)現(xiàn)083.1遠(yuǎn)程辦公3.2數(shù)字銀行3.3系統(tǒng)運(yùn)維4.1身份和權(quán)限治理4.2安全訪問4.3API安全4.4數(shù)據(jù)安全5.1銀行業(yè)零信任安全總結(jié)5.2銀行業(yè)零信任安全發(fā)展趨勢(shì)派拉軟件發(fā)展研究院派拉軟件發(fā)展研究院1.1環(huán)境背景1.2安全挑戰(zhàn)派拉軟件發(fā)展研究院“十四五”時(shí)期，我國(guó)金融業(yè)安全和信息化發(fā)展的外部環(huán)境和內(nèi)部條件發(fā)生復(fù)雜而深刻的變化，機(jī)遇與挑戰(zhàn)前所未有。作為數(shù)據(jù)密集型行業(yè)，銀行業(yè)更需要嚴(yán)格落實(shí)法律法規(guī)，將監(jiān)管要求的網(wǎng)絡(luò)與數(shù)據(jù)信息安全指導(dǎo)方針、風(fēng)險(xiǎn)管理、監(jiān)督和檢查管理的流程和機(jī)制等內(nèi)容整合到現(xiàn)有安全管理策略和制度建設(shè)當(dāng)中。健全數(shù)據(jù)安全治理體系，強(qiáng)化數(shù)據(jù)全生命周期安全防護(hù)，嚴(yán)防數(shù)據(jù)誤用濫用。推動(dòng)數(shù)據(jù)分級(jí)分類管理，科學(xué)界定數(shù)據(jù)所有權(quán)、使用權(quán)、管理權(quán)和收益權(quán)，明確數(shù)據(jù)適用范圍成為金融機(jī)構(gòu)首要基礎(chǔ)安全建設(shè)。近年來，國(guó)內(nèi)外網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件頻發(fā)，攻擊手段不斷升級(jí)，從數(shù)據(jù)的采集、傳輸、存儲(chǔ)、處理到訪問，國(guó)家、企業(yè)和個(gè)人面臨著各類的網(wǎng)絡(luò)與數(shù)據(jù)安全威脅。國(guó)家高度重視網(wǎng)絡(luò)與數(shù)據(jù)安全工作，《網(wǎng)絡(luò)安全法》在2017年起實(shí)施后，于2021年陸續(xù)發(fā)布《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等法律法規(guī)，為推進(jìn)網(wǎng)絡(luò)與數(shù)據(jù)安全建設(shè)提供了法理依據(jù)。隨著云計(jì)算、互聯(lián)網(wǎng)、移動(dòng)計(jì)算和物聯(lián)網(wǎng)的發(fā)展，銀行業(yè)務(wù)場(chǎng)景復(fù)雜導(dǎo)致的數(shù)據(jù)安全受到更多的威脅。由于業(yè)務(wù)的不斷快速發(fā)展，金融機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)多達(dá)幾百上千個(gè)，應(yīng)用場(chǎng)景繁多，其中承載著大量的客戶基礎(chǔ)信息、業(yè)務(wù)交易數(shù)據(jù)、業(yè)務(wù)產(chǎn)品數(shù)據(jù)、企業(yè)經(jīng)營(yíng)數(shù)據(jù)、機(jī)構(gòu)數(shù)據(jù)、認(rèn)證信息、生物特征信息、企業(yè)員工信息等大量業(yè)務(wù)和系統(tǒng)數(shù)據(jù)。這些數(shù)據(jù)由于業(yè)務(wù)需要在各個(gè)系統(tǒng)間不停的流轉(zhuǎn),其面臨的風(fēng)險(xiǎn)也隨之變化。銀行面臨的安全挑戰(zhàn)有以下方面：派拉軟件發(fā)展研究院身份安全終端安全網(wǎng)絡(luò)安全API安全身份安全終端安全網(wǎng)絡(luò)安全API安全(1)基于網(wǎng)絡(luò)物理邊界的防護(hù)理念在新型的安全攻擊下暴露出很多問題，先連接后認(rèn)證的方式增加了后端服務(wù)的危險(xiǎn)，即便是VPN本身也只解決訪問網(wǎng)絡(luò)的身份，不會(huì)對(duì)終端以及訪問服務(wù)的身份與權(quán)限進(jìn)行驗(yàn)證；另外，后端服務(wù)無法做到隱藏，對(duì)外固定的端口很容易受到外部惡意的探測(cè)與攻擊，導(dǎo)致服務(wù)崩潰而無法訪問。基于匿名終端和無權(quán)限訪問服務(wù)的身份認(rèn)證影響著整個(gè)后端服務(wù)安全，而端到端沒有建立加密隧道的連接方式也影響著整個(gè)網(wǎng)絡(luò)安全。(2)數(shù)字化轉(zhuǎn)型的大背景下，銀行系統(tǒng)架構(gòu)除了支持進(jìn)行數(shù)據(jù)治理，還要提供采集、傳輸、處理、存儲(chǔ)、訪問整個(gè)數(shù)據(jù)安全周期的保障，其中各業(yè)務(wù)系統(tǒng)API的安全成為關(guān)鍵，不僅涉及到業(yè)務(wù)的互聯(lián)互通，還與數(shù)據(jù)安全周期的保障直接關(guān)聯(lián)，也關(guān)系到企業(yè)API資產(chǎn)統(tǒng)計(jì)與管理?，F(xiàn)有的RBAC授權(quán)模式已無法提供對(duì)敏感數(shù)據(jù)的訪問保護(hù)；大量的API權(quán)限范圍的合法性也需要監(jiān)管；非一對(duì)一關(guān)系的業(yè)務(wù)請(qǐng)求涉及到多個(gè)業(yè)務(wù)系統(tǒng)接口的組合和編排，安全性如何保障？這些問題充滿著安全挑戰(zhàn)，現(xiàn)有的系統(tǒng)架構(gòu)已無法滿足。(3)傳統(tǒng)防護(hù)技術(shù)的升級(jí)，往往是有針對(duì)性的、局部的，且僅限于預(yù)設(shè)靜態(tài)防范模式，并沒有整體的動(dòng)態(tài)安全防護(hù)概念，無法做到一體化的安全架構(gòu)體系，即“持續(xù)訪問，持續(xù)驗(yàn)證”的理念，根據(jù)請(qǐng)求者、終端環(huán)境、網(wǎng)絡(luò)環(huán)境、服務(wù)環(huán)境實(shí)現(xiàn)訪問權(quán)限自適應(yīng)，自動(dòng)把風(fēng)險(xiǎn)控制到最低，直至完全隔離或消除。要解決以上安全挑戰(zhàn)，我們需要構(gòu)建銀行零信任安全架構(gòu)，把身份安全、終端安全、網(wǎng)絡(luò)安全、API安全包含進(jìn)去，在滿足業(yè)務(wù)需求的前提下提供一體化的安全保障。銀銀行零信任安全架構(gòu)派拉軟件發(fā)展研究院2.1技術(shù)特點(diǎn)2.2部署方式派拉軟件發(fā)展研究院銀行零信任安全架構(gòu)保障網(wǎng)絡(luò)和數(shù)據(jù)的安全，降低由于數(shù)字化轉(zhuǎn)型帶來的安全風(fēng)險(xiǎn)，主要從身份安全、終端安全、網(wǎng)絡(luò)安全、API安全結(jié)合銀行業(yè)的遠(yuǎn)程辦公、數(shù)字銀行、系統(tǒng)運(yùn)維幾個(gè)業(yè)務(wù)場(chǎng)景來實(shí)現(xiàn)。銀行一體化安全邏輯架構(gòu)如圖2-1所示ZTaaSZTaaS遠(yuǎn)程辦公數(shù)字銀行系統(tǒng)運(yùn)維交換與安全平臺(tái)外部觸點(diǎn)pcAPPWEB微信身份安全終端安全網(wǎng)絡(luò)安全API安全數(shù)據(jù)安全信信創(chuàng)平臺(tái)圖2-1銀行一體化安全邏輯架構(gòu)派拉軟件發(fā)展研究院解決用戶、設(shè)備、數(shù)據(jù)相關(guān)業(yè)務(wù)及訪問的唯一標(biāo)識(shí)與權(quán)限問題，實(shí)現(xiàn)終端與服務(wù)身份的統(tǒng)一管理與權(quán)限驗(yàn)證，是跨多個(gè)系統(tǒng)和應(yīng)用程序管理數(shù)字身份和訪問權(quán)限的工具。這些工具有助于確保只有合適的人才能在合適的時(shí)間出于合適的原因獲得合適的資源(例如應(yīng)用程序和數(shù)據(jù))的權(quán)限，基于細(xì)粒度動(dòng)態(tài)授權(quán)模式，實(shí)現(xiàn)“持續(xù)訪問，持續(xù)驗(yàn)證”，保證訪問權(quán)限的最小化。解決終端運(yùn)行環(huán)境的安全問題，由終端感知與終端防護(hù)兩部分組成。終端感知包括安全事件檢測(cè)、安全事件調(diào)查、遏制安全事件、以及修復(fù)至感染前的狀態(tài)；終端防護(hù)由漏洞利用預(yù)防/內(nèi)存保護(hù)、應(yīng)用控制/白名單、系統(tǒng)信任保證、網(wǎng)絡(luò)防火墻、可視性及微隔離幾大類組成。解決了終端到資源端的鏈路安全問題，實(shí)現(xiàn)先認(rèn)證后連接，隱藏后端服務(wù)網(wǎng)關(guān)、資源服務(wù)，免受被惡意探測(cè)和攻擊，通過微網(wǎng)絡(luò)安全隔離完成數(shù)據(jù)的安全過濾與導(dǎo)流，以及訪問資源的負(fù)載均衡。解決各資源的數(shù)據(jù)交互與共享，實(shí)現(xiàn)API資產(chǎn)管理與監(jiān)控，提供API編排滿足業(yè)務(wù)擴(kuò)展的需要。對(duì)外提供最小權(quán)限的接口服務(wù)訪問，在實(shí)現(xiàn)業(yè)務(wù)互聯(lián)互通的前提下完成接口服務(wù)訪問控制，提供監(jiān)控與審計(jì)，提高業(yè)務(wù)效率，增加用戶體驗(yàn)，促進(jìn)企業(yè)的合規(guī)性。解決了數(shù)據(jù)采集、傳輸、處理、存儲(chǔ)、訪問全生命周期的安全問題，提供元數(shù)據(jù)的定義與授權(quán)，基于細(xì)粒度的授權(quán)模式，對(duì)敏感屬性自動(dòng)過濾與加密，結(jié)合業(yè)務(wù)安全模型與風(fēng)險(xiǎn)評(píng)估，可動(dòng)態(tài)實(shí)現(xiàn)數(shù)據(jù)的訪問權(quán)限控制，數(shù)據(jù)安全網(wǎng)關(guān)可實(shí)現(xiàn)客戶端工具訪問的統(tǒng)一管理與配置，防止SQL注入與特權(quán)帳號(hào)的安全管理與監(jiān)控。派拉軟件發(fā)展研究院本地/私有云混合云公有云本地/私有云混合云公有云支持本地或私有云部署，如果涉及遠(yuǎn)程辦公，需要部署一臺(tái)能連續(xù)內(nèi)外網(wǎng)的SPA控制器，一臺(tái)網(wǎng)關(guān)服務(wù)器，組成SDP服務(wù)解決網(wǎng)絡(luò)訪問安全，其他的IAM服務(wù)、API網(wǎng)關(guān)、UEBA服務(wù)等可部署在內(nèi)網(wǎng)。支持混合云部署，SDP服務(wù)的SPA控制器、網(wǎng)關(guān)服務(wù)器地址需要能被公有云和私有云訪問，其他的IAM服務(wù)、API網(wǎng)關(guān)、UEBA服務(wù)等部署在私有云內(nèi)，為解決云之間的鏈路安全，每個(gè)公有云需要部署一臺(tái)應(yīng)用服務(wù)網(wǎng)關(guān)，提供端到端的安全鏈接服務(wù)。支持公有云部署，SDP服務(wù)的SPA控制器、網(wǎng)關(guān)服務(wù)器、IAM服務(wù)、API網(wǎng)關(guān)、UEBA服務(wù)等部署公有云內(nèi)，外網(wǎng)不通過SPA控制器和網(wǎng)關(guān)服務(wù)器的認(rèn)證，無法直接訪問IAM、API網(wǎng)關(guān)、每個(gè)公有云需要部署一臺(tái)應(yīng)用服務(wù)網(wǎng)關(guān)，提供端到端的安全鏈接服務(wù)。派拉軟件發(fā)展研究院3.1遠(yuǎn)程辦公3.2數(shù)字銀行3.3系統(tǒng)運(yùn)維派拉軟件發(fā)展研究院隨著疫情常態(tài)化以及遠(yuǎn)程辦公的發(fā)展，加快了越來越多的員工通過遠(yuǎn)程方式接入金融體系內(nèi)網(wǎng)系統(tǒng)，進(jìn)行辦公和生產(chǎn)，金融企業(yè)在傳統(tǒng)辦公模式下的安全邊界正在被逐漸打破。為更加有效識(shí)別訪問對(duì)象與權(quán)限，保護(hù)后端網(wǎng)絡(luò)和服務(wù)資源，實(shí)現(xiàn)便捷、高效與安全辦公，已成為普遍共識(shí)，圍繞著從終端身份、訪問資源的用戶身份、終端到資源端的鏈路安全到訪問資源權(quán)限的自適應(yīng)，以及資源實(shí)現(xiàn)隱藏來避免外部探測(cè)和攻擊等問題，我們需要構(gòu)建基于零信任安全模型的遠(yuǎn)程辦公解決方案。如圖3-1所示管理層員工/用戶外部觸點(diǎn)pcAPPWEB微信ZTaaS業(yè)務(wù)集成ZTaaS業(yè)務(wù)集成身份安全終端安全網(wǎng)絡(luò)安全數(shù)據(jù)安全......應(yīng)應(yīng)用集成流程集成數(shù)據(jù)集成安全集成......API數(shù)據(jù)交換安全平臺(tái)資源服務(wù)資源服務(wù)客戶信息管理運(yùn)維管理平臺(tái)統(tǒng)一支客戶信息管理運(yùn)維管理平臺(tái)統(tǒng)一支付平臺(tái)人力資源系統(tǒng)資產(chǎn)負(fù)債管理......風(fēng)險(xiǎn)管理圖3-1一體化安全辦公借助于零信任的ZTaaS可實(shí)現(xiàn)后端網(wǎng)絡(luò)的隱藏，實(shí)現(xiàn)終端身份先認(rèn)證后連接，終端身份與用戶身份同時(shí)驗(yàn)證，信平臺(tái)匿名和不安全終端的接入，在鏈路建立之前就可獲得用戶對(duì)后端資源是否有訪問的權(quán)限，解決了匿名或未授權(quán)用戶的異常訪問。派拉軟件發(fā)展研究院區(qū)別于傳統(tǒng)銀行，銀行服務(wù)不再依賴于實(shí)體銀行網(wǎng)點(diǎn)，而是以數(shù)字網(wǎng)絡(luò)作為銀行的核心，借助前沿技術(shù)為客戶提供網(wǎng)上銀行、手機(jī)銀行、移動(dòng)支付等一系列服務(wù)，服務(wù)趨向定制化和互動(dòng)化，如何打通業(yè)務(wù)之間的互聯(lián)互通，實(shí)現(xiàn)API的安全訪問、API資產(chǎn)的管理與安全保護(hù)成為首要面對(duì)的問題。關(guān)于如何建設(shè)數(shù)字銀行，中國(guó)人民銀行印發(fā)的《金融科技發(fā)展規(guī)劃(2022-2025年)》給出了建設(shè)思路—打造基于API技術(shù)的數(shù)字化生態(tài)銀行：“借助應(yīng)用程序接口(API)、軟件開發(fā)工具包(SDK)等手段深化跨界合作……構(gòu)建開放、合作、共贏的金融服務(wù)生態(tài)體系。通過系統(tǒng)嵌入、API等手段，實(shí)時(shí)獲取風(fēng)險(xiǎn)信息、自動(dòng)抓取業(yè)務(wù)特征數(shù)據(jù)，保證監(jiān)管信息的真實(shí)性和實(shí)效性?！便y行的安全服務(wù)不僅需要滿足內(nèi)部需求，而且也需要滿足外部需求，需要解決API的安全訪問，也要解決API資產(chǎn)管理與安全保護(hù)。數(shù)字銀行建設(shè)的解決方案如圖3-2所示外部觸點(diǎn)ZTaaS業(yè)務(wù)集成資源服務(wù)外部觸點(diǎn)ZTaaS業(yè)務(wù)集成資源服務(wù)網(wǎng)點(diǎn)平臺(tái)移動(dòng)平臺(tái)信息交互平臺(tái)電商平臺(tái)身份安全終端安全網(wǎng)絡(luò)安全數(shù)據(jù)安全......應(yīng)應(yīng)用集成數(shù)據(jù)集成外部合作渠道互聯(lián)......API數(shù)據(jù)交換安全平臺(tái)信貸業(yè)務(wù)平臺(tái)貸記卡系統(tǒng)電子商業(yè)信貸業(yè)務(wù)平臺(tái)貸記卡系統(tǒng)電子商業(yè)匯票資金業(yè)務(wù)平臺(tái)私人銀行理財(cái)系統(tǒng)......圖3-2數(shù)字銀行的安全框架派拉軟件發(fā)展研究院建設(shè)數(shù)字銀行的安全框架平臺(tái)，基于用戶、設(shè)備、系統(tǒng)等不同的訪問對(duì)象，統(tǒng)一內(nèi)外部服務(wù)的安全接入，通過訪問身份認(rèn)證和鑒權(quán)，減少身份與API數(shù)據(jù)泄露和攻擊風(fēng)險(xiǎn)，實(shí)現(xiàn)數(shù)據(jù)安全訪問；通過打通移動(dòng)APP、微信小程序、第三方合作伙伴和企業(yè)內(nèi)部應(yīng)用的數(shù)據(jù)互聯(lián)互通，實(shí)現(xiàn)數(shù)據(jù)安全共享；通過API資產(chǎn)的統(tǒng)一管理與檢查API權(quán)限的安全，實(shí)現(xiàn)資產(chǎn)統(tǒng)計(jì)與業(yè)務(wù)系統(tǒng)安全保護(hù)；打通企業(yè)上下游業(yè)務(wù)，整合內(nèi)外部服務(wù)能力，實(shí)現(xiàn)敏捷應(yīng)對(duì)業(yè)務(wù)的變化?？蓪?shí)現(xiàn)企業(yè)生態(tài)建設(shè)，降低運(yùn)營(yíng)成本、擴(kuò)大數(shù)據(jù)積累、提升客戶體驗(yàn)。業(yè)務(wù)的發(fā)展需要用大量的操作系統(tǒng)與網(wǎng)絡(luò)設(shè)備來支撐，傳統(tǒng)的運(yùn)維管理模式很難滿足安全與效率的平衡，甚至二者都不沾邊，運(yùn)維人員的工作變得異常復(fù)雜和高風(fēng)險(xiǎn)，尤其對(duì)特權(quán)賬號(hào)的申請(qǐng)與授權(quán)非常敏感。金融機(jī)構(gòu)面臨著如何實(shí)現(xiàn)資源的統(tǒng)一管控與特權(quán)賬號(hào)的全生命周期管理，操作系統(tǒng)或數(shù)據(jù)庫的細(xì)粒度訪問控制與審計(jì)，實(shí)現(xiàn)事前、事中、事后的全方位安全保護(hù)，在保障安全、監(jiān)控、審計(jì)的前提下最大限度提高工作效率等多方面問題，要解決這些問題，我們需要構(gòu)建一體化的安全運(yùn)維平臺(tái)來解決。如圖3-3所示派拉軟件發(fā)展研究院運(yùn)維人員管理員外部觸點(diǎn)pcAPPWEB微信ZTaaSPAMZTaaSPAM身份安全終端安全網(wǎng)絡(luò)安全數(shù)據(jù)安全......賬賬號(hào)與密碼管理安全審計(jì)訪問監(jiān)控資源注冊(cè)......API數(shù)據(jù)交換安全平臺(tái)資源服務(wù)資源服務(wù)操作系統(tǒng)數(shù)據(jù)庫交換機(jī)/路由器應(yīng)用系統(tǒng)中間件虛擬設(shè)備......圖3-3一體化安全運(yùn)維通過平臺(tái)的集中管理，可實(shí)現(xiàn)對(duì)金融資產(chǎn)信息(包括運(yùn)維人員、資源信息、資源賬號(hào)信息、授權(quán)管控、審計(jì)信息、密碼管理等)進(jìn)行標(biāo)準(zhǔn)化的管理，為管理員和運(yùn)維人員的訪問資源提供了安全性和高效性。通過關(guān)聯(lián)用戶的訪問資源行為，對(duì)非法登錄和非法操作實(shí)時(shí)分析、定位和響應(yīng)，為安全審計(jì)和追蹤提供依據(jù)。派拉軟件發(fā)展研究院partpart4.1身份和權(quán)限治理4.2安全訪問4.3API安全4.4數(shù)據(jù)安全派拉軟件發(fā)展研究院數(shù)據(jù)安全是構(gòu)建客戶信任的基礎(chǔ)，在數(shù)字經(jīng)濟(jì)穩(wěn)步發(fā)展的背景之下,數(shù)字化帶來的安全挑戰(zhàn)成為業(yè)界熱門話題，網(wǎng)絡(luò)安全也隨之升級(jí)為數(shù)字安全，安全合規(guī)與隱私保護(hù)愈發(fā)受到越來越多企業(yè)的關(guān)注。因此，從企業(yè)角度，應(yīng)當(dāng)著重從身份和權(quán)限治理、安全訪問、服務(wù)安全三個(gè)方面進(jìn)行安全保護(hù)。在企業(yè)中，用戶或設(shè)備的身份信息都分散在各個(gè)業(yè)務(wù)系統(tǒng)中，企業(yè)在使用不同的業(yè)務(wù)服務(wù)過程中都存在由于身份信息的不同而存在數(shù)據(jù)的不一致性，權(quán)限也不盡相同，企業(yè)需要在每個(gè)業(yè)務(wù)系統(tǒng)中手動(dòng)完成身份與權(quán)限信息的維護(hù)，容易引發(fā)以下幾個(gè)問題：中國(guó)人姓名的重名率很高，在數(shù)字化系統(tǒng)授權(quán)時(shí)往往造成困擾，甚至導(dǎo)致錯(cuò)每一員工的入職、轉(zhuǎn)正、更換部門或升職、離職都需要在所有的數(shù)字化系統(tǒng)中進(jìn)行添加、變更、刪除、鎖定等操作。一位員工的變動(dòng)，管理員往往需要操作幾十個(gè)授權(quán)動(dòng)作，工作量巨大。外部用戶或供應(yīng)商需要手工創(chuàng)建身份信息，在供應(yīng)商完成工作后往往沒有及時(shí)刪除用戶賬號(hào)和授權(quán)信息，導(dǎo)致安全威脅。離職員工不及時(shí)關(guān)閉賬號(hào)導(dǎo)致數(shù)據(jù)泄露。 過度授權(quán)導(dǎo)致用戶可以查看超出應(yīng)有權(quán)限的數(shù)據(jù)，造成企業(yè)信息安全風(fēng)險(xiǎn)。 通過郵件或即時(shí)消息溝通身份和授權(quán)，往往會(huì)發(fā)生遺漏、錯(cuò)誤的情況，從而導(dǎo)致安全風(fēng)險(xiǎn)。派拉軟件發(fā)展研究院特權(quán)賬號(hào)與用戶在一對(duì)多的關(guān)系中，每個(gè)用戶在訪問的時(shí)候都需要知道特權(quán)賬號(hào)和密碼，密碼存在泄漏風(fēng)險(xiǎn)。有些企業(yè)會(huì)用數(shù)字證書，但也只是與終端設(shè)備進(jìn)行了綁定，終端設(shè)備如被別人使用，安全隱患將更大。特權(quán)賬號(hào)密碼定期更新的本意是加強(qiáng)密碼安全，但在多個(gè)使用特權(quán)賬號(hào)的用戶都需要知道密碼的情況下，密碼定期更新就變成了一種形式，泄漏的風(fēng)險(xiǎn)依然存在。如果使用特權(quán)賬號(hào)的用戶發(fā)生工作或崗位變動(dòng)，特權(quán)賬號(hào)的安全隱患將會(huì)變得更高。如果企業(yè)存在多個(gè)業(yè)務(wù)系統(tǒng)，用戶可能要記多個(gè)特權(quán)賬號(hào)信息，由于特權(quán)賬號(hào)的權(quán)限是共享的，用戶的訪問并非是最小權(quán)限，這就為誤操作、數(shù)據(jù)的泄漏、勒索病毒的侵入埋下了安全隱患?，F(xiàn)在的大部分終端設(shè)備都是匿名的，后端不會(huì)驗(yàn)證終端設(shè)備的身份，即便驗(yàn)證了由于與訪問的資源沒有交集而變得形同虛設(shè)，有風(fēng)險(xiǎn)的終端設(shè)備在訪問資源權(quán)限沒有變化的前提下還是會(huì)污染后端環(huán)境，由于不可識(shí)別，惡意的探測(cè)和攻擊將會(huì)同時(shí)存在，整個(gè)后端環(huán)境會(huì)受其影響，這給服務(wù)資源帶來了巨大風(fēng)險(xiǎn)要解決身份和權(quán)限治理問題，加強(qiáng)身份的安全，實(shí)現(xiàn)對(duì)特權(quán)賬號(hào)的安全保護(hù)，需要通過身份管理平臺(tái)來完成,可實(shí)現(xiàn)：身份數(shù)據(jù)自動(dòng)化業(yè)權(quán)管理一體化特權(quán)訪問全生命周期管理安全合規(guī)派拉軟件發(fā)展研究院身份數(shù)據(jù)自動(dòng)化業(yè)權(quán)管理一體化身份數(shù)據(jù)自動(dòng)化業(yè)權(quán)管理一體化身份管理平臺(tái)可連接多數(shù)據(jù)源，通過與HR系統(tǒng)聯(lián)動(dòng)，當(dāng)員工入職在HR中確認(rèn)，員工身份數(shù)據(jù)實(shí)時(shí)同步到身份管理平臺(tái)中，平臺(tái)利用內(nèi)置的規(guī)則，自動(dòng)化開通相關(guān)的應(yīng)用的訪問賬號(hào)(比如郵箱，OA，CRM等系統(tǒng))；當(dāng)員工相關(guān)的數(shù)據(jù)變更的情況下，如改換手機(jī)號(hào)，平臺(tái)將實(shí)時(shí)同步數(shù)據(jù)到所有更改員工相關(guān)的業(yè)務(wù)系統(tǒng)中；當(dāng)員工離職時(shí)，在幾秒鐘內(nèi)即可完成所有賬號(hào)的鎖定，該員工將無法再訪問企業(yè)的業(yè)務(wù)系統(tǒng)。這些自動(dòng)化的操作將很大程度提升管理效率，降低由于手工操作代來的風(fēng)險(xiǎn)。在身份管理中，所有的用戶、設(shè)備、系統(tǒng)身份和業(yè)務(wù)權(quán)限將集中呈現(xiàn)。設(shè)備和用戶的身份訪問前將同時(shí)驗(yàn)證，每一個(gè)實(shí)體在哪些業(yè)務(wù)系統(tǒng)中擁有身份和權(quán)限將一目了然。身份和權(quán)限的可視化不僅提升管理員的工作效率，也有助于企業(yè)進(jìn)行權(quán)限審計(jì)和管理，最大程度上避免過度授權(quán)。一方面，平臺(tái)通過單點(diǎn)登錄(SingleSignOn-SSO)來實(shí)現(xiàn)一次登錄全局訪問的能力，用戶只需登錄一次，通過平臺(tái)的用戶門戶即可訪問所有的經(jīng)授權(quán)的數(shù)字化系統(tǒng)。另一方面，平臺(tái)提供用戶自助平臺(tái)，可以幫助用戶完成應(yīng)用訪問申請(qǐng)、個(gè)人信息修改、綁定訪問設(shè)備、綁定社交賬號(hào)登錄等等，提升數(shù)字化應(yīng)用的使用體驗(yàn)。派拉軟件發(fā)展研究院特權(quán)訪問全生命周期管理安全合規(guī)特權(quán)訪問全生命周期管理安全合規(guī)區(qū)別于共享特權(quán)賬號(hào)，運(yùn)維管理員是有唯一身份標(biāo)識(shí)的，從訪問開始到訪問結(jié)束的整個(gè)過程可追溯，當(dāng)運(yùn)維管理員訪問云環(huán)境前平臺(tái)需要驗(yàn)證個(gè)人的用戶身份、操作的業(yè)務(wù)、有效時(shí)間范圍；在訪問過程中，平臺(tái)可切換用戶身份為特權(quán)賬號(hào)。在訪問過程中，所有操作均可控可追溯。特權(quán)賬號(hào)與密碼統(tǒng)一由平臺(tái)實(shí)行管理，用戶訪問與操作業(yè)務(wù)不需要知道特權(quán)賬號(hào)和密碼，當(dāng)用戶有使用特權(quán)賬號(hào)的需求時(shí)，可通過業(yè)務(wù)進(jìn)行申請(qǐng)，例如，用戶要使用后端中的業(yè)務(wù)虛機(jī)，選擇該業(yè)務(wù)虛機(jī)和訪問的時(shí)間段，以及要執(zhí)行的操作進(jìn)行申請(qǐng)，申請(qǐng)流程通過后即可訪問，訪問期間完成合法身份驗(yàn)證后，平臺(tái)會(huì)自動(dòng)為用戶完成對(duì)系統(tǒng)、數(shù)據(jù)庫的登錄，用戶直接執(zhí)行操作即可，執(zhí)行操作的合法性也交給平臺(tái)來處理。另外，當(dāng)有較多的服務(wù)器時(shí)，定時(shí)修改密碼變成非常大的工作量。特權(quán)賬號(hào)密碼的定時(shí)更新由平臺(tái)根據(jù)密碼規(guī)則自動(dòng)完成并批量快速完成修改。平臺(tái)幫助企業(yè)滿足國(guó)家和國(guó)際的信息安全法規(guī)。比如，通過采用平臺(tái)可以提升安全等級(jí)保護(hù)到三級(jí)水平。平臺(tái)同時(shí)提供GDPR對(duì)于個(gè)人信息和隱私的保護(hù)，幫助企業(yè)合規(guī)出海，拓展國(guó)際化業(yè)務(wù)。派拉軟件發(fā)展研究院傳統(tǒng)的訪問需要借助于終端工具，例如VPN，而這種方式已遠(yuǎn)不能滿足企業(yè)對(duì)安全訪問的需求。VPN包含終端軟件和服務(wù)端軟件，終端要建立與服務(wù)端的連接需要提供賬號(hào)和密碼，或者數(shù)字證書，作為網(wǎng)絡(luò)連接的身份憑據(jù)，VPN是先連接后認(rèn)證的模式，終端需要事先知道服務(wù)端的地址和端口，驗(yàn)證身份憑據(jù)后建立加密隧道，然后用戶通過其他工具訪問企業(yè)資源，如果用同一個(gè)VPN賬號(hào)和密碼在任何終端上同樣可以建立到服務(wù)資源的連接，這對(duì)企業(yè)的資源造成了安全隱患，另外VPN服務(wù)端對(duì)外暴露的地址和端口極容易受到外網(wǎng)的探測(cè)和攻擊，導(dǎo)致癱瘓和勒索病毒入侵。VPN的服務(wù)端只對(duì)來自終端的網(wǎng)絡(luò)身份進(jìn)行驗(yàn)證，至于用戶想干什么并不知道或者對(duì)是否有權(quán)限訪問企業(yè)中的資源無能為力，這就導(dǎo)致有網(wǎng)絡(luò)身份的用戶在訪問資源未驗(yàn)證身份前在后端環(huán)境中可為所欲為，由于無法識(shí)別，整個(gè)后端環(huán)境中的資源安全變得不可控制。訪問風(fēng)險(xiǎn)無法被識(shí)別VPN的終端只是解決與服務(wù)端的連接，而服務(wù)端到資源端的不存在加密隧道連接，也不提供對(duì)終端環(huán)境的檢測(cè)和保護(hù)，如果終端不安全，會(huì)導(dǎo)致有風(fēng)險(xiǎn)的數(shù)據(jù)直接進(jìn)入到后端環(huán)境。例如用戶換了終端繼續(xù)工作，如果更換的終端環(huán)境是高風(fēng)險(xiǎn)的，而用戶的權(quán)限并沒有發(fā)生變化，這就很可能出現(xiàn)安全問題，服務(wù)端到資源端的整個(gè)環(huán)境及易受到感染和攻擊。派拉軟件發(fā)展研究院資源訪問無安全保障訪問操作系統(tǒng)、數(shù)據(jù)庫的工具雜亂，權(quán)限和訪問審計(jì)無法統(tǒng)一監(jiān)管，很難做到事前和事中的有效控制，事后也很難追溯。對(duì)訪問過程中出現(xiàn)的隱藏風(fēng)險(xiǎn)無法進(jìn)行有效監(jiān)測(cè)與預(yù)警，對(duì)歷史的訪問行為沒有進(jìn)行有效分析，數(shù)據(jù)無法做到可視要實(shí)現(xiàn)安全訪問，需要用到零信任一體化平臺(tái)來解決這些問題，從終端到連接，再到后端服務(wù)資源，提供整體的安全服務(wù)保障，滿足安全訪問的需求。以下是平臺(tái)的能力：11端到端的安全訪問平臺(tái)的零信任客戶端提供終端安全容器，對(duì)訪問設(shè)備進(jìn)行安全保護(hù)，從終端到資源端提供全鏈路加密隧道來保障端到端的安全，在訪問過程中，不僅對(duì)用戶進(jìn)行身份認(rèn)證，同時(shí)也對(duì)訪問設(shè)備進(jìn)行認(rèn)證。對(duì)服務(wù)資源進(jìn)行訪問時(shí)，直接參與到資源授權(quán)環(huán)節(jié)，保證了從設(shè)備到業(yè)務(wù)全程的安全管理。2網(wǎng)絡(luò)隱身能力零信任訪問的數(shù)據(jù)定義邊界，需要通過軟件定義邊界 (SoftwareDefinedPerimeter-SDP)技術(shù)，實(shí)現(xiàn)在建立訪問連接前需要完成安全認(rèn)證。只有通過安全認(rèn)證，SDP網(wǎng)關(guān)才能打開端口，從而降低網(wǎng)絡(luò)暴露面，減少攻擊的可能性。用戶要訪問后端的資源服務(wù)，啟動(dòng)終端軟件后，輸入憑據(jù)，終端會(huì)向服務(wù)端的的認(rèn)證服務(wù)發(fā)起單包認(rèn)證模式，終端不會(huì)收到任何響應(yīng)，直到服務(wù)端的認(rèn)證服務(wù)完成對(duì)來自該終端的身份驗(yàn)證后才通知服務(wù)端的可信網(wǎng)關(guān)開放有效端口給終端進(jìn)行再次連接。利用零信任的網(wǎng)絡(luò)隱身能力，企業(yè)可以在任何環(huán)境下構(gòu)建基于安全數(shù)據(jù)中心。派拉軟件發(fā)展研究院33基于用戶行為的風(fēng)險(xiǎn)分析零信任訪問中，不僅僅依賴于用戶和設(shè)備的認(rèn)證。零信任通過訪問網(wǎng)關(guān)收集用戶訪問數(shù)據(jù)和訪問上下文信息(如常用設(shè)備，常用訪問地點(diǎn)，時(shí)間，設(shè)備指紋，訪問的操作行為等等)。通過大數(shù)據(jù)安全算法，分析當(dāng)前用戶訪問的風(fēng)險(xiǎn)，到風(fēng)險(xiǎn)過高的情況下對(duì)訪問進(jìn)行實(shí)時(shí)阻斷。4自適應(yīng)最小權(quán)限授權(quán)用戶在任何情況下都需要保持最小權(quán)限的訪問，平臺(tái)在運(yùn)行過程中會(huì)采集用戶訪問期間在終端、網(wǎng)絡(luò)、可信網(wǎng)關(guān)、認(rèn)證服務(wù)、后端的資源服務(wù)等信息，如果發(fā)現(xiàn)環(huán)境有變化，平臺(tái)會(huì)自動(dòng)完成身份權(quán)限的調(diào)整，保持訪問安全。端到端的端到端的安全訪問為的風(fēng)險(xiǎn)分析網(wǎng)絡(luò)隱身網(wǎng)絡(luò)隱身能力小權(quán)限授權(quán)派拉軟件發(fā)展研究院企業(yè)服務(wù)資源的增多與微服務(wù)化的普遍應(yīng)用，API接口服務(wù)變得越來越多，服務(wù)的治理與安全已是企業(yè)亟需解決的問題：每個(gè)服務(wù)供應(yīng)商都有適合本身軟件的服務(wù)接口標(biāo)準(zhǔn)，但集中到企業(yè)就會(huì)出現(xiàn)問題，由于不兼容，數(shù)據(jù)的同步變得困難，接口服務(wù)很難進(jìn)行統(tǒng)一管理，數(shù)據(jù)也變得無法共享，導(dǎo)致企業(yè)決策缺少全局?jǐn)?shù)據(jù)，例如客戶畫像、精準(zhǔn)營(yíng)銷等，直接限制了企業(yè)的發(fā)展和創(chuàng)新。接口服務(wù)的訪問涉及到授權(quán)，各個(gè)服務(wù)供應(yīng)商授權(quán)的方式和顆粒度、周期管理很難保持一致，人員也存在違規(guī)操作，賬號(hào)濫用的情況，導(dǎo)致接口服務(wù)被第三方所使用，提供的接口服務(wù)無法做到基于請(qǐng)求者的最小權(quán)限，會(huì)造成授權(quán)過大，使與本次請(qǐng)求無聯(lián)系的敏感數(shù)據(jù)泄露，數(shù)據(jù)權(quán)限的混亂給企業(yè)帶來巨大的安全風(fēng)險(xiǎn)。由于存在大量不斷變化的接口服務(wù)，人工梳理復(fù)雜且不準(zhǔn)確導(dǎo)致統(tǒng)計(jì)困難，哪些接口服務(wù)在相互調(diào)用無法明確會(huì)帶來業(yè)務(wù)數(shù)據(jù)的混亂，也無法進(jìn)行有效的API資產(chǎn)派拉軟件發(fā)展研究院API接口之間的調(diào)用缺乏有效管控，在企業(yè)沒有統(tǒng)一的標(biāo)準(zhǔn)下，各個(gè)服務(wù)供應(yīng)商會(huì)根據(jù)自己的軟件標(biāo)準(zhǔn)實(shí)現(xiàn)相互的調(diào)用，由于沒有監(jiān)管API的安全，結(jié)果會(huì)存在未授權(quán)的API、API授權(quán)過度、相互的調(diào)用無法追溯等API資產(chǎn)風(fēng)險(xiǎn)。要實(shí)現(xiàn)API安全，需要用到API管理平臺(tái)來解決，從API管理、API門戶、API網(wǎng)關(guān)、到API監(jiān)控、API編排，平臺(tái)提供了完整的服務(wù)與安全功能，滿足服務(wù)安全的需求。以下是平臺(tái)的能力：11API安全管理:API管理提供了API標(biāo)準(zhǔn)接口的定義、發(fā)布、上線、下線全生命周期管理，包括環(huán)境管理，通過平臺(tái)可以很直觀的看到各接口服務(wù)的數(shù)量與使用狀態(tài)，以及調(diào)用雙方與時(shí)間。當(dāng)一個(gè)業(yè)務(wù)API無法滿足另一個(gè)業(yè)務(wù)時(shí)，平臺(tái)提供API接口編排的方式來滿足，實(shí)現(xiàn)了API的重復(fù)利用。2權(quán)限與審計(jì):API網(wǎng)關(guān)會(huì)對(duì)接口服務(wù)的調(diào)用進(jìn)行身份識(shí)別與鑒權(quán)，保障API的調(diào)用為最小權(quán)限，并對(duì)接口調(diào)用雙方進(jìn)行全方位的審計(jì)，做到調(diào)用可追溯，當(dāng)被調(diào)方繁忙或在設(shè)定的時(shí)間范圍內(nèi)沒響應(yīng)時(shí)，會(huì)實(shí)現(xiàn)接口間的負(fù)載均衡做出及時(shí)響應(yīng)，避免調(diào)用方的超時(shí)異常，增加了業(yè)務(wù)之間訪問的可持續(xù)性和高可用性，促進(jìn)了企業(yè)的合規(guī)性。3服務(wù)自助接入:平臺(tái)提供API門戶，按照企業(yè)的統(tǒng)一接入標(biāo)準(zhǔn)提供自助接入SDK和文檔說明，供API發(fā)布或使用廠商及自開發(fā)應(yīng)用人員完成調(diào)用接口開發(fā)與對(duì)接，實(shí)現(xiàn)標(biāo)準(zhǔn)接口注冊(cè)、授權(quán)、注銷流程化，最大限度提高了業(yè)務(wù)的敏捷與安全。4數(shù)據(jù)可視化:API監(jiān)控為業(yè)務(wù)系統(tǒng)API安全及API之間的調(diào)用狀態(tài)提供了監(jiān)管可視化，包括時(shí)間范圍內(nèi)接口調(diào)用的頻繁度，數(shù)據(jù)的流轉(zhuǎn)與異常，時(shí)間段內(nèi)業(yè)務(wù)系統(tǒng)API的安全狀態(tài)以及權(quán)限范圍的巡檢，為企業(yè)提供了全局的服務(wù)安全駕駛艙，能直觀的定位業(yè)務(wù)問題，解決問題。派拉軟件發(fā)展研究院4.4數(shù)據(jù)安全數(shù)據(jù)作為生產(chǎn)要素之一，越來越受到企業(yè)的重視，而隨著《數(shù)據(jù)安全法》的頒布，如何實(shí)現(xiàn)數(shù)據(jù)的安全成為企業(yè)首要解決的問題。關(guān)系型數(shù)據(jù)的存儲(chǔ)大部分都基于庫和表的授權(quán)，這就導(dǎo)致基于角色或組的授權(quán)模式很容易引起用戶訪問權(quán)限過大的問題，管理員可以看到所有庫和表里的字段與數(shù)據(jù)，這種無法控制也無法滿足敏感數(shù)據(jù)的保護(hù)。例如，員工的家庭地址、手機(jī)號(hào)、薪酬情況，除了員工本人，正常下是不允許其他人可見的。隨著數(shù)據(jù)來自不同業(yè)務(wù)越來越多，不同業(yè)務(wù)部門所需要查看自己相關(guān)的數(shù)據(jù)變得越來越困難，由于缺乏元數(shù)據(jù)的定義，數(shù)據(jù)不僅處理與解析響應(yīng)能力受混合數(shù)據(jù)影響，而且展現(xiàn)的數(shù)據(jù)往往存在越權(quán)其他業(yè)務(wù)的問題，提供的許多數(shù)據(jù)由于雜亂導(dǎo)致業(yè)務(wù)信息不準(zhǔn)確。IT運(yùn)維人員都會(huì)安裝不同的數(shù)據(jù)庫客戶端工具直接訪問數(shù)據(jù)庫進(jìn)行運(yùn)維，很容易出現(xiàn)行為不可控，誤操作、SQL注入、特權(quán)帳號(hào)濫用問題，無法事先和事中進(jìn)行控制，對(duì)數(shù)據(jù)的安全造成很大的隱患。要實(shí)現(xiàn)數(shù)據(jù)的安全，通過數(shù)據(jù)安全服務(wù)可實(shí)現(xiàn)細(xì)粒度授權(quán)、統(tǒng)一訪問控制與審計(jì)，對(duì)敏感的數(shù)據(jù)進(jìn)行保護(hù)與分解，滿足數(shù)據(jù)安全的要求，以下是平臺(tái)的能力：派拉軟件發(fā)展研究院BACABAC數(shù)據(jù)分類分級(jí)細(xì)粒度授權(quán)BACABAC數(shù)據(jù)分類分級(jí)細(xì)粒度授權(quán)11細(xì)粒度授權(quán):細(xì)粒度授權(quán)提供了數(shù)據(jù)字段或?qū)傩缘氖跈?quán)控制，是基于ABAC的授權(quán)模式，解決了由于基于庫和表的RBAC模式導(dǎo)致授權(quán)顆粒度過大，可基于策略的定義，動(dòng)態(tài)化敏感數(shù)據(jù)的過濾和保護(hù)，實(shí)現(xiàn)按需展現(xiàn)。2數(shù)據(jù)分類分級(jí):可通過定義業(yè)務(wù)類型，提供數(shù)據(jù)的分類分級(jí)，根據(jù)業(yè)務(wù)數(shù)據(jù)的需求不同，提供元數(shù)據(jù)的定義與授權(quán)，不同業(yè)務(wù)部門只能看見自己的數(shù)據(jù)，上級(jí)部門根據(jù)需求不同可以看見該部門下不同業(yè)務(wù)數(shù)據(jù)的組合和分離。3訪問控制:提供IT運(yùn)維統(tǒng)一的Web服務(wù)模式，實(shí)現(xiàn)訪問時(shí)間段、特權(quán)帳號(hào)申請(qǐng)、命令過濾和審計(jì)，實(shí)時(shí)監(jiān)控，在訪問前和訪問中提供訪問控制與審計(jì)，保障數(shù)據(jù)訪問的安全。提供元數(shù)據(jù)的定義與授權(quán)提供IT運(yùn)維統(tǒng)一提供元數(shù)據(jù)的定義與授權(quán)統(tǒng)一訪問控制與審計(jì)保障數(shù)據(jù)安全5.1銀行業(yè)零信任安全總結(jié)5.2銀行業(yè)零信任安全發(fā)展趨勢(shì)派拉軟件發(fā)展研究院派拉軟件發(fā)展研究院零信任不僅解決了網(wǎng)絡(luò)安全問題，同時(shí)也解決了服務(wù)安全