20213零信任落地案例集

PAGEPAGE1零信任落地案例集PAGEPAGE2目錄PAGEPAGE10一、前 言 6二、落地案例清單 8三、落地案例 10、恒信溫州大數(shù)發(fā)展理局信任踐案例 10、子行信任全防解決案護海事移動/遠(yuǎn)辦公全 14、安信信任全解方案部委數(shù)據(jù)心的踐案例 18、大正某大集團司零任實案例 20、爾軟航空業(yè)商零信安全佳實踐 28、門服招商零信落地例 37、信服東港集團信任數(shù)據(jù)心安接入 41、州漠尼物網(wǎng)零任安解決案 42、安聯(lián)國核業(yè)華建設(shè)限公司EnSDP零任安防護臺 4510、符網(wǎng)國家網(wǎng)某級單基于信任構(gòu)的程安訪問決方案 4911、安信大型業(yè)銀零信遠(yuǎn)程問解方案 5512、薇靈中國通建股份限公零信落地決方案 6013、盟云國建銀行信任地案例 6814、軟科光大行零任遠(yuǎn)辦公踐 7115、深互陽光險集養(yǎng)老不動中心信任地案例 7516、海云貴州山云技股有限司應(yīng)可信問 7917、谷信息e簽零信實踐例 8518、京芯時代信運商零任業(yè)安全決方落地目 8919、深互零信任/SDP安在電運營行業(yè)實踐例 9420、明星中國動某司遠(yuǎn)辦公全接方案 9921、掌易集團犀·SDP零任解方案 10522、云智美的團零任實案例 11223、360零任架的業(yè)訪問全案例 11824、字認(rèn)零信安全構(gòu)在軍軍大學(xué)一附醫(yī)院應(yīng)用 12025、石網(wǎng)南京中醫(yī)云數(shù)中心“零任建項目功案例 12526、州云科技限公某知在線育企遠(yuǎn)程公零任解方案 133一、前言（ZeroTrust控制的基礎(chǔ)。府的認(rèn)可。念、新架構(gòu)，甚至已經(jīng)上升為國家的網(wǎng)絡(luò)安全戰(zhàn)略。20192020IT2021529的意料，而收集到的案例數(shù)量也比去年豐富了不少，可見零信任實踐的火爆程度。與20209300%249對于這部分客戶，我們在案例中進行了匿名處理。NIST31)SDP，軟件定義邊界SDPSDPMSG慎態(tài)度，更愿意從邊緣系統(tǒng)開始試水。2021任的深水區(qū)，打造更先進的零信任平臺。會看到越來越多更具代表性的零信任應(yīng)用場景和探索涌現(xiàn)出來。《20212020了解這一領(lǐng)域的最新實踐，并協(xié)助推動零信任技術(shù)的發(fā)展。方案。感謝CSA大中華區(qū)零信任工作組組長陳本峰、專家姚凱以及研究助理夏營對本次《2021零信任落地案例集》匯編的大力支持。如文有不妥當(dāng)之處，敬請讀者聯(lián)系CSAGCR秘書處給與雅正!聯(lián)系郵箱：info@;云安全聯(lián)盟CSA公眾號二、案例名單序號案例所屬行業(yè)零信任技術(shù)案例用戶名稱案例提供單位1政企SDP溫州市大數(shù)據(jù)發(fā)展管理局安恒信息2政企SDP某市海事局任子行3政企SDP部委大數(shù)據(jù)中心（2020年案例）奇安信4政企IAM某大型集團公司吉大正元5政企SDP中國航空工業(yè)集團有限公司格爾軟件6政企微隔離招商局集團廈門服云7交通SDP山東港口集團深信服8能源SDP某省電力公司直屬單位漠坦尼9能源SDP中國核工業(yè)華興建設(shè)有限公司易安聯(lián)10能源SDP國家電網(wǎng)有限公司某二級直屬單位虎符網(wǎng)絡(luò)11金融SDP某大型商業(yè)銀行奇安信12金融微隔離中國交通建設(shè)股份有限公司薔薇靈動13金融SDP中國建設(shè)銀行締盟云14金融SDP光大銀行聯(lián)軟15金融SDP陽光保險集團養(yǎng)老與不動產(chǎn)中心云深互聯(lián)16互聯(lián)網(wǎng)SDP貴州白山云科技股份有限公司上海云盾17互聯(lián)網(wǎng)IAMe簽寶天谷信息18運營商SDP,IAM電信運營商芯盾時代19運營商SDP電信運營商（2020年案云深互聯(lián)例）20運營商IAM中國移動某公司啟明星辰21制造業(yè)SDP某集團指掌易22制造業(yè)SDP美的集團美云智數(shù)23制造業(yè)SDP某國家高新技術(shù)企業(yè)36024醫(yī)療SDP陸軍軍醫(yī)大學(xué)第一附屬醫(yī)院數(shù)字認(rèn)證25醫(yī)療微隔離南京市中醫(yī)院山石網(wǎng)科26教育IAM某知名在線教育企業(yè)九州云騰三、具體案例1、安恒信息溫州市大數(shù)據(jù)發(fā)展管理局零信任實踐案例方案背景眾提供良好的大數(shù)據(jù)業(yè)務(wù)支撐服務(wù)，以數(shù)據(jù)智能賦能數(shù)字經(jīng)濟和民生。無法追溯到最終用戶、APIAPI信任安全防護體系的建設(shè)任務(wù)，并引入安恒信息作為零信任安全供應(yīng)商。方案概述和應(yīng)用場景API開展。圖1溫州市一體化智能化公共數(shù)據(jù)平臺零信任安全防護體系邏輯架構(gòu)溫州市一體化智能化公共數(shù)據(jù)平臺零信任安全防護體系由以下幾個關(guān)鍵組件構(gòu)成：1.統(tǒng)一控制臺：作為零信任架構(gòu)中的PDP，維護用戶清單、應(yīng)用清單及資源清SSOAPIIDaaS12UEBA象信息（API，通過手動配置或從流量中分析的方式建立。APIPEP，以“默認(rèn)拒絕”的模式接管所有APIUEBA優(yōu)勢特點和應(yīng)用價值統(tǒng)一身份、安全認(rèn)證統(tǒng)一控制臺通過SSO系統(tǒng)為政務(wù)外網(wǎng)所有的應(yīng)用系統(tǒng)提供認(rèn)證門戶，接入應(yīng)用的用戶在通過統(tǒng)一認(rèn)證的合法性校驗后將會生成包含用戶、應(yīng)用身份唯一信息的訪問令牌，作為獲得后續(xù)訪問資源的授權(quán)憑證之一。戶登錄進行快速處置。收縮資源暴露面APIAPI全流量加密APITLS上的安全加密、防篡改。APIAPIAPIIPAPI庫、暴力破解等行為。API（用）身份、IP、訪問接口、時間、返回字段等信息，并向統(tǒng)一管控平臺上報。API安全管控系統(tǒng)將按配置對API返回數(shù)據(jù)中的字段名、字段值進行自動分析，發(fā)現(xiàn)字段中包含的潛在敏感信息并標(biāo)記，幫助安全團隊掌握潛在敏感接口分布情況。經(jīng)驗總結(jié)持一致。搭建好基礎(chǔ)架構(gòu)后，統(tǒng)一控制臺即對應(yīng)用系統(tǒng)開放單點登錄及訪問工具集成能力，SSOIPAPIAPIAPI再處理網(wǎng)絡(luò)策略的連通性。另外，在運維流程上實現(xiàn)資源目錄的統(tǒng)一管理運維，對后期維護來說也非常重要，一次項目組通過將溫州市用戶統(tǒng)一登錄中心（統(tǒng)一控制臺）對接溫州市資源目錄系統(tǒng)，打通新應(yīng)用接入的標(biāo)準(zhǔn)化流程，實現(xiàn)業(yè)務(wù)資源的統(tǒng)一運維。APIAPI用方分布、異常行為、APIAPI漸進行白名單策略的切換。2、任子行零信任安全防護解決方案護航海事局移動/遠(yuǎn)程辦公安全方案背景用戶需求及方案必要性泄露。網(wǎng)絡(luò)安全是某海事局開展海事安全管理體系建設(shè)中的重要組成部分，自公安部20182021審批、執(zhí)法等應(yīng)用場景需求。方案概述和應(yīng)用場景用戶需求與解決方案用戶存在的安全需求總結(jié)如下：VPN用不順暢問題；存在來自于互聯(lián)網(wǎng)的肉雞惡意掃描、惡意攻擊；體的身份安全無法保障；系統(tǒng)和應(yīng)用程序的漏洞屬于致命威脅。網(wǎng)絡(luò)安全體系，具體實施方案如下：時實現(xiàn)單點登錄；求和合法的客戶端訪問業(yè)務(wù)系統(tǒng)，拒絕非法請求，屏蔽非法流量的攻擊；業(yè)務(wù)系統(tǒng)隱身，同時隱藏程序漏洞，將企業(yè)內(nèi)網(wǎng)應(yīng)用暴露的攻擊面降到最低；持續(xù)的安全信任評估，及時發(fā)現(xiàn)用戶的異常登錄和異常訪問行為。用戶使用部門及規(guī)模12（不一一列舉）圖1方案架構(gòu)示意圖優(yōu)勢特點和應(yīng)用價值SDPWeb技術(shù)優(yōu)勢VPN能力。VPN2零信任網(wǎng)關(guān)可以將企業(yè)內(nèi)網(wǎng)所有核心資產(chǎn)和業(yè)務(wù)“隱藏”起來。保護的業(yè)務(wù)。3、采用“零信任”理念，對用戶動態(tài)按需授權(quán)和動態(tài)調(diào)整權(quán)限則只允許用戶訪問其允許訪問的業(yè)務(wù)系統(tǒng)。進行安全限制。動態(tài)調(diào)整其安全策略。應(yīng)用效果安全架構(gòu)。其主要價值交付有：信息安全加強31%的重復(fù)身份。業(yè)務(wù)流程風(fēng)險控制IT91%的運維效率。提高企業(yè)生產(chǎn)力88%的信息化重復(fù)投入。降低運營成本SSO，73%的用戶訪問效率。經(jīng)驗總結(jié)信任產(chǎn)品后續(xù)提升的必經(jīng)之路。3、奇安信：零信任安全解決方案在部委大數(shù)據(jù)中心的實踐案例API試點。下面以某部委大數(shù)據(jù)中心安全保障體系為例進行闡述。方案背景基于邊界的安全措施難以應(yīng)對高級安全威脅現(xiàn)有安全防護技術(shù)手段大多基于傳訪問用戶的持續(xù)認(rèn)證和授權(quán)控制，無法有效應(yīng)對愈演愈烈的內(nèi)部和外部威脅。靜態(tài)的訪問控制規(guī)則難以應(yīng)對數(shù)據(jù)動態(tài)流動場景大數(shù)據(jù)中心在滿足不同的用戶圖1大數(shù)據(jù)中心安全場景調(diào)用的安全可信，保障大數(shù)據(jù)中心的數(shù)據(jù)資產(chǎn)安全。部署方案APIAPI圖2奇安信零信任安全解決方案部署圖優(yōu)勢特點和應(yīng)用價值目前奇安信零信任安全解決方案在某部委大數(shù)據(jù)中心已經(jīng)大規(guī)模穩(wěn)定運行超過半601200600G，有效保證了相關(guān)大型組織對大數(shù)注：本案例為2020年案例4、吉大正元某大型集團公司零信任實踐案例方案背景一些局限性，需要進行升級改造。其中的主要問題如下：傳統(tǒng)安全邊界瓦解PC數(shù)據(jù)訪問提高了企業(yè)運行效率，同時也帶來更多安全風(fēng)險。2.外部風(fēng)險暴露面不斷增加企業(yè)數(shù)據(jù)不再僅限于內(nèi)部自有使用或存儲，隨著云計算、大數(shù)據(jù)的發(fā)展，數(shù)據(jù)信息云化存儲、數(shù)據(jù)遍地走的場景愈加普遍，如何保證在數(shù)據(jù)信息被有效、充分利用同時，確保數(shù)據(jù)使用及流轉(zhuǎn)的安全、授信是一大難題。企業(yè)人員和設(shè)備多樣性增加帶來極大風(fēng)險。數(shù)據(jù)泄露和濫用風(fēng)險增加成威脅。內(nèi)部員工對數(shù)據(jù)的惡意竊取大范圍、更高級別的數(shù)據(jù)中心災(zāi)難性事故。方案概括和應(yīng)用場景實施范圍實施范圍為集團總部及各個二級單位的國內(nèi)員工、國外員工及供應(yīng)商外協(xié)人員共計4.5萬人。實施內(nèi)容基于客戶現(xiàn)有安全訪問能力以及其面臨的安全挑戰(zhàn)，我們決定為用戶建設(shè)以下幾個層面的安全機制：將身份作為訪問控制的基礎(chǔ)建訪問控制體系。最小權(quán)限原則強調(diào)資源的使用按需分配，僅授予其所需的最小權(quán)限。同時限制了資源的可見性。默認(rèn)情況下，資源對未經(jīng)認(rèn)證的訪問發(fā)起方不可見。實時計算訪問策略進行計算分析，必要時即使變更訪問策略。資源安全訪問默認(rèn)網(wǎng)絡(luò)互聯(lián)環(huán)境是不安全的，要求所有訪問鏈必須加密。可信訪問網(wǎng)關(guān)提供國密安全代理能力，保障訪問過程中的機密性。5.基于多源數(shù)據(jù)進行信任等級持續(xù)評估多源信任信息實時計算得出。6.動態(tài)控制機制發(fā)。再由各策略點執(zhí)行控制動作?？傮w架構(gòu)圖1零信任總體架構(gòu)圖動態(tài)訪問控制體系動態(tài)訪問控制策略的定義及計算，動態(tài)訪問控制的主要產(chǎn)品組件如下：IAM感知能力。的多因子組合認(rèn)證服務(wù)。實現(xiàn)應(yīng)用訪問的單點登錄?，F(xiàn)資源按需分配使用,為應(yīng)用資源訪問提供細(xì)粒度的權(quán)限控制。安全控制中心問控制策略匹配，最后將匹配到的結(jié)果下發(fā)到各個策略執(zhí)行點。用戶實體行為感知通過日志或網(wǎng)絡(luò)流量對用戶的行為是否存在威脅進行分析，為評估用戶信任等級提供行為層面的數(shù)據(jù)支撐。4）終端環(huán)境感知對終端環(huán)境進行持續(xù)的風(fēng)險評估和保護。當(dāng)終端發(fā)生威脅時，及時上報給安全策略中心，為用戶終端環(huán)境評估提供數(shù)據(jù)依據(jù)。網(wǎng)絡(luò)流量感知評估提供支撐。可信訪問網(wǎng)關(guān)RSA戶端登錄均通過安全通道訪問服務(wù)。策略執(zhí)行點威脅。主要包括以下動態(tài)訪問控制能力：二次認(rèn)證成認(rèn)證。限制訪問資源。會話熔斷受到威脅的時間。效果：當(dāng)用戶下載文件時，如果信任等級降低，會導(dǎo)致下載失敗。4)身份失效當(dāng)用戶信任等級過低時，為避免其進行更多的威脅活動。將其身份狀態(tài)改為失效。效果：身份失效后，不能訪問任何應(yīng)用。5)終端隔離斷網(wǎng)；密碼支撐服務(wù)密碼支撐服務(wù)為零信任提供底層的密碼能力，負(fù)責(zé)保障所有訪問的機密行和完整性。邏輯架構(gòu)圖2實時計算信任等級，并將信任等級與安全策略自動匹配，決定最終訪問方式。與云計算平臺（公有云/私有云/混合云）結(jié)合保護企業(yè)資源圖3問、外部數(shù)據(jù)平臺問安全問題。遠(yuǎn)程辦公客戶遠(yuǎn)程辦公主要包含以下幾條路徑：1.用戶直接訪路徑方式的自適應(yīng)無感安全訪問流程。圖42.VPN訪問路徑VPN原因如下：安全問題VPN鏈接，與資源在同一網(wǎng)絡(luò)后，資源就面臨直接暴露的風(fēng)險。權(quán)限控制問題VPN受到弱口令、憑證丟失等方式的安全威脅。部署問題VPN的應(yīng)用因而客戶端側(cè)容易出現(xiàn)各種連接不上的問題，需要管理員投入大量精力。遷移后效果：4）安全問題應(yīng)用暴露面積的能力，這樣黑客就很難找到攻擊點。權(quán)限控制問題制，動態(tài)權(quán)限控制和動態(tài)阻斷控制。以信任評估等級決策授權(quán)內(nèi)容。部署問題可信上云的部署不需要改變現(xiàn)網(wǎng)結(jié)構(gòu)，同時可以隨時根據(jù)需要，通過增加設(shè)備或虛擬機彈性擴容。大大減少管理員的人工成本。云桌面訪問路徑CS用國密算法進行通道保護。特權(quán)賬號管理范圍包括：操作系統(tǒng)特權(quán)賬號、網(wǎng)絡(luò)設(shè)備特權(quán)賬號、應(yīng)用系統(tǒng)特權(quán)賬號等。優(yōu)勢特點和應(yīng)用價值（RSA經(jīng)驗總結(jié)態(tài)訪問控制策略，才能最大程度上兼顧安全與易用性。5、格爾軟件航空工業(yè)商網(wǎng)零信任安全最佳實踐方案背景（2008116組整合而成立。集團公司下轄百余家成員單位及上市公司，員工逾40萬人。2019OAAPIAPIAPI尚未有明確的分級分類訪問機制，對于訪問敏感數(shù)據(jù)的應(yīng)用和用戶無從控制和審計。全技術(shù)新體系。方案概述和應(yīng)用場景零信任安全模型零信任的本質(zhì)是在訪問主體和客體之間構(gòu)建以身份為基石的動態(tài)可信訪問控制體整，最終在訪問主體和訪問客體之間建立一種動態(tài)的信任關(guān)系。圖1零信任安全模型項目總體架構(gòu)設(shè)計圖2零信任架構(gòu)設(shè)計密碼基礎(chǔ)設(shè)施的數(shù)字證書管理服務(wù)?？尚派矸莨芸仄脚_（身份管理基礎(chǔ)設(shè)施）實體身份鑒別服務(wù)、細(xì)粒度的授權(quán)管理與鑒權(quán)控制服務(wù)、安全審計服務(wù)。零信任網(wǎng)關(guān)管理平臺（到網(wǎng)關(guān)）流量加密、后端（網(wǎng)關(guān)到應(yīng)用）流量加密。環(huán)境感知中心負(fù)責(zé)對終端身份進行標(biāo)識，對終端環(huán)境進行感知和度量，并傳遞給策略控制中心，協(xié)助策略控制中心完成終端的環(huán)境核查。通過用戶行為分析中心和環(huán)境感知中心，建立信任評估模型和算法，實現(xiàn)基于身份的信任評估能力。策略控制中心負(fù)責(zé)風(fēng)險匯聚、信任評估和指令傳遞下發(fā)；根據(jù)從環(huán)境感知中心、權(quán)限管理中心、審計中心和認(rèn)證中心等獲取的風(fēng)險來源，進行綜合信任評估和指令下發(fā)；指令接收及執(zhí)行的中心是認(rèn)證中心，以及安全防護平臺和安全訪問平臺。項目邏輯架構(gòu)設(shè)計圖3零信任邏輯架構(gòu)策略管理。最終實現(xiàn)動態(tài)、持續(xù)的訪問控制與最小化授權(quán)。總體部署結(jié)構(gòu)圖4總體部署結(jié)構(gòu)業(yè)務(wù)應(yīng)用場景基于數(shù)字證書的移動辦公場景20PKI/CAPKI/CA個人移動終端丟失造成的身份冒用、數(shù)據(jù)泄密等風(fēng)險。基于終端環(huán)境感知的持續(xù)信任評估場景縱深防御場景行授權(quán)判斷。PAGEPAGE100優(yōu)勢特點和應(yīng)用價值方案實現(xiàn)效果建設(shè)完成之后，可以實現(xiàn)如下的安全能力：具備終端環(huán)境風(fēng)險感知能力Agent（WindowsVMware，Agent系統(tǒng)。具備多維度身份安全分析能力力。依據(jù)建立的行為基線，對所有用戶的訪問請求進行綜合分析、持續(xù)評估。具備動態(tài)訪問控制能力Agent具備動態(tài)訪問控制能力。具備全鏈路的訪問安全加密授權(quán)能力TLStoken訪問的最小化原則。項目運行狀態(tài)業(yè)務(wù)持續(xù)優(yōu)化20202（含20每天登錄平臺使用10送功能，時刻掌握每位員工疫情期間的體溫信息。安全防護提升3也無法獲取業(yè)務(wù)系統(tǒng)數(shù)據(jù)信息及篡改商網(wǎng)的數(shù)據(jù)內(nèi)容。IPIP了集團數(shù)據(jù)的安全性和業(yè)務(wù)應(yīng)用的持續(xù)性。項目推廣價值首個零信任應(yīng)用示范項目航空工業(yè)商網(wǎng)零信任管理平臺作為中航工業(yè)集團乃至軍工行業(yè)及大型中央實的第一步，其示范意義重大。各軍工集團和大型中央企業(yè)集團總部通過借鑒“零信任”架構(gòu)的應(yīng)用模式，支撐疫情常態(tài)化防控序推進復(fù)工復(fù)產(chǎn)。開發(fā)實施云會議、在線學(xué)習(xí)、云直播、云黨建、云工會、移動考勤、安全巡檢、經(jīng)驗總結(jié)PKIAPP供安全、便捷、貼心的服務(wù)。6、廈門服云招商局零信任落地案例方案背景數(shù)據(jù)中心承載的業(yè)務(wù)多種多樣，早期數(shù)據(jù)中心的流量，80%為南北流量，隨80%的流量已經(jīng)轉(zhuǎn)變?yōu)闁|VLANVxLANVPCVLAN絡(luò)隔離技術(shù)，VxLAN技術(shù)、VPCHypervisor2020VPNSAAS損失巨大，SaaS3001.52230環(huán)境和生產(chǎn)環(huán)境進行嚴(yán)格微隔離。2017512求以比特幣的形式支付贖金。WannaCry1503080Windows用系統(tǒng)和數(shù)據(jù)庫文件被加密后，無法正常工作，影響巨大。2.0蓋外還要囊括云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)和工業(yè)控制信息系統(tǒng)。進而定義防御目標(biāo)，才是有效應(yīng)對之策。在近幾年的大型攻防演練或者實戰(zhàn)中，方案概述和應(yīng)用場景云隙微隔離系統(tǒng)的組成由業(yè)務(wù)可視化、流量控制、Agent部署與管理三個功統(tǒng)架構(gòu)示意圖：圖1微隔離系統(tǒng)包括如下組件模塊：1.業(yè)務(wù)拓?fù)銲P、端口、訪問時間、訪問次數(shù)。工作組及工作負(fù)載管理輯標(biāo)簽。策略信息管理策略和組間策略，策略應(yīng)用可根據(jù)工作組、標(biāo)簽角色或工作負(fù)載。IPIPIPIP南北向流量集中化處理。Agent優(yōu)勢特點和應(yīng)用價值agent能夠覆蓋公有云、私有云、混合云模式下的服務(wù)器工作負(fù)載。可控范圍足夠廣泛，能夠?qū)?yīng)急事件做出合理的、迅速的處理。多維度的隔離能力，全面降低東西向的橫向穿透風(fēng)險。自適應(yīng)的防護能力，實現(xiàn)對實時變化的網(wǎng)絡(luò)環(huán)境，實時更新策略。設(shè)計，實現(xiàn)集中管理和維護。經(jīng)驗總結(jié)7、深信服山東港口集團零信任多數(shù)據(jù)中心安全接入方案背景遇到一些安全挑戰(zhàn)：問業(yè)務(wù)系統(tǒng)；面，實現(xiàn)數(shù)據(jù)安全傳輸；不同港口、業(yè)務(wù)板塊的人員難以區(qū)分用戶權(quán)限；H5PC山東港口集團希望找到一套合適的方案來解決上述問題。方案概述和應(yīng)用場景合他們的需求。服零信任安全代理網(wǎng)關(guān)，實現(xiàn)多數(shù)據(jù)中心的同時接入；SSLAPPH5APP公門戶APP的安全接入和單點登錄；通過權(quán)限策略配置，實現(xiàn)動態(tài)權(quán)限管理。優(yōu)勢特點和應(yīng)用價值安全地訪問各數(shù)據(jù)中心的業(yè)務(wù)系統(tǒng)，提高的經(jīng)營生產(chǎn)效率；SDPVPNAPP集約化和統(tǒng)一身份管理，提高辦公效率與安全性。經(jīng)驗總結(jié)APP據(jù)中心分布在不同的城市，設(shè)備的安裝部署需要有豐富的經(jīng)驗。8、杭州漠坦尼-物聯(lián)網(wǎng)零信任安全解決方案方案背景5G”等新技術(shù)，新技術(shù)的應(yīng)用使網(wǎng)絡(luò)內(nèi)部的設(shè)備不斷增長，尤其新型業(yè)更為錯綜復(fù)雜。方案概述和應(yīng)用場景圖1動態(tài)授權(quán)服務(wù)系統(tǒng)提供權(quán)限管理服務(wù),同時對授權(quán)的動態(tài)策略進行配置,包括動態(tài)角色、權(quán)限風(fēng)險策略等。智能身份分析系統(tǒng)針對人員認(rèn)證提供動態(tài)口令、人臉識別、指紋識別等身份鑒別技術(shù)；針對終端設(shè)備提供基于設(shè)備屬性的‘身份’認(rèn)證。訪問控制平臺能夠接收終端環(huán)境感知系統(tǒng)推送的風(fēng)險通報,能夠接收智能身份分析系統(tǒng)與為網(wǎng)關(guān)分配密鑰，下發(fā)通信加密證書。終端環(huán)境感知系統(tǒng)具備智能終端環(huán)境實時監(jiān)測能力，從各類環(huán)境屬性分析安全風(fēng)險，確定影響因素提高對終端信任度量準(zhǔn)確度，為信任度評估提供支撐。5.終端TEE（安全可信執(zhí)行環(huán)境）提供終端側(cè)的行為監(jiān)測、安全認(rèn)證、內(nèi)生安全防護等功能，為終端構(gòu)建安全隔離執(zhí)行環(huán)境。優(yōu)勢特點和應(yīng)用價值：漠坦尼物聯(lián)網(wǎng)零信任安全防護平臺可以幫助能源行業(yè)用戶面對大規(guī)模復(fù)雜經(jīng)驗總結(jié)與響應(yīng)能力，在更多的業(yè)務(wù)場景中提供可靠的安全防護。9、易安聯(lián)中國核工業(yè)華興建設(shè)有限公司EnSDP零信任安界防護平臺方案背景防控能力。EnSDPEnSDP統(tǒng)安全，有效防止攻方針對業(yè)務(wù)系統(tǒng)發(fā)起的滲透攻擊等安全威脅。網(wǎng)絡(luò)現(xiàn)狀和安全需求業(yè)務(wù)系統(tǒng)暴露在互聯(lián)網(wǎng)，成為黑客攻擊、入侵的入口之一；安全接入；被網(wǎng)安部門通報。防護手段，導(dǎo)致增加網(wǎng)絡(luò)暴露面。會進行滲透掃描，尋找有價值的業(yè)務(wù)服務(wù)器，對服務(wù)器進行定向攻擊。方案概述和應(yīng)用場景方案圖1易安聯(lián)結(jié)合自身產(chǎn)品，根據(jù)對企業(yè)的調(diào)研，以及中核華興的安全需求情況，提供了易安聯(lián)EnSDP零信任安界訪問解決方案。應(yīng)用場景遠(yuǎn)程辦公VPN覽器和釘釘/微信小程序接入，提供便捷安全的遠(yuǎn)程接入方式。護網(wǎng)行動和自身，紅隊掃描不到，無從發(fā)起攻擊，解決客戶應(yīng)對護網(wǎng)的問題。數(shù)據(jù)泄露防護可對端側(cè)工作域內(nèi)的數(shù)據(jù)隔離/加密，解決端側(cè)數(shù)據(jù)泄露的問題。內(nèi)部審查員的權(quán)限難控制和數(shù)據(jù)易泄漏的問題。業(yè)務(wù)上云支持公有云、私有云及混合云，有效保障云上應(yīng)用的東西向安全，助力客戶業(yè)務(wù)安全上云。優(yōu)勢特點和應(yīng)用價值優(yōu)勢特點下：1、暴露面收斂EnSDPTCP、UDPEnAgent講不能利用端口掃描、漏洞掃描等工具進行滲透攻擊。2、阻斷直接訪問形式的安全威脅WEBSQLXSS3、核心業(yè)務(wù)系統(tǒng)一件斷網(wǎng)要時期或緊急情況的業(yè)務(wù)系統(tǒng)斷網(wǎng)處理。4、統(tǒng)一身份管理管理，弱口令、弱密碼等安全問題得到有效解決。5、智能權(quán)限控制EnSDP的訪問上下文行為，并動態(tài)調(diào)整用戶信任級別。6、設(shè)備管理7、可信環(huán)境感知（殺毒軟件的病毒庫更新到新版本等。8、異常行為審計記錄異常數(shù)據(jù)操作行為，實時告警，保證數(shù)據(jù)使用時的透明可審計。9、洞察訪問態(tài)勢統(tǒng)計并輸出多維度報表。應(yīng)用價值EnSDP護，實現(xiàn)真正意義上的唯一入口，便于管控。XSSSQL3.Web用一鍵斷網(wǎng)，實現(xiàn)秒級關(guān)閉訪問通道。4.EnSDP需記住多套賬號密碼。經(jīng)驗總結(jié)存，導(dǎo)致業(yè)務(wù)發(fā)布不成功。10方案背景APT防御等設(shè)備應(yīng)用門檻高，落地效果一般，并不能夠保證業(yè)務(wù)實時的安全性。破，整個電網(wǎng)體系將面臨巨大的挑戰(zhàn)?；⒎W(wǎng)絡(luò)專注于零信任技術(shù)架構(gòu)下的防護體系建設(shè)，構(gòu)建外防攻擊、內(nèi)護數(shù)據(jù)的新安全體系實踐。在國網(wǎng)公司已落地多個項目，其中以2個典型用戶場景作為2021年零信任落地案例申報：國家電網(wǎng)有限公司某二級直屬單位教育培訓(xùn)終端零信任技術(shù)應(yīng)用國家電網(wǎng)有限公司某二級直屬單位作為國家電網(wǎng)領(lǐng)導(dǎo)干部培訓(xùn)主陣地，其自主研發(fā)的教育培訓(xùn)終端將通過互聯(lián)網(wǎng)側(cè)對國網(wǎng)系統(tǒng)內(nèi)領(lǐng)導(dǎo)干部開展培訓(xùn)教育工作，其重要性由此可見一斑。所以該單位對于派發(fā)的教育培訓(xùn)終端的數(shù)據(jù)傳輸、數(shù)據(jù)運行以及數(shù)據(jù)維護等工作保密程度也極為看重?；⒎W(wǎng)絡(luò)針對該單位的實際業(yè)務(wù)需求以及對各地的教學(xué)培訓(xùn)終端的遠(yuǎn)程管控要求做了整體的調(diào)研分析，發(fā)現(xiàn)以下幾點實際需求：學(xué)習(xí)；單位，主要通過互聯(lián)網(wǎng)側(cè)開展相應(yīng)的培訓(xùn)工作。國家電網(wǎng)有限公司某二級產(chǎn)業(yè)單位公司電力仿真實驗室零信任技術(shù)應(yīng)用國家電網(wǎng)有限公司某二級產(chǎn)業(yè)單位公司為應(yīng)對國際各類網(wǎng)絡(luò)攻擊事件以及其下創(chuàng)立了電力仿真實驗室，針對電力系統(tǒng)經(jīng)常被使用的供電系統(tǒng)、IT設(shè)備、中DMZ運維人員意識到遠(yuǎn)程訪問無法針對操作者的審計以及操作人員的身份甄別，缺乏更安全更方便的遠(yuǎn)程訪問方式，甚至應(yīng)有一些對抗手段，比如攻擊檢測和預(yù)警。其典型業(yè)務(wù)需要包括：過互聯(lián)網(wǎng)出口嗅探到，減少暴露面。警，以方便甲方應(yīng)急響應(yīng)事件。賬戶的權(quán)限能夠自動回收，減少由于忘記刪除賬號而導(dǎo)致的數(shù)據(jù)泄漏風(fēng)險。VPNVPN172VPN圖1（簡ZRAZRAVPN在提供遠(yuǎn)程訪問通道的同時提供多種安全保障。方案概述和應(yīng)用場景ZRA體系。圖2用戶訪問實驗室內(nèi)網(wǎng)應(yīng)用時，將會經(jīng)過以下驗證和授權(quán)過程：圖3ZRASDPZRAIPTCP客戶端提交用戶/ZRAZRA/的訪問權(quán)限；ZRAZRAZRAZRAZRAZRAZRA權(quán)限按需分配。圖4UDPZRA置策略。以上措施解決了甲方所關(guān)心的接入設(shè)備有效管控問題。ZRAExcelZRAZRA172ZRAVPN需求的問題。優(yōu)勢特點和應(yīng)用價值VPNZRA目標(biāo)：自身服務(wù)隱身、人員身份明確、可信設(shè)備防御、動態(tài)評估授權(quán)。對比項 對比項 傳統(tǒng)VPN 虎盾ZRAIPVPN產(chǎn)品

在加密傳輸隧道基礎(chǔ)上，執(zhí)行多點驗證和檢查，保障訪問用戶身份的ZRA可信設(shè)備&設(shè)備準(zhǔn)入自身服務(wù)暴露面

基于用戶憑證(用戶名+密碼)，無設(shè)備和環(huán)境因素對互聯(lián)網(wǎng)暴露服務(wù)端口，可能成為攻擊的突破點

對接已有身份認(rèn)證體系，必須完成可信設(shè)備綁定，融合設(shè)備身份和行為身份，在應(yīng)用層完成統(tǒng)一設(shè)備準(zhǔn)入和管控UPD接請求，服務(wù)端口在互聯(lián)網(wǎng)上隱藏權(quán)限控制 無法對接入用戶執(zhí)行統(tǒng) 結(jié)合訪問者身份、訪問設(shè)備和訪對比項對比項 傳統(tǒng)VPN 虎盾ZRA大行為審計無法對用戶的業(yè)務(wù)和數(shù)據(jù)訪問行為執(zhí)行深度審計用戶體驗VPN隧道通常采取長連線

問環(huán)境等多維度因素進行動態(tài)評估，基于判定結(jié)果對用戶授予最小訪問權(quán)限不僅提供遠(yuǎn)程訪問通道，還可對通道上內(nèi)容執(zhí)行深度審計微隧道代理，短連接，基于網(wǎng)關(guān)的流量代理轉(zhuǎn)發(fā)，連接穩(wěn)定，網(wǎng)速更快經(jīng)驗總結(jié)ZRAVPNZRAZRADNS上并不存在，也最大程度的降低了網(wǎng)絡(luò)攻擊和信息泄露的風(fēng)險隱患。11方案背景VPN+云桌面的權(quán)限，在審核通過后，管理員為用戶開通權(quán)限范圍內(nèi)的SSLVPN行內(nèi)辦公網(wǎng)絡(luò)，訪問行內(nèi)辦公系統(tǒng)。應(yīng)用、運維資源的安全性及易用性。圖1客戶業(yè)務(wù)現(xiàn)狀業(yè)務(wù)痛點：用戶遠(yuǎn)程訪問使用的設(shè)備存在安全隱患VPNVPNVPNVPNVPNVPNVPN肆意橫向移動。靜態(tài)授權(quán)機制無法實時響應(yīng)風(fēng)險權(quán)訪問、非授權(quán)訪問等行為時，無法及時阻斷訪問降低風(fēng)險。方案概述和應(yīng)用場景圖2零信任遠(yuǎn)程訪問整體解決方案邏輯圖圖3零信任遠(yuǎn)程訪問整體解決方案部署圖（TAC（TAP品提供終端風(fēng)險感知作用，并通過可信訪問控制臺提供動態(tài)決策能力。優(yōu)勢特點和應(yīng)用價值奇安信零信任遠(yuǎn)程訪問解決方案適用于業(yè)務(wù)遠(yuǎn)程訪問、遠(yuǎn)程運維、開放眾測等多種業(yè)務(wù)場景，對應(yīng)用、功能、接口各個層面形成縱深的動態(tài)訪問控制機制，既適用于傳統(tǒng)辦公訪問場景，在云計算、大數(shù)據(jù)中心、物聯(lián)網(wǎng)等新IT場景也具備普適性。用戶價值業(yè)務(wù)隱藏、收縮暴露面TAPIPSPA（不上、ping，只對合法用戶合規(guī)終端開放網(wǎng)絡(luò)端口。終端檢查、確保終端環(huán)境安全TESS（的終端將被禁止登錄。持續(xù)驗證、提升身份可信份是否可信。按需授權(quán)、細(xì)粒度訪問控制于角色、訪問上下文、訪問者的信任等級、實時風(fēng)險事件動態(tài)調(diào)整訪問權(quán)限。安全加固，防止設(shè)備被打穿，自身安全內(nèi)置WAF模塊，有效緩解漏洞注入、溢出攻擊等威脅；內(nèi)置RASP組件，可名單和驅(qū)動級文件防纂改能力。無縫體驗為網(wǎng)絡(luò)的連通性而影響辦公效率。方案優(yōu)勢訪問控制基于身份而非網(wǎng)絡(luò)位置的數(shù)據(jù)安全訪問及共享問題。業(yè)務(wù)訪問基于應(yīng)用層代理而非網(wǎng)絡(luò)層隧道實現(xiàn)時由于業(yè)務(wù)暴露面過大，經(jīng)常發(fā)生安全事故。信任基于持續(xù)評估而非人為預(yù)置訪問權(quán)限基于動態(tài)調(diào)整而非靜態(tài)賦予對風(fēng)險進行閉環(huán)處置。經(jīng)驗總結(jié)的業(yè)務(wù)；認(rèn)為零信任建設(shè)存在建設(shè)周期長、開發(fā)成本高的問題等等。CIO/CSOCISO（或虛擬組織并指派具有足夠權(quán)限的人作為負(fù)責(zé)12方案背景（以下簡稱中交建實現(xiàn)不同介質(zhì)環(huán)境的統(tǒng)一管理。方案概述和應(yīng)用場景現(xiàn)狀描述第一階段vpcvpc第二階段50署方式，避免邊界防火墻壓力過大；第三階段完成對4A身份系統(tǒng)的對接；完成與CMDB的對接，進行配置、策略的同步更新；5明確要實施微隔離的基礎(chǔ)設(shè)施，確定管理范圍25000+的終端。對納進行描述。利用可視化技術(shù)對業(yè)務(wù)流進行梳理圖13.根據(jù)業(yè)務(wù)特征，構(gòu)建零信任網(wǎng)絡(luò)架構(gòu)圖2生成并配置微隔離策略，對被防護系統(tǒng)實施最小權(quán)限訪問控制圖3對主機網(wǎng)絡(luò)行為進行持續(xù)監(jiān)控圖4優(yōu)勢特點和應(yīng)用價值優(yōu)勢特點分級授權(quán)、分散管理大型企業(yè)規(guī)模龐大、分層過多造成管理及運維困難，各部門協(xié)同工作效率不高，很難及時作出有效決策。到功能點的權(quán)限設(shè)置，區(qū)分安全、運維與業(yè)務(wù)部門的權(quán)限劃分，結(jié)合微隔離5步法更好地實現(xiàn)數(shù)據(jù)中心零信任。高可靠、可擴展集群應(yīng)對超大規(guī)模場景時如何保持產(chǎn)品的穩(wěn)定性、抗故障率等是一種巨大挑戰(zhàn)。有更好的抗故障能力。大規(guī)模一步通信引擎大挑戰(zhàn)。軟件定義的方式，從各自為戰(zhàn)彼此協(xié)商走向了統(tǒng)一決策的新高度。API各自獨立，不能緊密結(jié)合。起，促進生態(tài)的建設(shè)。高性能可視化引擎時也不能進行更高層的網(wǎng)絡(luò)策略建設(shè)。高性能自適應(yīng)策略計算引擎著，而企業(yè)往往缺少有效的應(yīng)對方式。DevSecOps，安全與策略等同。應(yīng)用價值業(yè)務(wù)價值滿足數(shù)據(jù)中心中各業(yè)務(wù)對東西向流量管控的要求。（虛擬機）IP、異IP攻擊面縮減。數(shù)據(jù)中心內(nèi)部存在大量無用的端口開放，存在較大風(fēng)險。3.發(fā)現(xiàn)低訪問量虛機。成了資源浪費，并且可能成為僵尸主機，增加安全風(fēng)險。內(nèi)部異常流量發(fā)現(xiàn)。訪問行為。簡化安全運維工作。投資有效性需求。（照規(guī)劃，云平臺將發(fā)展為混合云架構(gòu)務(wù)搭建。考慮到投資的有效性，具體要求如下：既適用于物理機、也適用于不同技術(shù)架構(gòu)的云平臺?？梢詫θ萜髦g的流量進行識別和控制。及安全管理。2.0要求。功能分析內(nèi)部流量可視化需要在一個界面中繪制全網(wǎng)業(yè)務(wù)流量拓?fù)?，并能實時更新訪問情況；需識別物理機之間、虛擬機之間、虛擬機與物理機之間的流量；IPIP、訪問端口即服務(wù)；程；需能夠記錄服務(wù)及端口的被訪問次數(shù)；IP次數(shù)等信息；拓?fù)鋱D需可以標(biāo)識出不符合訪問控制策略的訪問流量；拓?fù)鋱D中的元素需支持拖動、分層，實現(xiàn)業(yè)務(wù)邏輯的梳理。對未來可能涉及到的容器環(huán)境提供微隔離防護能力需能夠識別容器之間的訪問流量；IPIP、訪問端口及服務(wù)；需能夠?qū)崿F(xiàn)容器之間的訪問控制。微隔離策略管理需實現(xiàn)全網(wǎng)物理機、虛擬機、容器的訪問控制策略統(tǒng)一管理；web的端口及服務(wù)；需可配置邏輯業(yè)務(wù)組的組內(nèi)規(guī)則及組間規(guī)則。訪問控制策略自適應(yīng)調(diào)整IP在虛擬機遷移的過程中訪問控制策略需能隨之遷移；制策略應(yīng)用到新復(fù)制的虛擬機上；產(chǎn)品需能夠自動發(fā)現(xiàn)新建虛擬機，并自動匹配預(yù)設(shè)訪問控制策略。兼容性要求Windowssever2008R2Windows64CentOS、Ubuntu、RedhatLinux需支持實體服務(wù)器、VPSOpenStackXen、Hyper-V、VMware、KVM產(chǎn)品安裝客戶端支持一鍵快速安裝，可利用統(tǒng)一運維工具，一鍵批量安裝；客戶端的安裝、升級、刪除無需重啟虛擬機。經(jīng)驗總結(jié)13、締盟云中國建設(shè)銀行零信任落地案例方案背景建設(shè)銀行高層領(lǐng)導(dǎo)提出了數(shù)字經(jīng)濟時代，要破現(xiàn)代商業(yè)銀行的兩大困：1.2.“安全之方案概述和應(yīng)用場景務(wù)數(shù)十萬終端。圖1太極界技術(shù)架構(gòu)示意以零信任客戶端、零信任分布式網(wǎng)關(guān)、零信任控制器為主要組件，構(gòu)建終端-互聯(lián)網(wǎng)-云的彈性安全區(qū)域。由締盟云ESZ?Cloudaemon平臺出品。圖2一圖看懂太極界如何防止金融企業(yè)源代碼泄露圖3一圖看懂太極界遠(yuǎn)程辦公接入圖4優(yōu)勢特點和應(yīng)用價值連接、開放、敏捷的數(shù)據(jù)流通太極界破”數(shù)據(jù)”之困過專用加密設(shè)備進行中轉(zhuǎn)。這極大地限制了數(shù)據(jù)流通性和辦公運營效率。管理平臺可以對員工在終端的操作行為進行監(jiān)管和控制，杜絕非法泄露。靈活、無縫、安全的員工訪問太極界破“安全”之困14、聯(lián)軟科技光大銀行零信任遠(yuǎn)程辦公實踐方案背景VPN，VPNVPNVPNVPNUniSDPVPN方案概述和應(yīng)用場景方案概述UniSDPSPAUniSDP試網(wǎng)、辦公網(wǎng)采用負(fù)載均衡模式部署，包括6SDP8SDP服務(wù)網(wǎng)關(guān)。圖1光大銀行部署架構(gòu)圖3（controlermysqlredis）2；DMZMySQLRedis具體建設(shè)內(nèi)容：UniSDP道轉(zhuǎn)發(fā)分離，提升架構(gòu)安全性；2SPA阻止網(wǎng)絡(luò)攻擊；合法用戶允許接入訪問通過終端安全檢查基線，實現(xiàn)接入終端合規(guī)性檢測；VDI，實現(xiàn)數(shù)據(jù)落地安全。UniSDPSDP+VDI銀行了基于零信任的打造新一代遠(yuǎn)程解決解決方案。應(yīng)用場景遠(yuǎn)程辦公替換傳統(tǒng)VPN，采用控制平面與網(wǎng)關(guān)分離部署架構(gòu)，提升架構(gòu)安全性。2.單點登入便捷性。終端安全基線檢查合規(guī)性和安全性。數(shù)據(jù)防護SDPVDI優(yōu)勢特點和應(yīng)用價值優(yōu)勢特點多因素身份認(rèn)證多因素（用戶口令+短信口令+設(shè)備硬件特征碼2.細(xì)粒度訪問控制基于用戶、設(shè)備、應(yīng)用、等細(xì)粒度訪問控制，實現(xiàn)最小權(quán)限管理。3.業(yè)務(wù)安全保護不可視，減少業(yè)務(wù)攻擊面。安全與業(yè)務(wù)融合了用戶接入體驗效果。適應(yīng)彈性網(wǎng)絡(luò)以用戶為中心重構(gòu)信任體系，用戶可靈活在任意位置接入，使用BYOD、辦公等終端訪問。簡化IT簡化身份部署，提供業(yè)務(wù)部署、遷移的靈活性。應(yīng)用價值安全：SPA應(yīng)用級加密隧道技術(shù)，避免內(nèi)網(wǎng)全面暴露，并保障數(shù)據(jù)傳輸安全多因素身份認(rèn)證機制，確保用戶身份合法性及唯一性高效易用：提供靈活、便捷的多因素認(rèn)證方式SSO統(tǒng)一門戶，統(tǒng)一訪問入口，規(guī)范用戶訪問行為部署簡單、運維簡單擴展：微服務(wù)架構(gòu)，按需靈活擴展模塊API統(tǒng)一后臺架構(gòu)，支持?jǐn)U展移動平臺接入經(jīng)驗總結(jié)UniSDPVPN15、云深互聯(lián)陽光保險集團養(yǎng)老與不動產(chǎn)中心零信任落地案例方案背景陽光保險于2005年7月成立，歷經(jīng)十余年的發(fā)展，已成為中國金融業(yè)的新5500100公司，國內(nèi)前十大保險公司。1290SDPSaaS解決錯綜復(fù)雜云+網(wǎng)環(huán)境下的信息安全防護ERP聯(lián)云平臺、商業(yè)租賃系統(tǒng)等企業(yè)應(yīng)用訪問通道安全I(xiàn)T的風(fēng)險。方案概述和應(yīng)用場景SDP深云SDP整體解決方案如下圖1深云SDP整體解決方案SDPSDPSDP后通過網(wǎng)關(guān)訪問企業(yè)內(nèi)部應(yīng)用及企業(yè)私有云服務(wù)器，打造云網(wǎng)一體化部署。注：瀏覽器訪問僅支持訪問B-S應(yīng)用SDPDNSDNSDeny,IPtcphttps訪問。這里的應(yīng)用需要在大腦提前配置，只有在白名單的應(yīng)用才可以被訪問礎(chǔ)上實現(xiàn)快速辦公。陽光保險應(yīng)用場景場景一、瀏覽器登錄入口—統(tǒng)一門戶（單點登錄及待辦集成）圖2陽光保險采用融合版深云瀏覽器進行無端訪問，既可以統(tǒng)一入口快速訪問，又可以保證客戶端安全。源，避免將風(fēng)險引入內(nèi)網(wǎng)圖3優(yōu)勢特點和應(yīng)用價值產(chǎn)品優(yōu)勢陽光保險集團主要采用了深云的融合版瀏覽器+SaaSSDP圖4應(yīng)用價值訪問安全級別提升。圖5經(jīng)驗總結(jié)SaaS的一些問題。SDPSaaSSDK及融合版瀏覽器等解決了客戶的定制性的需求。未來，我們更多的會通過SDPSDP16方案背景方案背景的“私有云”或者“公有云”解決方案層出不窮，很多政務(wù)系統(tǒng)、OA企業(yè)的戰(zhàn)略轉(zhuǎn)型升級，企業(yè)的業(yè)務(wù)架構(gòu)和網(wǎng)絡(luò)環(huán)境也隨之發(fā)生了重大的變化。VPN統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)需要迭代升級。風(fēng)險分析過度信任防火墻IP、VLANACL（形同虛設(shè)。內(nèi)網(wǎng)粗顆粒度的隔離無法有效控制“合法用戶”造成的內(nèi)部威脅。遠(yuǎn)程辦公背后的挑戰(zhàn)APT攻擊面暴露隨著公有云市場占有率不斷提升、企業(yè)上云是共同的趨勢。在這一趨勢下，級攻擊工具的平民化，又讓風(fēng)險不斷加劇。方案概述和應(yīng)用場景平臺架構(gòu)YUNDUN-型。圖1應(yīng)用場景無邊界移動辦公場景據(jù)第三方調(diào)查數(shù)據(jù)顯示，20203ITVPNYUNDUN持細(xì)粒度的鑒權(quán)訪問控制，真正實現(xiàn)無邊界化安全辦公場景。多云業(yè)務(wù)安全管控場景IT隨著“全云化”的覆蓋可以說是讓這種脆弱性雪上加霜。YUNDUN-應(yīng)用可信訪問解決方案利用邊緣安全網(wǎng)關(guān)技術(shù)隱藏用戶的真實業(yè)務(wù)IP、端口等等，用戶在通過邊緣安全網(wǎng)關(guān)訪問業(yè)務(wù)時，會進行身DDoSAPT統(tǒng)一身份、業(yè)務(wù)管理場景用系統(tǒng)，目前，YUNDUN-OIDC、SAML工作入口，方便統(tǒng)一管理。優(yōu)勢特點和應(yīng)用價值方案優(yōu)勢SaaS接到平臺中，省時省力。綜合的解決方案及產(chǎn)品YUNDUN-WAFDDNS高應(yīng)用性能和可靠性。安全檢測分析平臺聯(lián)動SOC/SIEM/Snort臺數(shù)據(jù)對接、聯(lián)動分析、持續(xù)審計訪問?？蛻魞r值VPN1.安全性不足強度不足的情況，無法解決合法用戶的內(nèi)部安全威脅；穩(wěn)定性不足當(dāng)使用弱網(wǎng)絡(luò)（如小運營商，丟包率高，海外網(wǎng)絡(luò)（跨洋線路，延遲大時，頻繁斷線重連，訪問體驗差；靈活性不足VPN限于先前的規(guī)劃，難以在突發(fā)需要的時候進行快速的彈性擴容。整個方案目標(biāo)旨在為用戶提供更多場景的遠(yuǎn)程訪問服務(wù)，內(nèi)網(wǎng)應(yīng)用快速SaaS化訪問，靈活性更強，同時擁有更強的身份認(rèn)證和細(xì)粒度訪問控制能力，彌補了內(nèi)部VPN安全性、穩(wěn)定性、靈活性不足的問題。ROIIT/設(shè)備/IT精細(xì)靈活的安全管理URLDNS經(jīng)驗總結(jié)場缺乏教育，以產(chǎn)品方式去推動時，客戶更多的是處于觀望和了解狀態(tài)。17、天谷信息e簽寶零信任實踐案例方案背景用被掃描，爆破，內(nèi)部資料外傳等風(fēng)險。esaas極大內(nèi)部應(yīng)用域名混亂，缺乏統(tǒng)一登錄，業(yè)務(wù)不愿意適配接入統(tǒng)一認(rèn)證統(tǒng)一登錄平臺saas方案概述和應(yīng)用場景圖1份體系的安全管控平臺。天谷零信任平臺包含如下的組件:零信任網(wǎng)關(guān)RBACDNScmdb，DNS3.IAMIAM的統(tǒng)一卡點，實現(xiàn)所有應(yīng)用登錄環(huán)節(jié)中身份體系的統(tǒng)一身份收攏4.RBAC權(quán)限控制模型全生命周期管理UEBA且將當(dāng)前用戶的行為進行匹配，UEBALSTM，比高、可解釋性好的模型進行精準(zhǔn)檢測文件追蹤Saas服務(wù)部署等優(yōu)勢特點和應(yīng)用價值1.e230+以上的內(nèi)部系統(tǒng)，全面實現(xiàn)公司的統(tǒng)一登錄以及身份認(rèn)證，堵住數(shù)據(jù)泄露的缺口，抓住公司內(nèi)鬼。于數(shù)據(jù)流的導(dǎo)出，可以進行全生命周期的追蹤。擴展，過程不會對系統(tǒng)使用、技術(shù)支持或用戶使用造成負(fù)面影響。UEBA安全事件。圖2圖3經(jīng)驗總結(jié)零信任系統(tǒng)看著很美好，其實坑超級多，下面羅列幾點遇到的坑：1.跨域問題跳轉(zhuǎn)問題302信任網(wǎng)關(guān)做大量適配。對接麻煩點登錄，比如分享逍客,FINDBI驗證麻煩IP來，由于這種模式，造成了各式各樣的線上故障httpsnginxhttps戶信任證書團隊協(xié)作維部門、內(nèi)部用戶中心、IT18方案背景5G、人工智能、云計算和移動互聯(lián)網(wǎng)等技術(shù)的發(fā)展，企業(yè)不斷深化信IT訪問。給企業(yè)管理、企業(yè)安全、員工使用都帶來了巨大的挑戰(zhàn)。根據(jù)NIST零信任架構(gòu)白皮書的相關(guān)說明，完整的零信任解決方案將包括增強身份治理、邏輯微隔離、基于網(wǎng)絡(luò)的隔離等三部分。埃森哲《2019經(jīng)授權(quán)的訪問。具體安全風(fēng)險如下：員工賬戶用一套密碼，會帶來更大的安全隱患。系統(tǒng)管理員分散的日志系統(tǒng)識別全局性的安全風(fēng)險。業(yè)務(wù)發(fā)展利用，損失很大，這造成業(yè)務(wù)系統(tǒng)上線周期和風(fēng)險不可控，影響了業(yè)務(wù)發(fā)展。業(yè)務(wù)風(fēng)險1000方案概述和應(yīng)用場景企業(yè)身份管理平臺（EnIAM）和零信任業(yè)務(wù)安全平臺（SDP）等。實現(xiàn)身份/設(shè)備IT具體建設(shè)需求總結(jié)：移動端多因素認(rèn)證采用密鑰分割、設(shè)備指紋、白盒算法、環(huán)境清場等技術(shù)，與移動安全認(rèn)證系統(tǒng)協(xié)同，實現(xiàn)在移動終端的密鑰、數(shù)字證書全生命周期管理及密碼運算。企業(yè)身份管理平臺（EnIAM）增加應(yīng)用資源動態(tài)訪問控制功能，實時監(jiān)控用戶所有業(yè)務(wù)行為，連續(xù)自適應(yīng)（解決企業(yè)內(nèi)部身份統(tǒng)一管理難題。零信任業(yè)務(wù)安全平臺（SDP）零信任風(fēng)控決策引擎即引入人工智能引擎，針對用戶行為習(xí)慣進行大數(shù)據(jù)分析并根據(jù)業(yè)務(wù)場景建模，通過歷史數(shù)據(jù)發(fā)現(xiàn)新規(guī)則，建立與專家規(guī)則互補并行的分析評估引擎。國產(chǎn)化所用技術(shù)以及產(chǎn)品系統(tǒng)均符合國產(chǎn)化要求，使用國密算法并兼容國產(chǎn)化芯片及操作系統(tǒng)。零信任業(yè)務(wù)安全解決方案實現(xiàn)效果：1.遠(yuǎn)程辦公滿足員工任意時間、任意地點、任意設(shè)備安全可控的訪問業(yè)務(wù)多云/多分支環(huán)境意分支機構(gòu)網(wǎng)絡(luò)環(huán)境下的內(nèi)部資源訪問護網(wǎng)/攻防防的核心目的是尋找網(wǎng)絡(luò)安全中脆弱的環(huán)節(jié)，從而提升安全建設(shè)能力。通過“網(wǎng)絡(luò)隱身”技術(shù)，對外隱藏業(yè)務(wù)系統(tǒng)，防止攻擊方對業(yè)務(wù)系統(tǒng)資產(chǎn)的收集和攻擊，進而確保業(yè)務(wù)系統(tǒng)的安全跨企業(yè)協(xié)同和數(shù)據(jù)安全。圖1而言是愈加嚴(yán)厲的認(rèn)證策略。優(yōu)勢特點和應(yīng)用價值SPA應(yīng)用預(yù)授權(quán)列表下發(fā)。完美適配主流機型，經(jīng)過上億現(xiàn)網(wǎng)用戶使用認(rèn)證無誤。需求。況下，完成單點登錄、細(xì)粒度授權(quán)、基于風(fēng)險的動態(tài)授權(quán)等。10+認(rèn)證方式。風(fēng)險等級。7）細(xì)粒度訪問控制策略，按需配置所需權(quán)限，最小權(quán)限原則，動態(tài)調(diào)整訪問策略經(jīng)驗總結(jié)務(wù)場景，創(chuàng)新并解決疑難問題。將服務(wù)放在第一位才能加快市場推廣進度。19、云深互聯(lián)零信任/SDP安全在電信運營商行業(yè)的實踐案例方案背景電信運營商營業(yè)廳的業(yè)務(wù)支撐系統(tǒng)的安全訪問一直以來都存在諸多挑戰(zhàn)。由于營業(yè)廳地理位置分散、人員結(jié)構(gòu)復(fù)雜等因素，運營商通常把某些支撐系統(tǒng)VPN10（臺、渠道銷售實況監(jiān)控、BSS3.0）1圖1客戶現(xiàn)狀問題這種方式面臨如下的安全挑戰(zhàn)：攻擊面暴露VPN7x24攻破，則將會給運營商企業(yè)帶來巨大的損失和造成不良的社會影響。運維復(fù)雜VPNVPN設(shè)備安全風(fēng)險高VPN風(fēng)險。弱口令導(dǎo)致賬號劫持易發(fā)生被黑客撞庫攻擊。方案概述深云SDP解決方案是一個基于零信任網(wǎng)絡(luò)安全理念和軟件定義邊界（SDP）深云SDP包含三個組件 深云SDP客戶端深云SDP安全大腦深云隱盾網(wǎng)關(guān)（如圖2所示）：圖2深云SDP三大組件SDPSDPC/SB/SSDPSDPSDPSDPSDPSDP深云隱盾網(wǎng)關(guān)所有對業(yè)務(wù)系統(tǒng)的訪問都要經(jīng)過SDP網(wǎng)關(guān)的驗證和過濾，實現(xiàn)業(yè)務(wù)系統(tǒng)的“網(wǎng)絡(luò)隱身”效果。SDPSDP以避免企業(yè)的核心應(yīng)用和數(shù)據(jù)成為黑客的攻擊目標(biāo)，保護企業(yè)的核心數(shù)據(jù)資產(chǎn)（如圖3所示）。圖3深云SDP解決方案SDPDMZ4圖4部署架構(gòu)圖實踐。優(yōu)勢特點網(wǎng)絡(luò)隱身、最小化攻擊面10內(nèi)部及外部開展的威脅監(jiān)測處置工作中，持續(xù)對深云SDP為止未發(fā)現(xiàn)任何安全風(fēng)險的出現(xiàn)。按需授權(quán)，細(xì)粒度授權(quán)控制深云SDP安全大腦對業(yè)務(wù)人員進行細(xì)粒度的訪問控制，具體到哪些人員可業(yè)務(wù)系統(tǒng)，其余無授權(quán)的業(yè)務(wù)系統(tǒng)，無法進行訪問。此外，通過深云SDP企業(yè)瀏覽器還可以控制用戶是否可以進行復(fù)制、下載等操作。身份安全增強深云SDP身份驗證更加安全。提升效率，降低運維成本SDPVPNSDP高并發(fā)，穩(wěn)定運行深云SDP自上線實施后，每天支撐營業(yè)廳超過一萬以上的業(yè)務(wù)人員同時辦公，保障每天數(shù)千萬元的業(yè)務(wù)操作的安全。注：本案例為2020年案例20、啟明星辰中國移動某公司遠(yuǎn)程辦公安全接入方案方案背景4A統(tǒng)一安全管理平臺。全體系建設(shè)帶來的巨大的挑戰(zhàn)，如：數(shù)據(jù)泄露、惡意病毒等風(fēng)險引入內(nèi)部網(wǎng)絡(luò)。加。洞，因此很有很能危及內(nèi)部業(yè)務(wù)系統(tǒng)。作、脫庫、爬庫等行為將會導(dǎo)致數(shù)據(jù)中心的敏感數(shù)據(jù)被非法獲取。方案概述和應(yīng)用場景4A4A20084A圖14A安全管控平臺信任邏輯示意圖4A安全管控平臺：錄、強身份認(rèn)證、集中認(rèn)證、認(rèn)證安全性控制；策略管理、賬號安全性控制；RBAC金庫控制、基于敏感操作的敏感數(shù)據(jù)實時脫敏控制、水印等；析技術(shù)，以數(shù)據(jù)為中心，針對所有在網(wǎng)用戶操作審計。（這個“我”指的是網(wǎng)絡(luò)中存在的訪問主體）的問題。它通過圖2零信任架構(gòu)邏輯示意圖絡(luò)訪問的可信，實現(xiàn)整個零信任架構(gòu)的建設(shè)。4A后連接的方式才能訪問到具體的資源權(quán)限，其次，4A需要進行二次授權(quán)金庫控制，最后，4A設(shè)施的集中化安全管理。4A到零信任架構(gòu)，能力進一步提升，主要體現(xiàn)在：4A4AIP、Mac4A4AMAC在賬號的基礎(chǔ)上+終端環(huán)境感知與否等環(huán)境信息。在靜態(tài)權(quán)限基礎(chǔ)上+動態(tài)權(quán)限控制4A現(xiàn)整個零信任架構(gòu)的建設(shè)。在審計基礎(chǔ)上+基于用戶行為的實時分析能力4A以及管理要求，酌情進行控制。4A一安全管理平臺（4A）+持續(xù)、動態(tài)的“用戶+設(shè)備（環(huán)境見、不可用不可見”等狀態(tài)的統(tǒng)一安全管控。圖3零信任架構(gòu)包括零信任客戶端、零信任網(wǎng)關(guān)、安全管控中心（4A、以及信任評估中心。零信任客戶端，實現(xiàn)單點登錄、終端采集和鏈路加密;API統(tǒng)訪問代理，以保證應(yīng)用訪問的安全性；4A控制服務(wù)，以實現(xiàn)動態(tài)身份管理控制、動態(tài)權(quán)限控制、終端訪問控制等策略；據(jù)。優(yōu)勢特點和應(yīng)用價值讓數(shù)據(jù)更安全泄露，從而讓數(shù)據(jù)更安全。讓辦公更便捷問題、時差問題及安全與用戶體驗的矛盾，從而讓辦公更便捷。應(yīng)對演習(xí)更從容藍(lán)方人員往往杯弓蛇影，壓力巨大，甚至不惜下線正常業(yè)務(wù)。零信任架構(gòu)立足于SPA+默認(rèn)丟包策略，網(wǎng)絡(luò)連接按需動態(tài)開放，體系設(shè)計行為，從而讓藍(lán)方防守更有效。經(jīng)驗總結(jié)定相關(guān)的制度要求，以及相應(yīng)的手段進行落地。21、指掌易某集團靈犀·SDP零信任解決方案方案背景逐步深入到企業(yè)辦公領(lǐng)域。基于當(dāng)前移動辦公的趨勢，某集團也逐步將業(yè)務(wù)從PC臨更高的風(fēng)險。括：員工自帶設(shè)備辦公，存在數(shù)據(jù)泄露風(fēng)險大部分員工使用自帶的手機、筆記本進行移動/將不可估量。擊或截獲的環(huán)境中，存在很大的安全隱患。IT球員工安全地接入業(yè)務(wù)系統(tǒng)，便捷的開展日常工作。方案概述和應(yīng)用場景圖1SDPOA以往當(dāng)員工處于內(nèi)網(wǎng)時的隱形信任問題。IAMPCSSO圖2指掌易零信任整體解決方案架構(gòu)圖MBS軟件定義邊界運維管理平臺三部分組成。MBSAndroidiOSDLP安全工作空間內(nèi)的應(yīng)用商店中。MBSWindowsMacPC軟件定義邊界DMZSDPSDPSDP用情況、用戶情況、設(shè)備情況等進行記錄和審計。零信任安全接入圖3SDPSDPSDPSDP網(wǎng)絡(luò)隱身避免外部攻擊UDPSPASPAUDPSPATCPSDP可信接入實現(xiàn)安全訪問零信任環(huán)境檢測檢測、訪問時間信息檢測等。最小化授權(quán)圖4SDP態(tài)調(diào)整用戶信任級別。級，進行對應(yīng)的業(yè)務(wù)系統(tǒng)訪問。零信任持續(xù)認(rèn)證SDP絡(luò)環(huán)境等因素，達(dá)到信任和風(fēng)險的平衡。SDP策略才能訪問隱藏在安全網(wǎng)關(guān)后面的特定的內(nèi)部資源。細(xì)粒度的訪問控制能力。安全工作空間BYODVSARootDLPAPP。提供包括應(yīng)用水印、截屏/錄屏保護、復(fù)/態(tài)勢感知擊類型、IP優(yōu)勢特點和應(yīng)用價值安全工作空間全域）BYOD基于“零信任理念”的安全接入系統(tǒng)信任架構(gòu)建議組織圍繞業(yè)務(wù)系統(tǒng)創(chuàng)建一種以身份為中心的全新邊界，旨在解決絡(luò)通信和業(yè)務(wù)訪問。輕量化安全框架99%Android、iOSBYOD降低移動辦公安全的推進難度。高可擴展性設(shè)計務(wù)安全賦能。經(jīng)驗總結(jié)零信任理念是未來企業(yè)網(wǎng)絡(luò)安全防護體系的重要發(fā)展方向，從實施推進的具系統(tǒng)、郵件系統(tǒng)、移動辦公平臺等使用范圍廣泛，用戶級別較高的業(yè)務(wù)，且22、美云智數(shù)美的集團零信任實踐案例方案背景VPN）（BPIIT要時權(quán)限自動取消回收，這些過程都由業(yè)務(wù)驅(qū)動自動完成。Midea-BPI-SDP（SoftwareDefinedPerimeter,的安全框架，在用戶中通過構(gòu)建疊加虛擬網(wǎng)絡(luò)（OverlayNetwork）的方式重建方案概述和應(yīng)用場景方案概述Midea-BPI-SDP用戶才能訪問被授權(quán)的企業(yè)應(yīng)用服務(wù)器和應(yīng)用。“圖1SDPTM-Cloud，該疊加網(wǎng)絡(luò)（Overlay）是由“信域客戶端-TMA、信域網(wǎng)關(guān)-TMG信域控制臺-TMG”組成。TM-Cloud(Underlay)架構(gòu)上疊加的（公有云，私有云，本地應(yīng)用服務(wù)，在細(xì)業(yè)權(quán)一體化的支撐架構(gòu)實現(xiàn)權(quán)限的彈性開放與回收，以達(dá)到動態(tài)授權(quán)的目的。圖1總體架構(gòu)Midea-BPI-SDP軟件定義邊界實現(xiàn)技術(shù)架構(gòu)圖。該架構(gòu)方案解決了如下問題：更強大的隱身能力SDPIP，所有業(yè)務(wù)系統(tǒng)和信域組件都隱藏在私有的安全云網(wǎng)絡(luò)中，最大限度減少互聯(lián)網(wǎng)暴露面。以身份為中心的訪問控制認(rèn)證和授權(quán)的訪問源接入疊加網(wǎng)絡(luò)，并只允許訪問已授權(quán)的業(yè)務(wù)。超大規(guī)模訪問控制策略制策略，同時保持高性能流量轉(zhuǎn)發(fā)能力。無隧道，無限制IPv4VPN圖2SDP架構(gòu)3：BPIMidea-BPI-SDPBPI（業(yè)權(quán)一體化）實現(xiàn)技術(shù)架構(gòu)圖。該架構(gòu)方案解決了如下問題：大規(guī)模運維減負(fù)通過驅(qū)動程序進行遠(yuǎn)程連接與控制，實現(xiàn)大規(guī)模服務(wù)器端的去插件化。支持權(quán)限自動化賦予與回收。多樣化、碎片化、動態(tài)化權(quán)限管理能力以零信任網(wǎng)絡(luò)安全為基礎(chǔ)，強調(diào)從不信任，即動態(tài)身份認(rèn)證與動態(tài)授權(quán)。BPI（業(yè)權(quán)一體化細(xì)粒度授權(quán)單元管理與業(yè)務(wù)場景的動態(tài)匹配。遠(yuǎn)程辦公、輕松運維授權(quán)和彈性控制。圖3BPI架構(gòu)痛點場景序號痛點描述解決方案1原有身份管理系統(tǒng)老舊，界面易用性不高，不能分級分權(quán)管理，并權(quán)限控制粒度較粗，不能控使用美云智數(shù)業(yè)權(quán)一體化產(chǎn)品，從功能級到數(shù)據(jù)級權(quán)限控制一步到位，并且支持不同維度的分級管理，同時，實現(xiàn)大部分崗位標(biāo)準(zhǔn)權(quán)限的自動化開通、制到指令級降低安全風(fēng)險。2現(xiàn)有十萬級服務(wù)器需要大量的運維持續(xù)投能設(shè)置定期更新密碼策隱患使用美云智數(shù)業(yè)權(quán)一體化產(chǎn)品，可以設(shè)置定期更換的復(fù)雜密碼策略，定期自動更新，實現(xiàn)管理大規(guī)模應(yīng)用服務(wù)器密碼的自動維護3原有身份管理系統(tǒng)需要在每臺機器上安裝工作量較大提升使用美云智數(shù)業(yè)權(quán)一體化產(chǎn)品，干掉各類型服務(wù)器端安裝的客制化插件，使用連接器驅(qū)動管理服務(wù)器資源與細(xì)粒度權(quán)限資源4維工作只能在物理辦公時，故障恢復(fù)效率不高使用美云智數(shù)零信任網(wǎng)絡(luò)平臺（信域安全云網(wǎng)）構(gòu)建一個全網(wǎng)互聯(lián)的云端SDPI優(yōu)勢特點（要守前門，也要守后門”的雙重安全加固，是保障企業(yè)數(shù)字化轉(zhuǎn)型下的基礎(chǔ)設(shè)施安全的必要部分，具有巨大的市場空間和廣闊的市場前景。應(yīng)用價值（，將在各大企業(yè)中具有非常廣的應(yīng)用前景。經(jīng)驗總結(jié)經(jīng)驗總結(jié)經(jīng)過本項目的實踐，總結(jié)出如下的經(jīng)驗：創(chuàng)新點一：業(yè)權(quán)一體化產(chǎn)品的高效實踐方法論創(chuàng)新點二：遠(yuǎn)程辦公、輕松運維創(chuàng)新點三：無邊界的端到端加密私有安全網(wǎng)絡(luò)效果反饋經(jīng)過本項目的實施，真正做到網(wǎng)絡(luò)層可控、授權(quán)層可管的細(xì)粒度高效運維。效果截圖如下：圖423、360零信任架構(gòu)的業(yè)務(wù)訪問安全案例方案背景某公司是國家高新技術(shù)企業(yè)，主要從事復(fù)合材料與環(huán)保建材的研制、開發(fā)、部員工采用遠(yuǎn)程訪問的方式進行業(yè)務(wù)操作。在此背景下，給該企業(yè)安全帶來了雙重挑戰(zhàn)：挑戰(zhàn)1：業(yè)務(wù)和數(shù)據(jù)的訪問者超出了企業(yè)的傳統(tǒng)邊界。分支機構(gòu)散布全國，網(wǎng)絡(luò)、人員、設(shè)備都無法精確識別與控制員無法控制的范圍方案概述和應(yīng)用場景360圖1優(yōu)勢特點和應(yīng)用價值方案效果360公”入口需求；瀏覽器攜帶用戶身份通過可信網(wǎng)關(guān)進行認(rèn)證并建立國密數(shù)據(jù)通道；可信網(wǎng)關(guān)根據(jù)用戶權(quán)限鑒別開放其身份可見的業(yè)務(wù)系統(tǒng)；安全能力；方案價值安全端口隱藏，減少攻擊暴露面；國密數(shù)據(jù)通道加持，安全可靠；持續(xù)感知動態(tài)鑒權(quán)，及時發(fā)現(xiàn)風(fēng)險并有效抑制；數(shù)據(jù)不落地有效防止人為泄露；高效SSO不改變用戶使用習(xí)慣，打破無形的技術(shù)門檻；統(tǒng)一用戶訪問入口，規(guī)范用戶訪問行為；經(jīng)驗總結(jié)VPN管理員接到不少用戶咨詢訪問被干預(yù)的原因。建議在落地前整理對應(yīng)問題解決FAQ，IT/跟蹤/處理整體流程。24方案背景方案概述和應(yīng)用場景方案概述信身份評估、以軟件定義邊界”的零信任安全體系，實現(xiàn)醫(yī)院可信內(nèi)部/協(xié)作提供安全網(wǎng)絡(luò)環(huán)境保障?？尚旁V求?？傮w架構(gòu)設(shè)計如下：圖1西南醫(yī)院總體架構(gòu)設(shè)計圖加密。陸軍軍醫(yī)大學(xué)第一附屬醫(yī)院零信任安全架構(gòu)主要構(gòu)成終端安全引擎在院內(nèi)外公共主機、筆記本電腦、醫(yī)療移動設(shè)備等終端設(shè)備中，安裝可信終通過認(rèn)證后接入院內(nèi)網(wǎng)絡(luò)環(huán)境，自動跳轉(zhuǎn)到用戶身份認(rèn)證服務(wù)。院內(nèi)資源訪問過程中，引擎自動進行設(shè)備環(huán)境的信息收集、安全狀態(tài)上報、阻止異常訪問等功能，通過收集終端信息，上報訪問環(huán)境的安全狀態(tài)，建立“醫(yī)護人員+醫(yī)療設(shè)備+設(shè)備環(huán)境”可信訪問模型。零信任安全網(wǎng)關(guān)DMZHIS、LIS、PACSSSL流程可信安全支撐（SSL信雙方數(shù)據(jù)的機密性、完整性，防止數(shù)據(jù)被監(jiān)聽獲取，保證數(shù)據(jù)隱私安全。安全控制中心份和被訪問資源的權(quán)限認(rèn)證。安全基礎(chǔ)設(shè)施中心數(shù)據(jù)進行簽名操作，保證數(shù)據(jù)的完整性、可追溯以及抗抵賴性。優(yōu)勢特點和應(yīng)用價值應(yīng)用價值用戶管理方面價值了運維成本。設(shè)備管理方面價值有效的身份鑒別。權(quán)限管控價值統(tǒng)可連接但無法知悉真實應(yīng)用地址，減少黑客攻擊暴露面。以訪問者身份為基礎(chǔ)進行最小化按需授權(quán)，避免權(quán)限濫用。訪問安全價值影響用戶使用體驗。時刻防護醫(yī)院業(yè)務(wù)系統(tǒng)。數(shù)據(jù)安全價值進行了全鏈路信道安全，消除了醫(yī)療數(shù)據(jù)傳輸安全風(fēng)險。對患者數(shù)據(jù)進行了隱私保護，解決了數(shù)據(jù)內(nèi)部泄露問題。優(yōu)勢特點圍繞設(shè)備證書建立設(shè)備信任體系信任安全體系的基石。自動化授權(quán)體系零信任訪問控制區(qū)建立的一整套自動化授權(quán)體系，可根據(jù)用戶屬性、用戶行障內(nèi)部系統(tǒng)安全性?；谠O(shè)備信任最小化攻擊平面以信任的持續(xù)評估驅(qū)動用戶認(rèn)證饋調(diào)整用戶認(rèn)證機制。海量的應(yīng)用加密通道支撐邏輯虛擬化技術(shù)的深入推進，支持海量的應(yīng)用加密通道。SSLSSL密碼卡實現(xiàn)密鑰物理隔離。TCP/SSL程的優(yōu)化，不