压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

2019年，航空工業(yè)深入貫徹落實(shí)習(xí)總書記關(guān)于網(wǎng)絡(luò)安全和信息化工作的系列重要講話精神，推動(dòng)集團(tuán)內(nèi)部各成員單位之間的辦公協(xié)同和數(shù)字化轉(zhuǎn)型，建設(shè)了覆蓋全集團(tuán)所有成員單位的商密網(wǎng)移動(dòng)辦公平臺(tái)。平臺(tái)使用阿里專有云架構(gòu)建設(shè)，企業(yè)OA、郵件、即時(shí)通、招采平臺(tái)等內(nèi)部應(yīng)用業(yè)務(wù)系統(tǒng)相繼上云，促進(jìn)了跨地區(qū)、跨部門、跨層級(jí)的數(shù)據(jù)資源共享和業(yè)務(wù)協(xié)同。

但隨著移動(dòng)辦公和業(yè)務(wù)系統(tǒng)的逐漸云化，商網(wǎng)（商網(wǎng)bizws：Business Website的縮寫，是由“中國(guó)商網(wǎng)”開發(fā)并運(yùn)營(yíng)的網(wǎng)絡(luò)交易平臺(tái)。）的業(yè)務(wù)架構(gòu)和網(wǎng)絡(luò)環(huán)境隨之發(fā)生了重大的變化，訪問主體和接入場(chǎng)景的多樣化、網(wǎng)絡(luò)邊界的模糊化、訪問策略的精準(zhǔn)化等都對(duì)傳統(tǒng)基于邊界防護(hù)的網(wǎng)絡(luò)安全架構(gòu)提出了新的挑戰(zhàn)。為了幫助更多企業(yè)用戶了解商網(wǎng)所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，發(fā)布本期牛品推薦——格爾軟件：零信任解決方案。該方案以格爾軟件在航空工業(yè)商網(wǎng)上的成功實(shí)踐為切入點(diǎn)，詳述了零信任理念所解決的網(wǎng)絡(luò)安全難題，分享了零信任理念的實(shí)際落地經(jīng)驗(yàn)，希望能夠?yàn)樾袠I(yè)用戶提供更多啟發(fā)。

標(biāo)簽

零信任，身份認(rèn)證，數(shù)據(jù)安全，網(wǎng)關(guān)安全，持續(xù)信任

用戶痛點(diǎn)

目前在商網(wǎng)移動(dòng)辦公安全架構(gòu)中存在的問題主要包括：

1、個(gè)人移動(dòng)辦公終端從注冊(cè)、使用到刪除的設(shè)備全生命周期難掌控，移動(dòng)辦公終端中的運(yùn)行環(huán)境監(jiān)控、惡意應(yīng)用安裝和數(shù)據(jù)保護(hù)難管理；

2、使用移動(dòng)辦公終端的人員身份冒用和越權(quán)訪問難預(yù)防；

3、現(xiàn)有的移動(dòng)終端一次性認(rèn)證通過后即取得了安全系統(tǒng)的默認(rèn)信任，而移動(dòng)終端的運(yùn)行環(huán)境是隨時(shí)可能發(fā)生變化的，第三方惡意應(yīng)用系統(tǒng)的安裝和病毒感染隨時(shí)可能造成正在訪問的敏感數(shù)據(jù)被竊取；

4、業(yè)務(wù)系統(tǒng)采用云化部署，以容器化和API 化提供服務(wù)，但對(duì)API接口和服務(wù)的訪問防護(hù)仍停留在訪問認(rèn)證層面，尚無(wú)對(duì)API和服務(wù)調(diào)用進(jìn)行權(quán)限控制；

5、業(yè)務(wù)系統(tǒng)中存儲(chǔ)的敏感數(shù)據(jù)訪問尚未有明確的分級(jí)分類訪問機(jī)制，對(duì)于訪問敏感數(shù)據(jù)的應(yīng)用和用戶無(wú)從控制和審計(jì)。

解決方案

格爾軟件的零信任解決方案以“持續(xù)信任評(píng)估”、“動(dòng)態(tài)訪問控制”和“軟件定義邊界”為理念，幫助航空工業(yè)構(gòu)建了一套零信任與傳統(tǒng)安全防御互相協(xié)同的安全技術(shù)新體系。

零信任服務(wù)體系架構(gòu)分為主體區(qū)域、安全接入?yún)^(qū)、安全管理區(qū)、及客體。整個(gè)邏輯結(jié)構(gòu)展示了主體訪問到客體的動(dòng)作，通過安全接入?yún)^(qū)對(duì)主體的訪問進(jìn)行安全接入控制與策略管理。最終實(shí)現(xiàn)動(dòng)態(tài)、持續(xù)的訪問控制與最小化授權(quán)。

圖1：零信任邏輯架構(gòu)

該項(xiàng)目解決方案整體由密碼基礎(chǔ)設(shè)施、可信身份管控平臺(tái)、零信任網(wǎng)關(guān)管理平臺(tái)、環(huán)境感知中心、策略控制中心等部分組成。以下為整體結(jié)構(gòu)詳解：

密碼基礎(chǔ)設(shè)施：依托商網(wǎng)現(xiàn)有的密碼基礎(chǔ)設(shè)施對(duì)其網(wǎng)絡(luò)平臺(tái)提供密碼密鑰管理服務(wù)；電子認(rèn)證基礎(chǔ)設(shè)施（PKI/CA）對(duì)不同對(duì)象，如人員、設(shè)備、應(yīng)用、服務(wù)等提供基于國(guó)產(chǎn)商用密碼算法的數(shù)字證書管理服務(wù)。

可信身份管控平臺(tái)（身份管理基礎(chǔ)設(shè)施）：依托密碼支撐體系，以身份為中心，提供不同對(duì)象的規(guī)范化統(tǒng)一管理服務(wù)、多類型實(shí)體身份鑒別服務(wù)、細(xì)粒度的授權(quán)管理與鑒權(quán)控制服務(wù)、安全審計(jì)服務(wù)。

零信任網(wǎng)關(guān)管理平臺(tái)：支持多因子認(rèn)證機(jī)制，結(jié)合動(dòng)態(tài)上下文環(huán)境監(jiān)測(cè)，實(shí)現(xiàn)不同接入通道下為用戶提供細(xì)粒度的統(tǒng)一訪問控制機(jī)制，支持多臺(tái)分布式部署網(wǎng)關(guān)的集中管理和統(tǒng)一調(diào)度。自動(dòng)編排策略并下發(fā)至各網(wǎng)關(guān)執(zhí)行點(diǎn)，實(shí)現(xiàn)動(dòng)態(tài)訪問控制和內(nèi)部網(wǎng)絡(luò)隱藏，支持前端（客戶端到網(wǎng)關(guān)）流量加密、后端（網(wǎng)關(guān)到應(yīng)用）流量加密。

環(huán)境感知中心：負(fù)責(zé)對(duì)終端身份進(jìn)行標(biāo)識(shí)，對(duì)終端環(huán)境進(jìn)行感知和度量，并傳遞給策略控制中心，協(xié)助策略控制中心完成終端的環(huán)境核查。通過用戶行為分析中心和環(huán)境感知中心，建立信任評(píng)估模型和算法，實(shí)現(xiàn)基于身份的信任評(píng)估能力。

策略控制中心：負(fù)責(zé)風(fēng)險(xiǎn)匯聚、信任評(píng)估和指令傳遞下發(fā)；根據(jù)從環(huán)境感知中心、權(quán)限管理中心、審計(jì)中心和認(rèn)證中心等獲取的風(fēng)險(xiǎn)來(lái)源，進(jìn)行綜合信任評(píng)估和指令下發(fā)；指令接收及執(zhí)行的中心是認(rèn)證中心，以及安全防護(hù)平臺(tái)和安全訪問平臺(tái)。

圖2：系統(tǒng)架構(gòu)

該架構(gòu)在項(xiàng)目中應(yīng)用有以下幾個(gè)典型場(chǎng)景：

1)? 基于數(shù)字證書的移動(dòng)辦公場(chǎng)景

項(xiàng)目中超20萬(wàn)用戶使用移動(dòng)終端訪問商網(wǎng)移動(dòng)辦公系統(tǒng)，如何保證移動(dòng)終端用戶身份認(rèn)證安全和重要數(shù)據(jù)完整性安全是移動(dòng)辦公安全的基礎(chǔ)和重點(diǎn)。該實(shí)踐中通過在企業(yè)云端建設(shè)部署PKI/CA體系，為移動(dòng)終端提供移動(dòng)發(fā)證服務(wù)。用戶通過PKI/CA體系提供的密鑰分離、協(xié)同簽名等防護(hù)技術(shù)，可自助申請(qǐng)個(gè)人證書和設(shè)備證書，實(shí)現(xiàn)基于密碼技術(shù)的數(shù)字證書認(rèn)證和數(shù)據(jù)完整性保護(hù)。移動(dòng)終端中不會(huì)存儲(chǔ)完整的密鑰信息，可以防止個(gè)人移動(dòng)終端丟失造成的身份冒用、數(shù)據(jù)泄密等風(fēng)險(xiǎn)。

2)? 基于終端環(huán)境感知的持續(xù)信任評(píng)估場(chǎng)景

為了實(shí)現(xiàn)對(duì)終端的持續(xù)信任評(píng)估，在可信終端設(shè)備安裝的環(huán)境感知模塊，使零信任平臺(tái)可持續(xù)感知終端設(shè)備的物理位置、基礎(chǔ)環(huán)境、系統(tǒng)環(huán)境、應(yīng)用環(huán)境等多維度的安全環(huán)境，并根據(jù)終端環(huán)境變化和安全策略配置，評(píng)估終端設(shè)備的可信任程度，根據(jù)信任程度對(duì)終端執(zhí)行二次認(rèn)證、升級(jí)認(rèn)證及阻斷連接等訪問控制行為。

3)? 縱深防御場(chǎng)景

在多層防御的場(chǎng)景中，每個(gè)執(zhí)行點(diǎn)都要通過動(dòng)態(tài)鑒權(quán)授予用戶訪問權(quán)限。該項(xiàng)目實(shí)踐中綜合考慮了終端環(huán)境、用戶行為、身份強(qiáng)度等多種因素進(jìn)行動(dòng)態(tài)計(jì)算，為訪問控制引擎提供動(dòng)態(tài)的授權(quán)因子。權(quán)限系統(tǒng)根據(jù)動(dòng)態(tài)的授權(quán)因子，對(duì)外部授權(quán)請(qǐng)求進(jìn)行實(shí)時(shí)授權(quán)處理，基于授權(quán)庫(kù)的多維屬性和授權(quán)信息引擎提供的實(shí)時(shí)信息反饋進(jìn)行授權(quán)判斷。

用戶反饋

采用領(lǐng)先的零信任安全架構(gòu)解決集團(tuán)數(shù)據(jù)訪問的安全性問題，為集團(tuán)樹立行業(yè)安全標(biāo)桿，重構(gòu)信息安全邊界，從根源上解決數(shù)據(jù)訪問的安全性問題。在建設(shè)完成之后，可以實(shí)現(xiàn)如下的安全能力：

1)?? 具備終端環(huán)境風(fēng)險(xiǎn)感知能力

辦公終端安裝終端環(huán)境感知Agent（Windows版本、VMware云桌面版本），通過終端環(huán)境感知Agent對(duì)員工的辦公終端提供覆蓋基礎(chǔ)安全、系統(tǒng)安全、應(yīng)用合規(guī)、健康狀況的四大類感知，一旦檢測(cè)到安全風(fēng)險(xiǎn)，立即上報(bào)至智能身份分析系統(tǒng)。

2)?? 具備多維度身份安全分析能力

通過構(gòu)建智能身份分析引擎，結(jié)合各類系統(tǒng)的登錄日志、訪問日志、態(tài)勢(shì)感知平臺(tái)的異常事件、終端環(huán)境感知中心報(bào)送的環(huán)境風(fēng)險(xiǎn)等信息，提供信任評(píng)估能力。依據(jù)建立的行為基線，對(duì)所有用戶的訪問請(qǐng)求進(jìn)行綜合分析、持續(xù)評(píng)估。

3)?? 具備動(dòng)態(tài)訪問控制能力

通過構(gòu)建安全認(rèn)證網(wǎng)關(guān)作為數(shù)據(jù)層面業(yè)務(wù)訪問的統(tǒng)一入口、動(dòng)態(tài)訪問控制策略的執(zhí)行點(diǎn)；構(gòu)建零信任網(wǎng)關(guān)控制臺(tái)作為控制層面的訪問控制策略決策點(diǎn)；通過環(huán)境感知Agent對(duì)用戶的終端進(jìn)行全方位多維度感知，確保用戶的終端環(huán)境安全及安全風(fēng)險(xiǎn)感知上報(bào)；構(gòu)建智能身份分析系統(tǒng)的用戶行為進(jìn)行多維度分析，進(jìn)行信任評(píng)估并上報(bào)至零信任網(wǎng)關(guān)控制臺(tái)進(jìn)行決策,實(shí)現(xiàn)動(dòng)態(tài)訪問控制的整體邏輯，具備動(dòng)態(tài)訪問控制能力。

4)?? 具備全鏈路的訪問安全加密授權(quán)能力

所有的訪問請(qǐng)求都會(huì)被加密，采用TLS傳輸加密技術(shù)，可通過傳輸數(shù)據(jù)的雙向認(rèn)證防止中間人攻擊。所有的訪問請(qǐng)求都需要認(rèn)證，每個(gè)訪問請(qǐng)求都需要攜帶token進(jìn)行身份的認(rèn)證，認(rèn)證通過后在下一次訪問仍然會(huì)重新認(rèn)證，避免了原有的一次認(rèn)證就可以訪問所有資源帶來(lái)的安全風(fēng)險(xiǎn)，達(dá)到持續(xù)認(rèn)證持續(xù)授權(quán)，實(shí)現(xiàn)訪問的最小化原則。