EN

某軍工研究所零信任實(shí)踐案例

發(fā)布時(shí)間:2021-11-18
瀏覽量: 10947


、案例背景

隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、SDN等新技術(shù)的快速應(yīng)用,信息化的高速發(fā)展使得業(yè)務(wù)規(guī)模不斷擴(kuò)大,分支站點(diǎn)數(shù)量不斷增加。傳統(tǒng)運(yùn)維方式受地理位置和IT資源限制,無(wú)法做到實(shí)時(shí)監(jiān)測(cè)到各個(gè)分支設(shè)備的運(yùn)行狀態(tài),無(wú)法掌握設(shè)備系統(tǒng)資源變化趨勢(shì)。當(dāng)設(shè)備故障發(fā)生時(shí),運(yùn)維服務(wù)人員不能第一時(shí)間得到故障信息、設(shè)備狀態(tài)、設(shè)備的歷史記錄等,無(wú)法做出有效的應(yīng)對(duì)和處理,只能到現(xiàn)場(chǎng)后才能診斷。這樣導(dǎo)致故障的修復(fù)時(shí)間長(zhǎng)、運(yùn)維效率低、影響信息系統(tǒng)的正常運(yùn)行。

同時(shí)隨著運(yùn)維精細(xì)化要求的日益提升,部署場(chǎng)景復(fù)雜化,導(dǎo)致用戶對(duì)數(shù)據(jù)分析的要求也越來(lái)越高,借助海量的日志數(shù)據(jù),提前定位和預(yù)知各類安全威脅,從而進(jìn)行趨勢(shì)預(yù)測(cè)、數(shù)據(jù)分析和多維度評(píng)估,為運(yùn)維決策提供有力依據(jù)。各行各業(yè)信息化建設(shè)不斷深入和完善,良好的運(yùn)維體系成為了信息化系統(tǒng)健康有序運(yùn)營(yíng)的必要支撐,因此建立運(yùn)維故障智能分析模型,實(shí)現(xiàn)快速定位分析和遠(yuǎn)程故障排查能力,保障業(yè)務(wù)高可用性,構(gòu)建新型智能化運(yùn)維管理體系,成為信息化建設(shè)不可分割的部分。


二、案例概述 

通過(guò)對(duì)信息化建設(shè)和運(yùn)維管理現(xiàn)狀的調(diào)研和深入分析后,了解到目前客戶IT運(yùn)維發(fā)展的現(xiàn)狀及面臨的風(fēng)險(xiǎn)挑戰(zhàn)如下:

1.各分支機(jī)構(gòu)和總部之間雖有專線形成了一個(gè)局域網(wǎng)用于業(yè)務(wù)的訪問(wèn)和通信加密傳輸安全保障,各業(yè)務(wù)都在一個(gè)局域網(wǎng)里面,未做到業(yè)務(wù)與業(yè)務(wù)之間的隔離,還是存在業(yè)務(wù)交叉泄露的風(fēng)險(xiǎn)。

2.各分支機(jī)構(gòu)對(duì)接入網(wǎng)絡(luò)的設(shè)備、資產(chǎn)、終端未進(jìn)行實(shí)名的身份安全,存在身份被冒用的風(fēng)險(xiǎn),對(duì)于訪問(wèn)的業(yè)務(wù)也無(wú)法做到基于身份的細(xì)粒度授權(quán),從而導(dǎo)致資源訪問(wèn)混亂和信息泄密的風(fēng)險(xiǎn)。

3.分支機(jī)構(gòu)不斷增加,組網(wǎng)規(guī)模不斷擴(kuò)大,缺少一套針對(duì)組網(wǎng)設(shè)備的統(tǒng)一監(jiān)控系統(tǒng),及時(shí)了解邊界網(wǎng)關(guān)硬件設(shè)備的運(yùn)行趨勢(shì),快速故障定位,高效處理故障的解決方案;

4.業(yè)務(wù)服務(wù)的規(guī)模增大,規(guī)劃、維護(hù)、安全、管理等分工更加細(xì)致,缺乏對(duì)業(yè)務(wù)系統(tǒng)健康狀況和運(yùn)行安全的監(jiān)測(cè),及時(shí)了解邊界網(wǎng)關(guān)硬件設(shè)備的運(yùn)行趨勢(shì),快速故障定位,高效處置故障、全網(wǎng)可視化的安全態(tài)勢(shì)感知和深層次的安全風(fēng)險(xiǎn)分析。

5.缺少終端管控手段,對(duì)于所有接入業(yè)務(wù)網(wǎng)絡(luò)的科研、生產(chǎn)和管理用的計(jì)算機(jī)都處于受控狀態(tài),不受管理的計(jì)算機(jī)不能連入到內(nèi)網(wǎng),對(duì)于接入內(nèi)網(wǎng)的計(jì)算機(jī)的操作都需要進(jìn)行管控和審計(jì),避免數(shù)據(jù)泄露。

6.邊界網(wǎng)關(guān)設(shè)備部署量不斷增多,管理流程日益復(fù)雜,管理成本不斷上升,缺乏能夠真實(shí)反映設(shè)備和業(yè)務(wù)運(yùn)行情況與運(yùn)行質(zhì)量的統(tǒng)計(jì)分析報(bào)表,無(wú)法為運(yùn)維、擴(kuò)容調(diào)優(yōu)提供有效的數(shù)據(jù)支撐。

三、安全技術(shù)應(yīng)用情況

智行零信任安全解決方案

整個(gè)安全體系建設(shè)方案分為網(wǎng)絡(luò)隔離、訪問(wèn)控制、終端控制三個(gè)部分。具體如下:

圖片11111111111111.png

1.專線內(nèi)的隔離采用SD-WAN部署方案

利用SD-WAN的技術(shù)在現(xiàn)有的專線內(nèi)網(wǎng)里面組件一個(gè)或者多個(gè)隔離的業(yè)務(wù)專網(wǎng),用于分割不同的業(yè)務(wù)避免業(yè)務(wù)交叉,保障各業(yè)務(wù)網(wǎng)絡(luò)的獨(dú)立性和安全性。

在總部中心部署SD-WAN智能管理平臺(tái),納管總部及分支機(jī)構(gòu)Edge智能網(wǎng)關(guān)設(shè)備,實(shí)現(xiàn)整網(wǎng)的統(tǒng)一編排、實(shí)時(shí)監(jiān)控,達(dá)成網(wǎng)絡(luò)整體運(yùn)營(yíng)的歸一化。總部接入位置部署高性能Edge網(wǎng)關(guān),來(lái)對(duì)分支機(jī)構(gòu)的上聯(lián)數(shù)據(jù)流量進(jìn)行整合調(diào)度。各分支機(jī)構(gòu)上聯(lián)位置部署Edge網(wǎng)關(guān),對(duì)相關(guān)業(yè)務(wù)數(shù)據(jù)進(jìn)行分類、檢測(cè)、加固、調(diào)度。根據(jù)各項(xiàng)目工作組的業(yè)務(wù)需求和組網(wǎng)要求,由智能管理平臺(tái)統(tǒng)一模板化下發(fā)篩選調(diào)度策略,實(shí)現(xiàn)業(yè)務(wù)工作組內(nèi)的虛擬專網(wǎng)組建,達(dá)到工作組內(nèi)高效互聯(lián)、工作組外隔離和訪問(wèn)受控的網(wǎng)絡(luò)要求。

2.專網(wǎng)內(nèi)的終端接入訪問(wèn)控制安全部署方案

采用零信任安全理念對(duì)每個(gè)接入隔離業(yè)務(wù)專網(wǎng)的計(jì)算機(jī)終端進(jìn)行全面的身份認(rèn)證和動(dòng)態(tài)訪問(wèn)控制授權(quán),保障只有被許可的人員訪問(wèn)被授權(quán)的業(yè)務(wù)資源。在SD-WAN形成的業(yè)務(wù)專網(wǎng)里部署一臺(tái)零信任安全網(wǎng)關(guān)和零信任安全大腦,作為所有專網(wǎng)內(nèi)用戶的身份認(rèn)證及訪問(wèn)業(yè)務(wù)系統(tǒng)的代理,訪問(wèn)控制和授權(quán)所有訪問(wèn)業(yè)務(wù)系統(tǒng)的終端必須安裝零信任安全瀏覽器或者客戶端,零信任安全大腦對(duì)所有訪問(wèn)業(yè)務(wù)系統(tǒng)的瀏覽器和客戶端進(jìn)行身份認(rèn)證和授權(quán),未安裝客戶端的用戶無(wú)法看到和訪問(wèn)業(yè)務(wù)系統(tǒng)。

3.專網(wǎng)內(nèi)的終端安全管控與零信任相結(jié)合部署方案

采用終端管控技術(shù)對(duì)用戶的訪問(wèn)行為進(jìn)行進(jìn)一步的規(guī)范和控制,對(duì)于涉密的結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行管控和審計(jì),防止數(shù)據(jù)泄密。終端管理與零信任相結(jié)合,為訪問(wèn)控制決策提供更加豐富的數(shù)據(jù)源支撐?;诹阈湃伟踩砟?,以身份管控和動(dòng)態(tài)授權(quán)確保業(yè)務(wù)訪問(wèn)安全,以準(zhǔn)入控制和介質(zhì)管控確保終端接入安全。

四、客戶反饋效果

安全風(fēng)險(xiǎn)降低情況及使用效果情況

1.健全身份認(rèn)證系統(tǒng),加強(qiáng)身份生命周期管理

建設(shè)統(tǒng)一身份管理系統(tǒng)。實(shí)現(xiàn)職工在入職、升職、轉(zhuǎn)崗、調(diào)動(dòng)、離職等場(chǎng)景下信息系統(tǒng)賬號(hào)的全生命周期管理,建立無(wú)縫的用戶身份管理體系;完善安全認(rèn)證系統(tǒng),為應(yīng)用系統(tǒng)提供統(tǒng)一的靜態(tài)口令、短信驗(yàn)證碼、動(dòng)態(tài)令牌等認(rèn)證方式,并預(yù)留未來(lái)指紋、虹膜、人臉等生物識(shí)別認(rèn)證手段的接入準(zhǔn)備;集成本單位主要信息系統(tǒng),將本單位主要信息系統(tǒng)接入至統(tǒng)一身份認(rèn)證管理系統(tǒng)平臺(tái),充分利用平臺(tái)作為身份安全基礎(chǔ)設(shè)施提供的身份管理統(tǒng)一認(rèn)證能力,同時(shí)支持對(duì)接上級(jí)單位信息系統(tǒng)。

2.實(shí)現(xiàn)動(dòng)態(tài)訪問(wèn)控制,重構(gòu)網(wǎng)絡(luò)安全訪問(wèn)邊界

以身份為中心,通過(guò)應(yīng)用層業(yè)務(wù)代理縮小各個(gè)業(yè)務(wù)系統(tǒng)的暴露面,統(tǒng)一用戶對(duì)業(yè)務(wù)系統(tǒng)的訪問(wèn)入口,根據(jù)用戶身份按需開(kāi)放業(yè)務(wù)入口,同時(shí)基于零信任安全理念,遵循以下三個(gè)原則:

網(wǎng)絡(luò)無(wú)特權(quán)化原則:不靠網(wǎng)絡(luò)位置建立信任關(guān)系,所有用戶、設(shè)備和訪問(wèn)都應(yīng)該被認(rèn)證、授權(quán)和加密;

信任最小化原則:在網(wǎng)絡(luò)層面,用戶只能“看見(jiàn)”和“接觸”到他所需要的訪問(wèn)的業(yè)務(wù)系統(tǒng),獲得最小權(quán)限;

權(quán)限動(dòng)態(tài)化原則:訪問(wèn)控制策略應(yīng)該是動(dòng)態(tài)的,應(yīng)基于盡量多的數(shù)據(jù)源進(jìn)行計(jì)算和評(píng)估。

提升零信任訪問(wèn)控制中心能力,建設(shè)零信任安全大腦,將網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施納入分析數(shù)據(jù)源,針對(duì)訪問(wèn)主體和訪問(wèn)客體進(jìn)行持續(xù)的信任評(píng)估,實(shí)現(xiàn)動(dòng)態(tài)的訪問(wèn)控制。

3.建立虛擬專用網(wǎng)絡(luò),確保分支安全便捷組網(wǎng)

基于現(xiàn)有Internet、MPLS、LTE等任意鏈路,采用Overlay技術(shù)部署SD-WAN,針對(duì)各業(yè)務(wù)搭建業(yè)務(wù)專網(wǎng),各業(yè)務(wù)專網(wǎng)之間進(jìn)行隔離,以保障業(yè)務(wù)自身網(wǎng)絡(luò)的獨(dú)立性和安全性。

通過(guò)平臺(tái)化的智能管理,納管總部及分支機(jī)構(gòu)的接入網(wǎng)關(guān)設(shè)備,實(shí)現(xiàn)整網(wǎng)的統(tǒng)一編排、實(shí)時(shí)監(jiān)控,達(dá)成網(wǎng)絡(luò)整體運(yùn)營(yíng)的歸一化。

4.強(qiáng)化終端基線管控,牢筑數(shù)據(jù)安全防御壁壘

終端安全管理系統(tǒng)與環(huán)境安全監(jiān)測(cè)中心實(shí)現(xiàn)聯(lián)動(dòng),將現(xiàn)有能力結(jié)合終端進(jìn)程、終端用戶行為納入基線管控,并能有效支撐訪問(wèn)控制策略決策。

在端側(cè)集成網(wǎng)絡(luò)準(zhǔn)入控制、存儲(chǔ)介質(zhì)管控、文檔不落地、文件外發(fā)管控等功能,強(qiáng)化數(shù)據(jù)安全防護(hù)能力。

5.增強(qiáng)資產(chǎn)威脅感知,構(gòu)建應(yīng)用信任評(píng)估體系

態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)和網(wǎng)絡(luò)安全監(jiān)測(cè)分析中心實(shí)現(xiàn)聯(lián)動(dòng),通過(guò)EDR、結(jié)合用戶訪問(wèn)行為全面提升現(xiàn)有資產(chǎn)及流量的威脅感知能力,同時(shí)有效支撐訪問(wèn)控制策略決策,及時(shí)避免威脅向用戶側(cè)反向或資產(chǎn)側(cè)橫向擴(kuò)散。

6.協(xié)同運(yùn)維工作空間,創(chuàng)建統(tǒng)一運(yùn)維安全體系

基于零信任安全理念打造的一整套全新的、符合中心化管理、即插即用、靈活擴(kuò)展的IT運(yùn)維管理與安全審計(jì)解決方案,構(gòu)建總分型機(jī)構(gòu)內(nèi)部IT運(yùn)維服務(wù)支撐環(huán)境的同時(shí),充分滿足IT運(yùn)維管理過(guò)程中對(duì)運(yùn)維安全、服務(wù)成本和服務(wù)質(zhì)量的訴求,搭建精簡(jiǎn)、高效、安全的IT運(yùn)維管理體系,幫助IT運(yùn)維管理人員全面應(yīng)對(duì)各類運(yùn)維資源及運(yùn)維事件,同時(shí)進(jìn)行集中賬號(hào)管理、精細(xì)化的權(quán)限管理和過(guò)程審計(jì),提升風(fēng)險(xiǎn)控制水平,同時(shí)保障內(nèi)部數(shù)據(jù)和信息的安全。在遠(yuǎn)程IT服務(wù)方面,保障IT技術(shù)人員、合作伙伴以及第三方運(yùn)維服務(wù)團(tuán)隊(duì)可以在任何時(shí)間、地點(diǎn)和設(shè)備上安全完成IT的運(yùn)維管理工作,并能實(shí)現(xiàn)高效的線上和線下、以及線上和線上全方位的協(xié)同工作。


開(kāi)始試用任子行產(chǎn)品
申請(qǐng)?jiān)囉?/a>

20年公安服務(wù)經(jīng)驗(yàn)

7*24小時(shí)應(yīng)急響應(yīng)中心

自主知識(shí)產(chǎn)權(quán)的產(chǎn)品裝備

專家級(jí)安全服務(wù)團(tuán)隊(duì)

網(wǎng)絡(luò)空間數(shù)據(jù)治理專家

榮獲國(guó)家科學(xué)技術(shù)二等獎(jiǎng)

置頂
電話

400-700-1218

官方熱線電話

咨詢
留言
二維碼
微信公眾號(hào)
公司微博