​奇安信Q-SASE、零信任再获殊荣！信通院两大年度奖项收入囊中

8月25日，由中国通信标准化协会算网融合产业及标准推进委员会（CCSA TC621）、中国信息通信研究院共同主办的“2022年算网融合产业发展峰会”在京成功召开。奇安信集团申报的两个案例，“中国电子基于SD-WAN的SASE落地与服务化实践”与“基于PKS的大数据环境零信任动态授权体系”，成功分获2021年度“SASE优秀方案”和“零信任最佳方案”两大奖项。

同时，奇安信还受邀在大会零信任产业发展论坛进行主旨演讲，分享了奇安信在云网协同、算网融合加速发展的背景下，如何基于Q-SASE解决方案与服务体系，实践云、网、安三者的深度融合。

从SASE到Q-SASE

SASE是Gartner在2019年推出的一套新的企业网络安全服务架构。通过将网络和安全二者的功能融合为统一服务，分支机构和移动办公的员工均能高效且安全的接入云端的安全节点（POP点），在不影响办公体验的前提下，安全地访问互联网、云上以及公司内部的业务系统。

仅从网络安全角度出发，SASE架构的意义也是变革性的。首先，SASE是以运营服务的方式交付，保障的不是产品的建设交付，而是统一安全运营效果；其次，充分融合基于云技术实现的安全能力，符合“十四五”数字化转型加速、升级以及企业上云的大趋势；再次，引入零信任这一关键能力后，能够满足后疫情时代对远程办公安全性保障的需求；最后，基于SD-WAN不仅收敛了互联网出入口，更再次划清了网络与安全边界，企业的安全投入不再因为过于分散而出现明显“短板”，为安全的统一规划、建设和运营提供了架构基础和技术手段。

这一点从美国国防部在其零信任实施方案Thunderdome（雷霆穹顶）中，正式引入SASE安全框架这一决定中可见一斑。

奇安信安全访问服务（Q-SASE）不是SASE架构简单的复制黏贴，而是基于中国国情、市场现状、客户需求等综合考量后，SASE架构的本土化演进的产物。基于统一的安全防护与运营服务架构，拥有多分支机构的大型央国企、民企、政府机构、学校等客户，能够以相对轻量化的投入、更简易的部署，实现安全管理与运营的降本增效，并为业务未来的发展变化预留灵活扩展的空间。

Q-SASE的核心能力拥有清晰的5层架构。包括最底层的网络资源层，资源之上的安全能力层，能力之上的运行策略层，策略之上的安全运营层，以及纵向贯穿的安全管理层。特别在安全运营层，Q-SASE运营服务可通过标准化的服务框架、服务规范、服务流程、服务评估，有效地保障服务质量。

归纳而言，与传统拼凑式的安全建设方案相比，Q-SASE有以下三大优势：

安全能力云化部署、服务化提供，通过统一的安全运营中心集中监测预警，客户投入更加轻量；
提供统一的安全能力和运营管理，避免因分支机构众多、防护能力不足、水平难以拉齐等原因出现安全短板；
疫情驱动远程办公，通过统建零信任实现终端环境感知和动态访问控制，降低大量使用VPN引入风险的同时，兼顾良好办公体验。

不只运营

Q-SASE助力中国电子通过国家级攻防大考

Q-SASE不仅集高成熟度的安全架构和运营服务于一体，更有特大型央企的“平战一体”的应用实践加以佐证参考。

此次获奖的案例“中国电子基于SD-WAN的SASE落地与服务化实践”，便是Q-SASE在中国电子，这样一家拥有600余家分布在全球31个国家和地区所属企业、19余万名员工、2021全年营收2781亿元的国有骨干企业的应用实践。

作为以网络安全和信息化为主业的中央企业，中国电子在“十四五”规划期间，以“数字CEC”建设为数字化转型工作抓手，通过全集团构建一个运营监控中心、五大共享平台，来实现“提能力、提效率、控成本、控风险”这一重要目标。

安全和云、网一样，是数字化支撑技术的重要组成。SASE体系的核心价值，便是将中国电子的“一云一网”和“安全”三者融合，并通过全集团自上而下的统一规划、建设和运营，解决中国电子19余万名员工在世界各地安全访问中国电子云、互联网以及移动办公。

对于实战攻防演习，中国电子运营管理部副主任唐路曾在近期BCS2022·大湾区网络安全峰会的主旨演讲中坦言，在落地SASE之前，中国电子最头疼的就是大量互联网出入口散落在各地，“战时”的安全防护很难有一个满意的效果。基于SD-WAN做互联网出入口的收敛，首先解决了缩小暴露面的需求。

在攻防演习真正进入对抗阶段后，遵从“重兵防御、集中研判、联防联控”这一整体策略，中国电子能够基于Q-SASE可对197家已接入法人单位的互联网访问白名单进行统一设置和维护，快速发现和隔离失陷终端，加密流量在统一出入口的SSL集中卸载，以及通过统建零信任代替传统VPN以实现关键业务应用访问策略的细粒度动态管控。

唐路主任还表示，“查、打一体”的设计，结合北京冬奥期间“应接尽接”的“零事故”成功经验，中国电子基于Q-SASE体系在此次攻防演习中成功实现了“秒级”自动化处置和“零误封”，并为溯源提供足量的数据支持，真正在减少安全值守人员投入的同时，实现了整体防守效率效果的提升，真正做到了“战时”网络安全“攻击可追溯、态势可感知、事件可预警、安全可闭环”。

作为国内零信任安全理念的首倡者，奇安信零信任此前顺利通过了由中国信通院算网融合团队发起的“Zero Trust Ready”项目SDP解决方案能力测试评估，是首批首家获得此项权威认证的企业。在中国电子数字安全防护体系中，也充分运用了基于PKS的零信任动态授权体系能力，以数据资源为中心，以身份为基石，实现了对应用、数据、服务等的精准管控，帮助中国电子构建业务动态可信访问控制机制，实现全面身份化、授权动态化、风险度量化、管理自动化的新一代网络安全架构。

-END-