以零信任赋能数字化转型 打造金融安全治理新模式｜证券行业专刊2·安全村

在当前中国证券行业数字化转型日渐提速的背景下，光大证券积极探索数字化转型之路，在保证高速度高质量转型前提下，深化科技赋能业务，将数字化从局部、孤立的单一产品替换逐渐向平台化、生态化延伸。公司制定了《金融科技战略发展规划》，明确提升金融科技能力、完善组织建设与资源保障、完善信息技术治理体系等科技战略定位，并从多个方面以整体化战略视角，积极推进公司数字化转型。其中，零信任项目是公司数字化转型的关键举措之一，将在保障信息安全的同时助力公司高质量发展，构筑金融安全治理新模式。

随着数字化转型全方位进入深水区，证券行业越来越开始依赖于在线服务系统的运行稳定，包括急速交易、客户管理和资产管理等。这些在线服务系统从最初的开发、测试、生产，到最终上线后的接入与运维管理，全程离不开各类角色人员与各种终端设备的交互。关于如何保证大量系统全生命周期接入的安全可控，保证业务数据收敛不泄密，成为了证券公司当前转型阶段需要思考的当务之急。

为尽可能满足业务、办公、外包等人员对系统接入需求，一直采用传统SSL VPN+云桌面的接入方式，但随着数字化转型的深入以及疫情对于员工接入习惯的改变，致使远程访问规模逐渐扩大，远程访问的场景类型也不断发生变化。此类传统接入方式在性能上与安全性上的弊端也逐渐显现。

通过云桌面作为跳转节点接入系统的方式，虽能确保数据不落地以及屏蔽接入设备环境的大部分安全隐患，但对建立云桌面远程加密隧道设备的性能有较高要求。云桌面视频画面的加密传输和转发以几十字节的小数据包为主，相同吞吐量前提下，小包需要消耗更多的数据包加解密次数和性能。以VPN传统控制面与转发面紧耦合架构，难以保证大量云桌面使用场景下高效的横向扩容，最终影响远程访问的用户体验。同时，以云桌面进行系统访问的方式，存在对虚拟桌面的隐式信任，即认为内网环境中一切设备安全可信，并且对于云桌面到业务系统端的数据访问流基本不可视。以上存在信任盲区与性能瓶颈的接入方式，成为公司在数字化转型中的脆弱点。

此外，当前地缘政治局势波动以及HW对安全要求的提升，也激发了公司对网络资产防护更为敏捷的追求。传统的基于边界防御的网络安全模型关注于边界出口的重安全堆叠，试图通过明确的边界防护策略，以鉴黑思维识别边界外侧异常访问流量。但随着业务类型与接入设备环境的复杂化，致使原本单一的、可以清晰辨别的企业边界开始模糊，针对边界的大量的安全设备和技术在面临已经被入侵的突发状况下变得束手无策。

零信任理念的出现带给陷入固化的安全现状新契机。零信任的核心理念是不信任任何，即使是企业内部的人或者任何设备。该理念将网络安全的重点从网络边界转移到了资源本身，即保护资源而不是网段，这意味着企业内部的所有用户、终端设备都需要进行身份验证和访问控制，并且还需要经过持续的安全评估，以确保它们的安全状态。这种动态最小化授权的理念摒弃传统内网环境中的隐式信任，为数字化转型后半段的平稳运行奠定安全可控的基调。

零信任项目不再基于单一解决某一问题作为建设目标，而是着眼于整体安全运营体系的重构，通过以远程访问作为切入点，铺展至内外网统一访问控制，异常访问行为即时阻断，构建数字化转型局势下更敏捷的资源保护架构。通过结合现有访问方式存在的弊病以及体系化构建安全访问架构的诉求，制定了以下几点建设目标：

1. 缓解小包性能瓶颈：针对疫情期间远程连接云桌面访问业务系统的突发场景，以及外包人员远程安全稳定运维系统的需求，新一代接入体系需要具备敏捷高效的横向扩容能力，并针对大量小包加解密与传输任务具备良好支撑性能，提升弱网等环境下访问系统效率，以满足员工对于接入体验的诉求。

2. 升级陈旧访问架构：传统VPN架构老旧，护网期间精力投入大，且终端接入控制策略单一，认证方式繁琐，且无法适配部分信创PC，存在兼容性问题。零信任项目需要建立一个更加先进、灵活的访问架构，提高终端接入控制策略，简化认证方式，提升访问易用性和兼容性。

3. 建设全访问链路可控体系：企业已进行大而全补丁式安全设备采购，但设备之间分散独立，难成体系，安全建设整体纵深防护不足。因此，需要从数字化转型背景下安全运营视角建立全访问链路可控体系，实现设备之间的协同和互相支持，提高整体安全性和可控性。

4. 探索内网外统一访问新理念：单一远程办公场景建设零散，难以支撑长远建设规划。因此，零信任项目需要探索内网外统一访问新理念，实现不同场景下的统一访问控制和认证机制，提升系统的可用性和灵活性，从而满足企业在数字化转型场景下对安全治理的新要求。

零信任项目的建设包括三个阶段，包括组件基底搭建，场景扩充与架构优化，以及全场景范围跟覆盖。三个阶段由点及面循序渐进，具体关于每个阶段所做工作的详细描述如下：

阶段一：基础环境搭建、办公环境远程接入场景承接

构建零信任架构基础组件，实现远程办公访问场景的零信任改造和访问流程的集成。通过对用户终端安全状态的检查和风险感知，初步实现零信任高级别的成熟度（自适应的认证、访问终端的安全感知分析、缩小暴露面、应用级的访问控制功能应用落地）。

阶段二：场景扩展（生产域、测试域场景）与架构优化

优化一期办公用户的访问体验，完善访问数据的采集和安全分析能力（包括业务访问行为、身份分析等）。同时，拓展其他主要应用场景，如：测试环境远程访问，生产环境远程访问，外包员工远程访问，运维场景等。充分与现有安全环境集成，实现初步的持续的安全检测、动态的访问控制、及时的事件处置的安全管理闭环，提升访问策略的集中管理和动态决策能力，最终以部分实现零信任优化级的成熟度为达成目标（持续的风险识别分析、动态的访问控制、构建初步的零信任访问控制的自动化功能应用落地）。

阶段三：全场景访问覆盖与自动化零信任落地

结合实际情况，实现覆盖公司主要内外部访问场景、网络访问控制场景，实现统一的策略动态决策中心。优化和完善各类安全风险分析能力，实现基于综合安全风险的访问授权、近实时的用户行为分析决策，完善建立细粒度的访问控制体系，实现功能级的动态授权。同时，配合智能化技术，实现安全访问策略的自动化优化。

1.功能组件

通过广泛的市场调研和技术验证，综合考虑了多种方案后，最终选择了零信任ZTA平台安全解决方案。该产品完全符合NIST架构，整体包括三大组件：控制中心（PDP），代理/直连网关（PEP），分析中心，各组件作用如下：

• 控制中心：控制中心组件为零信任平台的策略决策点，能够实现用户认证、用户授权、多源信任评估、动态访问控制策略等功能。

• 代理/直连网关：代理/直连网关为平台的策略执行点，负责实现用户接入、代理访问、控制策略执行等功能。其中，代理网关负责远程接入代理，而直连网关适用于内网用户直连访问数据中心场景（基于网络改动影响，性能要求，Bypass需求等衍生出来的内网代理网关）。

• 分析中心：零信任分析中心负责接收组件上传的安全日志，进行异常行为分析与访问用户身份画像构建，并生成可视风险地图。

2.架构设计

零信任项目架构设计贯彻“最小化授权”原则，以保护被访问资源本身为目标，要求无论内外网接入、虚拟机或实体机访问都必须经过零信任平台准入认证并动态评估。针对总部员工、分支员工、出差/居家员工和第三方外包员工四类用户，零信任平台提供了两类共四条接入线路，以实现更好的用户体验和接入安全性。

接入类型一：公司内部网络接入

该接入环境适用于总部内网与分支广域网接入的员工，根据业务系统数据的重要等级，分为两条接入线路：

内网线路①：员工 → 登陆实体终端内零信任客户端 → 访问中低敏业务

内网线路②：员工 → 登录云桌面→连接云桌面内零信任客户端 →访问高敏业务

接入类型二：互联网接入

该接入环境适用于不在内网环境下员工，如出差/居家员工，或非本地办公的第三方外包人员。同样，根据业务系统数据的重要等级，也分为两条接入线路：

外网线路①：员工→ 登陆实体终端内零信任客户端 → 访问中低敏业务

外网线路②：员工→ 登陆实体终端内零信任客户端 → 登录云桌面 → 连接云桌面内零信任客户端 → 访问高敏业务

以上四类接入访问方式，其身份认证与策略下发依赖同一套控制中心，且所有业务访问日志都被分析中心进行异常行为研判，最终实现了整体零信任平台的统一管控，统一分析，统一处置。

1.全链路访问可视可控，安全运营一体化融合

零信任方案在标准零信任架构中引入分析中心的概念，实现了实时异常访问行为发现，风险可视化，并能记录行为轨迹。这一措施提高了企业对于风险的感知和响应能力，可以更准确地识别并快速应对安全事件，保障企业业务的正常运行。此外，平台提供开放API接口，支持与外部安全设备、安全运营分析平台进行联动，当外部安全运营分析平台检测出安全事件时，能对来自风险源的访问进行阻断或是降权处理。同时，零信任平台也能将收集到的异常访问行为记录输出到外部安全分析平台，用于外部安全分析平台的行为监测分析，最终实现跨安全平台信息互通，促进一体化安全运营融合。

2.隐式信任盲区消除，最小化授权理念落地

以零信任最小授信原则为指引，消除了内网隐式信任，实现了基于资源视角控制细粒度访问权限，确保用户身份验证和授权，有效提高了内部和外部用户访问系统的安全性和准入控制。

3.数字化安全生态构建

方案充分利用了“零信任”架构的优势，以安全为前提，打造了数字化转型的安全底座。这一方案在数据安全、网络安全和终端安全等多个层面提供了全面保障，不仅保护了公司的业务安全，更为行业数字化转型提供了重要的启示。数字化转型不仅需要提高业务效率，更需要以安全为前提，打造安全可靠的数字化生态。

公司坚持聚焦数字化、平台化、智能化的科技战略愿景，借助零信任先进理念，实现了全面的数字化安全防范体系构建，助力打造金融安全治理新模式。