数据安全星熠案例 | 零信任远程访问安全

随着数字化转型持续深入，企业的业务加速数字化，人、业务和数据走出了内网，内外网的安全边界逐渐模糊，给企业的数据安全建设带来了新的挑战。在此背景下，基于“持续验证、永不信任”的零信任理念，以“身份”为核心，构建随需随身的安全边界，成为数据安全体系建设的“最优解”。

重庆联通作为重庆市信息通信建设的主力军，不断加大基础网络建设，持续增强数字产业支撑能力，在传统通信服务能力基础上已形成了大数据、物联网、云计算等新兴产业发展新格局和云网一体化运营核心竞争力。但随着互联网与电信网的融合、新技术新业务的发展、传统业务模式与新业务模式并存使得业务网络以及人员的复杂性增加。尤其在远程办公场景下，传统远程办公访问基本依靠VPN来实现安全的远程访问，但这种方式在安全性和功能性上都十分有限，用户体验上也不佳，频繁掉线、访问卡顿等问题时常出现。在此基础上，重庆联通联合北京芯盾时代科技有限公司建设一套新的远程访问办公体系，助力重庆联通实现安全、高效的办公环境。

基于零信任理念，以身份为核心，通过零信任业务安全网关、身份及访问管理、全域信任持续计算、终端安全风险感知等技术，实现重庆联通内外网一体的可信、便捷、动态业务访问的新一代远程办公体系建设。

a.零信任业务安全网关

所有的用户访问都要通过安全客户端（ZSC）进行身份校验（用户身份的安全可信），终端/系统/应用的可信确认（设备身份的安全可信），还有细粒度的权限访问校验后，通过安全应用网关（ZEG）访问具体的业务（链路的安全可信），同时实现将暴露面进行收敛，实现网关及内部资源双重隐藏，网关自身关闭所有端口，外部扫描不到任何网关的端口。

b.身份及访问管理

对用户采用“零信任”的态度，在用户登录、操作、登出系统的全周期内，持续性、周期性的通过规则引擎对前端采集的信息进行风险评估，根据风险值自动匹配认证方式，为用户和设备提供验证其身份的机制，最大化确保用户身份的可信。

在访问主体侧，将身份标识从“人”扩展至“人+设备+应用”等多个维度，构建可信的多维身份信息。在数据资源侧，将访问权限管理细化至数据级，实现数据资源的精细化授权。在访问过程中，将身份信息贯穿访问全流程，实现数据访问的最小化授权。

c.全域信任持续计算

智能感知全局风险信息，基于动态决策引擎，对访问请求进行动态信任评估，适时执行放行、阻断、二次认证、权限收敛等访问控制策略，做到“安全访问全程无感，不确定访问再次认证，不安全访问直接拒绝”。

d.终端安全风险感知

终端设备标识和认证、环境和风险实时感知、安全合规评估和风险联动处置，在端点设备上提供隔离空间，实现对敏感数据的精确访问控制及有效隔离管控，达到“数据不落地”，通过拷贝、共享、截屏、录屏等行为管控，有效防止敏感数据外泄。

基于大数据及机器学习技术，通过收集2000多项设备硬件、操作系统、网络协议栈、浏览器、应用层信息，为每台设备生成不依赖于设备本地ID的指纹信息。设备指纹可以成为设备的身份证，作为每台设备的唯一标识（设备ID）。

安全沙箱空间与系统层通过专用认证接口进行调用，通常情况下无法直接读取或调动安全沙箱空间的内容。安全沙箱空间内使用了反编译、反调试等手段保障安全沙箱空间不会被恶意程序跟踪并破解。

安全沙箱空间对外提供加、解密接口，可对应用安装后生成的数据进行加、解密（软件安装后生成的密钥）、也可对敏感数据进行加密（用户个人信息、照片、账号、密码等），还可以对通讯信道进行加密（替代SSL VPN），整体提高系统的安全性。

采用SPA单包授权和应用代理技术，对所有访问主体进行预认证，只对得到授权的请求开放端口，有效缩减资源暴露面，减少因网络攻击导致的数据安全问题。

持续身份认证可根据当前风险对应不同等级的处置策略，各类源（比如用户、设备以及与之相关的所有活动）总在不断产生信息，利用机器学习来设置上下文相关访问策略，自动调整并适应策略。

数据脱敏：支持敏感数据精准命中，支持多种数据获取方式，支持数据替换灵活配置，满足不同安全级别对敏感数据的替换要求。

水印注入：支持根据设置为特定场景打水印，水印设置包括：特定内容、颜色、大小、时间、当前用户、IP等信息。

基于全域风险感知平台及其他外部风险数据源输入的信息，利用场景化的专家策略集和AI模型，从设备、身份、行为、环境、资源、网络等多个维度进行持续的风险和信任计算，为动态访问控制引擎提供风险等级评估信息。