5G、云计算等的普及应用,使移动/远程办公由概念快速走向落地。突发的疫情,按下了移动/远程办公发展的“加速键”,移动办公、移动审批、移动执法等多维场景不断深入,内部资源与企业数据因暴露面增加和信任策略缺失遭受的安全冲击成倍增长,基于边界防护的传统安全体系逐步瓦解,零信任安全体系成为移动/远程办公安全破局的关键。
背景介绍 随着网络技术在海事业务如船舶驾驶控制、货物装卸、推进系统、旅客管理、通信系统等方面的应用不断提升,越来越多的对外信息交互,使海事业务遭受网络威胁的隐患也不断加剧,这些潜在的威胁可能导致有关的操作、安全或安保系统的破坏或信息的泄露。 海事局作为维护国家海洋权益,促进国民经济建设的重要职能机构,同时,网络安全将是2021年符合证明(DOC)年度审核的一个重点领域,迫切需要建立由内到外的安全架构体系,保障海事业务信息系统安全稳定运行,满足移动办公、审批、执法等应用场景需求。 某海事局网络安全隐患加剧 安全防护亟待升级 网络安全是某海事局开展海事安全管理体系建设中的重要组成部分,自公安部2018年组织国家级的网络攻防实战演练以来,某海事局作为实战检验的重点单位,其信息交互、网络环境、信息设备系统等复杂性对网络安全综合防御能力提出重要挑战。 经过任子行专业人士的探访调查后,其网络安全防护风险如下: 1.威胁暴露面增加 提供远程访问的应用系统、VPN和DMZ区的系统等都面临着来自互联网的威胁,是海事局信息化安全建设面临的重要挑战之一; 2.远程办公的问题(VPN接入) 身份无法确认:VPN作为一种网络接入产品天生缺乏安全基因,用户的证书/密码一旦被盗,就意味着“谁”都可以接入访问; 非法请求,病毒传播:VPN打破传统边界防御,直达内网,不可控的终端安全带来勒索病毒、蠕虫、木马的肆意传播,同时可以对内网系统进行肆意扫描,寻找弱点; 用户体验差:VPN对网络的传输要求较高,经常出现无法访问和频繁切换的问题; 运维难度大:VPN需要基于IP和端口配置安全策略,配置繁琐复杂,灵活性差; 3.系统繁多,操作不便 某海事局各个部门在执行工作中,由于操作系统较多,人员及移动应用场景复杂等,需要对系统的登录地址、登录方式、用户名口令等频繁操作,带来不便 。 任子行零信任远程接入安全防护解决方案 效率与安全并行实现 任子行在深入剖析海事局当前所面临的挑战并结合其实际需求后,为该海事局提供了一套定制化的零信任远程接入安全防护解决方案,助力海事局更好的规避网络安全漏洞,建立具备综合防御能力更强的网络安全生态体系。具体实施方案如下: 1.统一的身份安全和单点登录,解决业务访问的用户身份统一安全问题 用户远程接入办公网络需要进行身份验证,包括:账户密码登录认证、互联网认证(微信/企业微信认证)、短信验证码等多种登录验证方式,以单点登录实现多套系统的账户体系自动认证,提高办公效率。 2.细腻动态的访问控制策略,弱化内容安全事件发生的风险 身份验证策略统一由管控平台进行下发配置,支持不同的用户配置不同的身份验证策略,针对不同的用户分配不同的应用访问权限进行精细化的控制,并且基于信任模型对用户的访问风险进行实时评估,动态调整其安全策略,以达到最大程度弱化内部安全事件发生的风险。 3.建立统一的访问门户,个性化按“需”配置 在用户终端建立统一的办公入口,进行多因子身份验证、设备验证、数据安全防护(数字水印、防打印、防复制、防下载等);个性化Portal页面作为远程办公工作台,可以满足各类用户Web业务访问(OA、CRM等)、远程研发(通过浏览器远程桌面访问公司内网主机)、远程运维(通过浏览器SSH工具访问公司内网设备)等多种需求。用户通过点击应用图标即可直接访问被授权的应用系统,实现了首页按“需”定制,业务按“需”分配,消息按“需”提醒。 4.业务系统应用隐身,将企业内网应用暴露的攻击面降到最低 解决业务系统暴露问题,使用零信任安全网关将企业内网应用隐身,只有通过认证授权的用户使用安全浏览器才能与零信任网关和应用系统建立加密连接,非授权的用户无法扫描到核心应用,从而实现了最细粒度的应用隔离。对企业内网业务系统进行“隐身”,将企业内网应用暴露的攻击面降到最低。 5.统一的安全信任评估,及时发现用户的异常登录和异常访问行为 以综合安全管控平台为系统的安全大脑,对安全浏览器的用户和设备进行全方位认证,实现对接企业已有的身份管理系统和安全策略,并且基于信任模型对用户的访问风险进行实时评估,动态调整其安全策略;此外通过AI技术对浏览器、安全网关上报的各类行为审计日志进行大数据智能分析,帮助用户进行全局的办公安全态势感知,及时发现用户的异常登录和异常访问行为。 任子行零信任远程接入安全防护解决方案优势 任子行零信任远程接入安全防护解决方案,采用SDP的技术模型,以企业专用安全浏览器的方式将认证客户端与Web应用整合,在实现零信任核心安全理念的同时又为用户带来了方便快捷的使用体验。这种“轻量级”的实施方案,有助于企业快速落地零信任安全模型,使得“零信任”应用访问成为企业安全防护架构中最基础的防护设施。 零信任安全建设是一个系统工程,需要顶层设计,逐步建设,不能一蹴而就。未来,任子行将继续专注于技术的深入研究与研发,以期最终实现安全防护与零信任体系相结合,最大限度提升企业网络安全防护能力,为国家网络安全建设贡献一份力量。
400-700-1218
微信公众号
公司微博
公安备案号:44030502000376