CSA GCR：2021中國零信任全景圖（46頁）.pdf

《CSA GCR：2021中國零信任全景圖（46頁）.pdf》由會員分享，可在線閱讀，更多相關《CSA GCR：2021中國零信任全景圖（46頁）.pdf（46頁珍藏版）》請在三個皮匠報告上搜索。

1、2021 云安全聯盟大中華區-版權所有12021 云安全聯盟大中華區-版權所有3前言前言隨著云計算、移動互聯、物聯網等新技術的發展，網絡空間已經發生了巨大的變化，從傳統的網絡邊界已經發展到了無界化。面對全球數字化和萬物互聯的加速，傳統物理邊界被徹底打破，以零信任“永不信任，始終驗證“為理念安全戰略被國內外政產學研各界廣泛認可。零信任，是在不可信網絡中構建安全系統。作為新一代信息技術安全架構，零信任創新性的安全思維契合數字基建技術特點， 能更好地提升企業信息化系統和網絡的整體安全性。云安全聯盟 CSA 作為零信任技術研究、標準制定的先行者及踐行者，于 2020 年提出零信任十周年，成功舉辦零信任

2、十周年暨第一屆零信任峰會。云安全聯盟大中華區為了向業界完整呈現中國零信任的行業生態，讓讀者對零信任有一個全面的認知，同時提高零信任領域相關廠商和優秀實踐者（甲方）的曝光度和知名度，為打算實施零信任的甲方提供完整的參考，在 2020 年 12 月發布了2020 中國零信任全景圖（第一版）。在這一年里，零信任在落地應用方面取得長足進步與發展，這得益于網絡安全廠商、用戶、專家的支持與貢獻，CSA 大中華區刷新推出2021 中國零信任全景圖（第二版） ，供業界一覽“零信任”全景概況，作學習及落地參考，共同推動零信任的落地應用，更好保障新網絡新業務新場景的安全。2021 中國零信任全景圖如有疏漏或不妥之

3、處，敬請各界包容與不吝指正。2021 云安全聯盟大中華區-版權所有4目目 錄錄1.簡要.52.零信任概述.63.零信任成熟度模型.74.零信任的驅動因素.94.1 合規驅動.94.2 合需驅動.105.零信任全景圖分析. 115.1 公司類型.115.2 被保護對象.135.3 業務場景.165.4 業務類型.185.5 技術類型.215.6 服務模式.235.7 部署架構.256.零信任落地案例. 276.1 深信服-葛洲壩集團零信任安全辦公項目.276.2 天融信-某省公安大數據智能化安全建設采購項目.306.3 數字認證零信任安全架構在醫療領域的應用.346.4 白山云-零信任遠程訪問實

4、踐案例.406.5 美創科技-浙江省腫瘤醫院基于零信任理念的數據安全建設最佳實踐.437. 致謝. 482021 云安全聯盟大中華區-版權所有51.1.簡要簡要2021 中國零信任全景圖（第二版）共收錄 88 家單位，比第一版零信任全景圖參加的單位增加了 35%，為了更好地體現各單位擅長的領域，這次的評審歸類結合各單位提供的申報材料與零信任相關項目的實際落地情況進行編制。相較第一版本，我們對第二版零信任全景圖進行了優化調整，主要調整包括：1）新增 1 個模塊”公司類型“，對所有被調研的單位進行了分類；2）“被保護對象”分類下增設“API”二級分類；3）“業務場景”分類下增設“數據交換”、“企業

5、多云戰略”、“物聯網”二級分類；4）“業務類型”分類下增設“評估服務”和“治理服務”，取消“測評服務”二級分類；5）“部署架構”分類下增設“終端”二級分類。圖 1.1：2021 中國零信任全景圖（關注“云安全聯盟 CSA”公眾號，回復“零信任全景圖”，下載高清圖片）以下將從零信任概述零信任概述、零信任成熟度模型零信任成熟度模型、零信任驅動因素以及零信任全景圖分析零信任驅動因素以及零信任全景圖分析四個方面進行分析介紹，并對相關的代表廠商進行了分類匯總，希望能為甲方實踐零信任提供參考和幫助。2021 云安全聯盟大中華區-版權所有62.2.零信任概述零信任概述零信任思想的起源可以追溯到 1994 年

6、由 JerichoForum 提出的 “去邊界化”網絡安全概念。而“零信任”這個詞匯則是由 Forrester 原首席分析師 John Kindervag 于 2010年首次提出的。零信任思想摒棄了“信任但驗證”的傳統方法，將“從不信任、始終驗證（Never trust, always verify）”作為其指導方針。零信任發展大事記見圖 2.1，零信任的標準演進見圖 2.2。圖 2.1：零信任發展大事記圖 2.2：零信任標準的推進零信任正在快速的發展中，越來越多的組織都在擁抱零信任。其中美國國防部 DoD 全面啟動零信任戰略并且發布了DoD 零信任參考架構。DoD 零信任參考架構分別從全景視

7、角（AV）、作戰視角（OV）、能力視角（CV）和標準視角（StdV）對零信任架構進行了描述。2021 云安全聯盟大中華區-版權所有7圖 2.3：DoD 零信任參考架構在本次收集的樣本數據中，從客戶行業分布來看，目前國內零信任的目標客戶主要集中在政府及事業單位、金融、制造業、運營商、互聯網、能源、電力和醫療行業。圖 2.4：零信任應用行業分布圖3.3.零信任成熟度模型零信任成熟度模型2021 年 9 月 7 日，美國網絡安全與基礎設施安全局(CISA)發布零信任成熟度模型草案。成熟度模型的推出給企業、組織、機構在零信任實踐上提供了參考，有助于通過零信任加固設施，通過該模型可以評價當前的零信任能力

8、和水平，同時作為零信任能力提升的參考。2021 云安全聯盟大中華區-版權所有8成熟度模型包括五個支柱和三個跨領域能力，以零信任為基礎。圖 3.1：零信任成熟度模型五大支柱和三大能力在每個支柱中，成熟度模型都為機構提供了傳統、先進和最佳零信任架構的具體示例。圖 3.2：零信任成熟度模型的示例2021 云安全聯盟大中華區-版權所有9而在國內，云安全聯盟大中華區與中國信通院正聯合編寫“零信任能力成熟度模型”，相信中國特色的零信任模型將會很快誕生。4.4.零信任的驅動因素零信任的驅動因素4.14.1 合規驅動合規驅動近年來，數據安全形勢日益嚴峻，侵犯個人隱私，攫取、破壞和濫用數據資源的行為時有發生，嚴

9、重危害社會公共利益乃至國家安全。特別是隨著數字經濟日益成為國際競爭的制高點，數據安全和個人信息保護的重要性被提升至前所未有的高度。許多國家都認識到數據安全的重要性，逐步開始頒布并實施相關法律。從全球范圍看，立法成為大國競爭和爭奪數字經濟領先地位的重要標志。圖 4.1：全球相關的法律法規和條例2021 年 6 月 10 日，中華人民共和國數據安全法正式表決通過并于 2021 年 9 月 1日正式實施，掀起整個行業對數據安全的聚焦，也凸顯國家層面對保護數據安全的堅定意志。同年 8 月 20 日，中華人民共和國個人信息保護法正式表決通過并于 11 月 1日正式實施。2021 云安全聯盟大中華區-版權

10、所有10因此，各行各業都迫切需要尋求新的數據安全解決之道，以零信任為代表的安全理念及架構等脫穎而出，成為推動并賦能合規建設的重要方法和指南，及賦能數字經濟持續健康發展的堅實底座。4.24.2 合需驅動合需驅動數字經濟時代，數據已經成為基礎性、戰略性生產要素，成為決定各國數字經濟發展水平和競爭力的核心資源。因此，數字化伴生的新技術和應用對網絡安全技術和管理方式提出了更高要求。圖 4.2：零信任的合需場景例如在全球 COVID-19 影響下，遠程會議、遠程運維、移動辦公、數字孿生、元宇宙、各類沉浸式體驗等新技術、新應用和新場景的層出不窮，加速了傳統物理安全邊界模糊化，同時也增加數據的暴露面，從而大

11、大增加了在身份安全、鏈路安全、設備安全、應用安全、接入安全、大數據平臺、云計算方面的安全風險。因此，需要一個更符合未來安全趨勢的理念和架構來開展整體安全建設，也直接驅動了零信任在終端安全、應用安全、訪問安全、設備準入、流動數據安全、勒索病毒防護等能力的應用和落地，滿足金融、醫療、交通等領域全方位的零信任安全體系建設的需求。2021 云安全聯盟大中華區-版權所有115.5.零信任全景圖分析零信任全景圖分析5.15.1 公司類型公司類型今年我們對所有被調研的廠商進行了如下分類今年我們對所有被調研的廠商進行了如下分類：甲方零信任實踐者甲方零信任實踐者、增加零信任業務的增加零信任業務的原有安全廠商以及

12、零信任領域的新興創業公司。原有安全廠商以及零信任領域的新興創業公司。由于零信任方案的落地需要與業務場景高度結合， 作為自身擁有強大研發和安全能力的甲方企業，在這方面具有得天獨厚的優勢。自 Google 發表 Beyond Corp 系列論文至今，已經有不少甲方公開了他們的零信任實踐經驗，為業內提供了良好的參考。也有一部分企業在自身成功實踐的基礎上，將零信任方案或者產品商業化，從甲方優秀實踐者轉變為零信任廠商。增加零信任業務的原有安全廠商基于之前已有的通用技術積累和豐富的產品化經驗、 項目實施經驗， 通過對已有產品的適當改造和一定程度的技術創新， 快速切入零信任市場。對于國內大多數既有通用安全合

13、規需求，又希望通過零信任提升現有安全能力（而不是徹底重建）的甲方來說，更傾向選擇已經有過良好合作基礎的此類廠商。另一類就是零信任領域的新興創業公司，這類廠商更傾向把產品做精做專，也相對更愿意迎合客戶需求進行功能創新，因此也獲得不少甲方的青睞。按公司類型分類，相關代表廠商如圖 5.1 所示：2021 云安全聯盟大中華區-版權所有122021 云安全聯盟大中華區-版權所有135.25.2 被被保護對象保護對象零信任聚焦于保護“資源”，即本文所述“被保護對象”，包括組織擁有的全部數據、應用和 IT 資產（設備、設施、工作負載等）。保護數據主要是指防止數據泄露和非授權訪問；保護應用主要是應用程序的隱身

14、、應用的細粒度動態權限管控、以及業務安全等；保護設備/設施/工作負載主要是指終端設備、基礎設施或工作負載的隔離與保護，比如云主機、容器等工作負載之間的隔離與安全保護?？紤]到考慮到 APIAPI（應用程序接口應用程序接口）在在數字化進程中所起的作用越來越大數字化進程中所起的作用越來越大， 而而 APIAPI 安全問題導致的數據泄露事件也在不斷增加，安全問題導致的數據泄露事件也在不斷增加，因此我們今年在被保護對象中增加了因此我們今年在被保護對象中增加了 APIAPI 這一分類這一分類。 保護保護 APIAPI 主要包括主要包括 APIAPI 安全代理與安全代理與業務隱藏、訪問者身份鑒別和權限控制等

15、。業務隱藏、訪問者身份鑒別和權限控制等。組織在選擇零信任策略執行點（PEP）組件時，首先應識別所需要保護的資源類型（如前所述）以及對資源的訪問方式，例如用戶訪問業務應用、運維人員訪問 IT 資產、微服務之間進行 API 接口調用、應用系統訪問后臺數據庫，等等。然后選擇適當的防護產品，以代理或網關方式部署在被保護對象本地或前端，并配合零信任策略決策點（PDP）實現對資源的動態保護。按被保護對象分類，相關代表廠商如圖 5.2 所示：2021 云安全聯盟大中華區-版權所有142021 云安全聯盟大中華區-版權所有152021 云安全聯盟大中華區-版權所有165.35.3 業務場景業務場景安全產品往往

16、具有很強的場景化特征， 在不同場景下選擇合適的廠家是安全實施的第一步。跟去年相比較跟去年相比較，我們今年增加了數據交換我們今年增加了數據交換、企業多云戰略企業多云戰略、物聯網等場景物聯網等場景，這是因為數字化改革越來越深入，數據交換是數字經濟的基礎，數據往往掌握在不同部門、不同組織手里， 只有把這些數據聯合起來才能更好的發揮數據的價值。 Gartner 調查表明：到 2022 年底，35%的大型機構將通過正式的在線數據市場成為數據的賣家或買家，而2020 年這一比例為 25%. 這也說明數據交換市場正在放大， 自然安全問題也會越來越明顯。而云化和物聯網的發展，大家都能切身感受到。上云還加快了

17、SASE 的發展，SASE 是一種基于實體的身份、實時上下文、企業安全/合規策略， 以及在整個會話中持續評估風險/信任的服務。 SASE 整合了軟件定義網絡和安全，安全即服務。根據 Gartner 的預計，到 2024 年，至少 40的企業將有明確的策略采用SASE，高于 2018 年底的不到 1。當我們的業務正在快速放大， 安全問題往往會成為一個障礙。 Gartner的研究預計到2022年底，80的云漏洞將來自客戶配置錯誤，憑證管理不善或內部盜竊。避免這些缺陷的最佳方法是使用自動化平臺運行策略來確保安全合規性。 安全廠家有責任為組織提供合適的產品或者解決方案，推進業務的創新和變革。按業務場景

18、分類，相關代表廠商如圖5.3 所示：2021 云安全聯盟大中華區-版權所有172021 云安全聯盟大中華區-版權所有185.45.4 業務類型業務類型與與去年相比去年相比，我們刪除了我們刪除了測評測評服務服務，但是增加了評估服務和治理服務但是增加了評估服務和治理服務。零信任是一個安全新概念，不同的廠商在零信任市場上提供的業務類型也有所不同，主要包括產品、服務和方案， 業務類型體現了廠商的業務側重點。 標準產品解決相對比較明確的業務場景，它的特點是投入成本相對比較少，項目實施周期短，可控性高。服務指的是安全相關的一些咨詢、評估等，當然廠商可能會有自己的一些工具配合人力服務。而方案一般是產品加服務

19、的形式，形成一個整體解決方案，某些提供方案的廠商，可能也會使用其他廠商的一些產品甚至服務，一般周期會比較長。隨著數字經濟的高速發展，對于安全的訴求越來越高。根據 Research Dive 最新發布的報告顯示，全球零信任網絡安全市場規模從 2019 年的 185.0 億美元增長到 2027 年的667.413 億美元，從 2019 年到 2027 年的復合年增長率為 17.6，而其中零信任整體解決方案的市場份額將會越來越大。零信任從單一產品往平臺、整體解決方案發展的趨勢越來越明顯。 對于甲方而言， 選擇合適的零信任廠商可以加速零信任改造， 為業務賦能，有助于數字化改革， 同時從數字化改革中獲取

20、增量業務所帶來的創收。 按業務類型分類，相關代表廠商如圖 5.4 所示：2021 云安全聯盟大中華區-版權所有192021 云安全聯盟大中華區-版權所有202021 云安全聯盟大中華區-版權所有215.55.5 技術技術類型類型跟去年相比跟去年相比，技術類型并沒有調整技術類型并沒有調整，雖然技術不斷發展雖然技術不斷發展，但零信任領域使用的主要技術但零信任領域使用的主要技術還是還是 SDP,SDP, IAMIAM 和微隔離和微隔離。IAM 作為身份治理的核心技術，SDP 解決南北向安全問題，微隔離解決東西向安全問題。其中有一個有趣的事情：微隔離產品入選了 Gartner 發布的2021 年 CW

21、PP 市場指南，說明數據中心內部東西向流量的安全問題越來越受重視。這跟現在的系統越來越復雜，微服務、中間件、各種中臺以及云部署有一定關系。按技術類型分類，相關代表廠商如圖 5.5 所示：2021 云安全聯盟大中華區-版權所有222021 云安全聯盟大中華區-版權所有235.65.6 服務模式服務模式零信任服務的部署模式取決于安全要求，和去年相比，沒有做調整，主要包括私有化零信任服務的部署模式取決于安全要求，和去年相比，沒有做調整，主要包括私有化、云化以及混合模式云化以及混合模式。私有化的部署模式下相關的產品或服務以私有化的形式提供，相關的資源或服務由一個用戶獨占使用； 云化通過公有云的形式為眾

22、多用戶提供零信任服務，所有的用戶共享公共的云資源； 還有一種模式是同時支持私有化和云化服務的混合模式。不同的組織因為業務形態、數據的敏感程度、風險承受能力或監管的要求不同，而選擇不同的服務模式。很多高監管行業的客戶可能更傾向于選擇私有化服務模式，將產品部署在自己的私有環境。公有云模式因為可以以云服務的形式服務于多個客戶，可以節省相關的 IT 基礎設施成本支出，具有較高的性價比。但從調查來看，目前絕大多數的零但從調查來看，目前絕大多數的零信任部署優先采用私有模式信任部署優先采用私有模式，說明大量的客戶還是希望對平臺有較強的管控力說明大量的客戶還是希望對平臺有較強的管控力。按服務模式分類，相關代表

23、廠商如圖 5.6 所示：2021 云安全聯盟大中華區-版權所有242021 云安全聯盟大中華區-版權所有255.75.7 部署架構部署架構零信任的經典部署架構主要包括：設備代理零信任的經典部署架構主要包括：設備代理/ /網關部署、飛地部署、資源門戶、沙箱、網關部署、飛地部署、資源門戶、沙箱、終端和探針等終端和探針等，相比去年，我們增加了相比去年，我們增加了“終端終端”。設備代理/網關部署架構 PEP 位于資源上或資源前，網關作為資源的代理，與資源通信。飛地部署架構下網關位于某一資源飛地邊界(如數據中心的邊界)。資源門戶部署架構 PEP 充當用戶請求網關(如公有云的資源管理門戶、企業的辦公門戶站

24、點等)。沙箱部署則是通過沙箱讓程序隔離運行。除此以外還有部署與終端、核心交換機旁路部署、微隔離等形式。部署架構的選擇很大程度上由業務場景決定，企業選擇的部署模式需要結合實際的業務場景。從目前的落地情況看，設備代理和終端這兩種架構的部署模式占據了主流。按部署架構分類，相關代表廠商如圖 5.7 所示：2021 云安全聯盟大中華區-版權所有262021 云安全聯盟大中華區-版權所有276.6.零信任落地案例零信任落地案例6.16.1 深信服深信服- -葛洲壩集團零信任安全辦公項目葛洲壩集團零信任安全辦公項目6.1.16.1.1 方案背景方案背景中國葛洲壩集團股份有限公司是一家集工程建設、工業制造、投

25、資運營、綜合服務為一體的跨國經營企業集團，是大型基礎設施投資建設領域的“國家隊”，是水利水電建設的“全球名片”，創造了 5000 余項精品工程和 100 多項世界之最。葛洲壩集團多次榮獲國家科技進步特等獎、國家科技進步一等獎、國家優質工程金質獎、中國建筑工程魯班獎、中國土木工程詹天佑獎、全國五一勞動獎狀、中國對外承包工程企業社會責任金獎等榮譽，入選美國工程新聞記錄（ENR）全球國際承包商 225 強、財富中國2021 云安全聯盟大中華區-版權所有28500 強企業、中國建筑業競爭力 200 強企業等排名。葛洲壩集團堅持科技創新引領發展，是國家創新型企業和國家高新技術企業，在數字化浪潮下，葛洲壩

26、集團也在積極投入數字化建設。隨著數字化轉型的不斷深化，在業務訪問上，越來越多的業務系統需要實現隨時隨地的移動接入，建設面臨諸多挑戰：1）過去考慮便利性，一些移動接入的業務系統直接暴露在互聯網上，且明文傳輸，存在極大的安全風險，需要收縮業務系統暴露面，實現數據安全傳輸；2） 員工可以通過辦公 APP、 企業微信、 瀏覽器等多種方式訪問業務系統， 希望提供安全、快捷的認證方式，以及一致的訪問權限；3）組織架構上存在眾多分支單位，需實現安全接入策略的分級分權管理；4）日志審計合規，需要提供詳盡的日志審計功能，滿足 6 個月以上的日志審計的要求。葛洲壩集團希望找到一套合適的方案來解決上述問題。6.1.

27、26.1.2 方案概述和應用場景方案概述和應用場景通過前期的方案調研，葛洲壩選擇了以零信任理念構建業務安全訪問的防護體系，結合自身需求及實際測試，最終選擇了深信服零信任安全辦公方案。1）通過集群部署零信任控制中心和零信任代理網關，實現統一管理和保障辦公業務安全訪問的高可靠性；2）通過策略配置，將業務系統收縮進內網，避免直接暴露在互聯網，并通過 SSL 加密技術實現數據傳輸加密；3）通過零信任控制中心與企業微信、統一認證平臺、辦公 APP 進行對接，實現統一身份管理和無密碼認證，PC 端采用企業微信掃碼登錄，手機端可實現指紋快捷認證；4）通過管理員分級分權功能，將系統管理員、安全管理員、審計管理

28、員角色分開，滿足等保合規要求，并通過創建二級管理員，實現下級單位自助運維管理；5）通過零信任的日志中心平臺將所有的用戶日志、管理員日志統一存儲、查詢，并提供用戶訪問行為、統計報表和風險分析功能；將用戶訪問應用的行為明文鏡像給態勢感知，實現安全聯動。6.1.36.1.3 優勢優勢特點和應用價值特點和應用價值2021 云安全聯盟大中華區-版權所有29葛洲壩集團通過零信任方案建設實現了安全移動辦公， 員工可以隨時隨地安全地訪問各內網業務系統，辦公效率得到了大幅提升；通過辦公 APP、統一認證平臺、企業微信與零信任結合，實現了門戶入口集約化和統一身份管理，提高辦公效率與安全性；管理員分級分權、日志留存

29、等，滿足合規以及日常管理要求。6.1.46.1.4 經驗總結經驗總結項目實施過程也經歷了不少挑戰，最終在廠商的配合下順利落地：1）業務系統的快速上線：由于業務系統眾多，涉及到零信任設備要與辦公 APP、企業微信、統一認證平臺對接，除了產品能力外，實施經驗也尤為重要。在整個業務上線過程中，深信服積極提供同類場景的經驗參考，保障了業務順利上線；2）業務的延續性：在零信任上線前，原本 VPN 的訪問路徑要保持不能中斷，涉及到現有應用、權限等策略的遷移和零信任上線前期的并存使用，既要考慮策略的平滑遷移，也要考慮并存場景下的沖突問題。深信服在實施中提供了 VPN 配置轉化服務，保障了策略平滑遷移，且零信

30、任采用與 VPN 不同的技術架構，避免了客戶端的兼容沖突，在不中斷業務的情況下實現了零信任的上線。6.1.56.1.5 其他（反饋其他（反饋/ /榮譽）榮譽）客戶評價：深信服零信任解決方案極大地提升了葛洲壩集團的辦公業務訪問的安全性，滿足等保合規、審計合規的要求，產品兼容性好、日志審計詳細，能很好地提升運維效率。2021 云安全聯盟大中華區-版權所有306.26.2 天融信天融信- -某省公安大數據智能化安全建設采購項目某省公安大數據智能化安全建設采購項目6.2.16.2.1 方案背景方案背景某省公安廳大數據安全整體解決方案，以“一切資源化、資源目錄化、目錄全局化、全局標準化”為設計理念，以“

31、分層解耦，異構兼容”為設計思路，以“安全、合規、可信”為實現目標，提升科學實用的體系化安全防護能力，規范化安全管理能力，綜合化安全運維能力，實現全網安全態勢敏銳感知，安全威脅快速檢測與處置確保大數據全程可知可控，可管可查，變靜態為動態，變被動為主動，為某省公安廳公安大數據智能化建設保駕護航。6.2.26.2.2 方案概述和應用場景方案概述和應用場景本案以數據安全為中心， 以安全基礎設施為支撐， 以安全大數據智能分析為抓手， 從 “云、數據、應用、網、邊界、端”六維構建縱深，實現統一安全管理，構建“安全、可信、合規”的大數據智能化安全立體縱深防御體系，形成科學實用的規范化安全管理能力、體系化安全

32、防護能力、綜合化安全運維能力，變靜態為動態，變被動為主動，為公安大數據智能化建設提供堅實保障。本次重點建設跨域安全訪問與數據交換平臺。本案緊密結合新一代公安信息網網絡架構設計和大數據、云平臺、智能應用設計開展大數據智能化工程安全體系設計，確?？蚣芟冗M性；運用國際通用安全架構指導大數據智能化安全體系設計，確保理念先行；深入結合可信技術、大數據技術開展大數據智能化安全系統設計。2021 云安全聯盟大中華區-版權所有31總體架構圖本案建設以滿足“安全、可信、合規”總體建設目標為前提，提出了“統一規劃、統一標準、急用先行、分步實施”的總體原則，采用如下核心組件進行建設。審計中心審計中心審計中心具有超強

33、的審計洞察和可擴展性，可支持各類信息（日志信息、威脅信息等）的處理與分析， 通過采集關鍵節點服務日志信息， 以大數據技術驅動過程行為數據分析，采用機器學習方法進行安全分析，能夠檢測高級、隱藏和內部威脅的行為分析技術，不需要使用簽名或規則。且在殺傷鏈上能關聯數據，進行有針對性的發現。審批中心審批中心審批中心負責審批工作的信息化、流程化和規范化，實現任務的上傳下達、工作督辦監督體系、規范數據查詢和偵控手段審批流程。審批中心提供業務流程同步，實現接入系統信息管理、權限同步，可通過短信發送申請信息或審批信息，還能實現與安全代理、認證、權限、審計及應用系統的聯動。安全管理中心安全管理中心安全管理中心基于

34、大數據基礎架構平臺開發，使用 ETL 組件進行數據預處理，根據行業數據治理標準規范和行業規范安全數據治理需求，實現數據治理功能，能夠提供對各種采集數據進行數據解析、標準化、豐富化、歸一化、過濾、補全、清洗等處理，保障數據的完整性、可用性，支持通過編寫配置文件實現非編程方式的日志數據解析?？尚沤尤氪砜尚沤尤氪砜尚沤尤氪碇С挚尚沤尤?、訪問控制、NAT、應用層檢測、流量監控、日志記錄、告警等功能，主要用于為不可信任的外網用戶提供可信接入，為內網資源提供可信任安全屏障?？尚沤尤氪碓跒橛脩籼峁┛尚沤尤霑r，可輕松適應某些資源具有大量的 IP 地址信息，且 IP 地址不固定的應用場景。2021 云安

35、全聯盟大中華區-版權所有32可信可信 API 代理代理可信 API 代理通過流量控制、攻擊防御、傳輸加密等多種 API 相關安全防護技術，為業務提供 API 接口的統一代理、訪問認證、數據加密、安全防護、應用審計等能力，對 API進行全生命周期的權限管理，全面解決企業 API 接口服務面臨的安全問題?？尚糯砜刂品湛尚糯砜刂品湛尚糯砜刂品湛舍槍I務應用及 API 服務的訪問控制需求，采用了用戶認證授權、身份權限管理、風險感知、UEBA 等多項技術，集中解決應用訪問場景的安全問題等。同時，可信代理控制服務也是零信任體系安全解決方案中的重要組成部分，聯動各個平臺的控制中心。數據安全交換系

36、統數據安全交換系統數據安全交換系統具體包括前后置、單向光閘三部分。前置代理系統是雙網信息交換中面向低安全級別網絡的信息采集及推送系統， 前置代理系統的作用主要是以各種形式采集外網中需要傳輸到內網的數據，通過安全處理及分流，傳輸到內部網絡。6.2.36.2.3 優勢優勢特點和應用價值：特點和應用價值：根據公安大數據“一切資源化、資源目錄化、目錄全局化、全局標準化”的原則，通過本案的建設，做到全網安全態勢敏銳感知，安全威脅快速檢測與處置，確保大數據全程可知、可控、可管、可查，為公安大數據智能化建設提供嚴密安全保障。6.2.46.2.4 方案價值方案價值符合新一代公安信息網標準規范要求符合新一代公安

37、信息網標準規范要求通過“新一代公安信息網項目”成功落地，項目實踐證明產品完全滿足公安部相關標準規范要求。以安全管理中心為中樞構建全局化安全防護服務體系以安全管理中心為中樞構建全局化安全防護服務體系通過為公安客戶構建事前主動防御、事中持續檢測與響應、事后迅速恢復的全局化安全防護體系。2021 云安全聯盟大中華區-版權所有33建立起行業建設標準建立起行業建設標準通過本案的實施，樹立起新一代公網網的建設標準，打造一個中心（即安全管理中心） 、兩大體系（即零信任體系和安全防護體系）的安全支撐能力。6.2.56.2.5 方案優勢方案優勢高性能無瓶頸高性能無瓶頸本案重點對核心產品(可信 API 代理)和數

38、據交換通道的性能重點做了優化設計。由于可信 API 代理負責對業務應用 API 接口的訪問控制，承載較多的業務并發訪問壓力，極容易成為整個安全訪問平臺的瓶頸。通過在可信 API 代理設備前部署負載均衡，通過輪詢、隨機等多負載均衡算法將業務訪問壓力均衡分攤到兩臺可信 API代理設備上，并可在不影響正常業務情況下靈活擴展多臺可信 API 代理設備。數據交換通道性能設計最大通道帶寬可達 20GBPS，單個文件可支持 30G 大小進行無丟包交換。國產化適配國產化適配本案涉及的國產硬件適配能力， 充分保護用戶已有建設投資， 最大化保護 IT 投資成本。各產品互兼容性高本案的產品和方案均以構建強大的擴容能

39、力、廣泛的產品技術兼容性為設計原則，不僅新產品建設完美兼容， 還與原有業務系統、 身份認證充分融合， 發揮利舊原則，建設好新一代公安網。6.2.66.2.6 經驗總結：經驗總結：本項目基于公安大數據相關規范對公安應用業務的流程再造與優化， 改造過程中勢必會對當前業務造成一定的影響，為了盡量減少規避影響范圍，建議從業務穩定性、安全性等角度綜合考慮：項目實施期間，如何保證原業務的穩定運行。為了解決這個問題，需要提前做好前期準備，包括原業務系統的備份、安排在非業務辦理時間進行業務部署割接；在業務割接過程前設計好應急保證措施，當遇到無法排除的故障時應該及時回退到部署前狀態。2021 云安全聯盟大中華區

40、-版權所有34新部署的安全訪問平臺增加了可信接入代理、可信 API 代理等多個驗證功能執行點，如何保障部署后業務訪問體驗不受影響。 通過對新安全訪問平臺的訪問流程進行梳理后發現新通道的瓶頸在可信 API 代理網關系統上本案選用了業界最高性能的專用硬件平臺，將可信 API 代理的性能提高至 40G 左右， 同時在兩臺可信 API 代理網關之前部署了負載均衡系統來保證該平臺的穩定性及連續性。本項目中設計了多類安全產品的部署聯調， 如何能夠保證在規定時間內完成本工作內容。本項目中設計的核心產品包括可信接入代理、可信 API 代理和可信代理控制服務，為了保證系統的快速聯調部署，通過三大核心部件的快速部

41、署，確保實施周期。6.2.76.2.7 其他其他通過建設本案，實現了統一的身份認證管理的精細化、動態化的授權能力。這部分需求的目的是解決人或者接入設備的身份安全， 確保所有接入人員和設備的身份是安全可信的。由于大數據中心的數據涉及大量的國家安全、社會安全、個人隱私等敏感信息，所以對權限的要求非常嚴格。 必須采用能夠根據數據的敏感程度和重要程度進行細粒度的授權， 并結合人員的行為分析和訪問的環境狀態動態授權， 在不影響業務效率的前提下，確保數據訪問權限最小化原則，避免因為權限不當導致的數據泄露。該省公安廳通過建設省級大數據智能化平臺建設，樹立起新一代公網網的建設標準。6.36.3 數字認證數字認

42、證零信任安全架構在醫療領域的應用零信任安全架構在醫療領域的應用6.3.16.3.1 方案背景方案背景陸軍軍醫大學第一附屬醫院又名西南醫院，是一所現代化綜合性“三級甲等”醫院。近年來隨著遠程問診、互聯網醫療等新型服務模式的不斷豐富，醫院業務相關人員、設備和數據的流動性增強。網絡邊界逐漸模糊化，導致攻擊平面不斷擴大。醫院信息化系統已經呈現出越來越明顯的“零信任”化趨勢。零信任時代下的醫院信息化系統，需要為這些不同類型的人員、設備提供統一的可信身份服務，作為業務應用安全、設備接入安全、數據傳輸安全的信任基礎。2021 云安全聯盟大中華區-版權所有356.3.26.3.2 方案概述和應用場景：方案概述

43、和應用場景：1 1、方案概述方案概述本方案主要建設目標是為陸軍軍醫大學第一附屬醫院內外網建立一套基于 “可信身份接入、可信身份評估、以軟件定義邊界”的零信任安全體系，實現醫院可信內部/外部人員、可信終端設備、可信接入環境、資源權限安全。全面打破原有的內外網邊界使得業務交互更加便利，醫療網絡更加開放、安全、便捷，為醫院全內外網業務協作提供安全網絡環境保障。根據對陸軍軍醫大學第一附屬醫院安全現狀和需求分析， 采用基于零信任安全架構的身份安全解決方案，為醫院構建零信任體系化的安全訪問控制，滿足醫院內外部資源安全可信訴求?？傮w架構設計如下：陸軍軍醫大學第一附屬醫院總體架構設計圖面向互聯網醫療的應用場景

44、， 通過與可信終端安全引擎、 零信任安全防護體系核心組件、零信任安全防護體系支撐組件結合，為醫院設備、醫護人員和應用提供動態訪問控制、持續認證、全流程傳輸加密。陸軍軍醫大學第一附屬醫院零信任安全架構主要構成產品：陸軍軍醫大學第一附屬醫院零信任安全架構主要構成產品：1 1、終端安全引擎終端安全引擎在院內外公共主機、 筆記本電腦、 醫療移動設備等終端設備中， 安裝可信終端安全引擎，2021 云安全聯盟大中華區-版權所有36由統一設備管理系統與院內資產管理系統對接，簽發設備身份證書。醫院用戶訪問院內資源時，首先進行設備認證，確定設備信息和運行環境的可信，通過認證后接入院內網絡環境，自動跳轉到用戶身份

45、認證服務。院內資源訪問過程中，引擎自動進行設備環境的信息收集、安全狀態上報、阻止異常訪問等功能，通過收集終端信息，上報訪問環境的安全狀態，建立“醫護人員+醫療設備+設備環境”可信訪問模型。2 2、零信任安全網關零信任安全網關為避免攻擊者直接發現和攻擊端口，在醫院 DMZ 區部署零信任安全認證網關，提供對外訪問的唯一入口，采用先認證后訪問的方式，把 HIS、LIS、PACS 等臨床應用系統隱藏在零信任網關后面，減少應用暴露面，從而減少安全漏洞、入侵攻擊、勒索病毒等傳統安全威脅攻擊面。零信任安全網關與可信終端建立 SSL 網絡傳輸數據加密通道， 提供零信任全流程可信安全支撐（代碼簽名、國密 SSL

46、 安全通信、密碼應用服務等），確保通信雙方數據的機密性、完整性，防止數據被監聽獲取，保證數據隱私安全。3 3、安全策略決策服務、安全策略決策服務安全策略決策服務對醫院用戶賬號、終端、資源接入進行訪問策略評估和管理，并對接入醫院用戶和醫療設備進行角色授權與驗證， 實現基于院內用戶及設備的基礎屬性信息以及登錄時間、登錄位置、網絡等環境屬性做細粒度授權，基于風險評估和分析，提供場景和風險感知的動態授權，并持續進行身份和被訪問資源的權限認證。4 4、統一身份信任管理、統一身份信任管理統一身份信任管理分為統一身份管理模塊、統一設備管理模塊、統一資源管理模塊、統一威脅情報管理模塊四個部分。 統一身份管理模

47、塊實現用戶面向各業務系統的統一身份訪問，解決信息化系統集中管理難、用戶使用不便、認證授權不安全等問題。統一設備管理模塊提供面向各類終端設備的統一管理、身份核驗以及終端環境檢測、終端接入應用安全管理等功能。 統一資源管理模塊提供對資源的可信簽名和資源的統一管理等功能。統一威脅情報管理模塊可實現對網絡流量實時監控，用戶行為收集分析，終端設備漏洞掃描及服務端設備運行環境和運行狀態安全監控， 并針對重大事件進行主動告警等功能。2021 云安全聯盟大中華區-版權所有375 5、密碼、密碼基礎設施基礎設施密碼基礎設施分為證書服務模塊、密碼服務模塊和實名核驗服務模塊三個部分。證書服務模塊主要是針對醫院用戶、

48、醫療終端設備進行證書簽發，保證用戶和設備的合法性。密碼服務模塊主要針對統一身份信任管理和零信任安全網關在傳輸、 存儲過程中的數據進行簽名操作，保證數據的完整性、可追溯以及抗抵賴性。實名核驗服務模塊用于證書簽發時對用戶身份的核驗工作，保障用戶身份的真實性。6.3.36.3.3 優勢優勢特點和應用價值：特點和應用價值：1 1、應用價值應用價值1 1）用戶管理方面價值用戶管理方面價值解決醫院當前面對醫療訪問群體多樣化的問題， 建立統一的身份管理， 減輕了運維成本。2 2）設備管理方面價值設備管理方面價值將醫療設備進了統一管理，保障了設備接入的安全管控，對接入設備進行了有效的身份鑒別。3 3）權限管控

49、價值權限管控價值（1）隱藏醫療應用系統，無權限用戶不可視也無法連接；對有權限的業務系統可連接但無法知悉真實應用地址，減少黑客攻擊暴露面。（2）以訪問者身份為基礎進行最小化按需授權，避免權限濫用。4 4）訪問安全價值訪問安全價值（1）采用了“用戶+設備+環境”多重認證方式，即保證了認證的安全，還不影響用戶使用體驗。（2）通過感知環境狀態，進行持續認證，隨時自動處理各種突發安全風險，時刻防護醫院業務系統。5 5）數據安全價值數據安全價值（1）進行了全鏈路信道安全，消除了醫療數據傳輸安全風險。（2）對患者數據進行了隱私保護，解決了數據內部泄露問題。2021 云安全聯盟大中華區-版權所有382 2、優

50、勢特點優勢特點1 1）圍繞設備證書建立設備信任體系圍繞設備證書建立設備信任體系在傳統數字證書框架中，增加針對設備信任的評估環節，以設備證書作為零信任安全體系的基石。2 2）自動化授權體系自動化授權體系零信任訪問控制區建立的一整套自動化授權體系，可根據用戶屬性、用戶行為、終端環境、 訪問流量等多維度數據， 自動對用戶權限進行實時變更， 從而保障內部系統安全性。3 3）基于設備信任最小化攻擊平面基于設備信任最小化攻擊平面在任何網絡連接建立時，首先進行設備認證，能夠有效阻止非法設備的連接、嗅探、漏洞掃描等惡意行為，既能最小化系統的暴露平面，又可以靈活適應一人多設備、多人共用設備、物聯網設備等不同場景