近日,由中央网信办网络安全协调局指导,中国网络安全产业联盟组织的零信任优秀应用案例评选结果发布,中孚信息报送的《某市大数据局业务系统零信任架构升级》案例凭借突出的可靠性、安全性和创新性,成功入选此次CCIA“2022年零信任优秀应用案例”。
据悉,此次评选旨在强化网络安全行业管理,促进网络安全技术创新,推动网络安全标准研制,助力网络安全产业发展。活动共征集100余项案例,并经过材料申报、线上答辩、专家线下集中评审等环节的严格遴选,综合应用创新性、应用效果、效益价值等多重维度进行最终评选。此次中孚信息成功入选,是对公司在零信任领域创新能力与技术实力的权威认可。
案例背景
数字化转型的时代浪潮推动着信息技术的快速演进,云计算、大数据、物联网、移动互联等新兴IT技术带来了新的生产力,但同时也给政企网络基础设施带来了极大的复杂性。政企的安全边界正在逐渐瓦解,传统的基于边界的网络安全架构和解决方案难以适应现代网络基础设施。《“十四五”国家信息化规划》强调需全面加强网络安全保障体系和能力建设,加强网络安全核心技术联合攻关,开展高级威胁防护、态势感知、监测预警等关键技术研究,实施国家基础网络安全保障能力提升工程,加强关键信息基础设施安全防护体系建设,增强网络安全平台支撑能力,强化 5G、工业互联网、大数据中心等安全保障。
建设内容
中孚信息此次获奖的应用案例为某市大数据局业务系统零信任架构升级,是在对大数据局的现有安全访问能力和密码应用改造需求深入分析后,基于零信任安全理念,以“持续验证、动态授权、全局防御”为目标,构建的安全防护系统。本着“一次性建设、多系统使用”的原则,方案极大缩减了用户单位密码应用改造的周期及资金,切实保障了其自身利益。同时,方案通过对系统网络进行基于零信任架构的升级改造,实现了以身份为基石、以业务安全访问为重点、以持续信任评估和动态访问控制能力为关键,对网络所有参与实体的数字身份进行认证,对所有合法的访问请求进行加密,对所有默认不可信身份的链接进行拒绝。
方案特点
1. 降维防御,以简驭繁
该方案在技术创新层面,提出“降维防御,以简驭繁”的设计思路,遵循简单有效原则,以密码技术和硬件逻辑构建二维防御平面,不依赖操作系统和其它任何第三方软件,从而从根本上杜绝了由于系统漏洞而带来的边界设备被攻击突破的问题。
2. 持续验证,永不信任
通过安全网关客户端和智能密码钥匙绑定用户身份,持续监测终端设备和用户的安全风险,对发送的每一个网络包进行单包认证,策略管控实时生效。通过使用零信任设备汇聚关联各种数据源并对其进行持续信任评估,并根据信任的程度动态对权限进行调整,最终在访问主体和访问客体之间建立动态的信任关系,有效解决网络边界不安全、内网资源防护不足、访问控制不细致等问题,助力用户零信任架构的安全性、可靠性及管理性的多重提升。
3. 动态授权,精细控制
基于用户身份的细粒度动态权限管理,包括但不限于设备类型、时间地点等,实现应用、功能、数据等多维度的可实时生效的精细安全访问控制。
4. 统一策略,安全管理
以统一的策略和集成的平台对受控网络进行安全配置和管理。通过TNA管理中心对网络中的TNA网关设备完成集中、统一的配置、管理和系统监视工作。这种管理模式一方面提高了网络安全规则的一致性,增进网络的安全性,另一方面也为运维人员提供了方便的配置和完善的日志和审计工具,使其可以腾出更多精力,关注更高级的安全管理工作。
构建零信任安全防护体系,实现商用密码应用及改造,是多个行业或领域积极响应国家政策,切实保护自身利益的重要手段。中孚信息推出的基于零信任的数据安全综合解决方案,可有效解决政企客户在当前数字化工作场景中面临的数据安全问题,构建密码为基因的零信任体系,实现等级保护、商用密码、分级保护、数据保护多重合规,创建以身份为中心的安全策略模型,从终端可信、身份可信、网络可信、数据可信各个环节建立多层防线,打造面向用户的数据安全防护体系。
目前,中孚信息零信任网络安全体系整体解决方案已经在党政、央国企及行业用户得到广泛应用,推动零信任理念在多个领域的实践落地。未来,中孚信息也将继续深耕网络安全行业,提升关键技术创新能力,全面助力数字化改革、数据安全和智慧保密。