近日，指掌易副總裁龐南受邀為城市商業(yè)銀行網(wǎng)絡攻防實戰(zhàn)培訓會議做《企業(yè)數(shù)據(jù)可信訪問解決方案提升應用服務和數(shù)據(jù)安全保障》的主題培訓，培訓緊緊圍繞金融行業(yè)客戶面臨的信息安全建設需求，提出前瞻性、針對性的解決方案。并與來自全國各城商行的安全專家圍繞“網(wǎng)絡安全實戰(zhàn)攻防演練”背景下的遠程訪問相關的數(shù)據(jù)安全建設，進行廣泛的交流和深度探討。

(指掌易副總裁 龐南)

應用場景變化和風險管控局限讓傳統(tǒng)IT場景安全方案迎來重大安全挑戰(zhàn)

在金融、運營商、政府以及企業(yè)這些重要的行業(yè)客戶，具備較高水平的信息化建設能力。這些機構(gòu)已有的安全保障機制，面對當前云計算和移動化發(fā)展趨勢，存在著管控方面的局限性。傳統(tǒng)企業(yè)IT架構(gòu)中，終端多是企業(yè)資產(chǎn)的桌面終端，分布在內(nèi)/外網(wǎng)中，關鍵業(yè)務應用服務和數(shù)據(jù)，則分布在企業(yè)的數(shù)據(jù)中心里。為控制外部安全風險向數(shù)據(jù)中心內(nèi)部滲透，在信息安全建設過程中，互聯(lián)網(wǎng)邊界被視為整個安全防御的重中之重，有大量的安全控制措施也是應用到這里進行防御。

隨著信息化和辦公模式的發(fā)展與變化，導致了傳統(tǒng)IT架構(gòu)發(fā)生很大變化。變化體現(xiàn)在兩點上：一方面，應用服務和數(shù)據(jù)的分布有了較大變化。隨著云計算的發(fā)展，私有云和公有云上會存在大量的關鍵應用服務和數(shù)據(jù)的分布，這一點和傳統(tǒng)方式相比，涉及到外部的公有云上面的服務跟數(shù)據(jù)脫離了傳統(tǒng)的安全邊界管控的范疇;另一方面，訪問關鍵應用服務和數(shù)據(jù)的終端發(fā)生了較大變化，這其中既有終端類型的多樣化(不同類型、型號、操作系統(tǒng)、品牌的移動終端)，也有終端所有權(quán)變化(BYOD場景下的設備歸屬和管控問題)。

訪問模式的巨大變化，讓企業(yè)原有IT場景安全方案面臨重大挑戰(zhàn)，尤其是通過互聯(lián)網(wǎng)邊界開放的大量服務端口，以及存在0day漏洞的VPN系統(tǒng)，都成為惡意攻擊的主要對象。這種背景下，能否經(jīng)受住“網(wǎng)絡安全實戰(zhàn)化攻防”的檢驗，或許是個問題。

針對政企客戶核心訴求指掌易提出針對性建設思路

當前企業(yè)辦公場景下，訪問模式的復雜性會帶來眾多安全問題。BYOD化帶來的不屬于企業(yè)資產(chǎn)的終端怎么管理?如何保障在終端上面留存使用的企業(yè)數(shù)據(jù)安全?互聯(lián)網(wǎng)邊界開放的服務端口越來越多，被惡意攻擊的幾率大大提升怎么辦......將這些問題歸類后，指掌易貼合金融機構(gòu)的實際業(yè)務場景，總結(jié)出三個核心訴求：

01 收縮暴露面

關鍵應用服務從互聯(lián)網(wǎng)隱身，最大限度收斂互聯(lián)網(wǎng)資產(chǎn)暴露面，從而縮減攻擊面，降低惡意攻擊和入侵風險。

02 可信訪問控制

以身份驗證為中心，消除隱形信任，全面實現(xiàn)各類主體對應用服務/數(shù)據(jù)資源的細粒度可信訪問控制。

03 數(shù)據(jù)鏈路保障

對應用數(shù)據(jù)流轉(zhuǎn)的全鏈路進行有效管控，降低敏感應用數(shù)據(jù)在通信傳輸、終端展示和存儲環(huán)節(jié)發(fā)生泄露的風險

面對以上客戶痛點需求，指掌易聚焦問題根源，提出了針對性的解決思路。傳統(tǒng)IT安全架構(gòu)帶來沖擊的原因是訪問模式的變化，而無論訪問模式如何變化，終端都是需要通過網(wǎng)絡的管道來訪問云端的的關鍵服務和數(shù)據(jù)資源，因此解決方案應著手在終端數(shù)據(jù)安全保護和可信接入層面?；诖耍刚埔茁氏忍岢鲆环N建設思路：

01 在終端數(shù)據(jù)防護層面

面對業(yè)務數(shù)據(jù)在BYOD(自帶設備辦公)設備上留存使用——不管控不行、強管控則與個人信息保護要求相違背的現(xiàn)狀。企業(yè)需要一款輕量化的產(chǎn)品在終端(包括桌面終端和移動終端)實現(xiàn)數(shù)據(jù)保護與用戶體驗兼顧的的目的。此產(chǎn)品在終端上提供移動沙箱技術，隔離出安全工作空間，作為業(yè)務數(shù)據(jù)在終端上的安全保護邊界，以期實現(xiàn)控制數(shù)據(jù)泄露、同時兼顧終端設備上的個人信息保護等目的。

02 在可信接入訪問層面

可使用SDP(軟件定義邊界)技術，該技術基于零信任理念，為企業(yè)建立安全接入網(wǎng)關，對訪問主體的身份可信度進行持續(xù)評估和動態(tài)訪問控制，同時實現(xiàn)業(yè)務應用服務隱藏和數(shù)據(jù)安全傳輸。

再和終端數(shù)據(jù)安全方案集合起來形成一個完整的閉環(huán)保護方案，可滿足收斂暴露面、可信訪問控制以及數(shù)據(jù)鏈路安全保障等核心訴求。

指掌易EDTA企業(yè)數(shù)據(jù)可信訪問解決方案

指掌易EDTA(企業(yè)數(shù)據(jù)可信訪問)解決方案可滿足客戶的主要核心需求，其中主要包含EDP(端點數(shù)據(jù)邊界)和SDP(軟件定義邊界)兩個組成部分。

EDP主要針對BYOD場景下的設備管理。采用沙箱技術作為核心技術的EDP，可通過虛擬化的方式來隔離設備上面的個人數(shù)據(jù)與工作數(shù)據(jù)，在專屬的工作空間內(nèi)，保護內(nèi)部企業(yè)應用和數(shù)據(jù)資源，并在數(shù)據(jù)隔離的基礎上，提供一系列DLP數(shù)據(jù)防泄露的控制能力(包括數(shù)據(jù)的透明加解密、防復制粘貼截屏、以及數(shù)據(jù)進程水印等一系列的控制特性)，以上安全策略可通過統(tǒng)一的平臺去管控下發(fā)，實現(xiàn)安全、高效、靈活的管理。除此之外，EDP產(chǎn)品還可與SDP組件無縫集成，形成完整閉環(huán)的數(shù)據(jù)保護機制。

SDP(軟件定義邊界)產(chǎn)品是基于零信任安全架構(gòu)而來，該產(chǎn)品包含了控制器、網(wǎng)關和客戶端。工作原理是將控制層面和數(shù)據(jù)層面進行分離，用控制層面來建立信任關系，在信任關系通過的情況下再用數(shù)據(jù)層面來處理數(shù)據(jù)的通信。另外，SDP在可信用戶使用過程中，通過持續(xù)信任評估及時應對風險因素的變化做出響應動作，實現(xiàn)動態(tài)的訪問策略控制。

指掌易EDTA解決方案優(yōu)勢及特點

01 可信的運行環(huán)境

基于移動端EDP、桌面端EDP構(gòu)建一個可信的企業(yè)應用和數(shù)據(jù)運行使用環(huán)境，保證企業(yè)數(shù)據(jù)在終端設備上的安全可控的使用。

02 綜合的身份認證

從“零”開始，基于可信設備、可信身份、可信時間、可信網(wǎng)絡、可信位置等綜合因素判斷登錄身份的合法性，建立初始信任，并進行最小化授權(quán)，控制通道與數(shù)據(jù)通道分離，實現(xiàn)先認證后連接。

03 安全的傳輸通道

數(shù)據(jù)傳輸采用高強度加密算法和安全密鑰交換更新機制，確保通信數(shù)據(jù)安全。

04 隱身的網(wǎng)絡資源

使用SPA單包授權(quán)機制，將安全接入系統(tǒng)服務和所有業(yè)務應用服務在互聯(lián)網(wǎng)上“隱身”，不開放任何TCP端口，不為黑客提供任何端口掃描和攻擊的機會。

05 持續(xù)的訪問控制

使用過程中，持續(xù)對設備狀態(tài)、網(wǎng)絡環(huán)境、使用行為的合法性進行綜合評分，基于評分和應用安全等級動態(tài)調(diào)整用戶的訪問權(quán)限。

值得一提的是，針對當前“網(wǎng)絡安全實戰(zhàn)攻防演練”背景下的客戶收縮暴露面的需求，SDP系統(tǒng)具備非常有效的適用性。企業(yè)的關鍵應用服務，如果直接對外提供可能會把服務端口暴露到公網(wǎng)上，但如果部署了SDP系統(tǒng)，這些應用服務首先會退回內(nèi)網(wǎng)。然后SDP控制器的SPA單包授權(quán)機制，會接收來自客戶端的登錄認證請求，并通過加解密機制對SPA請求中的多源認證信息進行檢查和校驗，一旦判斷請求包非法則默認進行靜默丟棄處理，不予以任何響應。只有通過了登錄認證后，控制器才會認為是一個合法用戶的請求，向客戶端和網(wǎng)關下發(fā)訪問策略。這使得攻擊者不知道SDP網(wǎng)關的服務地址端口，系統(tǒng)自身實現(xiàn)了更好的服務隱身自我保護。

廣泛而強大的兼容性豐富的落地案例

在用戶關心的兼容性方面，指掌易做了大量兼容性適配工作，已能為辦公、開發(fā)、運維等典型使用場景中主流應用軟件提供良好的兼容性支撐。另外指掌易作為信創(chuàng)工委會的會員單位，已經(jīng)積累了自身產(chǎn)品方案針對主流國產(chǎn)化操作系統(tǒng)和數(shù)據(jù)庫軟件的兼容適配能力，并獲取了產(chǎn)品互認證證書，能夠直接適應信創(chuàng)使用場景的需要。

最后談到了現(xiàn)場嘉賓關心的行業(yè)實踐案例上，龐南列舉了兩個典型應用案例。

01 某省級運營商案例

從該運營商集團層面來講，無論是風險控制的要求還是參與“網(wǎng)絡安全實戰(zhàn)攻防演練”行動的需要，集團層面一開始就下發(fā)過相關的文件，明確的提到非面向外部用戶的應用服務是不允許直接向互聯(lián)網(wǎng)開放的，需要退回內(nèi)網(wǎng)，并通過安全接入的機制來保證該服務本身不受影響。

該運營商客戶，通過部署指掌易安全工作空間，通過對安卓應用和iOS應用進行容器化處理，對全省一萬多用戶和2萬多臺設備進行數(shù)據(jù)防泄露的有效控制。另外還建設了SDP安全網(wǎng)關，把原來互聯(lián)網(wǎng)上對員工開放的移動應用的服務全部退回內(nèi)網(wǎng)，并通過SDP網(wǎng)關為十多個移動業(yè)務應用的服務來提供安全的代理訪問接入，從而大幅的收斂了服務的暴露面，有效的支撐了省內(nèi)的“網(wǎng)絡安全實戰(zhàn)攻防演練”活動。

02 某城商行客戶

該客戶在遠程運維的場景中采用了指掌易SDP安全網(wǎng)關方案。遠程運維所使用的運維賬號要訪問的相關服務，敏感性很高，對安全性的要求也會更高。通過部署SDP安全網(wǎng)關方案，讓運維人員在個人終端上面先登錄SDP系統(tǒng)，然后在SDP系統(tǒng)保護下登錄運維堡壘機，再去做相應的運維操作。指掌易SDP安全網(wǎng)關方案既保證了客戶運維支撐的效率，同時也因為有SDP系統(tǒng)的保護，保障了使用敏感特權(quán)賬號對重要IT資源的遠程維護操作的安全性。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據(jù)。

關鍵詞：