EN

零信任落地案例|任子行助力某海事局移動/遠程辦公安全防控體系建設(shè)

發(fā)布時間:2020-09-28
瀏覽量: 9521

5G、云計算等的普及應(yīng)用,使移動/遠程辦公由概念快速走向落地。突發(fā)的疫情,按下了移動/遠程辦公發(fā)展的“加速鍵”,移動辦公、移動審批、移動執(zhí)法等多維場景不斷深入,內(nèi)部資源與企業(yè)數(shù)據(jù)因暴露面增加和信任策略缺失遭受的安全沖擊成倍增長,基于邊界防護的傳統(tǒng)安全體系逐步瓦解,零信任安全體系成為移動/遠程辦公安全破局的關(guān)鍵。

背景介紹

隨著網(wǎng)絡(luò)技術(shù)在海事業(yè)務(wù)如船舶駕駛控制、貨物裝卸、推進系統(tǒng)、旅客管理、通信系統(tǒng)等方面的應(yīng)用不斷提升,越來越多的對外信息交互,使海事業(yè)務(wù)遭受網(wǎng)絡(luò)威脅的隱患也不斷加劇,這些潛在的威脅可能導(dǎo)致有關(guān)的操作、安全或安保系統(tǒng)的破壞或信息的泄露。

海事局作為維護國家海洋權(quán)益,促進國民經(jīng)濟建設(shè)的重要職能機構(gòu),同時,網(wǎng)絡(luò)安全將是2021年符合證明(DOC)年度審核的一個重點領(lǐng)域,迫切需要建立由內(nèi)到外的安全架構(gòu)體系,保障海事業(yè)務(wù)信息系統(tǒng)安全穩(wěn)定運行,滿足移動辦公、審批、執(zhí)法等應(yīng)用場景需求。

某海事局網(wǎng)絡(luò)安全隱患加劇 安全防護亟待升級

網(wǎng)絡(luò)安全是某海事局開展海事安全管理體系建設(shè)中的重要組成部分,自公安部2018年組織國家級的網(wǎng)絡(luò)攻防實戰(zhàn)演練以來,某海事局作為實戰(zhàn)檢驗的重點單位,其信息交互、網(wǎng)絡(luò)環(huán)境、信息設(shè)備系統(tǒng)等復(fù)雜性對網(wǎng)絡(luò)安全綜合防御能力提出重要挑戰(zhàn)。

經(jīng)過任子行專業(yè)人士的探訪調(diào)查后,其網(wǎng)絡(luò)安全防護風(fēng)險如下:

1.威脅暴露面增加

提供遠程訪問的應(yīng)用系統(tǒng)、VPN和DMZ區(qū)的系統(tǒng)等都面臨著來自互聯(lián)網(wǎng)的威脅,是海事局信息化安全建設(shè)面臨的重要挑戰(zhàn)之一;

2.遠程辦公的問題(VPN接入)

  • 身份無法確認:VPN作為一種網(wǎng)絡(luò)接入產(chǎn)品天生缺乏安全基因,用戶的證書/密碼一旦被盜,就意味著“誰”都可以接入訪問;

  • 非法請求,病毒傳播:VPN打破傳統(tǒng)邊界防御,直達內(nèi)網(wǎng),不可控的終端安全帶來勒索病毒、蠕蟲、木馬的肆意傳播,同時可以對內(nèi)網(wǎng)系統(tǒng)進行肆意掃描,尋找弱點;

  • 用戶體驗差:VPN對網(wǎng)絡(luò)的傳輸要求較高,經(jīng)常出現(xiàn)無法訪問和頻繁切換的問題;

  • 運維難度大:VPN需要基于IP和端口配置安全策略,配置繁瑣復(fù)雜,靈活性差;


3.系統(tǒng)繁多,操作不便

某海事局各個部門在執(zhí)行工作中,由于操作系統(tǒng)較多,人員及移動應(yīng)用場景復(fù)雜等,需要對系統(tǒng)的登錄地址、登錄方式、用戶名口令等頻繁操作,帶來不便 。


任子行零信任遠程接入安全防護解決方案 率與安全并行實現(xiàn)

任子行在深入剖析海事局當(dāng)前所面臨的挑戰(zhàn)并結(jié)合其實際需求后,為該海事局提供了一套定制化的零信任遠程接入安全防護解決方案,助力海事局更好的規(guī)避網(wǎng)絡(luò)安全漏洞,建立具備綜合防御能力更強的網(wǎng)絡(luò)安全生態(tài)體系。具體實施方案如下:


1.統(tǒng)一的身份安全和單點登錄,解決業(yè)務(wù)訪問的用戶身份統(tǒng)一安全問題

用戶遠程接入辦公網(wǎng)絡(luò)需要進行身份驗證,包括:賬戶密碼登錄認證、互聯(lián)網(wǎng)認證(微信/企業(yè)微信認證)、短信驗證碼等多種登錄驗證方式,以單點登錄實現(xiàn)多套系統(tǒng)的賬戶體系自動認證,提高辦公效率。

1615456993.png

1615457009.png


2.細膩動態(tài)的訪問控制策略,弱化內(nèi)容安全事件發(fā)生的風(fēng)險

身份驗證策略統(tǒng)一由管控平臺進行下發(fā)配置,支持不同的用戶配置不同的身份驗證策略,針對不同的用戶分配不同的應(yīng)用訪問權(quán)限進行精細化的控制,并且基于信任模型對用戶的訪問風(fēng)險進行實時評估,動態(tài)調(diào)整其安全策略,以達到最大程度弱化內(nèi)部安全事件發(fā)生的風(fēng)險。

1615457025.png


3.建立統(tǒng)一的訪問門戶,個性化按“需”配置

在用戶終端建立統(tǒng)一的辦公入口,進行多因子身份驗證、設(shè)備驗證、數(shù)據(jù)安全防護(數(shù)字水印、防打印、防復(fù)制、防下載等);個性化Portal頁面作為遠程辦公工作臺,可以滿足各類用戶Web業(yè)務(wù)訪問(OA、CRM等)、遠程研發(fā)(通過瀏覽器遠程桌面訪問公司內(nèi)網(wǎng)主機)、遠程運維(通過瀏覽器SSH工具訪問公司內(nèi)網(wǎng)設(shè)備)等多種需求。用戶通過點擊應(yīng)用圖標(biāo)即可直接訪問被授權(quán)的應(yīng)用系統(tǒng),實現(xiàn)了首頁按“需”定制,業(yè)務(wù)按“需”分配,消息按“需”提醒。

1615457040.png


4.業(yè)務(wù)系統(tǒng)應(yīng)用隱身,將企業(yè)內(nèi)網(wǎng)應(yīng)用暴露的攻擊面降到最低

解決業(yè)務(wù)系統(tǒng)暴露問題,使用零信任安全網(wǎng)關(guān)將企業(yè)內(nèi)網(wǎng)應(yīng)用隱身,只有通過認證授權(quán)的用戶使用安全瀏覽器才能與零信任網(wǎng)關(guān)和應(yīng)用系統(tǒng)建立加密連接,非授權(quán)的用戶無法掃描到核心應(yīng)用,從而實現(xiàn)了最細粒度的應(yīng)用隔離。對企業(yè)內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)進行“隱身”,將企業(yè)內(nèi)網(wǎng)應(yīng)用暴露的攻擊面降到最低。

1615457088.png


5.統(tǒng)一的安全信任評估,及時發(fā)現(xiàn)用戶的異常登錄和異常訪問行為

以綜合安全管控平臺為系統(tǒng)的安全大腦,對安全瀏覽器的用戶和設(shè)備進行全方位認證,實現(xiàn)對接企業(yè)已有的身份管理系統(tǒng)和安全策略,并且基于信任模型對用戶的訪問風(fēng)險進行實時評估,動態(tài)調(diào)整其安全策略;此外通過AI技術(shù)對瀏覽器、安全網(wǎng)關(guān)上報的各類行為審計日志進行大數(shù)據(jù)智能分析,幫助用戶進行全局的辦公安全態(tài)勢感知,及時發(fā)現(xiàn)用戶的異常登錄和異常訪問行為。

1615457102.png


任子行零信任遠程接入安全防護解決方案優(yōu)勢

任子行零信任遠程接入安全防護解決方案,采用SDP的技術(shù)模型,以企業(yè)專用安全瀏覽器的方式將認證客戶端與Web應(yīng)用整合,在實現(xiàn)零信任核心安全理念的同時又為用戶帶來了方便快捷的使用體驗。這種“輕量級”的實施方案,有助于企業(yè)快速落地零信任安全模型,使得“零信任”應(yīng)用訪問成為企業(yè)安全防護架構(gòu)中最基礎(chǔ)的防護設(shè)施。

零信任安全建設(shè)是一個系統(tǒng)工程,需要頂層設(shè)計,逐步建設(shè),不能一蹴而就。未來,任子行將繼續(xù)專注于技術(shù)的深入研究與研發(fā),以期最終實現(xiàn)安全防護與零信任體系相結(jié)合,最大限度提升企業(yè)網(wǎng)絡(luò)安全防護能力,為國家網(wǎng)絡(luò)安全建設(shè)貢獻一份力量。

1615457116.png


熱點內(nèi)容

開始試用任子行產(chǎn)品
申請試用

20年公安服務(wù)經(jīng)驗

7*24小時應(yīng)急響應(yīng)中心

自主知識產(chǎn)權(quán)的產(chǎn)品裝備

專家級安全服務(wù)團隊

網(wǎng)絡(luò)空間數(shù)據(jù)治理專家

榮獲國家科學(xué)技術(shù)二等獎

置頂
電話

400-700-1218

官方熱線電話

咨詢
留言
二維碼
微信公眾號
公司微博