【亞信安全】-【2021年9月2日】隨著全球數(shù)字化和萬物互聯(lián)的加速發(fā)展，傳統(tǒng)網(wǎng)絡的物理邊界已經(jīng)被徹底打破，以 "零信任"理念重構網(wǎng)絡安全防御體系近年來得到廣泛認可。

　　近日，中國移動應急4A工程中的零信任安全體系正式啟用。該平臺采用了最新的軟件定義邊界（SDP）技術，以"除非被證明可信，否則永不信任"為基本原則，以"不以邊界作為信任條件"前提，構建出符合當下異構網(wǎng)絡和業(yè)務的發(fā)展需求的安全防護體系，可對關鍵業(yè)務系統(tǒng)、網(wǎng)絡資源進行重點防護。

　　2020年至今，突如其來的新冠疫情讓遠程辦公成為新常態(tài)。另一方面，數(shù)字化加速落地，企業(yè)業(yè)務上云成為產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展的重要趨勢。二力合一，加速了全球企業(yè)對新型網(wǎng)絡安全技術和產(chǎn)品的探索和實踐，其中之一便是"零信任"。

　　傳統(tǒng)的網(wǎng)絡邊界，無論多么堅固，墻就在那里，攻防雙方陷入技術攀比的循環(huán)，一個拆、一個補。直到零信任技術的出現(xiàn)，改變了這個局面，墻還在那里，但看不見，摸不著。

　　零信任倡導"持續(xù)驗證、永不信任"，也就是我們不應該自動信任網(wǎng)絡中的任何人、設備和位置，"零信任"架構下，意味著每個用戶、設備、服務或應用程序都是不可信任的，基于這樣的"懷疑"準則，必須通過持續(xù)認證才能獲得最低級別的信任和關聯(lián)訪問特權，實現(xiàn)更安全地對資源的訪問，不遺漏任何可疑因素，這種思路給我們提供了全新的方法論和安全工具。

　　依靠需求與技術的多重推動，全球"零信任"市場按下了"加速鍵。在此背景下，中國移動率先積極參與國內(nèi)相關零信任技術規(guī)范，同時在行業(yè)內(nèi)率先啟動零信任平臺建設，并與安全廠商一起針對相關技術在運營商行業(yè)內(nèi)的應用進行積極的研究和實踐。

　　在項目規(guī)劃階段，中國移動網(wǎng)絡事業(yè)部制定了以4A身份為基石，基于全面身份化認證模式，為用戶、設備、應用程序、業(yè)務系統(tǒng)等實體，建立統(tǒng)一的數(shù)字身份標識和治理流程的目標，確保只有合法的用戶、從合法設備上才能訪問網(wǎng)絡。

　　在建設過程中，中國移動聯(lián)合亞信安全，充分利用其SDP解決方案所具備的網(wǎng)絡隱身屬性、網(wǎng)絡控制屬性、可信應用、終端準入、事中控制等特性，有效了解決網(wǎng)絡邊界模糊帶來的安全問題。

　　基于UDP的單包認證、先認證后連接的特性能很好的起到內(nèi)網(wǎng)保護的作用，同時解決了由于TCP握手而導致的SYN洪泛問題，有效解決互聯(lián)網(wǎng)暴露面的問題。

　　·網(wǎng)絡控制&URL控制：

　　基于用戶（賬號）訪問資源的動態(tài)網(wǎng)絡控制，能針對不同角色的人員授權不同的訪問網(wǎng)絡和URL，有效解決防火墻無法針對用戶、角色進行動態(tài)的細粒度網(wǎng)絡隔離的問題。

　　·可信應用&終端準入：

　　基于應用的白名單控制策略，保證訪問內(nèi)網(wǎng)的流量是通過可信應用產(chǎn)生的；基于惡意進程和端口的的黑名單控制策略，有效解決了帶病終端接入內(nèi)網(wǎng)對內(nèi)網(wǎng)產(chǎn)生的危害。

　　· 事中行為控制：

　　基于持續(xù)認證策略，對用戶行為進行支持評估，針對高危操作進行持續(xù)認證和實時的阻斷。

　　在已建設的平臺能力基礎上，中國移動還將持續(xù)探索，并充分發(fā)揮SDP解決方案的"多"點多面全聯(lián)動、"快"捷訪問一站式、"全"業(yè)務場景覆蓋、"細"溯源安全審計等特點，開展零信任安全保障體系建設，重塑網(wǎng)絡安全邊界。

　　項目正式落地之后，中國移動安全體系架構規(guī)劃將由"網(wǎng)絡中心化"走向"身份中心化"，建立以"人"為中心進行訪問控制，解決因網(wǎng)絡環(huán)境開放，用戶角色復雜引發(fā)的各種身份安全風險、設備安全風險和行為安全風險，做到非法用戶進不來，合法用戶不能亂來，斬斷黑客的黑手，保障網(wǎng)絡及業(yè)務安全。