產品&服務

為了更好的零信任，我們做了次自我實踐

隨著新型信息技術不斷迭代，萬物互聯時代已然到來。當下網絡邊界泛化模糊化、訪問路徑多樣化帶來諸多安全挑戰，基于邊界的傳統安全防御模型已然無法滿足許多用戶的網絡安全需求?！傲阈湃巍睓M空出世，打破默認的“信任”，以其“持續驗證、永不信任”的理念，重新構建訪問控制的信任基礎，為廣大用戶提供最堅實的安全保障。

安恒信息AiTrust團隊在廣泛研究和實踐的基礎上，先后通過三個大版本的迭代和數十個項目，和用戶達成項目投產規劃上的三大共識：

1 ?實踐場景從簡入手，從低頻轉向高頻，并重視用戶內部溝通上的成本和挑戰；

2??不急于迭代用戶現網的VPN設備，要逐步替代或留有緩沖周期并發多通道；

3??定期維護終端信任評估策略，有條件的用戶，可以考慮建設UBEA平臺，做無監督學習訓練，通過訓練模型和算法，利用多源日志充分發掘潛在業務風險。

當前，我們已具備快速交付上線的零信任敏捷性方案。接下來，將通過三個真實場景的用戶體驗，在無邊界化趨勢的背景下還原零信任的落地以及其安全價值。

一

安恒信息內部零信任落地案例

行動是最好的證明，安恒信息以自己為樣板，詮釋零信任方案的落地。

需求

隨著公司的發展，外辦員工數量激增，辦事處銷售、辦事處技術、合作伙伴、出差的產品組研發、服務商......他們在外訪問公司內網時存在一定的安全風險。因此，需要將外部訪問的人員通過角色進行細化，根據他們日常訪問的應用系統和數據資源進行梳理和區分，設定不同的身份認證機制和安全防護策略，在遠程訪問、遠程運維、遠程開發場景下，提供敏捷高效安全可控的零信任方案。

行動

安恒信息內部案例零信任方案

通過上線安恒信息自研的零信任方案，我們對外提供了以零信任溝通的統一訪問入口，通過終端安全技術，實現了賬號、設備、行為一體化的信任評估能力，結合零信任的特點“先認證后連接”，保證了公司面向互聯網的業務系統和數據資產安全隱身，并通過動態權限控制、數據保護策略保證了多樣化終端遠程接入后的安全保障能力。

二

CS城市商業銀行案例

需求

基于用戶在數字化轉型中現狀和安全需求，遵循零信任安全基本理念，逐步規劃實施零信任。用戶十分重視本次開發，要求無論全新建設或者遷移，都需要基于零信任進行整體安全架構設計和規劃，并盡量減少對員工工作的影響。

行動

CS城市商業銀行零信任方案

通過零信任第一階段的落地，安恒信息AiTrust團隊實現了對于移動辦公接入終端較高的安全性以及國產化對接推進，并對接行內同步建設的IAM系統，達成了終端設備、用戶賬號、訪問基線一體化動態安全策略的初步目標。

后續我們還將引入UEBA等人工智能分析技術，持續優化終端的安全畫像，以減少行內業務系統和重要數據資產外泄的風險。

三

WZ大數據資源管理局案例

需求

用戶要求在現有的訪問體系下向新的安全訪問控制體系進行遷移，在搭建好基礎架構后，統一控制臺的對應用系統開放單點登錄及訪問工具集成能力，優先對開發中的和新上線的業務系統進行單點登錄對接，并將單點登錄能力形成標準文檔，作為后續政務外網應用開發、接入一體化智能化公共數據平臺服務前的必選項之一。

行動

WZ大數據資源管理局的零信任方案

安恒信息AiTrust團隊在一體化智能化公共數據平臺側采用分步驟的方式對接口的訪問進行遷移。在項目實施前期階段，并沒有對公共數據平臺上已有接口做強制的訪問策略切換，而只針對新上線的接口，在公共數據平臺上啟用源IP白名單，只接收API安全代理轉發來的請求。同時，由API安全代理兼容公共數據平臺的認證能力，不再向新上線的應用提供公共數據平臺自身的認證憑證，使其必須經API安全管控系統訪問，完成遺留的通道切換后，再處理網絡策略的連通性。在訪問過程中，統一控制臺收集API安全代理上報的日志，對API的訪問頻度、調用方分布、異常行為、API敏感數據進行分析和展示，根據分析結果、API重要程度逐漸進行白名單策略的切換。

安恒信息圍繞以身份為基礎、資源為核心的目標，通過持續信任評估、動態訪問控制等手段，實現主客體（用戶、終端、應用、服務、數據等）之間的訪問安全，提升企業網絡安全防護體系的主動性。方案自推出以來已服務政府、運營商、金融、商業企業等多個重點用戶。

AI+安全>

數據安全>

數據基礎設施>

態勢感知>

云安全>

基礎安全>

終端安全>

商用密碼>

軟件供應鏈安全>

網絡空間靶場>