零信任并不是要顛覆等保2.0、縱深防御體系，而是互補關系。零信任以身份為新邊界，意味著首先要改變的是僅依賴安全設備在網絡邊緣保護所有系統和資源的情況，需要在用戶現網的架構中，重新定義防護對象、新業務安全場景、并交付新的安全能力。我們要根據系統本身的安全策略、業務敏感度、安全等級特征等因素，建立新的身份邊界。這里的“身份”不僅是用戶的身份，還要考慮訪問主體和客體的身份（如設備、應用等）、原有的網絡的身份等。可以看到，我們并沒有摒棄傳統的以網絡為安全邊界的理念，而是又疊加了多維度的身份信息，以軟件定義的方式構建以身份為邊界的新安全模式。

當下國家處在數字化改革的元年，重大轉型就會驅動新技術和新風險的催生，這里我們總結了當下網絡世界中的十大網絡安全威脅，互聯網暴露面過大、VPN接入權限過大、API調用未建議授權機制、應用漏洞過大被利用、賬號社工或密碼暴力破解等等，我們的廣大政企用戶都飽受挑戰和攻擊。

安恒信息依靠多年的技術沉淀和秉持創新精神，推出AiTrust零信任解決方案，該方案取代了以邊界為中心的安全架構，它可確保根據身份、設備和用戶環境動態實施安全和訪問決策。只有經過身份驗證和授權的用戶和設備才能訪問應用程序和數據。精準交付網絡隱身、最小權限、動態信任評估及數據安全保障等多項安全能力。

安恒信息一直致力于數據安全治理領域的產品研發和創新，我們自己也定義了自己的零信任能力框架。主要緯度是四個核心安全目標，數據可信身份、訪問最小權限、數據資產保障、數據風險回溯。打造一套業務應用/數據開放共享通道的安全體系平臺，交付給用戶更可信的用戶身份（基于多因子和多種屬性，實現全面用戶身份認證）、更安全的業務訪問（采用細粒度、動態化的授權模式，安全策略策略更實時有效）、更全面的安全考量（集合環境、訪問行為、風險事件等多元素構建訪問策略）。

?回收網絡訪問權限，僅提供應用訪問權限

虛擬專用網絡 (VPN) 等傳統遠程訪問技術無法滿足當今無邊界數字化用戶日益增長的需求。傳統 VPN 對用戶安全構成威脅，因為它本身就會在防火墻上形成漏洞，從而提供不受限制的網絡訪問。一旦攻擊者位于內部，其就可以自由地橫向移動以訪問和利用網絡中的任何系統或應用程序。傳統 VPN 不僅會使用戶面臨安全風險，而且它們還是復雜的解決方案，需要大量 IT 資源來進行硬件和軟件管理，同時維護和擴展的成本高昂。

啟用AiTrust零信任解決方案，將僅允許用戶訪問權限內的應用程序，訪問策略基于用戶身份、設備狀態、用戶行為和授權。這種做法將減少橫向攻擊，進而減少網絡風險敞口。將用戶逐漸從 VPN 向AiTrust零信任訪問遷移，將改善用戶體驗、提高員工工作效率并減少IT運維故障單，并擺脫對防火墻、硬件和軟件的依賴、降低 IT 維護成本。

? 隱藏真實的應用和服務端口

傳統做法中，內部應用程序和訪問基礎設施暴露于互聯網，使得它們容易遭受 DDoS、SQL 注入和其他應用程序層攻擊，同時黑客正在利用不斷發展的技術來掃描用戶網絡配置，以發現易受攻擊的應用程序和重要數據。啟用AiTrust零信任解決方案，幫助用戶必須將應用程序和訪問架構與公共互聯網隔離開來，這樣惡意攻擊者就無法利用開放的偵聽端口將其作為攻擊目標。如果網絡罪犯無法找到網絡或確定目標設備正在運行的應用程序和服務，即將無法實施攻擊。

??持續動態地驗證用戶身份和應用權限

大部分客戶場景中，應用訪問權限的授予往往只需要訪問者正確輸入用戶名和密碼，而不會驗證訪問者的身份。重復使用安全性較弱的憑據和密碼顯著增加了用戶的攻擊面和風險。在當今的威脅形勢下，單單依賴用戶名和密碼等單因素身份驗證顯然不夠。啟用AiTrust零信任解決方案，通過多重身份驗證 (MFA) 提供了額外的驗證和安全級別，它可確保僅經過MFA驗證、安全基線達標的用戶才能訪問業務關鍵的應用程序，并可以相同的用戶在訪問不同的目標資源時，采取不同的驗證方式。

??啟用API安全能力對數據進行保護

API負擔著承上啟下的作用，其后承載著海量的價值業務數據，隨著數據上云、集中化、共享趨勢，大量的數據需要通過API對應用程序提供服務，API的安全穩定是支撐應用正常運轉的基石。啟用AiTrust零信任解決方案，落地API安全能力，能夠提供基于身份的接入控制管理，根據接入終端的環境、用戶的身份及行為、應用系統來賦予不同的API操作和訪問權限；能夠對用戶和管理員的操作、訪問、內容、文件等進行監控和回溯，并且在重要事件發生時自動告警；并根據API參數中設定的數據格式和函數，通過正則或自定義規則來定義敏感字段，實時地對敏感數據進行監測、預警、動態脫敏，以實現對數據傳輸的加密保護。

?支持與SIEM平臺集成及安全能力編排

用戶可能擁有數百甚至數千個應用程序及安全設備，它們通過集成到SIEM進行統一的安全監視。通過啟用AiTrust零信任解決方案，同樣可以將威脅和事件數據集成到SIEM，并通過RESTful API對接SIEM、終端安全環境感知等安全系統，對安全事件進行響應編排，以幫助用戶快速關聯、調查安全事件，并對安全事件進行快速響應。

隨著數據開放面逐漸擴大、數據訪問量不斷增加，我們預見到了開放共享過程中潛在的數據安全防護及溯源問題，例如數據訪問無法追溯到最終用戶、API 自身脆弱性帶來的安全配置錯誤及注入風險、API 異常高頻訪問帶來的數據暴露風險等。

安恒信息基于零信任的理念，本次方案強調“永不信任、始終確認”，在業務訪問的全流程中引入身份認證的能力，對管控的客體對象“用戶”、“應用”的身份進行持續校驗，并針對防護對象 API 資源，實現“先認證、再授權、再訪問”的管控邏輯，通過為數據安全中臺構建虛擬身份安全邊界，最大程度上收窄公共數據平臺的暴露面，保障業務安全開展。一舉解決政企用戶多項安全頑疾：例如數據訪問無法追溯到最終用戶、API 自身脆弱性帶來的安全配置錯誤及注入風險、API 異常高頻訪問帶來的數據暴露風險等。

身份管理是大多數組織實現安全和IT運營策略的核心。疫情導致員工的正常工作更依賴遠程自動訪問企業內部應用和數據資產，同時潛在的安全和合規風險正在加大和蔓延。

安恒信息AiTrust零信任解決方案基于“零信任”身份權限控制，在應用服務器之前的零信任網關已將對用戶的訪問權限控制細化到設備和應用、服務層級，將權限控制進一步細化到數據內容層級，實現對敏感數據的精準靶向監控。數據鑒權機制架構在設置于各應用服務器之間的數據安全網關上，控制各應用間的相互訪問，實現對信息系統各使用人員、設備、應用訪問在數據內容粒度上的精確權限控制。

AiLPHA大數據智能安全事業群

AiLPHA大數據智能安全事業群深耕包括大數據、人工智能、態勢感知、數據安全、零信任等前沿網絡安全技術領域，提出以“CAPE”數據安全能力框架為核心的數據安全管控體系，包含數據安全管控、安全可控數據流通、安全可信融合計算三大核心能力，為全球超過2000家客戶提供高質量的網絡安全產品和服務，致力于實現數據“可用不可見”的安全目標，未來將會持續為數字經濟產業的培育發展貢獻力量。