非法使用者不能進來，合法使用者不能亂來，斬斷黑客的黑手——中國移動攜手亞信安全推動零信任SDP系統成...

【2021年9月2日】隨著全球數字化和萬物互聯的加速發展，傳統網路的物理邊界已經被徹底打破，以 “零信任”理念重構網路安全防禦體系近年來得到廣泛認可。

近日，中國移動應急4A工程中的零信任安全體系正式啟用。該平臺採用了最新的軟體定義邊界（SDP）技術，以“除非被證明可信，否則永不信任”為基本原則，以“不以邊界作為信任條件”前提，構建出符合當下異構網路和業務的發展需求的安全防護體系，可對關鍵業務系統、網路資源進行重點防護。

推動零信任《規範》建設，SDP應用率先落地

2020年至今，突如其來的新冠疫情讓遠端辦公成為新常態。另一方面，數字化加速落地，企業業務上雲成為產業網際網路發展的重要趨勢。二力合一，加速了全球企業對新型網路安全技術和產品的探索和實踐，其中之一便是“零信任”。

傳統的網路邊界，無論多麼堅固，牆就在那裡，攻防雙方陷入技術攀比的迴圈，一個拆、一個補。直到零信任技術的出現，改變了這個局面，牆還在那裡，但看不見，摸不著。

零信任倡導“持續驗證、永不信任”，也就是我們不應該自動信任網路中的任何人、裝置和位置，“零信任”架構下，意味著每個使用者、裝置、服務或應用程式都是不可信任的，基於這樣的“懷疑”準則，必須通過持續認證才能獲得最低級別的信任和關聯訪問特權，實現更安全地對資源的訪問，不遺漏任何可疑因素，這種思路給我們提供了全新的方法論和安全工具。

依靠需求與技術的多重推動，全球“零信任”市場按下了“加速鍵。在此背景下，中國移動率先積極參與國內相關零信任技術規範，同時在行業內率先啟動零信任平臺建設，並與安全廠商一起針對相關技術在運營商行業內的應用進行積極的研究和實踐。

從物理邊界向軟體定義邊界（SDP）轉變

在專案規劃階段，中國行動網路事業部制定了以4A身份為基石，基於全面身份化認證模式，為使用者、裝置、應用程式、業務系統等實體，建立統一的數字身份標識和治理流程的目標，確保只有合法的使用者、從合法裝置上才能訪問網路。

在建設過程中，中國移動聯合亞信安全，充分利用其SDP解決方案所具備的網路隱身屬性、網路控制屬性、可信應用、終端准入、事中控制等特性，有效瞭解決網路邊界模糊帶來的安全問題。

• 網路隱身能力搭建：

基於UDP的單包認證、先認證後連線的特效能很好的起到內網保護的作用，同時解決了由於TCP握手而導致的SYN洪泛問題，有效解決網際網路暴露面的問題。

• 網路控制&URL控制：

基於使用者（賬號）訪問資源的動態網路控制，能針對不同角色的人員授權不同的訪問網路和URL，有效解決防火牆無法針對使用者、角色進行動態的細粒度網路隔離的問題。

• 可信應用&終端准入：

基於應用的白名單控制策略，保證訪問內網的流量是通過可信應用產生的；基於惡意程序和埠的的黑名單控制策略，有效解決了帶病終端接入內網對內網產生的危害。

• 事中行為控制：

基於持續認證策略，對使用者行為進行支援評估，針對高危操作進行持續認證和實時的阻斷。

由“網路中心化”走向“身份中心化”

在已建設的平臺能力基礎上，中國移動還將持續探索，並充分發揮SDP解決方案的“多”點多面全聯動、“快”捷訪問一站式、“全”業務場景覆蓋、“細”溯源安全審計等特點，開展零信任安全保障體系建設，重塑網路安全邊界。

專案正式落地之後，中國移動安全體系架構規劃將由“網路中心化”走向“身份中心化”，建立以“人”為中心進行訪問控制，解決因網路環境開放，使用者角色複雜引發的各種身份安全風險、裝置安全風險和行為安全風險，做到非法使用者進不來，合法使用者不能亂來，斬斷黑客的黑手，保障網路及業務安全。

【責任編輯：賀鑫 TEL：（010）68476606】