案例研究ㅣ易安联 X 某省级运营商：零信任安全体系建设实践

▏摘要

数字化时代下，某省级运营商对安全能力的需求转变为主动、动态、自适应的弹性防御体系，安全建设驱动力转变为从“合规”到“效果”的需求升级。安全防护思路的转变促使该省级运营商建设零信任安全体系，在不影响现有安全体系和业务正常访问下，打造动态、可观、可控、可查的安全办公环境，实现信息安全方面的数字化转型。本案例旨在为企业的零信任安全体系建设提供经验借鉴。

▏关键发现

• 从业务角度看，零信任安全体系建设分为三个关键步骤，第一步是为了实现可知，重点是搭建零信任基础架构，建立基本的资产管理和访问准入能力，第二步是为了实现可管，重点是建设零信任安全风险管控模型，实现动态访问控制，第三步是为了实现可感，重点是构建零信任安全大脑，建立完善的风险识别体系；

• 零信任安全体系充分利用企业原有的4A访问安全能力，并在此基础上，改变原有的静态认证和静态权限控制方法，构建以“人+设备+环境”的动态认证和授权体系，提升业务侧的安全接入访问能力，从单因子登录4A到隐藏4A暴露面及多因子融合认证，从细颗粒度授权到动态授权，从敏感/高危操作金库审计到文件隔离，从用户行为审计到实时行为分析。

▏分析师建议

• 零信任项目涉及角色较多，沟通协调难度大，企业在建设零信任时应成立专门的项目小组以提升协作效率，包含安全组、网络组、主机组、业务组及供应商成员等，对用户组网、业务流程进行多次调研和访谈，深入了解企业业务流程；

• 零信任安全体系建设应从实际的业务现状出发，结合业务场景和风险等级提出建设优先级，分步建设，阶段性获得公司高层的认可，进一步推动业务部门的配合度。

01

项目背景

某省级运营商（以下简称“A运营商”）的核心业务系统积累并掌握着大量的客户信息、生产数据和运营信息，涉及到国家政策、个人隐私、运营商自身发展等多个方面。在数字化时代，A运营商业务增长迅速，并逐渐向以下四个方向发展：

第一，高度的数字化模式。A供应商的内网和外网有大量的业务系统，这些业务系统正在逐步向数字化方向迭代；

第二，业务创新步伐快。A运营商正在积极建设5G、云计算、大数据、智慧中台、安全中台等数字化创新能力；

第三，开放合作新生态。A运营商正在逐步扩大“朋友圈”，开放更多的合作模式，携手各种类型的合作伙伴共建生态；

第四，泛在接入基数巨大。基于5G的泛终端安全接入需求大，A运营商正在打造泛在接入、泛在连接、泛在算力的信息高速。

A运营商的业务发展方向促使其产生了泛安全接入的场景需求，包括业务系统、合作伙伴、终端等。

因此，A运营商自身的安全防护思路也在发生转变。一方面是安全能力需求的转变，传统安全防护能力建设主要采用静态、被动、基于规则的防御手段，现有静态安全体系对新型的攻击方式往往力不从心，因此A运营商正在转变防御思路，构建主动、动态、自适应的弹性防御体系；另一方面是安全建设驱动力的转变，以往的安全建设围绕政策法规推动下的合规管控，强调满足监管需求，但欠缺考虑与自己业务安全诉求的结合，当前A运营商的业务安全建设驱动力正在转变为从“合规”到“效果”的需求升级。

安全防护思路的转变要求A运营商更加全面的审视现有网络安全体系下的风险点。总的来看，运营商的网络安全当前面临如下挑战：

第一，终端缺乏统一管控。A运营商涉及大量终端设备、BYOD缺少统一管控手段，地市公司、营业网点的电脑往往成为脆弱的风险入侵点；

第二，互联网暴露面大。省/地市公司暴露在互联网的资产达到几十甚至上百，扩大了攻击面，现有内部系统也容易成为攻击的突破口，需要做应用资产的暴露面收敛和精细化的访问控制；

第三，缺少应用层面的安全控制。省/地市公司内网扁平化、纵深防御薄弱，一旦互联网边界被突破，即可全网漫游，没有很好的内部管控机制，无法感知和管控应用层面的威胁，同时，业务资产台账不清晰，无法确定合作伙伴、内部员工等有无违规的行为，很难进行安全的管理；

第四，现有4A体系安全能力不足。A运营商当前的4A安全体系已经在思维上具备安全特性，但仍存在很多不足，例如无法快速满足用户变更设备、变更接入点等场景，无法提供可度量的、动态化的授权能力等；

第五，数据安全缺乏体系化建设。A运营商过去在单点建设不同的安全场景，例如身份安全、终端安全等，但没有联动成一个完整的体系；

第六，静态安全策略灵活性不足。基于静态规则库、特征库的安全防护手段无法应对当前高级网络威胁并实时管控，传统的静态ACL规则定义网络边界，维护工作量大、维护成本高，并且无法适应业务的敏捷发展。

因此，为了解决以上风险，A运营商计划与易安联合作，建设零信任安全体系，第一阶段的规划目标是在不影响现有安全体系和业务正常访问下，打造基于零信任架构的动态可观可控可查的安全办公环境，具体分为两部分：

第一，构建全省零信任安全接入能力，零信任接入能力覆盖率达到95%；

第二，持续完善传统纵深防御体系，互联网出口纵深防御能力暴露面系统100%覆盖，内网纵深防御能力重要业务系统100%覆盖。

长期来看，零信任体系建设要从更多的应用场景、更多的安全能力和诉求上助力A运营商在信息安全方面的数字化转型。

落地到安全层面的指标来看，零信任项目旨在实现：

第一，构建零信任自适应安全体系。逐步将零信任纳入更多业务场景中，实现以资产识别-安全防护-安全检测-响应恢复的安全闭环能力；

第二，降低敏感系统暴露面。减少业务应用在互联网及DCN网中的暴露面，进而减少非授权访问、漏洞利用等恶意攻击；

第三，提升终端数据安全管控能力。基于安全工作空间技术、终端轻量DLP技术，实现敏感数据流转可管、可控、可审计；

第四，完善业务访问风险控制机制。基于零信任理念，通过最小化授权，动态访问控制保证业务访问的安全性。

02

解决方案

零信任安全体系的技术架构是一个典型的SDP三角形架构，包含终端客户端、零信任防控中心以及安全网关转发控制面板分离的体系，提供客户端整体能力，包括零信任客户端、终端环境感知模块，数据安全工作空间则是为A运营商实现从访问控制-应用接入-数据安全的全流程打通和数据管控。

所有的用户认证和权限都是对接现有4A系统，充分利用A运营商现有的安全能力，将运营商内部的威胁情报动态感知平台、数据安全审计平台上相关的日志访问数据同步到零信任风险模型中，构建大而全的用户画像分析，实现更准确的动态决策评估和策略制定。

零信任能力建设分三个步骤完成：

首先，从IPDR角度完成资产识别和业务识别，资产识别包括终端管理、账号管理、漏洞管理，业务识别包括业务系统识别、敏感数据识别、数据接口管理；完成访问主体和客体的识别后进行安全防护，包括可信身份、终端管控、网络安全、应用安全、数据安全，基于运营商当前的安全建设能力和用户实际需求，推荐不同的积木模块完成零信任基本框架的构建。

其次，完成安全策略的检测，逐渐基于用户需求以及试运行的结果调整安全策略模块。

最后，考虑将更多的PEP节点加入到零信任体系中，统一接受零信任管理，来构建纵深防护能力。

从业务角度看，零信任建设分为三部曲：

阶段1：可知。重点是搭建零信任基础架构，建立基本的资产管理和访问准入能力。

阶段2：可管。重点是建设零信任安全风险管控模型，实现动态访问控制。

阶段3：可感。重点是构建零信任安全大脑，建立完善的风险识别体系。

从全省的网络安全接入平台架构上看，包括5个零信任安全网关的部署架构点。各地市分配两个网关资源池，实现主主备份的冗余能力。各地市匹配最优链路，地市用户就近分配网关，快速访问，当网络拥塞、故障或网关故障等情况发生时，支持快速切换至临近网关，实现正常的业务访问。同时，为了保证平台高可用，所用零信任网络采用基于云的容器化部署，可弹性扩展，保障业务访问。

针对体系内不同人员的接入场景，包括自有员工、三方人员、各地市营业网点业务办理，后端流程上存在差异化。

首先，所有用户接入后通过现有4A认证服务平台获取认证和权限、通过终端安全管控平台获取终端的安全态势评估，将所有数据对接到零信任控制中心，控制中心将安全策略下发到不同的零信任安全网关中，用户可以通过安全网关访问后端的业务系统。在运营商体系中，很多场景需要通过堡垒机访问，通过对接4A账号、堡垒以及访问资源对应关系的列表，以实现最小化授权。

在零信任安全项目中，易安联为A运营商建设了可信身份、终端安全、应用安全、动态管控、数据安全、业务安全、权限智能学习等能力，具体来看：

（1）可信身份：综合身份验证方法

易安联提供SIM卡或账密首次认证，结合零信任设备认证、二次认证及人机交互验证，双重保障，确保只有身份可信的用户使用已纳管的设备才能够进入零信任网络中，杜绝账号借用、异地使用等行为。

（2）终端安全：终端管控、病毒查杀，确保终端合规

易安联提供全面的终端安全和运维能力，包括漏洞扫描、安全基线检测、桌面管理、应用商店、远程协助等，其中应用商店和远程协助是两项重要的能力：

• 应用商店：A运营商的终端体量庞大、终端标准化程度低，应用商店能力可以保证软件从下载到应用是安全、可信、标准的；

• 远程协助：管理人员可以远程到使用者的PC上解决问题，减少远程管理的工作量，同时提供分级授权能力，远程协助能力可以下发到全省各地市、各区县不同的管理人员。

针对个人办公终端、营业厅网点终端采取安全状态检测、合规管控、安全基线检查等手段，采集终端各类信息上传至环境感知平台进行大数据分析，分析结果上送至策略控制中心，实现对用户的动态授权。基于人员角色、组织架构的不同，制定不同的安全策略。

（3）应用安全：应用级的智能准入控制

A运营商现有NAC体系基于交换机来进行终端管控，很难响应用户的安全管理诉求和业务敏捷灵活性的要求，易安联零信任解决方案提供了在应用层面的准入控制，通过统一入口，基于用户账号的可信程度、设备健康状况、访问环境等，结合业务系统的敏感度等级进行安全建设，建设范围更加灵活，更加贴近于业务诉求。

（4）动态管控：可自定义的安全策略中心

基于属性的授权机制，用户可自定义扩展属性，可根据不同业务场景，制定出符合业务安全需求的管控策略。

属性可以对接到日志模块，包括风险日志、访问日志、终端日志、动态感知认知等，对日志数据进行清洗，然后根据业务场景的需求进行调整，业务部门和安全管理部门可以自适应调整安全策略，匹配现有的业务场景。从业务梳理、配置到策略启用仅需要一周左右的时间。

（5）数据安全：敏感数据流转管控

依赖于零信任本身的客户端能力提供可信的终端工作环境，支持多域多安全级别工作空间，实现数据可管可控、下载审计等能力。安全工作空间对接现有安全体系，做到与宿主机隔离、工作空间之间隔离，实现文件存储加密、通讯传输加密、数据流转受控等。

安全工作空间主要面向两类客户，一是三方运维人员，在进行日常的平台维护时需要进入到临时性工作平台中访问业务系统，无论是主机访问、业务系统测试、代码开发、升级测试等，都限制在零信任空间内，做到数据不出网、流量不出网；二是办公人员，日常的业务操作都在零信任空间内完成，实现对敏感数据的安全管控。

数据安全能力很好地解决了现有DLP设备的不足，DLP更多是通过正则表达式匹配文件是否有敏感数据，对终端性能消耗大，安全工作空间则提供了一种更轻量化的数据管控能力。同时，安全工作空间还提供离线空间方式，如果用户因为网络质量等原因失去与服务端的交互，会自动切换到离线空间，仍然可以完成文件编译、代码编辑以及基本的办公操作，所有本地化数据都会完好保存，提升用户远程访问的便捷性。

（6）业务安全：应用隐身、收敛暴露面

A运营商资产暴露面多，尤其需要在不影响业务正常访问的前提下做好暴露面收敛和应用安全防护，SDP框架具有SPA单包授权能力，可以解决A运营商的痛点。

A运营商的防火墙上有上万条静态ACL策略，维护成本非常高，无法实现精细化的权限控制，SPA可以创建基于用户账号和设备指纹的动态ACL能力，安全性更高，配置灵活且采用软件定义ACL的方式，按需创建，自动回收，可以避免繁杂的维护工作量，同时，SPA基于应用层面生成，可以契合业务的安全管理。

（7）权限智能学习：用户权限智能梳理能力

用户的身份和权限都是通过4A平台获取，如果4A接口未提供用户的权限，则会缺少安全策略。通过权限智能学习能力对终端全流量分析，基于协议分析出应用访问流量和运维流量及其他流量，根据分析结果对用户进行授权管理，结合静态授权机制，对用户访问行为进行全面的精细化访问控制。

03

价值与效果 

零信任项目上线后，为A运营商带来如下四方面的价值与效果：

第一，提升业务防护能力，应对实时风险。业务全面隐藏，避免非法访问，100%隐藏业务端口，杜绝嗅探、杜绝嗅探、越权访问等行为，内网纵深防御能力敏感系统100%覆盖。

第二，提升终端风险感知及处理能力。强化终端安全管理能力，全省办公终端实现100%安全接入；构建省内零信任安全接入能力，零信任接入能力覆盖率100%。

第三，实现自动管理，降低管理维护成本。打通4A系统身份管理，实现基于零信任的动态细粒度授权管理及自适应身份认证；实现从终端、访问行为、安全处置的检测响应时间缩短约30%。

第四，敏感业务数据全流程防护。基于安全工作空间的数据安全管控技术，实现办公环境和个人环境的隔离；与金库4A审计对接，敏感数据全流程防护，实现数据全生命周期管控。

零信任体系帮助A运营商将原本独立、割裂的安全能力进行体系化串联，涵盖身份、终端、数据、业务等各个方面的安全能力，实现：

• 重构边界，以访问主体为基石，构建包含用户身份及安全终端的逻辑边界；

• 终端管控，实现全网终端资产管理，终端安全态势可见，威胁可感知、可响应；

• 身份安全，具备融合4A多因子认证能力，综合研判确保用户身份可信；

• 数据隔离，轻量化实现公私数据隔离，实现业务准入到数据准入；

• 联防联动，具备基于零信任体系的全网威胁发现及处置能力。

在原有4A访问安全能力的基础上，零信任改变原有的静态认证和静态的权限控制方法，构建以“人+设备+环境”的动态认证和授权体系，提升业务侧的安全接入访问能力，从多因子登录4A到网络隐藏，从细颗粒度授权到动态授权，从敏感/高危操作金库审计到文件隔离，从用户行为审计到实时行为分析。

04

经验借鉴 

A运营商零信任项目落地的关键成功要素有4点：

第一，零信任项目涉及的角色较多，沟通协调难度大，A运营商为零信任项目成立专门的项目小组以提升协作效率，包含安全组、网络组、主机组、业务组及供应商成员，对用户组网、业务流程进行多次调研和访谈，深入了解业务流程；

第二，从实际的业务现状出发，结合业务场景和风险等级提出建设优先级，分步建设，阶段性获得公司高层的认可，进一步推动业务部门的配合度；

第三，提升零信任产品的易用性，如网络层面引导至零信任客户端下载页面、首次安装后的功能引导、维护好FAQ手册等，帮助用户更好的学习和使用零信任产品；

第四，采用全流量代理方案，自学习用户常访问的业务流量，基于此补充用户访问权限。