一、案例背景：

随着云应用、移动互联网、物联网、5G、人工智能 等技术的兴起及应用，推动我国数字经济发展进入快车道，数字经济的快速发展全面且持续的改善着人们工作和生活。金融行业成为最先将关键业务依托于互联网开展的行业，IT 环境呈现多样化趋势，同时也带来了更多的新型安全风险，需要融合新的技术，提升金融行业整体的安全防护能力和持续保障其业务系统稳定运行。
 

根据公安部研究制定的《贯彻落实网络安全等保制度和关保制度的指导意见》，明确指出网络安全工作“三化六防”的措施，即实战化、体系化、常态化的思路，以及动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的措施。经实践证明，网络安全保护已全面进入实战化阶段，同时《中华人民共和国网络安全法》中明确要求了，关键信息基础设施的运营者需定期进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力，所以攻防演练目前已经成为企业检验安全防护能力的最有效途径。
 

虽然网络安全经过多年的建设已逐渐全面，但仍不可避免的会被黑客攻破，主要是因为用户仍然采用传统边界防护理念，即垒高墙和区域隔离的模式，根据各区域的安全级别不同，在安全区域之间部署防火墙、IPS、防毒墙、WAF等安全防护设备，以此应对外界攻击。而传统边界防护理念最大的弊端是防外不防内，用户通过账号登陆即默认可信，对边界内用户的操作不做过多的异常行为监测，造成安全区域内部过度信任的问题。假设账号是攻击者通过口令爆破或者社工获取，即可通过合理的身份进行非法操作；同时因为缺少来自客户端的安全信息，对威胁的安全分析不够全面，所以成了边界安全理念的脆弱点。
 

基于目前网络发展的需求，零信任将成为未来网络安全的主流架构，企业 IT 安全建设的必然选择。零信任安全理念解决了区域和信任的绑定关系，用户的访问权限不再受到网络区域的限制，访问前需要经过身份认证和授权，而身份认证不再仅仅针对用户，还将对用户所持客户端进行安全校验，并且在访问过程中进行用户画像和持续性风险评估，对访问进行动态、细粒度的授权，同时采用最小授权原则，可以有效防御黑客的入侵以及0day攻击。

二、案例概述：

芯盾时代解决方案打破传统以网络边界为信任的条件，以零信任安全理念出发，从身份、设备、行为等维度展开全方位防护，对企业内、外部的所有访问重新进行信任评估和动态访问控制，针对所有访问企业资源的请求，进行认证、授权和加密，对用户和使用设备进行全面验证，同时可以对每一次访问请求进行实时的风险评估。

芯盾时代攻防演练方案基于零信任安全理念，提供覆盖事前、事中、事后的场景化全流程业务安全防护。

1、事前检测

攻防演练中首先要对企业资产进行盘查，建立完善的资产台账，进而对资产配备相应的防护手段。而当前绝大多数企业存在对自身企业资产画像不清晰、威胁响应不及时和管理制度不完善等问题，没有能够真正将资产和威胁管理起来。在攻防演练中，部分遗漏、未被安全管理、未及时下线的系统，由于存在安全漏洞并缺乏相应的安全防护策略会被攻击者找到和利用。
 

数字资产在线发现系统
 

芯盾时代数字资产在线发现系统以数字资产（IT资产、应用资产、数据资产、代码资产等数字资产）为核心，帮助用户梳理企业内外网的数字资产情况，并对企业数字资产主动威胁检测，结合威胁情报对企业威胁（主机漏洞、web漏洞、0day漏洞、弱口令、代码泄露、APP威胁）进行跟踪和管理，将威胁和业务以及负责人关联起来，并在长期威胁检测和复查的基础上，对威胁的解决时间和结果进行跟踪，真正起到资产盘查和威胁发现的作用。 

2、事中防护

2.1、双因素认证

攻击者在攻击过程中利用当前大部分单位应用系统、服务器或网络设备的弱口令、单因素认证、特权账号共享等问题，通过账号密码登录应用系统、服务器或网络设备，再进一步提权拿下目标系统。

芯盾时代双因素认证产品通过移动双因素认证技术和认证代理技术，在原系统用户名密码认证基础上，快捷实现二次认证、双因素认证、认证策略控制，对业务系统、服务器、网络设备的访问登录进行二次认证，大幅提升系统认证安全性，可有效避免因弱口令、密码管理不当、源代码管理不当（源代码中含有系统管理员账户密码）带来的系统被盗而导致的失分。
 

2.2、资源隐藏

对于各类数字资产的管理方面，芯盾时代零信任业务安全平台SDP能够实现后端业务以及网关自身的隐藏，使攻击者获取不到后端服务器的信息，失去攻击方向，有效减少暴露面并且削弱DDoS攻击；采用UDP建立连接的方式，只对授权客户端进行响应，可以有效阻止攻击和扫描，待通信成功建立后再采用TCP协议通信，确保用户身份的安全性，实现网关、业务的隐身，解决TCP连接时存在的攻击风险。

零信任安全平台

芯盾时代SDP分为三大平面：

管理平面：对零信任安全网关进行配置管理及可视化展示；

数据平面：通过各类安全组件对访问主体与客体的身份和环境进行管控；

控制平面：将风险信息输入到控制平面，为持续信任计算引擎和动态访问控制引擎提供依据。

目前芯盾时代零信任产品已经集成了SDP和增强型IAM两大技术，并且和微隔离可以进行很好地互动，感知东西向流量的风险，主要呈现：全平台覆盖、全架构应用支持、全协议代理、全链路安全、全流量解析等功能特点。

3、事后总结

攻防演练是为了更好的进行安全防护。在实战工作完成后，芯盾时代协助用户进行充分、全面的复盘分析，总结经验、教训，包括工作方案、组织管理、工作启动会、系统资产梳理、安全自查及优化、基础安全监测与防护设备的部署、安全意识、应急预案及演练和注意事项等方面。
 

芯盾时代可为用户提供合理可行的安全整改建议，达到整改安全漏洞隐患，完善安全防护措施，优化安全策略，强化人员队伍技术能力，有效提升整体网络安全防护水平的目的。

三、安全技术应用情况：

l加强网络纵深防护能力，有效解决因弱口令、账号泄露导致的入侵行为；

l通过SPA协议将网关和业务服务及端口实现隐身，对暴露的API接口进行管理，有效收敛暴露面，避免遭受DDoS攻击；

l关联态势感知、UEBA、威胁情报等安全数据源进行大数据分析，洞察风险态势，根据态势变化动态调整安全策略，支撑持续运营;

l提供应用级/功能级/数据级/API级的访问控制，授予访问主体最小访问权限，防止权限过大造成的安全风险。
 

四、客户反馈效果：

贵公司参与的攻防演练项目，已在我机构全面上线推广，系统稳定运行，性能优越，在攻防演练时为我机构提供资源隐藏等防御手段，在本次攻防演练中我行0失分，达到最优，特此感谢芯盾时代团队，希望在今后的工作中继续发挥善打硬仗、胜仗的作风，保持高水准的业务服务水平，希望与贵公司继续保持长期良好的合作关系。