一、案例背景：

四川省峨眉山竹叶青茶业有限公司成立于1998年，是国家农业产业化重点龙头企业，多年专注于产品及品牌打造，使得竹叶青成为国内高端绿茶领导者，更是以茶行业唯一品牌入选《中国500最具价值品牌》。竹叶青营销网络遍布国内多个城市，直营门店达300多家，近年来企业内部信息化建设也一直在同步进行。自2007年起，竹叶青公司全权委托太清信息进行全面的信息化建设、网络安全建设、数字化转型搭建，随着这方面基础建设的完善，2021年太清信息与云山雾隐合作采用零信任相关技术为竹叶青公司提供信息化建设安全支撑服务，从边界安全、身份安全、数据安全、安全远程办公、安全运维等多个角度帮助竹叶青搭建基于零信任的安全防护体系。

二、案例概述：

竹叶青茶业作为全国大型茶叶生产和零售商，拥有健全的数字化营销体系，涉及系统多，其系统中有超过百万的会员信息，使用人员繁杂，终端复杂多样，遍布城市广，业务不仅对内也有一部分出口项目，易受疫情影响业务正常开展。
 

其内部架构总体上分为前端业务、后台系统、数字中台、数据服务及第三方应用等几个主要部分。前端业务应用包括导购小程序、会员小程序、消费者运营平台、全渠道运营平台。 后台系统服务提供支撑前端业务应用的后台服务，包括交易应用、会员应用、营销应用、和商城管理应用等。 业务中心包括基础数据中心、内容中心、用户中心、认证中心、会员中心、店铺中心、商品中心、库存中心、交易中心、支付中心、结算中心、营销中心、消息中心、调度中心。大数据服务包括标签中心、大数据底座、ELK等。第三方应用目前有管易OMS、管易WMS、思迅POS以及集客等。所有系统采用私有云、公有云混合部署模式。

在整个数字化建设过程中，乙方厂商从以下几方面为甲方提供了安全支撑，包括：

1) 主要防护主体为 SaaS网站和内部服务集群；

2) SaaS 网站部署在阿里云，启用阿里云盾(包括 WAF，DDoS 高防等);

3) SaaS 网站只对外开放 HTTPS 端口，只接受 HTTPS 访问请求；

4) 通过负载均衡和微服务体系，实现高可用和服务能力的水平扩展；

5) 使用端隐SDP，实现云端和本地的统一运维，保证权限可管控，操作可审计；

6) 数据库借助阿里云采用类似两地三中心灾备体系，只能内网访问；

7) 所有功能必须经过授权的 API 完成；

8) 重要应用(后台，中台等)只能通过端隐SDP安全浏览器进行访问, 通过类似于白名单的技术防止了DDoS及应用漏洞的威胁;

9) 敏感信息(如：客户账号、证件号码、手机号码、地址、密码)通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。主要从以下七方面着手：会话安全、网络安全、网络隔离、系统安全、数据安全、业务安全、运维安全；

10) 合规方面，所有信息系统及基建统一按照等保2.0 二级标准进行设计和建设。

三、安全技术应用情况：

1.边界安全：

1) 针对公网应用流量采用了SLB负载均衡服务作为入口以适用于高访问量的业务，提高应用程序的可用性和可靠性，同时加入阿里云DDoS高防及WAF安全防护；

2) 针对内部人员的流量采用了端隐SDP对内部重要资源进行端口隐身保护，防止外部攻击造成的核心数据泄漏；

3) 利用专有网络VPC对不同的专有网络进行彻底隔离，同时在每一个VPC下利用虚拟防火墙划分安全域，通过配置安全组规则，允许或禁止安全组内的ECS实例对公网或私网的访问；

4) 重点资产使用了端隐SDP的防火墙功能，基于SDP的白名单功能，让所有横向攻击无处施展。

2.系统及运维安全：

1) 将中心服务后台、第三方系统以及服务器等内部资源接入端隐SDP控制中心，访问终端部署端隐安全浏览器，通过端隐安全网关认证后对内部资源进行规定最小权限内的安全访问，解决远程办公及运维的需求；

2) 针对云上其他资源管理权限如负载均衡、CDN、VPC、弹性公网IP、云数据库、容器服务等搭建专门的资源访问管理RAM；

3) 特权账号管理通过端隐SDP对系统内所有访问人员及不同层级管理员的操作进行日志记录及审计，设置自动报警策略，做到实时监控和事故追溯；

4) 运维采用端隐SDP的远程桌面SSH审计功能保障核心系统运维和事件溯源。

3.数据安全：

1) 通过端隐SDP对访问过程中的数据传输过程进行双向TLS加密，保障数据传输安全；

2) 实施数据脱敏，实现敏感隐私数据的可靠保护，保障开发、测试、外包和其他非生产环境下安全地使用脱敏后的真实数据集；

3) 通过SDP安全浏览器的数字水印功能，对后台部分重要数据页面根据访问人员的身份进行数字水印处理，达到一定的数据防泄漏效果。

4.存储安全：

1) 提供磁盘快照功能以进行数据备份恢复；

2) 采用多副本实时同步备份模式，保障数据的可靠性和一致性；

3) 数据库备份：

a. 数据备份：每周必须选择两天及两天以上的备份周期和备份时间段来进行全量的常规物理备份。 另外，根据运维和开发需要，通过控制台随时发起全量的临时物理备份。

b. 日志备份：强制开启日志备份，保证恢复数据时能恢复到数据备份集所在的任意时间点。

c.  数据备份和日志备份使用相同的过期删除策略。根据合规要求将备份过期的天数设置为 7 到730 中的任何一个数字，从而删除较老的备份；

4) 从本地缓存扩展到分布式缓存， 由一个服务端实现管理和控制，多个客户端节点存储数据，提高数据的读取速率，支持动态扩展缓存节点，能够自动发现和切换故障节点并提供图形化的管理界面，方便部署和维护；

5) 智能化弹性可伸缩部署节点，满足不断增长的业务需要；

6) 借助阿里云实现高可用容灾架构。

5.身份安全：

IAM是数字化转型的必要条件，是组织信息化的顶层设计以及信息化管理的重要支撑部分。数字化转型需要一个更加灵活、易用、高扩展性的信息化平台载体，IAM有效将人员、组织、流程、数据等信息资产纳入数字共享生态系统，高效打通信息孤岛，提高效率，加强安全，降低成本，满足政策法规。

竹叶青茶业主要通过端隐SDP的IAM功能，对店铺运营人员、系统运维人员、第三方供应商等的身份进行了统一的管理。在确定身份的前提下，只对该身份开放对应有权限的应用。

6.安全服务：

1) 指派专业的安全团队强化技术人员专业技能培训，对关键岗位人员进行全面、严格的安全审查培训和安全意识培训；

2) 竹叶青内部有大量第三方应用和自研应用，而对使用的应用是否安全、应用的第三方供应链是否安全处于不可感知的情况。依托乙方云山雾隐的安全技术实力，定期对 竹叶青 所有应用系统进行安全检查，渗透测试最终形成安全报告。

四、反馈效果：

1.项目各功能模块按照DEV、SIT、UAT、PROD流程进行，很多问题或风险都能在SIT和UAT环节中发现并规避，有效降低项目风险；

2.端隐SDP的IAM 功能有效降低了内部账号生命周期管理的复杂度，其单点登陆功能增加了员工工作效率的同时又解决了之前常见的弱口令等问题；

3.端隐SDP的SPA 单包授权功能，有效解决了之前在公有云部署测试环境所产生的暴露问题，让测试系统只对内部相关工作人员可见；

4.面向公网及业务场景下的流量使用了SLB、WAF 等技术手段，防止了常规攻击情况下的业务中断；

5.两地三中心的灾备设计解决了在极端情况下关键业务数据丢失破坏的难题。

总结：竹叶青作为国内较早建设数字化转型的企业，经过多年的建设，在行业内达到了较高的信息化水平，结合云计算、企业互联网分层架构的思想，基于微服务设计，以中台服务共享为核心，采用传统安全解决方案及新兴零信任安全体系为防护支撑，实现为各个应用系统提供统一标准化的服务，从而驱动业务的敏捷发展，建设竹叶青全渠道融合和运营能力，提升公司业务运营效率，承载消费者的可持续经营。