登录
2021.11.26
2678
中孚信息股份有限公司
一、案例背景
随着互联网信息化的深入发展,完全孤立的物理网络已经很难满足各种复杂业务场景的需求。基于互联网使得用户随时随地能够接入办公内网,是现阶段企事业单位的办公模式发展趋势。尤其在移动办公成为必须的今天, 网络的物理边界会被彻底打破,为了解决应对外网设备的可信接入所带来的各种安全威胁与风险,企事业单位通常在网络边界的关键节点处部署安全边界防护设备来保护业务应用系统以及内网资源,例如VPN、防火墙、安全网关等。然而,现有的安全边界防护设备通常基于操作系统和各类第三方代码库,以实现复杂的数据审核、数据过滤等安全功能,达到保护内网资源的目的,但是安全边界防护设备自身的安全性却同样面临重要的安全挑战:
操作系统漏洞:现代操作系统自身非常复杂,存在大量已知和未知的0-day漏洞。目前大量的安全边界防护设备均在其自身运行的操作系统之上提供安全功能服务,存在恶意攻击者利用操作系统存在的漏洞,从而旁路安全功能、非授权访问内网资源的安全隐患。
第三方代码库缺陷:各类代码库出自不同编程人员,代码中可能存在各式各样已知和未知的缺陷。为了实现安全功能,安全边界防护设备往往需要依赖大量第三方代码库,存在恶意攻击者利用第三方代码库中代码的缺陷,对安全边界防护设备进行攻击,从而造成非授权访问内网资源的安全隐患。
零信任安全防护的内网办公解决方案架构图
二、案例概述
中孚零信任安全解决方案是基于零信任理念集终端安全、网络安全、应用安全、设备安全、数据安全的综合性解决方案,通过应用隐身技术,减少业务系统暴露面,降低网络攻击风险及威胁,通过多因子身份认证及动态策略管控实现对业务系统的细粒度访问控制,通过安全沙箱技术、保障终端数据的安全性,通过三区两通道的安全隔离模型,实现数据安全防护全覆盖。
三、安全技术应用情况
1.部署架构
本方案通过部署高保障可信接入网关(TNA Gateway)和TNA-BOX,实现了对内网业务应用的安全防护,减少了内网业务应用系统的暴露面,降低了被攻击的风险,同时通过建立安全隧道,保障了内网业务数据的安全。结合多因子身份认证和细粒度访问控制,规避了非授权用户访问内网应用的风险隐患。
2.安全功能
免疫现有一切网络攻击行为(零日攻击)
系统不安全的源头是因为信息系统的复杂性导致,要想系统安全可控,简单的原理、简单的实现方案、简单的测试审计流程是最基本要求。基于此,TNA-BOX的设计遵从了Less is more, less is security的基本理念,为了尽可能降低硬件代码量,提升本模块的安全性,提出了一种高效简洁的硬件设计方案,方案基于条件传送的设计思想,只需要不到500行的硬件逻辑代码即完成了硬件认证功能,极大的保证了系统的可用性和稳定性。同时,由于硬件代码量极低,使得对硬件代码的安全审计变得简单可行,极大地提升了网关自身的安全性。本网关所采用的至简的安全原理和硬件设计,彻底解决了边界安全防护设备目前面临的各种安全风险,不仅免疫了目前所有的软件层面的各种攻击,而且也免疫了硬件本身供应链不安全导致的攻击。
高性能的加密算法
TNA-BOX使用了国产密码算法完成数据的加解密和完整性校验。使用先进的密码算法硬件设计思路,大幅提高了网络数据的加解密性能,有效支撑了TNA-Gateway线速无延时的加解密网络数据流。
细粒度的访问控制
粒度最细,手段最为严格. 整个方案中,访问控制的粒度是网络数据包级别的检查(网络中最小的原子就是数据包),保证只有合法的数据包才能穿越TNA-Gateway,同时通过TNA-Gateway可以制定细粒度的用户对资源的访问控制策略,防止用户越权对资源的访问。
高效性的安全预警
因为本方案中内部采用白名单的网络流机制,如果发现报警,可以迅速定位并隔离出问题的终端主机,提高问题处理能力。
四、客户反馈效果
通过本方案的部署实施,不仅为企业的内网安全防护提供了最佳实践,同时满足了领导放心、运维省心、用户舒心的原则。
1.领导放心
身份可管可控
设备安全可信
行为清晰可查
资产泄露可追溯
2.运维省心
实施部署灵活
策略配置便捷
权限管理清晰
3.用户舒心
随时随地便捷办公
安全用户无感接入
一站式访问
单点登录
手机:19925407556
邮箱:info@c-csa.cn