首页>软件资讯>行业资讯

行业资讯

零信任落地启示录丨数字化转型安全问题「一锅端」!中信建投证券迈出这一步(深信服科技)

发布时间:2022-12-02 10:07:38人气:221

在数字化转型背景下,作为行业头部企业,中信建投证券以数据为驱动,为用户提供智能化高质量服务,业务场景不断丰富。同时,信息安全工作迎来了新的挑战。


1.png

为拓展客户,一线营销人员上门服务,随时随地为客户提供优质服务。这就导致部分系统直接暴露在互联网,各类数据在用户、设备、业务之间流动,带来访问安全问题。


2.png

基于“研运一体化平台与标准”,中信建投证券持续加大自研投入,其中开发测试场景丰富,重要性不言而喻。


考虑到业务属性,开发测试相关系统要通过互联网进行访问测试,因此需要将系统直接暴露在互联网上,且由于外协人员稳定性差、流动率高、安全意识不足,导致测试业务安全风险剧增。


3.png

即使对内部员工进行多次安全意识培训,在每季度的“钓鱼”演练,总有终端被攻陷。


最重要的是,大量业务系统涉及用户敏感信息,在国家和行业对数据安全及个人信息保护的强力监管下,中信建投证券投入大量精力解决数据泄露问题,工作量巨大。


如何“一锅端”解决这些问题?


01“压倒骆驼最后一根稻草”


开发测试环境一个弱口令漏洞


2021年某天,中信建投证券安全人员从互联网扫描发现,开发测试环境下存在一个弱口令漏洞。


经排查,该漏洞源自暴露在公网上的一个服务。而此服务是经过严格审批、规范流程进行对外开放,目的是方便厂商进行测试。


综合考虑运维人员管理、建设成本、建设周期、建设效果等因素,中信建投证券决定构建零信任安全架构,从收敛开发测试环境的互联网暴露面入手。


中信建投证券信息技术部安全管理组副总裁吴冰


在“落地有声·第二届零信任用户分享大会”解读


落地路径规划和方案架构


02先行保护开发测试场景


构建高可用、可演进零信任架构


零信任架构明确“用户-业务”的访问全流程,将形成“用户-终端-连接-权限-数据-行为”的可信“信息流”。


而这套零信任架构,如何匹配业务长期发展?


根据实际业务场景,开发测试环境安全是“燃眉之急”。


中信建投证券携手深信服,规划了高可用、可演进、易落地的零信任方案架构和阶段建设。


4.png

为了保障业务的持续运转,结合中信建投证券在北京、上海分别建设了多个开发测试环境,整体方案架构考虑高可用设计:

1. 所有本地集群由至少2台设备组成,并可横向扩展。


2. 北京、上海控制器集群,在本地集群基础上组成异地分布式集群。


5.png

阶段一:高风险场景先行保护


1.针对移动端的接入安全,将多个办公APP合并为一个,同时在办公APP中嵌入零信任SDK包,收敛业务暴露面,解决自研办公APP的认证漏洞和数据泄露问题。


2. 针对外包人员访问开发测试业务场景,通过零信任aTrust进行访问控制,基于双因素认证和动态访问控制策略,实时验证接入人员身份;


认证成功后,所有开发测试工作均需要在安全沙箱中进行,通过沙箱提供的文件和网络隔离控制、防截屏等能力,重建数据安全边界,防止代码泄露,领先威胁一步。


阶段二:取消远程办公类系统的互联网入口


1.全面建设零信任架构,13000+员工随时随地通过零信任aTrust进行远程办公。


2. 考虑到业务连续性,将零信任架构持续拓展到生产区和灾备区,实施分布式集群部署,实现数据中心级别业务访问高可用。


阶段三:结合数据资产信息,提升安全运营能力


1. 结合数据中台,对全网系统数据资产进行细粒度梳理,将零信任的管控能力细化到数据层面。


2. 可视化展现办公用户人数、时长、权限,识别异常登录和异常访问行为,让办公安全可视可控可评价。


3. 增强访问行为分析和持续信任评估能力,基于风险构建自动化处置,有效阻断潜在威胁。


“目前我们零信任落地,基本没有改动原有网络架构,通过SDP软件定义边界技术架构,融合终端安全沙箱的技术,同时满足安全接入和终端数据安全,改造管理成本非常低。”


03不留门缝的安全效果


零存在感的安全体验


安全效果,不留“门缝”。


中信建投证券零信任安全架构,不仅实现了业务暴露面收缩,而且还使用了SPA单包授权技术,通过UDP+TCP双重敲门机制,实现了零信任设备自身的“网络隐身”,攻击者也难以对零信任系统自身发起有效攻击。


零信任aTrust可实时动态监测用户身份、终端环境、用户行为,并以此为基础,对用户的访问权限进行动态控制,有效保障开发测试环境的访问安全。


安全体验,零存在感。


“我们期望在推广过程中的阻力更小,一定要保障用户访问体验,特别是在移动办公场景。”


现在员工只需要通过一个办公APP认证登录,在里面嵌入零信任访问认证和安全防护能力。对于员工来说,没有改变任何使用习惯。


此外,整个开发测试环境默认开启沙箱,引导员工养成使用习惯。“个别系统涉及大量附件下载,这套零信任体系也支持非沙箱业务的切换,非常灵活。”


对于开发测试人员来说,新业务、新应用发布将更加轻松,上线即可使用;风险研判、故障诊断和异常恢复等操作也更加简单。

6.png

这只是深信服零信任为中信建投证券“安全纾困”的第一步。


短短三年间,像中信建投证券等头部金融证券企业纷纷进行数字化转型,都选择深信服零信任作为安全底座。


稳步推进零信任落地,构建数字化转型安全底座,深信服致力于每一位用户“安全领先一步”。



上一条:erwin数据治理就绪的五大支柱:团队资源

下一条:联通数科、吉利汽车和迈瑞医疗荣获2022redhat红帽亚太创新奖