中文
在数字化转型背景下,作为行业头部企业,中信建投证券以数据为驱动,为用户提供智能化高质量服务,业务场景不断丰富。同时,信息安全工作迎来了新的挑战。
为拓展客户,一线营销人员上门服务,随时随地为客户提供优质服务。这就导致部分系统直接暴露在互联网,各类数据在用户、设备、业务之间流动,带来访问安全问题。
基于“研运一体化平台与标准”,中信建投证券持续加大自研投入,其中开发测试场景丰富,重要性不言而喻。
考虑到业务属性,开发测试相关系统要通过互联网进行访问测试,因此需要将系统直接暴露在互联网上,且由于外协人员稳定性差、流动率高、安全意识不足,导致测试业务安全风险剧增。
即使对内部员工进行多次安全意识培训,在每季度的“钓鱼”演练,总有终端被攻陷。
最重要的是,大量业务系统涉及用户敏感信息,在国家和行业对数据安全及个人信息保护的强力监管下,中信建投证券投入大量精力解决数据泄露问题,工作量巨大。
如何“一锅端”解决这些问题?
01
“压倒骆驼最后一根稻草”
开发测试环境一个弱口令漏洞
2021年某天,中信建投证券安全人员从互联网扫描发现,开发测试环境下存在一个弱口令漏洞。
经排查,该漏洞源自暴露在公网上的一个服务。而此服务是经过严格审批、规范流程进行对外开放,目的是方便厂商进行测试。
综合考虑运维人员管理、建设成本、建设周期、建设效果等因素,中信建投证券决定构建零信任安全架构,从收敛开发测试环境的互联网暴露面入手。
02
先行保护开发测试场景
构建高可用、可演进零信任架构
零信任架构明确“用户-业务”的访问全流程,将形成“用户-终端-连接-权限-数据-行为”的可信“信息流”。
而这套零信任架构,如何匹配业务长期发展?
根据实际业务场景,开发测试环境安全是“燃眉之急”。
中信建投证券携手深信服,规划了高可用、可演进、易落地的零信任方案架构和阶段建设。
为了保障业务的持续运转,结合中信建投证券在北京、上海分别建设了多个开发测试环境,整体方案架构考虑高可用设计:
1. 所有本地集群由至少2台设备组成,并可横向扩展。
2. 北京、上海控制器集群,在本地集群基础上组成异地分布式集群。
阶段一:高风险场景先行保护
1.针对移动端的接入安全,将多个办公app合并为一个,同时在办公app中嵌入零信任sdk包,收敛业务暴露面,解决自研办公app的认证漏洞和数据泄露问题。
2. 针对外包人员访问开发测试业务场景,通过零信任atrust进行访问控制,基于双因素认证和动态访问控制策略,实时验证接入人员身份;
认证成功后,所有开发测试工作均需要在安全沙箱中进行,通过沙箱提供的文件和网络隔离控制、防截屏等能力,重建数据安全边界,防止代码泄露,领先威胁一步。
阶段二:取消远程办公类系统的互联网入口
1.全面建设零信任架构,13000 员工随时随地通过零信任atrust进行远程办公。
2. 考虑到业务连续性,将零信任架构持续拓展到生产区和灾备区,实施分布式集群部署,实现数据中心级别业务访问高可用。
阶段三:结合数据资产信息,提升安全运营能力
1. 结合数据中台,对全网系统数据资产进行细粒度梳理,将零信任的管控能力细化到数据层面。
2. 可视化展现办公用户人数、时长、权限,识别异常登录和异常访问行为,让办公安全可视可控可评价。
3. 增强访问行为分析和持续信任评估能力,基于风险构建自动化处置,有效阻断潜在威胁。
“目前我们零信任落地,基本没有改动原有网络架构,通过sdp软件定义边界技术架构,融合终端安全沙箱的技术,同时满足安全接入和终端数据安全,改造管理成本非常低。”
03
不留门缝的安全效果
零存在感的安全体验
安全效果,不留“门缝”。
中信建投证券零信任安全架构,不仅实现了业务暴露面收缩,而且还使用了spa单包授权技术,通过udp tcp双重敲门机制,实现了零信任设备自身的“网络隐身”,攻击者也难以对零信任系统自身发起有效攻击。
零信任atrust可实时动态监测用户身份、终端环境、用户行为,并以此为基础,对用户的访问权限进行动态控制,有效保障开发测试环境的访问安全。
安全体验,零存在感。
“我们期望在推广过程中的阻力更小,一定要保障用户访问体验,特别是在移动办公场景。”
现在员工只需要通过一个办公app认证登录,在里面嵌入零信任访问认证和安全防护能力。对于员工来说,没有改变任何使用习惯。
此外,整个开发测试环境默认开启沙箱,引导员工养成使用习惯。“个别系统涉及大量附件下载,这套零信任体系也支持非沙箱业务的切换,非常灵活。”
对于开发测试人员来说,新业务、新应用发布将更加轻松,上线即可使用;风险研判、故障诊断和异常恢复等操作也更加简单。
这只是深信服零信任为中信建投证券“安全纾困”的第一步。
短短三年间,像中信建投证券等头部金融证券企业纷纷进行数字化转型,都选择深信服零信任作为安全底座。
稳步推进零信任落地,构建数字化转型安全底座,深信服致力于每一位用户“安全领先一步”。