零信任落地启示录丨数字化转型安全问题「一锅端」!中信建投证券迈出这一步-凯发登录

凯发登录-凯发注册网站
案例中心
案例中心  >  零信任落地启示录丨数字化转型安全问题「一锅端」!中信建投证券迈出这一步
零信任落地启示录丨数字化转型安全问题「一锅端」!中信建投证券迈出这一步
2023-02-23 14:48:30
点赞
分享

在数字化转型背景下,作为行业头部企业,中信建投证券以数据为驱动,为用户提供智能化高质量服务,业务场景不断丰富。同时,信息安全工作迎来了新的挑战。

为拓展客户,一线营销人员上门服务,随时随地为客户提供优质服务。这就导致部分系统直接暴露在互联网,各类数据在用户、设备、业务之间流动,带来访问安全问题

基于“研运一体化平台与标准”,中信建投证券持续加大自研投入,其中开发测试场景丰富,重要性不言而喻。

考虑到业务属性,开发测试相关系统要通过互联网进行访问测试,因此需要将系统直接暴露在互联网上,且由于外协人员稳定性差、流动率高、安全意识不足,导致测试业务安全风险剧增

即使对内部员工进行多次安全意识培训,在每季度的“钓鱼”演练,总有终端被攻陷


最重要的是,大量业务系统涉及用户敏感信息,在国家和行业对数据安全及个人信息保护的强力监管下,中信建投证券投入大量精力解决数据泄露问题,工作量巨大。


如何“一锅端”解决这些问题?

01

“压倒骆驼最后一根稻草”

开发测试环境一个弱口令漏洞

2021年某天,中信建投证券安全人员从互联网扫描发现,开发测试环境下存在一个弱口令漏洞。

经排查,该漏洞源自暴露在公网上的一个服务。而此服务是经过严格审批、规范流程进行对外开放,目的是方便厂商进行测试。

综合考虑运维人员管理、建设成本、建设周期、建设效果等因素,中信建投证券决定构建零信任安全架构,从收敛开发测试环境的互联网暴露面入手。


02

先行保护开发测试场景

构建高可用、可演进零信任架构

零信任架构明确“用户-业务”的访问全流程,将形成“用户-终端-连接-权限-数据-行为”的可信“信息流”。

而这套零信任架构,如何匹配业务长期发展?

根据实际业务场景,开发测试环境安全是“燃眉之急”。

中信建投证券携手深信服,规划了高可用、可演进、易落地的零信任方案架构和阶段建设。

为了保障业务的持续运转,结合中信建投证券在北京、上海分别建设了多个开发测试环境,整体方案架构考虑高可用设计

1. 所有本地集群由至少2台设备组成,并可横向扩展。

2. 北京、上海控制器集群,在本地集群基础上组成异地分布式集群。

阶段一:高风险场景先行保护

1.针对移动端的接入安全,将多个办公app合并为一个,同时在办公app中嵌入零信任sdk包,收敛业务暴露面,解决自研办公app的认证漏洞和数据泄露问题。

2. 针对外包人员访问开发测试业务场景,通过零信任atrust进行访问控制,基于双因素认证和动态访问控制策略,实时验证接入人员身份;

认证成功后,所有开发测试工作均需要在安全沙箱中进行,通过沙箱提供的文件和网络隔离控制、防截屏等能力,重建数据安全边界,防止代码泄露,领先威胁一步。

阶段二:取消远程办公类系统的互联网入口

1.全面建设零信任架构,13000 员工随时随地通过零信任atrust进行远程办公

2. 考虑到业务连续性,将零信任架构持续拓展到生产区和灾备区,实施分布式集群部署,实现数据中心级别业务访问高可用

阶段三:结合数据资产信息,提升安全运营能力

1. 结合数据中台,对全网系统数据资产进行细粒度梳理,将零信任的管控能力细化到数据层面

2. 可视化展现办公用户人数、时长、权限,识别异常登录和异常访问行为,让办公安全可视可控可评价

3. 增强访问行为分析和持续信任评估能力,基于风险构建自动化处置,有效阻断潜在威胁。

“目前我们零信任落地,基本没有改动原有网络架构,通过sdp软件定义边界技术架构,融合终端安全沙箱的技术,同时满足安全接入和终端数据安全,改造管理成本非常低。”


03

不留门缝的安全效果

零存在感的安全体验

安全效果,不留“门缝”。

中信建投证券零信任安全架构,不仅实现了业务暴露面收缩,而且还使用了spa单包授权技术,通过udp tcp双重敲门机制,实现了零信任设备自身的“网络隐身”,攻击者也难以对零信任系统自身发起有效攻击。

零信任atrust可实时动态监测用户身份、终端环境、用户行为,并以此为基础,对用户的访问权限进行动态控制,有效保障开发测试环境的访问安全。

安全体验,零存在感。

“我们期望在推广过程中的阻力更小,一定要保障用户访问体验,特别是在移动办公场景。”

现在员工只需要通过一个办公app认证登录,在里面嵌入零信任访问认证和安全防护能力。对于员工来说,没有改变任何使用习惯。

此外,整个开发测试环境默认开启沙箱,引导员工养成使用习惯。“个别系统涉及大量附件下载,这套零信任体系也支持非沙箱业务的切换,非常灵活。”

对于开发测试人员来说,新业务、新应用发布将更加轻松,上线即可使用;风险研判、故障诊断和异常恢复等操作也更加简单。

这只是深信服零信任为中信建投证券“安全纾困”的第一步。

短短三年间,像中信建投证券等头部金融证券企业纷纷进行数字化转型,都选择深信服零信任作为安全底座。

稳步推进零信任落地,构建数字化转型安全底座,深信服致力于每一位用户“安全领先一步”。

网站地图