建设背景
随着我国数据安全法和个人信息保护法的实施,金融行业面临着日益严格的数据安全和个人隐私保护要求。金融机构需要加强数据安全管理、防止数据泄露和滥用,以保护客户个人信息和维护业务可持续发展。同时,金融行业标准和规范如《金融数据安全数据生命周期安全规范》(JR/T0223-2021)对数据安全管理提出了明确要求,要求金融机构对数据传输、使用、审计和溯源进行安全控制。此外,《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)等其他相关标准也对终端数据安全能力和用户管理提出了规范要求。
建设内容
基于上述背景,中原消费金融(以下简称“中原消金”)采取了构建“零信任”数据安全体系的目标,以应对来自监管合规、外部安全威胁等方面的挑战。该体系建设从SDP+IAM+MSG模型出发,旨在强调对网络、应用和数据的全面保护。传统的边界防御模型已经无法有效应对日益复杂和隐匿的数据安全威胁,因此“零信任”数据安全体系采用了“不信任,始终验证”的策略,将网络中的每个用户和设备都视为潜在的安全风险,需要经过身份验证和访问控制的双重验证才能获取授权访问。在本次实践中,主要的建设内容集中在SDP(边界访问控制)和IAM(身份和访问管理)两个方面。
SDP(Software-Defined Perimeter,软件定义边界)是“零信任”数据安全体系中的关键组成部分,用于实现边界访问控制和网络隔离。SDP基于“隐藏即安全”原则,通过创建安全隧道和应用层访问控制,确保只有经过身份验证和授权的用户能够访问内部应用和数据。
在本次实践中,SDP的建设着重解决以下问题:
终端安全准入能力:通过终端设备管理,确保只有合规且安全的设备能够接入网络,包括设备合规性评估、安全性检测等。
移动办公应用安全访问:通过EMM安全网关建设,为移动应用提供安全准入和安全隧道,保护敏感数据的传输和访问。
数据安全管理能力:利用安全沙箱技术,实现业务数据的保护和防泄漏措施,确保数据在传输和存储过程中的安全性。
整体安全防护能力:通过在网络边界部署SDP安全网关,建立安全隧道和访问控制,防止未经授权的访问和外部攻击。
IAM(Identity and Access Management,身份和访问管理)是“零信任”数据安全体系中另一个关键组成部分,用于建立统一的身份识别和访问控制机制。IAM致力于管理用户的身份信息、授权访问和权限分配,以确保合法用户的身份验证和授权访问。
在本次实践中,IAM的建设重点包括:
身份管理功能:实现从统一身份源将用户信息自动供应或同步至其他应用系统,确保用户信息的一致性和准确性。
身份认证及单点登录功能:支持多种认证方式,确保用户身份的安全认证,并提供单点登录的便利性和用户体验。
权限管理功能:提供细粒度的权限管理,将用户与角色关联,授予适当的访问权限,以实现安全的授权访问。
集中审计功能:记录用户的访问活动和权限变更,并生成审计报告,用于合规性审计和安全事件溯源。
通过IAM和SDP的建设,中原消金建立了全面的身份识别和访问控制机制,保护敏感数据和应用系统免受未经授权的访问和攻击,实现更高级别的数据安全和访问控制。
建设效果
办公网访问场景
办公网访问场景下,IAM提供基于B/S或C/S架构的统一认证交互,可通过IM移动办公软件扫码或多因子认证登录,IAM对接原有办公网可访问的应用业务系统,实现用户身份权限的鉴别,单点登录,用户访问等功能。当未认证用户访问原有业务系统登录地址时,将强制重定向至IAM统一认证门户。 |
非办公网或跨网应用访问场景
非办公网或者办公网下需访问内网应用时,需通过SDP安全网关控制平台和IAM平台进行统一的身份和权限认证,SDP同步对接IAM平台组织与人员信息,同时启用SPA(单包授权)和安全沙箱策略。访问用户需在满足身份和权限认证的条件后,才能建立起安全访问隧道。 |
IM移动办公场景
IM移动办公需要访问内网应用时,同样需要SDP安全网关控制平台和IAM平台进行统一的身份与权限认证,并通过移动端专用的EMM安全网关建立安全隧道。 |
建设价值
统一多安全级别的认证体系,实现用户访问应用的安全保障
通过建立动态的、基于身份的访问控制策略,将网络变得不可见和不可访问,从而有效降低潜在的攻击面。无论用户是位于企业内部还是外部,都需经过SDP系统的验证和授权后才能访问特定的内网资源。并且IAM系统为用户提供多种安全级别的认证方式,例如静态口令、动态令牌、手机令牌等,各应用系统可根据各自的安全强度要求选择相应的认证方式级别,以此来保障高安全级别业务系统的安全保护要求,构建统一的持续认证能力。
统一应用访问入口,实现用户方便快捷的应用访问
提供统一应用门户,将其作为应用访问的统一入口,通过各个应用系统与IAM系统进行单点登录对接,用户在IAM系统认证成功后便可以无感快速进入其有权访问的各类应用系统。较之前的应用访问方式大大提升用户的便利性和体验,避免多系统密码管理带来的烦恼和安全成本。
统一应用权限管理体系,实现基于身份的便捷化授权
拥有多种授权方式,满足各个应用系统权限集中管理,IAM可根据部门、人员、岗位、角色等身份属性赋予对应的权限,达到岗动权动,实时高效的最小化授权,降低权限申请人和应用管理人员的时间成本,降低岗权不匹配所导致的潜在业务风险。
建立完善的审计体系,实现以用户为基点的应用访问审计
对用户的应用访问权限进行集中管理,同时对用户的认证及用户的应用访问情况进行记录和审计,以此帮助管理人员快速了解企业内部应用体系的用户访问和使用情况,降低数据安全风险。
未来规划
“零信任”是基于“不信任、始终验证”的安全理念,将在未来的规划中得到更深入的应用。中原消金将进一步完善以IAM(身份和访问管理)、SDP(边界访问控制)和MSG(微隔离机制)为基础的“零信任”体系架构,用户在访问中原消金资源时,无论是在内部网络还是外部网络,都需要进行身份验证和访问授权,以减少潜在的安全风险。目前MSG的建设正在进行,计划通过SOAR(安全自动化与响应)和微隔离安全平台的结合,实现对数据中心内部流量精细化、动态化,细粒度的安全策略管理,对发现的安全风险快速、便捷的实现环境、域间以及端到端的隔离。中原消金“零信任”数据安全体系完整的规划架构图如下:
图:中原消金“零信任”数据安全体系建设规划架构
“零信任”数据安全体系通过严格的身份验证、细粒度的访问控制和统一的身份管理,帮助中原消金降低数据安全风险,提高数据的可管理性和合规性。未来的“零信任”数据安全体系将为中原消金业务发展提供重要支持。通过加强数据安全保护、提升员工工作效率和实现统一的安全架构,帮助中原消金在竞争激烈的市场中始终保持敏捷性和创新力,为客户提供安全可靠的产品和服务,支撑中原消金业务安全且持续的发展。
