2020BCS-北京网络安全大会：零信任之路-零信任工程之规划、场景化构建与项目管理.pdf

1、2020北京网络安全大会2020.BEIJING CYBER SECURITY CONFERENCEPERCONNRiSKENCEMANAGEME零信任之路零信任工程之规划、场景化构建与项目管理2GDPR LEARNINGSUPPLY CHAINTRUJFORMWORLDA户GENDPOINT SE张泽洲BEHAVIORAL ANALHUMAN PF奇安信身份安全事业部BEHAVIORALANALRESPONSETECHNOLOGY#page#2020北京网络安全大会数字化时代企业IT架构进入无边界时代020BJIN安安8个样任意应用任意终端任意位置任意位置83店开放协同任意人员敏捷流动任意物

2、#page#2020北京网络安全大会IT无边界化，换个视角看安全挑战0200C1JI开放应用大增，业务暴露面增加基于API、1OT的新型业务暴露面云服务基础设施漏洞超出企业控制范围边界网关被攻破、渗透、横移资产弱密码、密码爆破访问控制粒度过粗身份溢用角色和策略爆炸权限身份BYOD设备缺乏控管内部合法用户恶意温用权限外部用户身份缺乏管控静态权限难以应对动态风险内外部威助愈演愈烈仅仅依靠边界防护难以应对身份、权限、系统漏洞等维度的攻击向量安全架构亚需升级！#page#2020北京网络安全大会零信任：无边界时代的安全架构0200C1JI安全假设OREILLY网络始终充满威胁；手国谐内外部威胁无所不在

3、；仅仅通过网络位置来评估信任是不够的。目标：在不可信的网络中构建安全系统零信任网络方法：在不可信网络中构建安全系统将安全措施从网络转移到具体的人员、设备和业务资产在边界安全之上叠加基于身份的逻辑边界；其本质是基于身份的、细粒度的动态访问控制机制1对所有设备、用户和网络流量进行身份认证、授权和加密。AOA图访问控制策略应该是动态的，基于尽可能多的数据源计算算出来。#page#2020北京网络安全大会零信任参考架构020001J1功能级诚问控应用可信控制平面任意人/物人员身份数据服务持续信任评估动态访问控制十云平台可信代理设备身份可悦任意设备运维数据平面代理基础设施任意时间续地点、场景佑以身份为基

4、石业务安全访问持续信任评估动态访问控制1为人和设备赋予数字身份全场景业务隐藏基于身份的信任评估基于属性的访问控制基线全流量加密代理基于环境的风险判定基于信任等级的分级访问为数字身份构建访问主体全业务强制授权基于行为的异常发现为访问主体设定最小权限基于风险感知的动态权限#page#2020北京网络安全大会零信任价值主张020001J1大量的少量的动态的静态的虚拟的物理的身份安全边界网络安全边界内网办公区将零信任身份安全能力内嵌入业务应用体系，构建全场景身份安全边界，升级企业安全架构。业务支撑架构升级运营增效合规保障口284支撑数字业务开展全场景统一安全架构全面身份化管理以数字资产为中心保障全新技

5、术平台多维度持续信任评估集中式策略治理全场景访问看得见1提升业务使用体验1近实时风险响应闭环管理治理自动化1持续合规检测调整#page#2020北京网络安全大会零信任广受认可，走向全面落地020001J1车零信任架构是一种端到的网络安全体系，包含身份、凭据访问管理、操作、终端、托管环境与关联基础设施。零信任零信任之路TBe Ret0Z架构提供了相关概念、思路和组件关系的集合，旨在消除在信息系统和服务中实施精准访问策略的不确定性品9.My2019美国国防创新委员会DIB：零信任之路新西生电的电考CLEAREO22019酱美国国防创新委员会DIB零信任架构建议NIST零信任架构草案工信部将“零信任

6、安全”列入需要着力突89破的网络安全关键技术奇安信牵头关于促进网络安全产业发展的指导意见信息安全技术零信任参考体系架构，（征求意见稿）在信安标委WG4工作组成功立项，这也是零信任的首个国家标准。没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。当前，各种形式的积权探索拟态防御、可信计算、零信任安全等网络安全新理念、新架构，推动网络安全理论和技术创新#page#2020北京网络安全大会零信任之路充满挑战0200CIJIN如何获得高层认可，推动零信任战略和工程？2如何评估和构建零信任能力体系？如何确定零信任建设的切入场景和roadmap？如何构建架构体系，聚合能力