招商证券零信任安全平台创新实践

文 / 招商证券股份有限公司系统运行部  黎杰松

随着国家持续加大对科技自主创新的支持力度，相关产业加速推广落地。截至2021年底，金融科技创新在操作系统、中间件、数据库、办公软件、网络安全、终端外设等多个环节均有实践落地的产品或解决方案。本文主要介绍了在自主创新环境下，招商证券基于零信任和软件定义边界SDP理念设计的远程办公安全平台——招商证券零信任安全平台，结合证券行业自身特点，具备较高安全级别，快速业务拓展等能力，助力企业远程安全办公。

2022年2月，中国人民银行、银保监会、证监会印发《金融标准化“十四五”发展规划》，规划提出要稳步推进金融科技标准建设，系统完善金融数据要素标准，健全金融信息基础设施标准，强化金融网络安全标准防护，推进金融业信息化核心技术安全可控标准建设。层层政策加持，让金融科技应用创新步入发展的快车道。截至2021年底，金融科技在操作系统、中间件、数据库、办公软件、网络安全、终端外设等多个环节均有实践落地的产品或解决方案。

随着国产产品的广泛应用，安全问题越来越不容忽视。终端也基本形成了统信、麒麟双生态。相对OS的统一，国产终端芯片面临多重架构带来的挑战，龙芯、兆芯、飞腾、海光、海思麒麟、申威百家争鸣，复杂的终端环境给终端安全带来了诸多挑战，零信任解决方案也面临同样的问题。

如何构筑零信任安全解决方案

零信任解决方案通常由端、网、控制中心三大部分组成。“端”指国产终端安装的零信任客户端或者发起零信任连接的终端应用；“网”指终端发起连接后承载流程转发的网络和设备；“控制中心”则指的是管理中心，实现管控分离。

终端是用户访问业务的载体，终端不安全，业务就会面临风险。因此，用户访问业务时，零信任平台需要持续对终端的安全状态进行收集和分析，阻止存在风险隐患的终端登录与访问业务。终端环境的可信判定需要融合安全基线核查、病毒与漏洞防护、网络安全接入、数据泄露防护等多种安全能力，比如存在关键系统漏洞，未安装防病毒软件，已经感染恶意代码、违规外联到非授信网络，安装了违规、非授信或仿冒的应用程序等，都被认作存在风险的终端，阻止其对业务系统的访问。评估是一个持续的过程，终端安全状态发生变化，管控策略也随之变化。

在国产终端下，“端”的问题尤为突出，“端”需要适配不同环境下的OS和芯片。OS和芯片在快速迭代，进度统一就会导致很多问题。因此我们需要一个更轻量、便捷的“端”内嵌OS或者应用层去解决生态和进度不统一的问题。同时轻量化的端又能具备大部分的终端安全能力，同时需要在满足管理和控制分离的原则上完成国产终端的接入适配。

零信任落地经验和未来趋势

谈落地之前我们先谈零信任建设与落地的难题。从2010年Forrester提出零信任概念，直到2020年NIST发布《零信任架构标准》正式版。至此，历经10年发展，零信任安全理念逐渐广泛地为人们所认知，而从实践观察来看，在实际建设中，仍然存在诸多难题。

第一，身份是零信任的基础，往往独立、割裂地存在于安全组件中，对身份的可信判定难以形成统一，因此对整体管控造成了麻烦。第二，安全风险的分析和策略生成点也往往是独立的，信息不互通，容易维度缺失，遗漏风险或以偏概全。第三，安全领域长期分布式发展，缺乏统一的规则，安全组件间的对接一直是难题，统一协同联动产生了阻碍。第四，安全策略没有随业务不断发展，适配变化的需求，零信任本身以“鉴白”为基础，适应业务发展的动态“白”规则，实现起来难度颇高。第五，业务是逐步发展的，因此零信任系统是可以持续成长和发展的，实际建设中，一旦业务发生变化或扩展，就要进行重新规划，难以平滑演进和动态生长，安全能力业务发展的节奏不相匹配。

上述难题基本上都不是某个单一功能性的问题，而是需要在零信任体系架构维度上进行思考和探索。

总体来看，未来能够有效落地的零信任体系，应该具备一种平台化的特征。具体来说，是将“管理平台”“安全组件”和“安全服务”进行有机的整合，灵活快速实现多场景下端到端的风险免疫能力，逐步构建安全风险管理的数字化能力，培育零信任架构下的生态共生文化。招商证券的零信任架构则是首先构建了部分安全组件和安全服务。

1.平台侧管理全局，承载分析研判。平台管理分散在终端、网络、主机等位置的安全组件，打通访问身份信息，生成和下发整体性访问控制策略，而非各个组件单打独斗，提升防护效果；平台对各个安全组件的进行统一的分析，生成整体性的业务和数据访问态势，以便进行权限的梳理、信任度的持续评估以及访问控制策略的优化，降低运维成本；平台通过开放API接口以及部分定制化接口，逐步实现与市场上主流的第三方端点防护产品、网关控制产品、安全分析产品的对接。对接尤为重要。

2.安全组件要求匹配多业务场景。PC办公、移动办公、分支接入、IoT、云数据中心、终端、OS、相关业务系统互访等不同人机交互，以及与机器交互等诸多业务场景，每个场景管控需求和技术要求有所差异，需要采用相匹配的安全管控组件；安全管控组件的安全能力能够按需选择与开启；各组件需要清晰定义各个访问控制组件的职责边界和接口规范，以便提高采集、分析、管控等各类组件的对接效率，减少资源浪费，降低总体成本。

3.服务需要以平台为基础，融合专业性的安全服务。零信任建设过程会遇到诸多技术性和非技术性问题，如身份对接、权限梳理、风险分析、问题处置等，有必要增加安全运营人员+自动化处理工具，通过线上线下相结合的方式，协助业务人员解决问题，降低零信任落地过程的落地难度；安全运营人员通过线上线下服务提供统一平台和透明窗口的抓手，实现风险可视、权限收敛与暴露面收缩以及提升在特定场景下关键风险的应急处置效率，逐步构建安全风险管理的数字化能力。

零信任的创新思路及解决方案

零信任以身份作为基石，贯穿用户、终端、应用、连接、权限、数据，实现正确的人（实体），利用可信的终端（设备），通过安全的通道，使用适当的权限，对业务访问进行有效控制，并对敏感的数据加以保护，最终构筑一条端到端业务信任链条。招商证券结合目前落地的零信任方案也规划一些创新方向。

1.零信任统一架构平台。平台构建身份层、分析层和控制层三个层次。身份层主要职责是进行身份认证和权限的统一管理，以及SSO单点登录等，主要部件就是4A，招证聚力移动办公等现网OA平台。分析层主要职责是通过多维度获取的信息进行信任的评估，比如终端检测响应、网络流量检测响应、行为分析都是这层的主要部件，而通过公开接口，现有的分析平台也对接进来。控制层主要职责是根据信任评估结果，生成动态访问控制策略，向分散各处的、各种类型的管控组件下发策略。

在平台的三个层面通过权限自动化、智能化的梳理，实现基于全局身份的跨场景认证校验和策略控制，联动现有安全网关设备，全场景API能力化。使用动静结合方式，让身份、环境、行为多源持续信任评估，动态调整访问权限，持续信任评估与运营优化，提升攻防对抗性，兼顾安全和体验，形成一套适合招商证券的基线。

2.基于“零信任”的数字化工作空间。通过零信任的云桌面、虚拟应用、沙箱解决远程办公带来的安全问题，同时构筑分级数据安全的体系。例如对于可信度较高的终端，使用零信任接入构筑办公空间。可信度一般的则使用零信任接入云桌面、虚拟应用构筑办公空间，可信度低的则使用沙箱+零信任接入云桌面、虚拟应用构筑办公空间，整个零信任数字化工作空间解决方案聚焦在：一是业务收缩保护，将业务完全隐藏在零信任系统之后；二是终端安全检测，保证只有安全的终端才能访问业务；三是数据泄密防护，通过安全客户端软件提供的虚拟数据沙箱进行保护，甚至有更高要求情况下，与桌面云协同，业务数据完全了不落地；四是业务体验优化，通过单点登录与自适应身份认证，找到安全与体验的平衡；五是联动现有的全网审计产品和防火墙等安全网关类设备，将原有的基于IP、MAC、设备属性等信息与统一身份进行关联打通，接收零信任控制中心的策略，对内部终端或用户的访问进行管控。

图  零信任统一平台

零信任落地建议

零信任建设应循序渐进，要与业务情况、风险发展相匹配。我们建议如下。

第一阶段，如果组织的业务存在较多通过互联网或广域网进行远程接入访问的情况，应优先考虑应用零信任的场景。通过零信任，收缩业务对外的暴露面，防止业务数据泄密。建设思路：身份体系建设优先，构建零信任基石；高风险访问场景优先，收缩业务暴露面；关注远程办公敏感数据泄露风险。

第二阶段，主要针对组织的业务在集中的内网以及分支机构接入访问的情况，可以将传统网络安全系统升级到零信任架构，内外网实现统一的访问控制机制，以及一致性的办公体验。建设思路：内网升级到零信任架构，基于身份化的ACL实现最小访问权限，保护内网安全；集成SDK或自研APP，落地移动智能终端接入办公的零信任；外网统一准入与访问控制，逐步走向全面零信任。

第三阶段，进一步扩展到组织数据中心内部的访问场景，主要是解决数据中心主机、虚拟机、容器、服务之间相互访问调用的安全访问控制问题。建设思路：构建数据中心东西向业务访问的零信任安全能力；通过微隔离组件实现业务流学习与精细化策略配；进一步增强安全能力，实现自适应安全、应对未知威胁。

结束语

2020年以来，招商证券为了解决远程办公带来的安全风险、业务连续性风险、涉密数据安全风险、用户隐私泄露风险、网络通信安全风险等问题，基于零信任和软件定义边界SDP理念设计的远程办公安全平台，并取得了一定的成果。在实际应用中运行状况良好，已承载了公司部分内部系统。疫情期间，该平台于初始的一周内紧急上线了27个内网系统，全面助力公司各条业务线展开远程办公，确保公司重要业务系统稳定运行。经实际检验，证明该平台在具备较高安全级别的情况下，具备快速业务拓展能力，同时兼容国产系统的使用。这与金融科技创新工作的重点不谋而合：以原有架构平滑地全面迁移到信息技术应用创新架构，并满足业务性能以及不断增长的需要，通过应用治理能力，无侵入式保障业务应用可靠运行。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。