零信任落地实践| 打造内外网一致的安全体验 助力银行业务流畅运行

深圳市联软科技股份有限公司
2024年10月15日

金融行业数字化转型和近年来全球疫情,让移动办公、远程办公成了常态化需求,在不同人员运用不同设备在不同地点混合办公的场景下,如何保障企业业务系统访问的安全性和流畅度,实现企业内部敏感数据落地闭环管理?

当前,某股份制商业银行使用的SSL VPN系统已进入软件生命末期,且不支持国密改造,对国产桌面操作系统不适配。

其次,产品整体安全性低。SSL VPN网关对外暴露访问入口,非管控设备和行外人员均可访问,存在被外部探测攻击风险;VPN代理终端全流量,设备一旦入网,恶意软件即可对网内系统进行内网扫描、探测、攻击等;VPN客户端无法对终端环境进行动态检测,对终端数据无防护能力。

用户体验欠佳。SSL VPN账号结合密码及短信验证码的身份认证流程显得繁琐复杂;其次,内外网的接入认证管理方式不统一,增加管理复杂度;更令人困扰的是,由于行内应用众多,却缺乏一个统一的访问入口,导致用户在访问多个系统时需要反复登录不同账号,极为不便;加之VPN系统时常出现异常掉线的情况,严重影响了用户的办公效率和体验。

系统运维复杂。VPN一体机形态,多套设备叠加部署在不同数据中心入口,无法构建统一接入平台对所有VPN设备进行统一管理;终端多客户端运行,占用过多设备性能,软件冲突问题增加运维压力。

该银行亟需新的网络安全模型应对日益复杂的网络环境和混合办公需求,实现内外网一致的安全与体验,保障安全合规,保护敏感数据,助力业务发展。

解决方案

为有效解决问题,该行采用了联软全网零信任解决方案,以“永不信任,始终验证”为核心,构建了全新的网络安全架构。方案融合了SDP软件定义边界、EPP端点安全和数据安全等功能,通过一体化客户端,实现网络和业务应用的统一接入和访问。


/ueditor/image/20241015/1728977521343451/f63c156b823042d382601a005da4337d.png

▲该银行全网零信任系统部署架构


1智能化认证,内外网无缝切换接入

该方案的一大亮点在于其自动感知位置触发认证流程的机制。当用户发起接入请求时,一体化客户端自动判断终端所处环境,在行内则发起802.1x接入认证,在行外则发起SDP接入认证。认证流程结合终端安全检查,实现信任等级评估,获取网络和业务应用动态访问权限。这种智能化的认证方式,让员工无需手动切换网络环境,实现了内外网的无缝衔接,极大提升了混合办公场景下的业务效率。

2零信任理念,强化安全防护

该行全网零信任方案采用多重安全技术,例如终端环境感知、细粒度访问控制、动态授权、SPA单包认证、终端防泄密和数字水印等,全方位保障网络和数据安全。SPA单包认证技术实现了网络及资源的“真隐身”,最大程度减少企业网络暴露面。应用级的安全加密传输隧道,国密算法加密,确保数据传输过程中的安全。持续的环境感知和动态授权机制,确保只有符合安全策略的设备和用户才能访问企业资源。安全沙箱、终端DLP数据防泄露、通道审计管控和水印等技术,则为企业数据提供了全生命周期安全防护。

3提升用户体验,简化运维管理

新的零信任安全体系不仅提升了安全性,也显著改善了用户体验。统一的访问入口和简化的认证流程,让员工告别繁琐的登录操作。同时,系统还提供了行内扫码和短信两种便捷的认证方式,进一步提升了用户体验。此外,该方案还简化了运维管理,策略统一配置下发,大大降低了IT部门的运维压力。

/ueditor/image/20241015/1728977480362268/241f6c493ecba8c07800362eb0031193.png

▲项目建设完成后,整体接入效果图


方案从可信身份、可信终端、可信接入、可信应用、可信数据等多方面实现全网零信任体系的落地。项目建设完成后,达成了无边界管理、零暴露面、应用隧道加密、多因素认证、终端环境感知、数据保护、精细化权限管理等多重安全目标以及对传统设备和信创设备的统一管理,有效提升了银行办公效率和安全性,为银行的数字化转型提供了坚实的安全保障。