“坚定不移把数字化改革作为全面深化改革的总抓手,有力推动省域治理质量变革、效率变革、动力变革。”在2022浙江省政府工作报告中,数字化改革被多次提及。
可以说,2022年是浙江实现数字化改革“一年出成果、两年大变样、五年新飞跃”战略目标的关键之年。数字化改革不仅仅在于“庙堂”,广大的地级市、县域、乡村等等,数字化改革都在持续深入推进,全面铺开。
图 绍兴市“公共数据开放平台”
“公共数据平台”
成为绍兴数字化改革基石
安全升级:
从关注边界防护到聚焦数据安全
图 绍兴市“公共数据平台”安全体系
前几年,绍兴市以安全合规为驱动,并按照等保规范(等保1.0)构建了“一个中心、三重防护”的安全防护体系,但随着等级保护2.0规范发布,以及到“公共数据平台”建设中大数据的快速发展,显然,传统的安全防护措施已不能满足“公共数据平台”新环境、新场景的要求,具体表现在以下几个方面:
首先是网络风险隐患增多,敏感数据更容易外泄。
其次是业务安全措施匮乏,需引进先进的安全架构。
第三是产品堆砌现状亟待改变,建设体系化安全解决方案势在必行。
全面认证、动态授信
落地以身份为基石的零信任架构
图 零信任安全体系整体能力架构
首先是把好第一道关,通过持续的身份认证,确保每一个接入“公共数据平台”的人员和设备都是安全可信。
绍兴市“公共数据平台”接入人员、设备和应用多,分布范围广,把好第一道安全关口就显得至关重要。通过“零信任”架构的身份认证,拒绝未通过认证的任何人员或实体设备接入“公共数据平台”业务体系,实现统一、精细化的身份认证与管理。
同时,新平台可根据数据的敏感程度和重要程度,结合访问行为分析以及访问设备环境状态,给各类人员细粒度的动态授权,在不影响业务效率的前提下,确保数据访问权限最小化原则。
图 零信任动态可信访问控制界面
其次就是云平台外(用户接入区)和云平台(数据中心)内部部署零信任动态访问控制安全体系,实现“内外兼防。”
全球数据泄露报告曾显示,内部威胁正成为数据安全的最大风险之一。因此,在云平台外,零信任访问控制平台会对接入区的人员、设备身份进行验证,确保每一个接入都是安全可信。
在云平台内,零信任访问控制平台将业务行为作为持续监控的对象,通过细粒度以及动态化的授权方式,对异常流量及操作实现阻断,层层保障数据中心内主机访问的安全性,从而达到云内、云外环境下人、设备、数据的全面安全。
最后是基于零信任架构,为构建云、网、端纵深安全防护体系奠定基础。
目前,云平台厂商和云安全厂商独立分建,相互制约,共同维护。通过以零信任动态业务安全体系为基础,建设以大数据分析为驱动的智能化安全运营机制,被动防御与主动防御体系有机运转结合,形成跨终端、跨网络、跨平台的检测、预警、防护、响应一体的云、网、端纵深安全防护体系。
不过,作为代表国际主流方向的安全理念和策略,零信任在落地实施中,并非一帆风顺。由于零信任架构需要与业务紧密联动,因此该项目是网络安全和IT、业务和监管等部门结合最深度、配合最紧密的项目,在落地实施中,会遇到业务和安全逻辑重构,甚至打破原有架构、推倒重来的情况,各方面的挑战很大。
最终,在绍兴市大数据局、相关合作伙伴与奇安信零信任安全团队的共同努力之下,将这些困难逐一克服,最终达成了可持续、易联动的零信任整体解决方案。
稳定运行近两年
真正实现安全和便利两者兼得
从实施效果来看,绍兴市“公共数据平台”零信任安全体系已经搭建出一个适用的、良性的、有效的、可扩展的安全运营和服务体系。截至目前,绍兴市“公共数据平台”零信任体系已大规模稳定运行近2年时间,覆盖绍兴市公共数据共享平台、绍兴市公共数据交换平台、绍兴市公共数据资源门户、绍兴市一体化智能化公共数据平台这四大业务平台。
其中,API代理覆盖绍兴市222个应用接口调用,日均处理接口调用量约70万次,业务高峰期日均处理接口调用量约400-500万次,并提供接口调用全过程流量加密、内容验证、流控、熔断、安全防护等接口安全能力以及API接口调用的全生命周期管理,有效保证了相关数据中心的安全。
值得一提的是,零信任安全体系区别于以往传统安全体系的一大特点就在于:它真正做到了兼顾业务安全与工作效率。在部署零信任体系前,业务人员每次在使用工作相关的门户网站或者业务系统时,都需要不断重复输入账号密码,效率低,体验不好。
通过部署了零信任体系,对接入“公共数据平台公共数据平台”的人员、设备等进行了全面梳理,对所有访问实体,无论是用户还是所用的终端设备、系统都赋予数字身份,并进行统一管理。运用统一身份管理并使用单点登录系统后,“公共数据平台”用户只要通过了零信任体系的可信身份认证与安全检查,便可登录所需业务和应用,仅需经过一次登录认证,就能访问所有已授权的应用,工作效率得到了提高,使用体验也有了很大的改善。
该项目的顺利实施,也为零信任行业应用与实践起到良好示范作用。2021年12月30日,绍兴市大数据局零信任体系建设入选了中国信通院“2021守卫者计划零信任优秀案例”,凸显项目的创新性和领先性。
后记
“没有做零信任的厂商,只有实现了零信任的用户”,这句话形象地体现了零信任落地的实际情况。
目前零信任理念在国内的落地,仍然在不断探索的阶段,绍兴市作为国内地级市的典型代表,通过从经营视角出发,和厂商一起来规划和构建,最终实现了零信任实践的成功落地,同时也为全省乃至全国市县数字化改革中的数据安全建设,探索了一条可被广泛借鉴和复制的“绍兴模式”。
点击阅读原文查看更多精彩案例
原文始发于微信公众号(奇安信集团):零信任如何下沉到地级市?揭秘数字化改革中的“绍兴模式”
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论