導(dǎo)語：密碼技術(shù)與零信任安全架構(gòu)探討一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)辦公等新技術(shù)的發(fā)展以及遠(yuǎn)程辦公的流行，傳統(tǒng)基于邊界的網(wǎng)絡(luò)安全架構(gòu)已經(jīng)難以適應(yīng)現(xiàn)代企業(yè)網(wǎng)絡(luò)建設(shè)需求，以資源保護(hù)為核心的零信任安全更符合當(dāng)下發(fā)展趨勢(shì)。北京信安世紀(jì)科技股份有限公司（以下簡(jiǎn)稱“信安世紀(jì)”）將商用密碼技術(shù)與SDP（軟件定義邊界）技術(shù)、IAM（身份識(shí)別與訪問管理）技術(shù)等零信任技術(shù)有機(jī)結(jié)合，通過網(wǎng)絡(luò)隱身、以身份為核心、可信業(yè)務(wù)訪問、動(dòng)態(tài)訪問控制、多源信任評(píng)估等核心能力，幫助企業(yè)解決傳統(tǒng)的網(wǎng)絡(luò)安全邊界理念與防護(hù)手段不足的問題，構(gòu)建以身份為邊界的零信任安全模式，營(yíng)造安全、可信的網(wǎng)絡(luò)環(huán)境。兩大核心組件，筑牢零信任安全架構(gòu)信安世紀(jì)零信任解決方案由信安世紀(jì)自主產(chǎn)品體系構(gòu)成，主要包括零信任統(tǒng)一身份認(rèn)證管理系統(tǒng)和零信任安全認(rèn)證網(wǎng)關(guān)兩大產(chǎn)品。零信任統(tǒng)一身份認(rèn)證管理系統(tǒng)可以根據(jù)多維訪問日志和風(fēng)險(xiǎn)信息進(jìn)行綜合建模，能夠做到應(yīng)用級(jí)、服務(wù)級(jí)的細(xì)粒度訪問控制，為所有對(duì)象賦予數(shù)字身份，是整個(gè)方案的控制大腦。零信任安全認(rèn)證網(wǎng)關(guān)通過服務(wù)隱藏及單包敲門技術(shù)、細(xì)顆粒度最小授權(quán)管理及風(fēng)險(xiǎn)動(dòng)態(tài)識(shí)別能力，提供安全可靠的訪問控制以及隨時(shí)隨地的安全接入。同時(shí)，方案內(nèi)含零信任安全代理客戶端，通過SPA能力，與核心組件聯(lián)動(dòng)建立“先認(rèn)證后連接”模型，實(shí)現(xiàn)近乎實(shí)時(shí)的終端安全檢測(cè)與防護(hù)，是面向用戶的安全代理窗口。

六大領(lǐng)先優(yōu)勢(shì)，構(gòu)建安全、可信網(wǎng)絡(luò)環(huán)境

1.以商用密碼技術(shù)為基礎(chǔ)，實(shí)現(xiàn)通信雙方的可信鑒別和安全加密通信信安世紀(jì)零信任方案采用基于國(guó)密算法的證書和動(dòng)態(tài)口令，支持國(guó)密SM2、SM3、SM4等加密算法，有效保障數(shù)據(jù)的安全性；在通信方面，方案采用TLCP協(xié)議進(jìn)行隧道加密，保障流量在安全的加密通道上傳輸，實(shí)現(xiàn)數(shù)據(jù)完整性保護(hù)；在密鑰管理方面，方案采用協(xié)同簽名技術(shù)做密鑰分割，充分保證密鑰安全性，大大降低私鑰泄露的風(fēng)險(xiǎn)，提升整體安全防護(hù)能力。2.以身份管理技術(shù)為核心，實(shí)現(xiàn)持續(xù)的身份認(rèn)證和動(dòng)態(tài)訪問控制信安世紀(jì)零信任方案支持零信任自適應(yīng)身份認(rèn)證，可根據(jù)多因素動(dòng)態(tài)調(diào)整身份認(rèn)證策略。通過零信任安全代理客戶端來獲取終端安全狀態(tài)，將終端環(huán)境感知與風(fēng)險(xiǎn)信息上報(bào)至零信任安全認(rèn)證網(wǎng)關(guān)；零信任安全認(rèn)證網(wǎng)關(guān)將信息轉(zhuǎn)發(fā)給策略中心，策略中心根據(jù)上報(bào)的日志，對(duì)終端環(huán)境和風(fēng)險(xiǎn)信息進(jìn)行綜合建模，實(shí)現(xiàn)持續(xù)的信任評(píng)估，并將評(píng)估結(jié)果推送到動(dòng)態(tài)授權(quán)模塊，為用戶提供動(dòng)態(tài)的、近乎實(shí)時(shí)的、自動(dòng)的權(quán)限調(diào)整，做到整體的安全閉環(huán)。3.以安全網(wǎng)關(guān)技術(shù)為支撐，實(shí)現(xiàn)大規(guī)模、復(fù)雜場(chǎng)景的靈活部署和應(yīng)用交付為了滿足靈活部署需求，信安世紀(jì)零信任方案提供產(chǎn)品軟硬件的不同部署方式，支持在虛擬平臺(tái)和公有云平臺(tái)上通過虛擬化軟件的方式部署。同時(shí)，網(wǎng)關(guān)單臺(tái)硬件設(shè)備支持超高吞吐量，滿足大流量的客戶需求；支持用戶數(shù)最高可達(dá)幾十萬量級(jí)，滿足海量接入的需求。此外，在保證性能和安全的前提下，還集成了硬件SSL加速、連接復(fù)用、HTTP壓縮、集群等功能，具有靈活的可擴(kuò)展性。即使在出現(xiàn)故障時(shí)，信安世紀(jì)N+1集群技術(shù)也可以確保終端用戶的體驗(yàn)和訪問不受影響。4.優(yōu)秀的SPA網(wǎng)絡(luò)隱身能力，隱藏企業(yè)數(shù)據(jù)資產(chǎn)、最小化攻擊面信安世紀(jì)零信任方案支持SPA單包授權(quán)機(jī)制。在接入企業(yè)網(wǎng)絡(luò)之前，客戶端會(huì)先將必要信息集成在單個(gè)數(shù)據(jù)包內(nèi)，攜帶數(shù)據(jù)包至信安零信任系統(tǒng)進(jìn)行身份校驗(yàn)，只有驗(yàn)證通過后才能進(jìn)行認(rèn)證授權(quán)，且不會(huì)開放額外端口，而未攜帶SPA包的客戶端在訪問零信任系統(tǒng)時(shí)，將不被允許通過。此種方式可以有效隱藏企業(yè)數(shù)據(jù)資產(chǎn)，從而降低攻擊風(fēng)險(xiǎn)。5.以企業(yè)現(xiàn)有安全架構(gòu)為依托，實(shí)現(xiàn)客戶化、異構(gòu)化的零信任安全架構(gòu)信安世紀(jì)零信任方案具備極強(qiáng)的適應(yīng)能力，可以集成企業(yè)已有的安全產(chǎn)品，與現(xiàn)有的網(wǎng)絡(luò)安全管理融合形成聯(lián)動(dòng)，無需做任何改動(dòng)即可實(shí)現(xiàn)零信任安全能力持續(xù)增強(qiáng)。方案支持跨平臺(tái)API以及開放的接口標(biāo)準(zhǔn)和規(guī)范，支持對(duì)多種應(yīng)用系統(tǒng)的集成，保障整體網(wǎng)絡(luò)架構(gòu)的穩(wěn)定運(yùn)行。6.以豐富的登錄認(rèn)證場(chǎng)景為優(yōu)勢(shì)，帶來無感、友好、一站式的訪問體驗(yàn)信安世紀(jì)零信任方案支持B/S、C/S、遠(yuǎn)程RDP等豐富的單點(diǎn)登錄場(chǎng)景，用戶只需通過一次強(qiáng)身份認(rèn)證，即可無感知訪問授權(quán)范圍內(nèi)的系統(tǒng)應(yīng)用；支持人臉識(shí)別、指紋認(rèn)證、國(guó)密證書等十幾種登錄方式以及多種操作系統(tǒng)、瀏覽器、移動(dòng)設(shè)備的遠(yuǎn)程接入，隨時(shí)隨地滿足移動(dòng)辦公需求。

價(jià)值體現(xiàn)

1.業(yè)務(wù)安全方面：改善傳統(tǒng)安全架構(gòu)，重塑企業(yè)網(wǎng)絡(luò)邊界；以商用密碼技術(shù)為基礎(chǔ)，以身份管理技術(shù)為核心，以安全網(wǎng)關(guān)技術(shù)為中樞，以動(dòng)態(tài)訪問控制為支撐，全面增強(qiáng)企業(yè)安全能力；提供一站式的虛擬門戶和單點(diǎn)登錄，為企業(yè)用戶帶來極速訪問體驗(yàn)。2.合規(guī)性方面：信安世紀(jì)零信任方案滿足等級(jí)保護(hù)與商用密碼應(yīng)用安全性評(píng)估相關(guān)要求，同時(shí)可在本地化環(huán)境中靈活部署，有效解決用戶多層次的合規(guī)需求。3.綜合價(jià)值：信安世紀(jì)零信任方案最終實(shí)現(xiàn)網(wǎng)絡(luò)資產(chǎn)可規(guī)劃、終端合規(guī)可檢查、身份認(rèn)證自適應(yīng)、設(shè)備入網(wǎng)可控制、全網(wǎng)態(tài)勢(shì)可視化、安全風(fēng)險(xiǎn)早知道、事故責(zé)任可追溯的綜合價(jià)值。

作者：趙志遠(yuǎn)