密码技术与零信任安全架构探讨

随着云计算、大数据、物联网、移动办公等新技术的发展以及远程办公的流行，传统基于边界的网络安全架构已经难以适应现代企业网络建设需求，以资源保护为核心的零信任安全更符合当下发展趋势。北京信安世纪科技股份有限公司（以下简称“信安世纪”）将商用密码技术与SDP（软件定义边界）技术、IAM（身份识别与访问管理）技术等零信任技术有机结合，通过网络隐身、以身份为核心、可信业务访问、动态访问控制、多源信任评估等核心能力，帮助企业解决传统的网络安全边界理念与防护手段不足的问题，构建以身份为边界的零信任安全模式，营造安全、可信的网络环境。两大核心组件，筑牢零信任安全架构信安世纪零信任解决方案由信安世纪自主产品体系构成，主要包括零信任统一身份认证管理系统和零信任安全认证网关两大产品。零信任统一身份认证管理系统可以根据多维访问日志和风险信息进行综合建模，能够做到应用级、服务级的细粒度访问控制，为所有对象赋予数字身份，是整个方案的控制大脑。零信任安全认证网关通过服务隐藏及单包敲门技术、细颗粒度最小授权管理及风险动态识别能力，提供安全可靠的访问控制以及随时随地的安全接入。同时，方案内含零信任安全客户端，通过SPA能力，与核心组件联动建立“先认证后连接”模型，实现近乎实时的终端安全检测与防护，是面向用户的安全窗口。

六大领先优势，构建安全、可信网络环境

1.以商用密码技术为基础，实现通信双方的可信鉴别和安全加密通信信安世纪零信任方案采用基于国密算法的证书和动态口令，支持国密SM2、SM3、SM4等加密算法，有效保障数据的安全性；在通信方面，方案采用TLCP协议进行隧道加密，保障流量在安全的加密通道上传输，实现数据完整性保护；在密钥管理方面，方案采用协同签名技术做密钥分割，充分保证密钥安全性，大大降低私钥泄露的风险，提升整体安全防护能力。2.以身份管理技术为核心，实现持续的身份认证和动态访问控制信安世纪零信任方案支持零信任自适应身份认证，可根据多因素动态调整身份认证策略。通过零信任安全客户端来获取终端安全状态，将终端环境感知与风险信息上报至零信任安全认证网关；零信任安全认证网关将信息转发给策略中心，策略中心根据上报的日志，对终端环境和风险信息进行综合建模，实现持续的信任评估，并将评估结果推送到动态授权模块，为用户提供动态的、近乎实时的、自动的权限调整，做到整体的安全闭环。3.以安全网关技术为支撑，实现大规模、复杂场景的灵活部署和应用交付为了满足灵活部署需求，信安世纪零信任方案提供产品软硬件的不同部署方式，支持在虚拟平台和公有云平台上通过虚拟化软件的方式部署。同时，网关单台硬件设备支持超高吞吐量，满足大流量的客户需求；支持用户数最高可达几十万量级，满足海量接入的需求。此外，在保证性能和安全的前提下，还集成了硬件SSL加速、连接复用、HTTP压缩、集群等功能，具有灵活的可扩展性。即使在出现故障时，信安世纪N+1集群技术也可以确保终端用户的体验和访问不受影响。4.优秀的SPA网络隐身能力，隐藏企业数据资产、最小化攻击面信安世纪零信任方案支持SPA单包授权机制。在接入企业网络之前，客户端会先将必要信息集成在单个数据包内，携带数据包至信安零信任系统进行身份校验，只有验证通过后才能进行认证授权，且不会开放额外端口，而未携带SPA包的客户端在访问零信任系统时，将不被允许通过。此种方式可以有效隐藏企业数据资产，从而降低攻击风险。5.以企业现有安全架构为依托，实现客户化、异构化的零信任安全架构信安世纪零信任方案具备极强的适应能力，可以集成企业已有的安全产品，与现有的网络安全管理融合形成联动，无需做任何改动即可实现零信任安全能力持续增强。方案支持跨平台API以及开放的接口标准和规范，支持对多种应用系统的集成，保障整体网络架构的稳定运行。6.以丰富的登录认证场景为优势，带来无感、友好、一站式的访问体验信安世纪零信任方案支持B/S、C/S、远程RDP等丰富的单点登录场景，用户只需通过一次强身份认证，即可无感知访问授权范围内的系统应用；支持人脸识别、指纹认证、国密证书等十几种登录方式以及多种操作系统、浏览器、移动设备的远程接入，随时随地满足移动办公需求。

价值体现

1.业务安全方面：改善传统安全架构，重塑企业网络边界；以商用密码技术为基础，以身份管理技术为核心，以安全网关技术为中枢，以动态访问控制为支撑，全面增强企业安全能力；提供一站式的虚拟门户和单点登录，为企业用户带来极速访问体验。2.合规性方面：信安世纪零信任方案满足等级保护与商用密码应用安全性评估相关要求，同时可在本地化环境中灵活部署，有效解决用户多层次的合规需求。3.综合价值：信安世纪零信任方案最终实现网络资产可规划、终端合规可检查、身份认证自适应、设备入网可控制、全网态势可视化、安全风险早知道、事故责任可追溯的综合价值。

作者：赵志远