安全新边界需要从“零”构建丨深信服出席电信和互联网行业网络安全年会

数字化转型是一把双刃剑，回报与风险并存。越来越多的组织正采用数字化的方式来提高生产效率，享受数字化转型带来的巨大红利，但与此同时伴生的网络安全问题也逐渐显露。

12月10日，由通信企业协会、中国信息通信研究院主办的2021年(第十一届)电信和互联网行业网络安全年会在武汉成功举办，深信服运营商事业部CTO赵马煜受邀出席“创新安全技术论坛”，并发表了题为《从“零”构建安全新边界》的主题演讲。

​

图片来源：2021年(第十一届)电信和互联网行业网络安全年会主办方

边界逐渐消失，安全风险激增

在运营商行业，数字化转型的进程也在不断加速。无处不在的连接使得业务系统需要更加开放，而业务系统的云化使得用户的IT系统部署更为分散，传统基于边界防护的安全防线逐渐瓦解。同时，伴随着数字化进程的推进，运营商行业的办公网络环境变得越来越复杂，接入终端多样化、网络环境多样化、业务系统多样化、业务访问角色多样化成为典型特征，这都为用户的网络安全埋下定时炸弹。

​

赵马煜现场指出，近年来边界的逐渐消失导致了内外部风险激增。例如，员工的移动终端可以同时访问互联网和内网，非常容易沦为黑客钓鱼攻击的跳板；大量应用/中间件面向互联网开放，使得网络暴露面急剧扩大；移动办公、远程访问过程中，数据在互联网上传输，存在被非法窃取和泄露的风险。此外，日益复杂的办公网络环境还带来了管理运维困难等诸多问题，员工的访问体验难保障也似乎成为一道绕不过去的“坎”。

针对上述问题，零信任成为了运营商行业办公网安全建设的破局之道。

破局之道：以零信任保护业务和数据访问

赵马煜指出：“我们对办公网安全的保护，实质上是保护业务和数据访问的过程”。即通过零信任业务访问模型，确保正确的人，使用正确的终端，在任意位置，使用正确的权限，访问正确的业务，获得正确的数据。这个模型将人（身份）、终端、网络位置、访问权限、业务、数据等分散的安全单元进行有机串联，打破原有架构，重新构建以身份为中心的安全防护机制，提升办公网络的安全性。

“运营商行业用户对零信任的诉求主要分为两类，即可信需求和业务需求。”赵马煜指出。

针对可信的问题，深信服零信任可以从身份可信、接入可信、行为可信等方面进行解决。在传统安全接入与访问控制中，针对同一用户在不同的业务系统中往往需要配置多套不同的权限规则，这在动态多变的数字化办公场景下管理运维成本巨大。而在零信任安全接入与访问控制中，则可以通过采用流量身份化的方式，持续不断地对接入身份的合法性和安全性进行验证。同时联动各种安全组件，对访问行为进行实时分析，动态调整权限，实现权限的精细化、智能化管控，在保障接入安全的同时，大幅减轻运维工作量。

针对业务层面，深信服零信任则可以缩小对外暴露面，收敛互联网出入口，保证内部员工外出时也可以安全访问内网进行日常办公操作，在不影响办公体验的前提下控制安全风险。针对远程运维、营业厅接入、居家坐席等需要访问大量业务系统的场景，还可以通过执行规范化、最小化的访问权限，缩小内网数据暴露面，进一步确保业务的安全性。

安全能力云化交付，零信任发挥更大用武之地

会议现场，赵马煜还对零信任的发展进行了展望。他提到，当前运营商的发展战略已经从“IT上云”升级为“云网融合、云网一体”。混合多云将是未来的发展趋势，边界模糊化、多接入将会成为常态。在这种形势下，将广域网的边界接入与安全防护进行融合的云安全访问服务将会被越来越多的人所接受。云安全访问服务也将改变以往安全产品交付安全的模式，以云端提供安全模块的方式来实时保障用户访问互联网、云应用、分支、移动终端时的安全性。而零信任作为核心技术能力，通过云化交付的模式也必将在用户的安全建设中发挥更大的用武之地。

截止目前，深信服零信任已经于浙江省电信、贵州省移动、广东省联通、广西电信、广西移动、海南省电信、云南省电信、陕西省联通、江苏省电信、山东省移动、四川省移动、黑龙江省联通、移动（上海）产研院等多个运营商用户中成功落地，其轻量级、易落地、可持续成长的优势已被越来越多的用户所认可。