删除|案例研究?易安联 X 某省级运营商：零信任安全体系建设实践( 二 ) 软件

第二，业务创新步伐快。 A运营商正在积极建设5G、云计算、大数据、智慧中台、安全中台等数字化创新能力；
第三，开放合作新生态。 A运营商正在逐步扩大“朋友圈” ，开放更多的合作模式，携手各种类型的合作伙伴共建生态；
第四，泛在接入基数巨大。基于5G的泛终端安全接入需求大， A运营商正在打造泛在接入、泛在连接、泛在算力的信息高速。
A运营商的业务发展方向促使其产生了泛安全接入的场景需求，包括业务系统、合作伙伴、终端等。
因此， A运营商自身的安全防护思路也在发生转变。一方面是安全能力需求的转变，传统安全防护能力建设主要采用静态、被动、基于规则的防御手段，现有静态安全体系对新型的攻击方式往往力不从心，因此A运营商正在转变防御思路，构建主动、动态、自适应的弹性防御体系；另一方面是安全建设驱动力的转变，以往的安全建设围绕政策法规推动下的合规管控，强调满足监管需求，但欠缺考虑与自己业务安全诉求的结合，当前A运营商的业务安全建设驱动力正在转变为从“合规”到“效果”的需求升级。
安全防护思路的转变要求A运营商更加全面的审视现有网络安全体系下的风险点。总的来看，运营商的网络安全当前面临如下挑战：
第一，终端缺乏统一管控。 A运营商涉及大量终端设备、BYOD缺少统一管控手段，地市公司、营业网点的电脑往往成为脆弱的风险入侵点；
第二，互联网暴露面大。省/地市公司暴露在互联网的资产达到几十甚至上百，扩大了攻击面，现有内部系统也容易成为攻击的突破口，需要做应用资产的暴露面收敛和精细化的访问控制；
第三，缺少应用层面的安全控制。省/地市公司内网扁平化、纵深防御薄弱，一旦互联网边界被突破，即可全网漫游，没有很好的内部管控机制，无法感知和管控应用层面的威胁，同时，业务资产台账不清晰，无法确定合作伙伴、内部员工等有无违规的行为，很难进行安全的管理；
第四，现有4A体系安全能力不足。 A运营商当前的4A安全体系已经在思维上具备安全特性，但仍存在很多不足，例如无法快速满足用户变更设备、变更接入点等场景，无法提供可度量的、动态化的授权能力等；
第五，数据安全缺乏体系化建设。 A运营商过去在单点建设不同的安全场景，例如身份安全、终端安全等，但没有联动成一个完整的体系；
第六，静态安全策略灵活性不足。基于静态规则库、特征库的安全防护手段无法应对当前高级网络威胁并实时管控，传统的静态ACL规则定义网络边界，维护工作量大、维护成本高，并且无法适应业务的敏捷发展。
因此，为了解决以上风险， A运营商计划与易安联合作，建设零信任安全体系，第一阶段的规划目标是在不影响现有安全体系和业务正常访问下，打造基于零信任架构的动态可观可控可查的安全办公环境，具体分为两部分：
第一，构建全省零信任安全接入能力，零信任接入能力覆盖率达到95%；
第二，持续完善传统纵深防御体系，互联网出口纵深防御能力暴露面系统100%覆盖，内网纵深防御能力重要业务系统100%覆盖。
长期来看，零信任体系建设要从更多的应用场景、更多的安全能力和诉求上助力A运营商在信息安全方面的数字化转型。
落地到安全层面的指标来看，零信任项目旨在实现：
第一，构建零信任自适应安全体系。逐步将零信任纳入更多业务场景中，实现以资产识别-安全防护-安全检测-响应恢复的安全闭环能力；