删除|案例研究?易安联 X 某省级运营商：零信任安全体系建设实践( 五 ) 软件

（7）权限智能学习：用户权限智能梳理能力
用户的身份和权限都是通过4A平台获取，如果4A接口未提供用户的权限，则会缺少安全策略。通过权限智能学习能力对终端全流量分析，基于协议分析出应用访问流量和运维流量及其他流量，根据分析结果对用户进行授权管理，结合静态授权机制，对用户访问行为进行全面的精细化访问控制。

03价值与效果零信任项目上线后，为A运营商带来如下四方面的价值与效果：
第一，提升业务防护能力，应对实时风险。业务全面隐藏，避免非法访问， 100%隐藏业务端口，杜绝嗅探、杜绝嗅探、越权访问等行为，内网纵深防御能力敏感系统100%覆盖。
第二，提升终端风险感知及处理能力。强化终端安全管理能力，全省办公终端实现100%安全接入；构建省内零信任安全接入能力，零信任接入能力覆盖率100% 。
第三，实现自动管理，降低管理维护成本。打通4A系统身份管理，实现基于零信任的动态细粒度授权管理及自适应身份认证；实现从终端、访问行为、安全处置的检测响应时间缩短约30% 。
第四，敏感业务数据全流程防护。基于安全工作空间的数据安全管控技术，实现办公环境和个人环境的隔离；与金库4A审计对接，敏感数据全流程防护，实现数据全生命周期管控。

零信任体系帮助A运营商将原本独立、割裂的安全能力进行体系化串联，涵盖身份、终端、数据、业务等各个方面的安全能力，实现：
? 重构边界，以访问主体为基石，构建包含用户身份及安全终端的逻辑边界；
? 终端管控，实现全网终端资产管理，终端安全态势可见，威胁可感知、可响应；
? 身份安全，具备融合4A多因子认证能力，综合研判确保用户身份可信；
? 数据隔离，轻量化实现公私数据隔离，实现业务准入到数据准入；
? 联防联动，具备基于零信任体系的全网威胁发现及处置能力。

在原有4A访问安全能力的基础上，零信任改变原有的静态认证和静态的权限控制方法，构建以“人+设备+环境”的动态认证和授权体系，提升业务侧的安全接入访问能力，从多因子登录4A到网络隐藏，从细颗粒度授权到动态授权，从敏感/高危操作金库审计到文件隔离，从用户行为审计到实时行为分析。

04经验借鉴A运营商零信任项目落地的关键成功要素有4点：
第一，零信任项目涉及的角色较多，沟通协调难度大， A运营商为零信任项目成立专门的项目小组以提升协作效率，包含安全组、网络组、主机组、业务组及供应商成员，对用户组网、业务流程进行多次调研和访谈，深入了解业务流程；
第二，从实际的业务现状出发，结合业务场景和风险等级提出建设优先级，分步建设，阶段性获得公司高层的认可，进一步推动业务部门的配合度；
第三，提升零信任产品的易用性，如网络层面引导至零信任客户端下载页面、首次安装后的功能引导、维护好FAQ手册等，帮助用户更好的学习和使用零信任产品；
【删除|案例研究?易安联 X 某省级运营商：零信任安全体系建设实践】第四，采用全流量代理方案，自学习用户常访问的业务流量，基于此补充用户访问权限。