从零信任到精益信任：深信服为金融数字化转型时代保驾护航

原标题：从零信任到精益信任：深信服为金融数字化转型时代保驾护航 来源：C114通信网  任放

C114讯 11月6日消息（任放）目前，以人工智能为代表的新技术正不断赋能金融科技，推动其飞速发展，但在这个过程中，安全是一个不容忽视的话题。

11月1日，2019（第二届）中国金融科技产业峰会在北京举办，深信服移动安全产品研发总监郭炳梁接受采访，分享深信服在金融数字化转型时代的新安全理念。郭炳梁表示，“零信任”打破了传统安全理念下的边界模糊与割裂的状态，促使安全从割裂走向融合，深信服坚持以用户为导向，建设开放融合的体系，为用户业务保驾护航。

“零信任”：解决安全边界模糊、割裂的问题

郭炳梁指出，传统的安全体系存在两大问题：一是边界模糊甚至破碎，二是安全状态割裂。

从机构发展历程来看，传统安全理念是构建一个边界，专注于边界防护，边界之内是安全的。传统企业网安全体系是通过网络位置划分安全信任区域，原则是外部不受信任，区域内部属于信任特权网络，这也意味着，一旦攻击者渗透到信任区域里面，就可以一路畅通无阻。另外，企业内网部署大量安全设备，设备间缺乏信息共享和安全联动，不仅造成运维困难，还会导致设备大量堆叠，安全处于割裂状态。

在传统的安全理念之下，业务架构简单的情况下，安全比较容易得到保证；但随着业务不断发展，企业需要建设越来越多的办事处或子公司，原来的边界也不再纯粹，变得模糊甚至趋于破碎，同时，金融科技促进了业务的创新与发展，如移动办公、移动应用、数据中心云化等，新的技术应用也在不断带来新的安全问题。

这种情况下，传统的安全体系、架构难以适应企业的快速发展。而零信任架构通过全面身份化、多源信任评估、动态访问控制解决了安全边界模糊和边界破碎的问题。

郭炳梁介绍道，零信任网络安全架构主要由三大理念组成：首先是信任最小化，所有用户、设备和网络流量都应该被认证、授权和加密；其次是网络无特权化，不管是内网还是外网，始终都是充满威胁的，不应该根据网络位置决定信任程度；第三是权限动态化，访问控制策略是动态的，基于尽量多的数据源进行计算和评估。

“安全的本质是信任，不是一个方案、一个产品能够解决的，深信服精益信任的理念认为，通过在零信任基础上，深信服精益信任安全解决方案可和各种安全设备进行融合和联动，从而形成统一、互补的安全体系，为用户业务带来安全保障。”

精益信任：可成长的零信任安全

深信服精益信任安全解决方案，强调“精确而足够”的信任，以风险和信任为中心，重构网络安全架构。

区别于零信任“从不相信，总是验证”的宗旨，精益信任从业务开展角度建立信任机制。从零信任到精益信任，无边界网络的基础是身份化。

在全面身份化方面，基于身份化实现免认证、再连接，通过内置安全接入网关，强制所有访问都必须经过认证、授权和加密；

在多源信任评估方面，通过用户身份信息、终端环境、用户行为来实现信任等级评估，授予或阻断对应访问权限；在访问权限方面，基于主体、环境、身份三个部分评估出可信任等级，再结合资源应用分级机密等级，实现动态访问控制；

在统一安全层面，与各个安全产品进行联动，保持开放、灵活的架构，促使安全从割裂走向融合。

深信服精益信任安全解决方案：“精确而足够”的信任

据了解，安全控制中心和安全接入网关是深信服精益信任安全解决方案中最重要的两个部分，所有用户访问都需统一通过安全接入网关检测，以及接受终端判定，最后被授予相应的权限。

为了实现“精确而足够”的信任，深信服精益信任安全解决方案对终端、网络边界、业务系统、核心数据提供有效保护，方案具备以下特点：

1、多源信息评估

深信服精益信任安全解决方案不仅根据传统的用户名密码、二维码验证、生物信息验证等方式验证用户信息，还可综合评估设备的状态、环境信息，最终得到完整的访问者安全画像。

除此之外，方案将多因素统一身份认证、统一身份管理、单点登录等功能集成，将公司人员的入职、变更、离职全生命周期与安全联动。基于用户的访问行为，方案通过自动化发现技术，结合用户的组织架构、职位等信息，自适应学习生成访问权限规则。

2、访问行为身份化

深信服精益信任安全解决方案用户从终端到应用、到数据的所有访问行为，都进行身份标记绑定。这样，不仅外部未知恶意访问无法访问内部资源，合法权限用户的恶意访问也能得到精确溯源。

3、基于风险的信任控制

精益信任中，访问主体的信任等级并不是动态的。深信服精益信任安全解决方案采集全局实时流量，持续检测访问连接，生成当前流量和行为威胁等级，对接访问控制系统，实时调整信任等级，控制接入和访问权限。

4、融合开放

深信服精益信任安全解决方案通过标签化开放API，调用和接收各EDR平台的终端安全评估报告、接收各UEBA平台的风险行为报告，由统一安全平台执行处理。

同时，方案支持与各类厂商的IAM平台进行对接，支持通过LDAP、Radius、OAuth2、SAML、HTTP（S）认证接口和用户管理接口，实现统一认证、精确化授权；支持与各类厂商的网络准入控制台系统NAC对接，实现NAC与同一平台安全联动单点登录。

5、可成长

深信服精益信任安全解决方案可根据企业不同的发展阶段，结合按需部署的功能组件，私有化、云化等多种部署方式，自适应地去匹配企业发展的各个场景和阶段，从而为企业量身打造统一的安全体系。

总的来说，深信服精益信任安全解决方案通过统一身份认证，进一步强化访问权限智能发现与业务资源智能发现；基于AI多维度、漏斗型终端环境检测架构，进行风险计算、信任评估、动态授权、权限管理等一系列安全评估；另外，以行为检测分析与动态访问控制加持，实现安全从割裂走向开放融合、从“黑盒”走向可视可控。

“深信服精益信任安全解决方案主张零信任不应当是一蹴而就的，应该和机构及企业各个业务发展阶段结合、匹配，按需提供。”郭炳梁表示，深信服坚持以用户为导向，不断贴近用户需求打磨产品，坚持足够的开放灵活，与传统安全架构保持联动和互补，建设一个开放融合的安全体系，为用户业务保驾护航。