陕西农信:基于零信任的移动数据安全管控平台

图片[1]-陕西农信:基于零信任的移动数据安全管控平台-JieYingAI捷鹰AI

来源:2022年第六届农村中小金融机构科技创新优秀案例评选

获奖单位:陕西农信

荣获奖项:网络安全优秀案例

一、项目背景及目标

1.项目背景

在当前数字化经济快速发展的背景下,陕西省联社坚决贯彻落实国家建设数字中国,按照“13531”工作总方针,高度重视数字化转型工作,积极投身到数字中国、数字陕西的建设中去,努力将自身打造成为陕西省内数字乡村和数字金融的关键一环。创新构建线上化、数字化、智能化的数字金融服务新模式,通过数字化转型努力将陕西农信打造为“聚焦主责主业的专心银行、群众满意的贴心银行、政府信任的放心银行、普惠民生的良心银行”的四心银行。

陕西省联社在数字化转型过程中,将云计算、大数据、人工智能等相关新技术应用到各种金融场景中,努力实现“线下业务线上化、线上业务移动化”的目标,构建开放、共享的移动互联网金融生态。随着数字化转型的深入推进,互联网线上业务系统激增,IT架构和技术持续更新迭代,业务模式转变,业务与信息技术深入融合,这些变化给陕西农信安全管理带来了新的挑战。

一是数据安全保护压力,国家层面近几年发布了《数据安全法》、《个人信息保护法》等法规,金融机构掌握着大量客户敏感数据以及关系国家金融安全的数据,这些高价值的数据资产是攻击者关注的目标,面临着重大数据安全保护压力。二是监管机构对移动终端管控提出了新的要求,人民银行发布的等级保护2.0实施指引中,明确要求移动终端应接受移动终端安全管理服务端的设备生命周期管理、设备远程控制。解决互联网移动端接入不可信的问题,满足监管和等级2.0合规要求成为急需解决的问题。三是受新冠肺炎疫情冲击,对银行业带来经营模式上的改变。特别是给疫情常态化以来,零接触线上服务、移动办公、远程开发成为后疫情下的工作常态。传统通过VPN方式接入内网,在身份认证、访问权限、接入方式等方面存在很大的安全隐患,很容易被攻击者攻破进入内网,造成数据泄露风险。四是数字化转型的深入,为构建线上开放、共享金融生态,需要将很多内网系统向互联网开放,网络安全暴露面增大。金融服务场景和渠道的变化使得传统内外物理边界逐渐模糊,单纯依靠传统的边界安全防护手段,已无法解决金融开放共享和网络安全之间的矛盾。

2.项目目标

面对新形势下的安全挑战,陕西省联社提出建设一套服务于全省移动终端的数据安全管控平台,实现以下建设目标:一是满足监管对移动终端安全合规要求,实现对移动设备和应用强管控。二是采用自主可控技术,构建统一安全可信传输通道,减少内部系统对外暴露面,降低遭受攻击风险。三是采取有效的移动数据安全防护手段,支撑移动办公、远程开发等业务场景,防范数据泄漏风险。

2022年陕西省联社借鉴了业内成熟的零信任防护理念,建设基于零信任的移动数据安全管控平台。平台突破传统安全边界限制,不信任任何内外部接入访问主体,而是以身份为中心重新构建了涵盖零信任安全接入、移动设备管理、移动数据安全边界建设的一体化移动端安全体系。通过持续对用户身份、设备信息、网络环境等多种因素进行综合动态认证,结合安全通信隧道和移动沙箱隔离技术,减少了风险暴露面,防止了终端侧数据泄露风险。平台上线后,有效解决了陕西省联社在数字化转型过程中遇到的移动数据安全、移动终端防护、远程办公等网络安全问题,提升了移动数据安全防护能力。

二、项目方案

基于零信任的移动数据安全管控平台主要由零信任网关系统和移动设备管控系统两部分组成。零信任网关为移动终端设备提供安全可靠的互联网接入服务,通过对用户和移动设备进行持续身份评估,为合法终端建立国密接入信道。移动设备管控系统负责移动终端环境检查、设备管控和应用管控,构建安全可信沙箱工作区域,防范数据外泄风险,包含了终端安全管理模块和统一运维平台模块。

图片[2]-陕西农信:基于零信任的移动数据安全管控平台-JieYingAI捷鹰AI

平台提供了“一站式”移动安全服务,从网点业务人员、设备、应用、访问四个维度解决了移动终端数据产生、业务数据传输、统一审计管理的全链条风险。该平台包括终端安全管理、零信任安全网关及统一运维平台三个主要功能模块。

图片[3]-陕西农信:基于零信任的移动数据安全管控平台-JieYingAI捷鹰AI

(一)终端安全管理模块

基于移动安全沙箱构建一个可信的办公业务运行环境,实现移动设备和移动应用管控,确保移动业务场景中的数据。终端安全管理模块包括以下功能:

1、安全环境检测。系统将检查移动终端运行环境,主要有必装应用、禁装应用、root环境检测、安全基线检查等,如检测机制不通过则无法使用安全沙箱内的应用。

2、安全沙箱。系统在移动设备中建立了与外部环境隔离的沙箱环境,通过沙箱可实现文件保护、数据隔离、防止文件外发、截屏录屏控制、水印加载、粘贴复制保护、可控分享等功能,沙箱内数据未经审批无法导出到沙箱外。安全沙箱提供了文件透明加解密能,彻底杜绝从硬件底层泄露数据的风险。

3、移动设备强管控。通过对摄像头、截屏、录屏、WIFI、移动数据网络、麦克风、GPS、蓝牙、开发者选项、USB外设、短信、热点等功能的强制管控,可结合业务场景灵活组合管控。同时,系统实现了对派发类移动设备远程控制、远程擦除,降低了因设备丢失及人员不当操作带来的安全风险。

4、私有应用商店。平台通过建设私有应用商店实现了应用分类、安全扫描、版本管理和灰度更新功能,防止恶意非法应用上传至应用商店,同时收紧了应用分发渠道,防止攻击者获取内部应用并对其进行脱壳逆向攻击。

(二)零信任安全网关模块

零信任安全网关模块主要负责对接入移动设备身份的认证、持续控制以及建立国密安全信道。零信任安全网关模块具备以下功能:

图片[4]-陕西农信:基于零信任的移动数据安全管控平台-JieYingAI捷鹰AI

1、综合身份认证。零信任技术颠覆了传统VPN技术仅校验用户名密码合法性的方式,通过校验设备、身份、时间、网络、位置等综合因素判断登录身份的合法性,建立初始信任并做最小化授权,减少了因登录身份信息失密带来的安全风险。

2、互联网应用服务隐藏。使用SPA单包授权技术,不开放任何TCP端口,将安全网关和所有内部系统业务应用在互联网上“隐身”,只有通过综合身份认证的用户才能访问内部系统,攻击者无法发现通过零信任安全网关发布的系统应用,从源头阻止了攻击行为。

3、建立国密安全信道。通过综合身份认证后,零信任安全网关模块在移动终端和内部系统之间建立了安全的国密传输信道。数据传输过程采用高强度国密算法和临时密钥机制,控制通道与数据通道分离,确保通信数据安全可控。

4、持续访问控制。使用过程中通过对设备状态、网络环境、使用行为的合法性等持续进行综合评分,实现持续访问控制和动态调整用户访问权限。

(三)统一运维平台模块

统一运维平台模块以基于身份的细粒度访问代替广泛的网络接入,向客户端下发差异化的使用策略。统一运维平台模块包括以下功能:

1、安全管理可视化。统一运维平台模块通过可视化技术将在线设备数量、设备状态、流量走向及安全策略进行展示,统一直观地展示系统中各个节点的情况及访问路径等信息,提升管理员工作效率。

2、运维审计智能化。统一运维平台模块通过将人员、设备、应用、网络、策略等各类型对象进行统一集中监控,及时发现并定位服务和资源的问题并在管理界面上直观展现,提升了陕西省联社终端安全运维分析和告警能力。同时该模块拥有设备远程定位、远程设备锁定、历史轨迹动态展示等功能,简化了审计运维难度,提升了追踪溯源能力。

3、用户管理精细化。统一运维平台模块支持按照用户范围设定应用上传、下发、下架功能,支持细粒度的防截屏、录屏策略以及自定义的明、暗水印,实现了一户一策的精细化管理。同时,支持多级管理员分级分权管理,满足农信系统二级法人管理要求。

三、创新点

1.全面适配国产化,助力自主安全可控

为提升不同类型移动终端用户使用体验,本平台构建PC和移动设备融合接入架构,客户端全面支持Windows、Linux、Android、IOS、Mac等主流操作系统,统一接入后台和身份管控。在此基础上,陕西省联社积极响应国家国产化战略,稳步推动对国产操作系统的适配性,最终实现完美适配统信、麒麟、鸿蒙等主流国产操作系统。此外,项目组积极探索国产密码应用,在安全信道中应用了国产密码算法,确保了安全信道的可信可控。

2.创新性应用零信任技术,颠覆传统移动终端接入模式

平台摒弃了传统边界防护理念,创新性采用了零信任理念,淡化网络边界概念,持续动态对用户和设备进行安全评估,颠覆了传统移动设备接入方式,极大的提升了接入的安全性。一是持续多维度进行综合风险评估,根据评分判断能否继续提供访问接入,形成一套闭环并持续的信任评估机制。二是创新性采用SPA单包授权技术,先认证后连接,对于非信任终端无法建立连接。三是在互联网中不发布任何TCP端口,拒绝一切TCP连接,有效减少了内网系统暴露面。

3.赋能移动终端多个安全要素,提升数据安全防护能力

一是建立了零信任安全网关,为PC、PAD、手机等移动设备提供平台级安全接入服务。二是应用安全沙箱技术,针对不同用户、APP构建了强管控的沙箱隔离系统,通过数字水印、数据加密、数据防泄露,提升数据安全管控能力。三是将移动设备管理、移动应用管理等功能与零信任进行了融合,配合后台统一安全运维系统,构建了较为完整的移动终端安全管控体系。

四、技术实现特点

基于零信任的移动数据安全管控平台以身份为中心,通过持续信任评估、动态访问控制和业务安全访问等关键能力,对所有参与网络访问的用户主体的身份和权限进行动态验证和授权,在访问主体和访问客体之间建立一种动态的信任关系。平台特点如下:

1.以身份为中心

平台不再以网络位置作为网络安全访问授权的依据,而是以身份信息作为鉴权依据,任何网络环境中都需要经过“预验证”和“预授权”, 才能获得访问系统的单次通道。

2.持续信任评估

默认所有的用户网络都为不可信环境,无论用户处在组织内部或外部,都需要根据用户的身份、设备环境、网络环境、时间、位置等属性综合评估用户登录环境的的信任等级,识别判定用户的登录风险,并确定与之相匹配的的安全认证方式。

3.最小权限原则

最小权限原则是构建零信任架构不可或缺的安全策略之一,平台根据用户的环境风险等级和身份认证方式,仅赋予用户所能完成工作的最小访问权限。

4.业务安全访问

使用SPA单包授权技术,将所有业务系统都隐藏在零信任安全网关后面,安全网关默认丢弃所有未经验证及未授权的用户发来的访问请求,缩小互联网暴露面,规避网络攻击。此外,所有建立的访问通道都是单次的,数据受到加密保护及强制访问控制。

五、项目过程管理

本项目于2022年2月启动,2022年8月正式投入运行,项目建设周期共7个月,项目主要经历了需求梳理和方案设计、方案验证与联调、功能测试验证、系统部署和配置、系统正式上线等5个阶段,项目具体建设过程如下:

1.需求梳理和方案设计

时间周期:2022年2月

工作内容:根据全省移动营销办公业务的特点和使用情况,结合数字化转型建设中的安全管理要求,梳理分析移动终端设备、终端运行环境以及业务数据安全的实际安全管控需求和解决手段,从人员、设备、应用、访问四个维度入手,制定出符合我单位实际需求的移动数据安全解决方案设计。

2.方案验证与联调

时间周期:2022年3月

工作内容:针对当前主流的移动安全管理方案,搭建测试环境进行验证,与我单位移动OA等系统进行对接联调和兼容性适配,完成统一身份单点登录和终端杀毒软件的联动。

3.功能测试验证

时间周期:2022年4月至2022年6月

工作内容:在测试环境中对基于零信任的移动数据安全管控平台的各项功能进行对比测试,重点对终端安全管理、零信任安全网关及统一运维平台三个模块提供的策略管控能力进行逐项验证,确定是否能够满足实际工作场景的使用需求。

4.系统部署和配置

时间周期:2022年7月

工作内容:在生产环境搭建基于零信任的移动数据安全管控平台,部署终端安全管理、零信任安全网关及统一运维平台三个模块,配置SDP用户访问资源策略及移动设备管理及应用策略,实现访问安全及移动数据安全防泄漏,接入全省各机构移动PAD设备。

5.系统正式上线

时间周期:2022年8月

工作内容:系统开始正式上线运行,面向辖内员工推广平台并提供技术支持保障。持续监测系统运行状况,定期分析用户和终端的访问和使用行为,快速发现处置异常风险操作,确认响应处置结果。

六、运营情况

基于零信任的移动数据安全管控平台于2022年8月份进入投产试运行阶段,目前已经移动营销、移动办公、远程开发三个业务场景大量应用。全省范围内安装使用的用户数量达到3000余人,已基本实现全省移动终端安全标准化运营管理。平台上线前,相关系统每月平均遭受网络攻击10万余次,上线后再未监测出现互联网扫描探测和攻击行为。

七、项目成效

1.健全安全体系,落实法律法规

平台建成后,为陕西省联社落实国家法规和监管要求提供了技术支撑,通过积极探索新技术的应用与落地,配合内部管理制度,进一步提升了陕西省联社移动数据安全能力,为数字化转型筑牢了坚实的安全屏障。

2.简化管理流程,强化管控力度

基于零信任的移动数据安全管控平台实现了对全省派发设备的统一管控。通过集约化、简约化的部署架构对不同类型终端做到统一管理,解决了以往不同系统数据安全管控强度不一的问题,简化了运维管理流程,降低了管理成本,将内网系统数据管控能力提高到同一高度,弥补了数据安全管控短板。

3.延伸安全边界,降低转型风险

该平台通过延伸安全边界和持续身份认证,解决了数字化转型过程中业务外派带来的不可控风险。本平台设计的地理围栏、历史轨迹、数据隔离、数字水印、首包认证等功能实现了攻击者进不来系统、拿不走数据、看不懂文件,提高了省联社移动数据防护强度,保障了省联社业务的安全运行。

4.消解办公痛点,提升服务水平

平台上线后,解决了疫情常态化以来陕西省联社在零接触线上服务、移动办公、远程开发等工作场景中的安全痛点。业务人员可携带移动设备上门办理服务,开发人员在隔离期间可远程开发,极大的提升了陕西省联社员工服务水平和办公体验。

八、经验总结

基于零信任的移动数据安全管控平台创新性的引入了零信任技术,通过单包授权、安全沙箱等技术持续动态对身份进行验证,构建了闭环的数据安全保护链条,提升了网络安全防御能力,减少了网络安全攻击和数据泄露风险,为陕西省联社数字化转型打下了坚实的基础。该平台部署简单,覆盖面广,运维工作量较小,对中小银行机构在远程安全访问及网络安全边界模糊化场景下的数据安全防护工作具有积极的参考意义。

更多金融科技案例和金融数据智能优秀解决方案,请登录数字金融创新知识服务平台-金科创新社案例库、选型库查看。

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发
头像
来说点什么吧!
提交
头像

昵称

取消
昵称表情代码图片

    暂无评论内容