近年來(lái)，隨著云計(jì)算、大數(shù)據(jù)、AI等技術(shù)的廣泛應(yīng)用，電信運(yùn)營(yíng)商的業(yè)務(wù)模式與IT環(huán)境發(fā)生了深刻變化：業(yè)務(wù)系統(tǒng)從集中的數(shù)據(jù)中心向多云、混合云架構(gòu)演進(jìn)；辦公模式從在固定場(chǎng)所辦公向混合辦公、移動(dòng)辦公轉(zhuǎn)變；服務(wù)對(duì)象從內(nèi)部員工擴(kuò)展至合作伙伴與第三方人員。

這一系列變化，使得傳統(tǒng)的以邊界為核心的網(wǎng)絡(luò)安全架構(gòu)面臨嚴(yán)峻挑戰(zhàn)。特別是被廣泛使用的VPN等傳統(tǒng)遠(yuǎn)程接入方案，在安全性、便利性、擴(kuò)展性上存在天然不足，已經(jīng)難以滿足運(yùn)營(yíng)商的業(yè)務(wù)訪問(wèn)需求。因此，構(gòu)建能夠適應(yīng)新IT環(huán)境、重塑安全邊界的遠(yuǎn)程接入體系，已成為運(yùn)營(yíng)商保障自身及客戶業(yè)務(wù)安全的必然選擇。

運(yùn)營(yíng)商面臨的安全挑戰(zhàn)

在當(dāng)前的監(jiān)管態(tài)勢(shì)、業(yè)務(wù)模式和IT環(huán)境下，電信運(yùn)營(yíng)商面臨一系列新的安全挑戰(zhàn)，其中以下四大問(wèn)題尤為突出：

1.遠(yuǎn)程辦公場(chǎng)景復(fù)雜，資源暴露易受攻擊

運(yùn)營(yíng)商普遍擁有辦公網(wǎng)、生產(chǎn)網(wǎng)、研發(fā)網(wǎng)等多個(gè)子網(wǎng)，運(yùn)行著智慧門戶、電子運(yùn)維、智慧運(yùn)營(yíng)、集成訂單、客服外呼、OA等復(fù)雜的業(yè)務(wù)應(yīng)用。這些應(yīng)用需要滿足不同人員的遠(yuǎn)程訪問(wèn)需求：出差的領(lǐng)導(dǎo)需要隨時(shí)審批OA流程，在外的政企客戶經(jīng)理需要錄入客戶信息，IT運(yùn)維人員需要緊急處置生產(chǎn)故障，軟件開發(fā)商需要遠(yuǎn)程聯(lián)調(diào)系統(tǒng)。為了滿足這些需求，運(yùn)營(yíng)商不得不將業(yè)務(wù)應(yīng)用開放在互聯(lián)網(wǎng)之上，導(dǎo)致互聯(lián)網(wǎng)暴露面增大，時(shí)刻面臨惡意掃描和網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

2.攻防演練要求嚴(yán)格，業(yè)務(wù)連續(xù)受到挑戰(zhàn)

作為關(guān)鍵信息基礎(chǔ)設(shè)置的運(yùn)營(yíng)者，運(yùn)營(yíng)商責(zé)任重大，每年都要配合監(jiān)管部門開展攻防演練，還要承擔(dān)重大活動(dòng)期間網(wǎng)絡(luò)安全保障工作。在攻防演練、重保期間，運(yùn)營(yíng)商的網(wǎng)絡(luò)會(huì)受到大量掃描與滲透。一旦網(wǎng)絡(luò)被攻破，輕則被監(jiān)管部門勒令整改，重則造成巨大損失。這使得運(yùn)營(yíng)商陷入兩難境地：要么為了規(guī)避風(fēng)險(xiǎn)而“拉閘斷網(wǎng)”，暫時(shí)關(guān)閉遠(yuǎn)程辦公系統(tǒng)，影響業(yè)務(wù)正常運(yùn)轉(zhuǎn)；要么照常運(yùn)營(yíng)，承受被“打穿”的風(fēng)險(xiǎn)。

3.移動(dòng)辦公全面普及，終端泄密防不勝防

隨著移動(dòng)辦公全面普及，各類業(yè)務(wù)應(yīng)用App已經(jīng)深度融入運(yùn)營(yíng)商的業(yè)務(wù)流程之中。這極大提高了業(yè)務(wù)效率，也帶來(lái)了新的安全風(fēng)險(xiǎn)。一方面，將內(nèi)部業(yè)務(wù)應(yīng)用開放給移動(dòng)App，會(huì)形成新的攻擊面，增加遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。另一方面，員工可能通過(guò)手機(jī)截屏、拷貝或轉(zhuǎn)發(fā)客戶資料等敏感信息，造成數(shù)據(jù)泄露。

4.多云架構(gòu)成為主流，組網(wǎng)方案老舊低效

為了業(yè)務(wù)隔離、資源優(yōu)化，運(yùn)營(yíng)商的業(yè)務(wù)應(yīng)用常常分散部署在多個(gè)數(shù)據(jù)中心和公有云上。員工在日常辦公時(shí)，可能需要同時(shí)訪問(wèn)部署在A數(shù)據(jù)中心的CRM系統(tǒng)和B公有云上的開發(fā)測(cè)試平臺(tái)。傳統(tǒng)的VPN方案難以實(shí)現(xiàn)跨網(wǎng)絡(luò)接入，員工需要使用不同的VPN訪問(wèn)不同的應(yīng)用，且多個(gè)VPN客戶端無(wú)法同時(shí)運(yùn)行，不僅操作繁瑣、影響效率，還需要設(shè)置多套賬號(hào)密碼，容易造成弱口令、密碼重復(fù)使用等安全隱患。

芯盾時(shí)代零信任安全網(wǎng)關(guān) (SDP)

芯盾時(shí)代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，以零信任理念為指引，以軟件定義邊界為架構(gòu)，以自主研發(fā)的核心技術(shù)為支撐，打造了零信任業(yè)務(wù)安全平臺(tái)（SDP），為運(yùn)營(yíng)商一站式構(gòu)建更智能、更高效、全可控的零信任網(wǎng)絡(luò)訪問(wèn)體系。

芯盾時(shí)代SDP基于軟件定義邊界架構(gòu)打造，將控制平面與數(shù)據(jù)平面分離，在安全性、擴(kuò)展性上具備天然優(yōu)勢(shì)。在功能上，芯盾時(shí)代SDP采用All in One設(shè)計(jì)，能夠以“身份”為核心構(gòu)建安全邊界，從網(wǎng)絡(luò)、設(shè)備、身份、權(quán)限、數(shù)據(jù)五個(gè)維度，對(duì)每一次業(yè)務(wù)訪問(wèn)實(shí)施全程的、動(dòng)態(tài)的、細(xì)粒度的動(dòng)態(tài)訪問(wèn)控制，讓每一次業(yè)務(wù)訪問(wèn)都安全可控。

借助芯盾時(shí)代SDP，運(yùn)營(yíng)商可以一站式解決四大安全難題：

1.訪問(wèn)控制智能高效，遠(yuǎn)程辦公更加安全

為了落實(shí)“最小化授權(quán)”，芯盾時(shí)代SDP采用切面安全技術(shù)，能夠無(wú)改造地為業(yè)務(wù)應(yīng)用注入安全能力，將權(quán)限管理能力細(xì)化至URL級(jí)，幫助運(yùn)營(yíng)商對(duì)每一次訪問(wèn)實(shí)施細(xì)粒度的動(dòng)態(tài)訪問(wèn)控制。運(yùn)營(yíng)商能夠針對(duì)各科室人員、營(yíng)業(yè)廳人員、外包人員、第三方人員等不同角色，授權(quán)不同的訪問(wèn)權(quán)限，實(shí)現(xiàn)對(duì)訪問(wèn)權(quán)限的差異化、精細(xì)化管理。

在訪問(wèn)控制上，芯盾時(shí)代SDP提供多種風(fēng)險(xiǎn)策略模型，運(yùn)營(yíng)商能夠根據(jù)自身需求靈活定義模型，綜合設(shè)備、IP、時(shí)間、行為、賬號(hào)、位置等維度的風(fēng)險(xiǎn)信息，對(duì)每一次訪問(wèn)實(shí)施動(dòng)態(tài)訪問(wèn)控制，實(shí)現(xiàn)“安全訪問(wèn)全程無(wú)感，不確定訪問(wèn)強(qiáng)化認(rèn)證，不安全訪問(wèn)直接拒絕”。

2.業(yè)務(wù)應(yīng)用“網(wǎng)絡(luò)隱身”，攻防演練更有底氣

芯盾時(shí)代SDP采用流量代理和SPA單包授權(quán)技術(shù)，采用“先認(rèn)證、后連接”的模式，只對(duì)通過(guò)預(yù)認(rèn)證的設(shè)備、用戶、應(yīng)用開放端口，未經(jīng)預(yù)認(rèn)證的任何掃描和連接請(qǐng)求都無(wú)法得到響應(yīng)，從而隱藏業(yè)務(wù)應(yīng)用IP和端口，有效收斂資源暴露面。

利用芯盾時(shí)代SDP代理業(yè)務(wù)應(yīng)用流量后，運(yùn)營(yíng)商能夠?qū)A、CRM等業(yè)務(wù)應(yīng)用收縮至內(nèi)網(wǎng)保護(hù)，從源頭上攔截惡意掃描和網(wǎng)絡(luò)攻擊。在攻防演練、重保期間，無(wú)需關(guān)停業(yè)務(wù)也可實(shí)現(xiàn)業(yè)務(wù)應(yīng)用“網(wǎng)絡(luò)隱身”，讓攻擊方找不到攻擊入口，保證業(yè)務(wù)連續(xù)運(yùn)行。

3. 強(qiáng)化移動(dòng)辦公管控，防范業(yè)務(wù)數(shù)據(jù)泄露

芯盾時(shí)代SDP客戶端能夠在終端設(shè)備上構(gòu)建一個(gè)與本地空間完全隔離的安全工作空間，業(yè)務(wù)數(shù)據(jù)只能在這個(gè)加密的“保險(xiǎn)箱”內(nèi)流轉(zhuǎn)、使用，無(wú)法被復(fù)制、截屏、打印或外發(fā)。SDP客戶端可以以SDK形式集成在業(yè)務(wù)應(yīng)用App之中，在不改變?cè)胁僮髁?xí)慣的情況下完成對(duì)App的安全加固。

借助芯盾時(shí)代SDP,第三方運(yùn)維人員進(jìn)行遠(yuǎn)程開發(fā)或運(yùn)維時(shí)，代碼和數(shù)據(jù)全程在終端設(shè)備“全程不落地”。員工通過(guò)集成了芯盾時(shí)代SDP SDK的App處理敏感文件時(shí)，文件只能在App內(nèi)的安全空間內(nèi)被查閱，無(wú)法本地保存和轉(zhuǎn)發(fā)。這有效解決了運(yùn)營(yíng)商在遠(yuǎn)程運(yùn)維和移動(dòng)辦公場(chǎng)景下，客戶信息、經(jīng)營(yíng)數(shù)據(jù)、科研成果等核心數(shù)字資產(chǎn)的防泄露難題，從根本上阻斷了數(shù)據(jù)從終端泄露的途徑。

4. 多云組網(wǎng)一站解決，體驗(yàn)、安全一步到位

芯盾時(shí)代SDP采用控制器與網(wǎng)關(guān)分離的分布式架構(gòu)。運(yùn)營(yíng)商可在多個(gè)數(shù)據(jù)中心和多個(gè)公有云上分布式部署網(wǎng)關(guān)，再通過(guò)控制器進(jìn)行統(tǒng)一的策略管理，獲得全局統(tǒng)一的安全策略和訪問(wèn)體驗(yàn)。

有了芯盾時(shí)代SDP，運(yùn)營(yíng)商的員工只需在終端上安裝一個(gè)SDP客戶端，一次登錄后，即可無(wú)感地同時(shí)訪問(wèn)分布在總部數(shù)據(jù)中心、省級(jí)分公司數(shù)據(jù)中心以及公有云上的多個(gè)業(yè)務(wù)系統(tǒng)。這徹底解決了傳統(tǒng)解決方案需要頻繁切換網(wǎng)絡(luò)、重復(fù)登錄認(rèn)證的痛點(diǎn)，為用戶提供了“一次登錄，全網(wǎng)通行”體驗(yàn)，顯著提升了跨區(qū)域、跨網(wǎng)絡(luò)環(huán)境下的業(yè)務(wù)協(xié)同效率。

面對(duì)數(shù)字化轉(zhuǎn)型帶來(lái)的機(jī)遇與挑戰(zhàn)，運(yùn)營(yíng)商需要的不僅僅是一個(gè)替代VPN的工具，更是一種能夠適應(yīng)未來(lái)發(fā)展的安全理念與架構(gòu)。

芯盾時(shí)代零信任安全網(wǎng)關(guān)（SDP），能夠幫助運(yùn)營(yíng)商從被動(dòng)的邊界防御轉(zhuǎn)向主動(dòng)的身份信任和動(dòng)態(tài)授權(quán)，從事前的“一刀切”授權(quán)轉(zhuǎn)向事中、事后的持續(xù)驗(yàn)證與風(fēng)險(xiǎn)控制。它不僅提升了業(yè)務(wù)訪問(wèn)的安全性，還能優(yōu)化訪問(wèn)體驗(yàn)、打破網(wǎng)絡(luò)壁壘，將安全能力無(wú)縫融入業(yè)務(wù)流程，最終轉(zhuǎn)化為驅(qū)動(dòng)業(yè)務(wù)創(chuàng)新和提升運(yùn)營(yíng)效率的核心動(dòng)力。