新闻动态-深云SDP-专注于零信任SDP的安全厂商

重磅 | 十三部门修订发布的《网络安全审查办法》，今起实施国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订发布的《网络安全审查办法》，自2022年2月15日起施行。 2022-02-15 16:56

重磅推介！《零信任网络安全：软件定义边界（SDP）技术架构指南》 6月25日，第二届国际零信任峰会圆满结束，众多精彩演讲、研究成果已被大家熟知。今天，重磅推介CSA GCR零信任工作组编写的《零信任网络安全：软件定义边界（SDP）技术架构指南》。小术晓术呕心沥血，倾心打磨 CSA GCR零信任工作组成立以来，旨在推动零信任和SDP技术在国内的实践应用。为了让更多的行业从业人员更快的了解零信任理念、技术架构、安全策略，工作组决定将研究成果集结成册、对外发布，供大家参考和学习。历经一年多的精心打磨，众多技术成果的积累之下，重新编排、梳理、大幅调整。从内容到结构，从思路到行文都重新做了梳理。这本书的编写也经历了从厚到薄，又从薄到厚的过程。最初的预期，大家以为三四个月之后便可以集结成册、印刷出版。然而，随着一次次的调整、一遍一遍的打磨、一步步的优化完善，历经了440天的雕琢，才将此书正式发布出来，这是众多专家精益求精的结果。价值输出，落地实践众所周知，零信任包含三大技术架构“SIM”，其中SDP应用最广泛。本书也聚焦SDP进行了详细阐述。 1、零信任和SDP的概述这部分中包含了：零信任和SDP的基本概念、SDP的架构实现、SDP的协议及SDP架构的部署模式等内容。涵盖了：零信任理念的起源与发展历史、单包授权及工作原理、访问控制、请求验证等详细内容介绍。 2、场景应用这部分涵盖了SDP的应用场景。重点介绍了帮助企业上云、满足等保2.0合规、SDP帮助企业防御分布式拒绝攻击等多方面内容，都进行了详细的介绍、指导。 3、落地实践本书除了理念技术之外，对其它几种零信任理念也做了具体的介绍，包括NIST、微软，谷歌以及Forrester，让读者能够对零信任有更完整的视野。零信任是一个快速发展的领域，也是涵盖了众多理论体系的理念架构，更多精彩内容欢迎大家去阅读此书，了解更多。购书入口为了庆祝“云安全联盟丛书”首书出版及峰会的举办出版社和线上平台推出特别优惠购买活动即日起至6月30日享受5.3折，倒计时2天。特别鸣谢此书编委会专家主编陈本峰李雨航高巍编委会成员（按姓氏音序排列，排名不分先后）陈俊杰陈晓民陈智雨程长高崔泷跃邓辉方伟高建凯高轶峰何国锋靳明星李钠刘德林刘洪森刘鹏卢艺鹿淑煜马红杰马韶华莫展鹏潘盛合秦益飞沈传宝孙刚汪玉林王安宇王贵宗王永霞魏琳琳魏小强吴涛薛永刚闫龙川杨喜龙杨洋杨正权姚凯于继万于乐余强余晓光于新宇袁初成张大海张全伟张泽洲赵锐郑大义周杰朱庆华大咖寄语零信任安全理念符合网络安全的发展方向，希望其能在数据保护方面得到充分利用。 ——陈智敏，全国政协法制委员会副主任、中国友谊促进会理事长、公安部原副部长、国家网信办原副主任 2019年，工信部起草的《关于促进网络安全产业发展的指导意见（征求意见稿）》提出，要积极探索拟态防御、可信计算、零信任等网络安全的新理念、新架构，促进网络安全理念和技术的创新。 ——杨学山，工信部原副部长网络安全面临的挑战日益多样化，建立自主创新、安全可控的网络信息技术体系是数字经济发展的必要保障。探索包括零信任在内的关键网络安全技术非常有意义，希望能够结合中国的应用场景，使零信任更好地落地。 ——倪光南，中国工程院院士政产学研需要推动网络安全技术创新，拟态防御与零信任安全基于保护目标穿上“隐身衣”的新理念、新架构，比传统的查漏堵门、杀毒灭马等防护手段更有优势，也更适合云时代无边界的防护体系需求。 ——邬江兴，中国工程院院士零信任定义了网络安全的未来，零信任战略将成为制胜的关键，它的设计初衷是在战略上任何组织的高层产生共鸣。 ——John Kingdervag，零信任之父零信任是当前所有终端、网络和应用之间建立可信访问的最佳安全模型，希望大家学习和了解零信任，探索新机遇，提高网络安全战略规划能力与方案落地能力。 ——Tony Scott，微隔离之父基于边界的安全已死，以身份为中心的零信任是安全的未来。 ——Bob Flores，软件定义边界之父 2021-06-29 12:14

零信任网络安全架构满足企业的安全需求零信任是一种战略概念，它鼓励安全团队减少对网络外围设备安全性的依赖，更多的是不管身在何处的用户通过不断进行身份验证，可直接应用于公司资源的安全过程和技术作为响应，各企业组织开始朝着一种新的以身份为中心的方法发展，而不是一种依靠公司网络来实现生产性、安全性和敏捷性的企业安全策略。零信任模式取代了以边界为中心的安全架构，它可确保根据身份、设备和用户化解动态实施安全和访问决策。零信任安全框架还规定，只有经过身份验证和授权的用户和设备才能访问应用程序和数据。同时，它可以保护这些应用程序和用户免遭互联网上高级威胁的侵害。该模式由Forrester Research 的分析师首次提出，尽管不完全是一种新理论，但它对于现代数字化转型以及企业网络安全架构的影响已经越来越重要。企业常见安全难题 1、企业需要确保用户和设备可以安全连接到互联网，并且无需面对与传统方面相关的复杂性。此外，企业需要做到主动识别、组织和缓解目标威胁，例如恶意软件、勒索软件、网络钓鱼、DNS数据泄露以及针对用户的高级0 day攻击。零信任安全可以改善企业的安全状况，同时降低恶意软件的风险； 2、传统的访问技术（如VPN）依赖于过时的信任原则，导致用户凭据被盗，进而导致漏洞。企业需要重新考虑其访问模式和技术以确保业务安全，同时仍然为所有用户（包括第三方用户）提供快速、简单的访问。零信任安全可以降低风险和复杂性，同时提供一致的用户体验； 3、企业访问和安全性是复杂且不断变化的，传统企业技术十分复杂，使用宝贵的资源进行更改通常需要数天时间。但零信任安全模式可以减少时长和架构的复杂性。为什么企业需要零信任理念随着现代员工开始逐步开启远程办公模式（他们会从企业防御层之外的多个设备访问应用程序），起亚已采用“先验证后信息”的模式，这意味着，如果有人拥有正确的用户凭据，则他们将被允许进入他们请求的任何站点、应用程序或设备。这导致暴露的风险增加，从而瓦解了曾经值得信任的企业控制区域，并使许多公司面临数据泄露、恶意软件和勒索软件攻击的风险。现在需要在应用程序，数据以及用户和设备的位置提供保护。用户、设备、应用程序和数据正在移到企业边界和控制区域之外；数字化转型推动的新业务流程增加了风险； “信任，但也要验证”的理念不再适用，因为高级定向威胁正在移至企业边界之内；传统的边界防御不仅非常复杂，而且会增加风险，并且不再切合当今的业务模式。为了保障在行业内的竞争力，企业需要一种零信任安全网络架构，该架构必须能够保护企业数据（无论用户身处何地），同时还要确保应用程序快速无缝的运行。通过采用零信任策略代替VPN，企业组织可以获得的不仅仅是更完善的安全性。企业可以提高员工的生产力，同时标准化了对所有公司资源的访问控制，从而实现了零信任。通过考察员工所访问设备和资源的风险状况，而不是仅通过员工是否在公司网络中，组织机构可以更加放心的开放对远程员工的访问权限，让他们能够获得所需的资源。采用零信任方法可以实现业务的敏捷性，以确保企业可以快速适应和利用新技术来成功满足数字化转型。借助零信任，企业可以根据最适合特定资源的条件，从本地数据中心，私有云，公关云以及两者之间的所有内容中进行选择。在选择最适合每种资源的部署时，组织可以通过优化托管和管理费用以及减少VPN和其他基于外围工具的许可费用来节省成本。除此之外，零信任还有以下几个优势：身份验证：多重身份验证提供了额外的验证和安全级别；它可以确保仅经过验证的用户才能访问业务关键的应用程序；安全访问：虚拟专用网络等传统远程访问技术无法满足当今无边界数字化企业日益增长的需求。传统的VPN对企业安全构成为威胁，因为它本身就会在防火墙上形成漏洞，从而提供不受限制的网络访问。一旦攻击者来自于内部，其就可以自由的横向移动以访问和利用网络中的任何系统或应用程序。同时，传统的VPN在本地部署时，都要求IT实体存在以进行实时设置，维护和硬件故障排除。站点越多，硬件要求越高，必须创建的精细规则和策略的数量就越多，大多数组织没有IT资源来满足分支机构不断增长的需求。安全性：零信任遵循永不信任且验证的原则，在认证之前，所以有资源均不可见。此外，零信任通过细粒度的访问控制手段、可视化的策略管理能力和不落地的数据防泄漏技术，提供按需、动态的可信访问，同时基于身份实行严格的访问权限控制和对所有入网设备的安全可控。零信任，仅允许用户访问其角色所需的应用程序。基于授权、用户身份、设备状态、身份验证和授权的访问可以减少横向攻击，进而减少网络风险的发生。通过零信任网络的安全解决方案，企业不仅可以获得保护其资源所需的安全性，还可以实现可观的业务效益。除了改进在整个企业范围内的可视性和缩短发现漏洞的时间，企业还可以降低自身的安全堆栈，最大限度地减少安全技能人才短缺的影响，并保护客户数据以避免声誉受损损失和重大经济损失等。同时，企业也可以改善用户的体验并促进通过采用零信任安全架构将企业快速迁移到云端。 2021-05-20 11:03

拜登下令强制推行零信任架构近日，美国总统拜登签发了业界期待已久的行政命令（EO），旨在采用“大胆的举措”提升美国政府网络安全现代化、软件供应链安全、事件检测和响应以及对威胁的整体抵御能力。总统令提出六大举措：政策支持。拜登指出，渐进式的改进不会给我们提供所需的安全性；相反，联邦政府需要做出大胆的改变并进行大量投资，以捍卫支撑美国生活方式的重要机构。 2021-05-17 14:24

没有网络安全就没有国家安全习近平强调“筑牢网络安全防线” 党的十八大以来，以习近平同志为核心的党中央从进行具有许多新的历史特点的伟大斗争出发，重视互联网、发展互联网、治理互联网，统筹协调涉及政治、经济、文化、社会、军事等领域网络安全和信息化重大问题，作出一系列重大决策、实施一系列重大举措，推动我国网信事业取得历史性成就，走出一条中国特色治网之道。人民网·中国共产党新闻网“时习之”栏目撷取了《习近平关于网络强国论述摘编》中有关“维护国家网络安全”的10句金句，以飨读者。 2021-02-02 18:51

零信任助力运营商高速发展5G 近年来，围绕网络空间的国家级攻防对抗日趋激烈，网络安全威胁快速发展演变，网络安全形势复杂严峻。网络安全产业作为国家网络安全能力的重要组成，成为政府乃至国家安全的重中之重。如今，数据泄露、云平台安全风险等问题日益严峻，与5G、区块链、车联网等新兴技术相关的网络安全挑战也在不断增大。持续升级的网络安全威胁和不断增强的合规要求，都对市场形成了有力的牵引。面对工业、金融、能源等重点行业，电商、智慧城市等新兴产业对网络安全产品、服务、解决方案等强劲需求，网络安全企业全面加速产业布局，互联网企业、电信运营商、设备厂商等也成为网络安全新生力量，为网络安全产业带来新的活力。安全服务转型传统网络安全企业是网络安全领域的中坚力量。在近期的安全产品研发投向上，呈现出增强网络安全防御技术和扩大网络安全防护领域两大特征。一方面探索以大数据、人工智能等为代表的新一代信息技术在网络安全领域的应用，提升网络安全防御的全局化和智能化。另一方面大力研发针对5G、云计算、工业互联网、车联网、区块链等关键信息基础设施的安全防护技术。在“新基建”的推动下，网络安全建设与信息化建设逐渐同步，网络安全变成网络基础设施的一部分，互联网企业、电信运营商、设备厂商等网络基础设施建设主体都开始更多的参与网络安全建设，成为网络安全基础设施的新生力量。运营商作为基础设施的建设者和维护者，拥有网络、人才、技术等基础资源和市场影响力，输出安全技术能力、扩展业务范围、构建产业生态，已经成为其提升竞争力，引领网络安全产业发展的重要举措。 5G安全成为运营商的重点布局方向 5G相关顶层设计和地方政策将进一步提升5G网络的建设速度，快速扩张的5G网络市场将推动5G网络安全合作模式、技术产品的迭代更新。一是运营商、安全企业、设备商将协同建设5G安全。5G安全能力的开放导致运营商、安全厂商、设备商等个相关方都成为5G建设的重要成员，安全企业从单一的安全产品、服务的提供商转变为网络安全基础设施的建设者，运营商也从安全能力需求方转变为安全能力提供商。随着网络建设、安全需求等模式的转变，各相关方安全角色的变化将打开全新的网络安全协同局面。二是按需安全是5G网络安全发展的必然趋势。三是新理念与新技术的发展将进一步推动5G安全技术创新。零信任助力5G发展一方面，5G引入了网络切片、SDN/NFV、云计算等技术，使网络边界变得十分模糊，依赖物理边界进行防护的安全机制难以得到应用，零信任等打破传统边界防护思维的新理念将为5G安全带来新活力。另一方面，面对网络攻击对抗手段日趋精细复杂、新技术不断融合催生新型攻击手段的客观安全形势，5G安全需进一步加强主动智能的防御理念和技术体系布局，深化网络安全与大数据、人工智能、区块链等前沿技术的融合创新。网络切片是5G特有的一项关键技术，其面向业务配置网络的特性可以有效地助力行业进行数字化转型。网络切片安全首先需要为不同终端提供差异化的安全保护。但引入这些新进技术的同时也给网络安全带来了巨大的挑战，由于它使网络物理边界变得十分模糊，以前物理边界防护的各种安全机制难以发挥作用。所以，新的安全机制必须适应虚拟化、云化的需求，这时零信任的价值开始体现，凭借“永不信任且验证”的理念，零信任成为对企业来说更合适的安全机制。 2020年，Garnter发布了5G安全战略白皮书，其中包含三大支柱： 1）纵深防御：整体安全流程、端到端的方式、更高级别的安全自动化； 2）持续性和自适应：自适应风险决策、持续的可见性和评估； 3）零信任：实现设备健康认证与用户身份验证相结合、微隔离和软件定义边界。 5G时代对于运营商来说，安全即是服务，在5G场景下的终端类型是多种多样的，通过零信任可以加强5G纵深防御，提高安全自动化水平，减少5G未来面临的安全威胁。零信任网络可通过对内部网络与外部网络都不信任，在访问前验证访问者身份，上下文策略合理性，减少网络攻击面。在企业侧，可形成为企业零信任网络，消除企业内网与外网的区别，让用户有一致的访问体验，实现端到端的全程加密。来源：中国信息通信研究院 -The End- 签约喜讯零信任落地案例 | 云深互联成功签约某银行客户零信任落地案例 | 云深互联成功签约某住房公积金管理中心客户零信任落地案例 | 云深互联成功签约某新能源开发企业客户零信任落地案例 | 云深互联成功签约某集团控股药房客户零信任落地案例 | 云深互联成功签约某运营商客户零信任落地案例 | 云深互联成功签约某新能源集团客户解决方案 ① 场景解决方案远程办公 | 为什么零信任是远程办公的未来趋势？数字化转型 | 为什么企业数字化转型需要零信任? 分支结构远程办公 | 为什么分支机构远程办公需要零信任？ ② 行业解决方案金融行业 | 为什么金融行业需要零信任安全的解决方案? 运营商 | 5G浪潮下，零信任如何保障运营商的网络安全？医疗行业 | 数字化时代，零信任如何解决医疗行业的网络安全隐患？教育行业 | 信息化时代，零信任如何帮教育行业化“危”为“机”？能源行业 | 数字化时代，零信任是如何为能源行业保驾护航的？云深漫说【云深漫说】零信任解决了远程办公的哪些“坑”？【云深漫说】兵临城下之攻防演练的防御之道【云深漫说】“零信任”到底有何魔力，竟能让老板从哭到笑？？？技术分析一文了解零信任架构的3大核心技术浅谈零信任的6大商业和安全益处戏说零信任和0day之间的“爱恨纠缠” 对于不是“命中即跑”的APT，零信任是如何反击的？对于数据安全，应该“防范于未然” 还是事后“救火”？云深互联云深互联（北京）科技有限公司（Clouddeep Technology），取名自“云深不知处，只在互联中”，寓意着公司的使命：通过零信任SDP（软件定义边界）网络隐身技术，保障企业数据的安全可信访问并且高效互联互通。公司致力于为企业提供零信任架构的网络安全产品与服务，技术具备国际领先水平，连续入选全球IT权威咨询机构Gartner的《零信任网络访问ZTNA市场指南》、《软件定义边界SDP市场增长研究报告》行业报告，也是工信部信通院《中国网络安全产业白皮书》的零信任安全典型代表厂商。 2021-01-18 16:24

抓住网络安全产业新机遇，大力发展零信任理念近年来，科技革命呈现出了数字化、智能化的特征，我国大力发展数字经济相关产业，包括5G网络、人工智能、工业互联网、大数据中心等为代表的一系列新型基础设施逐渐成为创新热点。 2020年新冠肺炎疫情严重扰乱了全球经济体系，在全球经济下行的时代背景下，“新基建”的加速建设发挥了稳投资、稳增长的不可替代作用。随着“新基建”在各个领域的深入开展，各行业对网络安全产品和服务的新需求为网络安全产业的发展提供了新机遇。与此同时，“新基建”也带来了各种网络安全新问题、新挑战，网络安全对世界秩序、政治经济和人们生产生活的影响也越发深入。 2021-01-14 16:22

通过史上“最不平凡”的美国大选看网络安全问题 11月3日美国大选正式开始拜登和特朗普的“单挑” 正式进入白热化阶段由于网络安全问题这次大选也被成为美国历史上最不平凡的一次大选个人信息泄露被勒索软件攻击都不算是什么新鲜事但是美国大选如此重要的时刻竟然会频繁发生由此可见不法分子对于此次攻击并不是临时起意而是经过漫长的计划受新冠疫情的影响今年的总统大选选择邮寄选票这也为各种网络攻击提供了更长的时间窗口从选民注册系统、选举系统、选民数据库到社交媒体都暴露在包括勒索软件邮件攻击和人工智能深度伪造等黑客的攻击之下此时保障大选网络安全的各路高手都将面对比新冠疫情更加防不胜防的威胁勒索软件是否能改变投票纪录并不重要因为如果攻击者有足够的网络访问权限来加密锁定数据就一定有足够的权限来更改数据直接破坏记录投票结果的表单或数据不法分子通过对大量公司进行网络攻击窃取了公民的信息并从政府网站上抓取公开数据这些数据构成了泄露在暗网上的信息数据通过这些数据不法分子还能攻击目标进行锁定为仅支持民主党或共产党的选民并调查出他们的电子邮件地址所以在美国大选的前中后三个时期不法分子都很容易用选民的数据宣传虚假信息通过社交媒体、电子邮件、网络钓鱼以及电话诈骗实施不法活动不仅如此不法分子还对竞选网站进行篡改不得不感叹现有的网络防护手段并不能提供安全有效的防护那么采用零信任会不会减少风险呢？零信任并不是局限于边界防护的手段而是通过严格的身份认证、设备验证网络隔离和访问控制对应用数据进行保护零信任理念打破了传统网络安全防护传统通过先验证用户的身份信息再授权用户进行访问数据零信任遵循永不信任且验证的原则在通过认证之前所有的资源均不可见零信任通过细粒度的访问控制手段可视化的策略管理能力和不落地的数据防泄漏技术提供按需、动态的可信访问同时基于身份实行严格的访问权限控制和对所有入网设备的安全可控所以大家觉得采用零信任可不可以避免类似的网络安全问题出现呢？识别二维码免费领取零信任相关解决方案 -The End- 签约喜讯零信任落地案例 | 云深互联成功签约某银行客户零信任落地案例 | 云深互联成功签约某住房公积金管理中心客户零信任落地案例 | 云深互联成功签约某新能源开发企业客户零信任落地案例 | 云深互联成功签约某集团控股药房客户零信任落地案例 | 云深互联成功签约某运营商客户零信任落地案例 | 云深互联成功签约某新能源集团客户解决方案 ① 场景解决方案远程办公 | 为什么零信任是远程办公的未来趋势？数字化转型 | 为什么企业数字化转型需要零信任? 分支结构远程办公 | 为什么分支机构远程办公需要零信任？ ② 行业解决方案金融行业 | 为什么金融行业需要零信任安全的解决方案? 运营商 | 5G浪潮下，零信任如何保障运营商的网络安全？医疗行业 | 数字化时代，零信任如何解决医疗行业的网络安全隐患？教育行业 | 信息化时代，零信任如何帮教育行业化“危”为“机”？能源行业 | 数字化时代，零信任是如何为能源行业保驾护航的？云深漫说【云深漫说】零信任解决了远程办公的哪些“坑”？【云深漫说】兵临城下之攻防演练的防御之道【云深漫说】“零信任”到底有何魔力，竟能让老板从哭到笑？？？技术分析一文了解零信任架构的3大核心技术浅谈零信任的6大商业和安全益处戏说零信任和0day之间的“爱恨纠缠” 对于不是“命中即跑”的APT，零信任是如何反击的？对于数据安全，应该“防范于未然” 还是事后“救火”？云深互联云深互联（北京）科技有限公司（Clouddeep Technology），取名自“云深不知处，只在互联中”，寓意着公司的使命：通过零信任SDP（软件定义边界）网络隐身技术，保障企业数据的安全可信访问并且高效互联互通。公司致力于为企业提供零信任架构的网络安全产品与服务，技术具备国际领先水平，连续入选全球IT权威咨询机构Gartner的《零信任网络访问ZTNA市场指南》、《软件定义边界SDP市场增长研究报告》行业报告，也是工信部信通院《中国网络安全产业白皮书》的零信任安全典型代表厂商。 2020-11-12 16:54

“零信任安全”教育行业交流会在“山城”-重庆圆满落幕！ 10月12日，“零信任安全”教育行业交流会在重庆交通大学举行！本次活动参会的主要人员除了云深互联的领导之外还有来自重庆交通大学、重庆大学、西南大学、西南政法大学、重庆工商大学、重庆医科大学等6所重点高校网络中心的领导。本次交流会上大家主要针对零信任在教育行业远程办公中起到的作用进行了深入的探讨。教育行业是我国最大的民生行业之一，是网络安全法定义的关键基础设施行业，诸多的攻击安全早就预示着教育行业必须对网络安全提起重视。在国家大力发展支持提高教育行业的安全保障能力时，也在提醒着我们，以往基于边界的安全防护已经无法满足现如今教育行业的需求，需要寻找更有效的安全防护措施。此时，越来越多的教育企业开始选择通过零信任理念保护具有高价值的隐私数据。 “远程办公”也意味着企业的数据及其载体已经不仅仅在内部可控的范围内流转，其安全管理的边界发生了无限延伸，因此所面临的网络安全风险比传统办公有所不同，更加复杂。传统VPN作为提供远程服务的虚拟专用网络访问功能未跟上安全性要求和当今不断变化的威胁格局。远程访问通过创建加密的点对点连接IP流量流经的“隧道”。但是，VPN使企业更容易受到攻击和数据的泄露，因为组织内的用户都可以访问整个内部网络以进行访问公司资源。用户不限于特定网络资源，使VPN成为最弱的一种有关身份访问的故障点和凭证管理，在使用中没有细分、审核和控制。除此之外，VPN还有用户体验不佳、拓展性差等问题存在。随着当下环境发展到更复杂的应用程序和终端组成，基于边界防护和安全体系将失去有效的洞察力和控制力，而零信任安全被认为是解决现阶段网络安全问题的极佳解决方案。零信任的优势有细粒度的按需授权、动态风险评估、多因子身份认证等。根据Gigamon的一项新研究，超过三分之二（67%）的欧洲组织已采用或计划采用零信任框架以应对不断变化的威胁形势。在对德国、法国和英国的500位IT和安全决策者进行的调查中，有84%的受访者表示自2020年初以来安全威胁同比增加。最大的威胁来自远程办公的不安全设备（51%）、网络钓鱼攻击（41%）和数据泄露（33%）。在威胁面前，人们强烈的希望实现零信任架构。最主要的原因是：使网络更加安全并降低风险（54%），确保更好地保护数据并更易于管理（51%），降低员工损害系统的风险（49%）。接近三分之二（61%）的人表示，零信任会增强他们的IT战略，而30%的人则表示相信这种方法将成为其战略的基础。随着企业数字化策略的不断发展，适应新常态带来的经济不确定性和前所未有的变化，网络安全只会成为企业需要面对的重要事件之一，而零信任计划的实施和成功对企业未来的高速发展来说至关重要。未来，云深互联将继续深入研究零信任理念，专注于技术的研究与开发，为国家网络安全发展贡献一份力量。数据来源于：安全牛。识别二维码免费领取零信任相关解决方案 -The End- 签约喜讯零信任落地案例 | 云深互联成功签约某银行客户零信任落地案例 | 云深互联成功签约某住房公积金管理中心客户零信任落地案例 | 云深互联成功签约某新能源开发企业客户零信任落地案例 | 云深互联成功签约某集团控股药房客户零信任落地案例 | 云深互联成功签约某运营商客户解决方案 ① 场景解决方案远程办公 | 为什么零信任是远程办公的未来趋势？数字化转型 | 为什么企业数字化转型需要零信任? 分支结构远程办公 | 为什么分支机构远程办公需要零信任？ ② 行业解决方案金融行业 | 为什么金融行业需要零信任安全的解决方案? 运营商 | 5G浪潮下，零信任如何保障运营商的网络安全？医疗行业 | 数字化时代，零信任如何解决医疗行业的网络安全隐患？教育行业 | 信息化时代，零信任如何帮教育行业化“危”为“机”？能源行业 | 数字化时代，零信任是如何为能源行业保驾护航的？云深漫说【云深漫说】零信任解决了远程办公的哪些“坑”？【云深漫说】兵临城下之攻防演练的防御之道【云深漫说】“零信任”到底有何魔力，竟能让老板从哭到笑？？？技术分析一文了解零信任架构的3大核心技术浅谈零信任的6大商业和安全益处戏说零信任和0day之间的“爱恨纠缠” 对于不是“命中即跑”的APT，零信任是如何反击的？云深互联云深互联（北京）科技有限公司（Clouddeep Technology），取名自“云深不知处，只在互联中”，寓意着公司的使命：通过零信任SDP（软件定义边界）网络隐身技术，保障企业数据的安全可信访问并且高效互联互通。公司致力于为企业提供零信任架构的网络安全产品与服务，技术具备国际领先水平，连续入选全球IT权威咨询机构Gartner的《零信任网络访问ZTNA市场指南》、《软件定义边界SDP市场增长研究报告》行业报告，也是工信部信通院《中国网络安全产业白皮书》的零信任安全典型代表厂商。 2020-10-14 18:31

CSA大中华区受邀参加亚洲网络安全创新峰会，并发布NIST标准《零信任架构》正式版（中文） 2020第二届亚洲网络安全创新国际峰会于9月24-25日在上海正式召开。本次峰会，定向邀请CSA大中华区、微软、IBM、三星、美的集团、小米、德勤、渣打银行约130位网络安全相关专家领导代表出席现场，从技术和法规两个层面聚焦网络安全时下热门话题展开分享，探索未来网络安全最佳路径。 CSA大中华区主席李雨航受邀出席大会，发表主题演讲《从云计算到边缘计算：新兴威胁挑战与对应之道》，并在会上发布NIST标准《零信任架构》正式版。 2020-09-28 15:21

2020年Gartner十大安全项目发布---零信任保障远程办公安全 Gartner在2020年刚刚结束的大会上，提出十大安全项目其中就包括零信任保障企业远程办公安全，Gartner认为采用零信任会驱动VPN替代。不仅如此，Gartner还预测到2023年将有60%的VPN将被零信任取代。VPN和零信任在企业远程办公中，具体有哪些优劣势呢？让我们来详细了解一下！远程办公VPN和零信任优劣势对比 2020年突如其来的新冠疫情让企业的远程办公进入常态化发展，远程办公对企业来说可以提升办公协作和企业管理效率、同时降低人群接触风险；但同时也存在大量的危机：员工异地访问的身份识别、多地分散的终端安全防护、网络信息加密的不确定性，使接入环境变得异常复杂，不利于运维人员的管理和追溯；同时一些企业所使用的传统网络架构，也让大量高风险业务端口暴露再外，使企业的核心业务和数据容易遭到黑客的攻击而泄露。 VPN等传统远程访问技术已经无法满足当今无边界数字化企业日益增长的需求，且传统的VPN对企业安全也会构成一定的威胁。因为VPN本身就会在防火墙上形成漏洞，从而提供不受限制的网络访问。一旦攻击者位于内部，其就可以自由的横向移动以访问和利用网络中的任何系统或应用程序。传统的VPN作为提供远程服务的虚拟专用网络访问功能未能跟上安全性要求和当今不断变化的威胁格局。远程访问通过创建加密的点对点连接IP流量流经的“隧道”。但是，VPN使企业更容易受到攻击和数据的泄露，因为组织内的用户都可以访问整个内部网络以进行访问公司的资源。用户不受限于特定的网络资源，使VPN成为最弱的一种有关身份访问的故障点和凭证管理，在使用中没有细分、审核和控制。除此之外，VPN还有用户体验不佳、拓展性差等问题存在。而零信任的安全理念则是建立在身份验证、设备验证、网络隔离和访问控制的基础上，是保护管理应用和数据的关键。传统保护网络安全的方式是先访问资源再进行验证身份，而通过零信任理念则是先验证身份，再授权进行访问。零信任网络则可以在任何时候都限制对所有用户的访问，随着网络攻击者的攻击手段变得越来越先进，VPN不足以阻止他们，但是基于零信任网络，无论攻击者是否已经获得用户的授权凭证，他们的行动都将受到限制，遵循最小授权原则，所有其他资源对用户均不可见。零信任网络可以划定一个清晰的边界，在网络中使用微分段创建安全区域以此来加强网络的安全性。随着当下环境发展到更复杂的应用程序和终端组成，基于边界防护的安全体系将失去有效的洞察力和控制力，而零信任安全被认为是解决现阶段网络安全问题是最佳解决方案。零信任在远程办公的安全性上的优势，主要有以下几个方面： 1、零信任访问：实现所有用户接入前统一认证，即先认证、再连接，隐藏应用减少攻击面。 2、细粒度的按需授权：进行多层级细粒度的授权，实现全面最小按需授权原则。 3、动态风险评估：实时评估终端环境、用户行为等风险，发现异常立刻触发响应，形成闭环。基于零信任理的远程办公方案，可以最大程度上让员工拥有内外网一致的办公体验。通过零信任方案，让终端用户可以直接在公网上进行认证之后，访问授权的企业应用，而不会因为网络的联通性而影响办公效率。云深互联在零信任领域的优势云深互联作为零信任SDP专业厂商，帮企业解决应用上云、移动办公、远程办公所带来的安全问题，为企业办公提供“云-管-端”一体化的数据资产安全防护体系。云深互联已成功为运营商、政企、医疗、和金融等行业提供专业的零信任解决方案。云深互联经过多年来在零信任领域的不懈努力研究，终于得到各位专家学者的认可，在2020年也成功入选多家媒体机构的全景图： 1、入选安全牛全景图：安全牛全景图是根据各安全企业厂商的内容及分类而进行归纳整理的，也是企业百强的重要凭证。云深互联在零信任技术、网络安全接入两个领域均入围。 2、入选数说安全中国网络安全市场全景图：《2020年中国网络安全市场全景图》以遵循产品和市场成熟度为基调，以国家权威机构评测结果为依据，以品牌口碑和美誉度为参考，以着眼市场未来发展为原则，对目前我国网络安全市场中的产品及服务进行了分类和汇总，力图为我国网络安全行业主管部门、从业者、网络安全产品及服务的使用者和购买单位提供借鉴和参考。云深互联作为零信任领域的代表行业，荣膺入选。 3、入选嘶吼产业安全研究院网络安全产业图谱：嘶吼产业安全研究院建立最完整的网络安全行业产业链图谱，精准展示各细分领域的网络安全产品及服务，帮助政企组织解决网络安全产品的搭配困境。云深互联凭借解决方案与技术实力，入围云安全、身份安全、安全访问边界SASE三个板块。 4、入选数世咨询中国网络安全能力百强-潜力者企业：凭借综合影响力、市场执行力、技术与创新力等指标的综合评选，云深互联实力入选《中国网络安全能力100强》；凭技术特色，再度进入“潜力者”企业矩阵。未来云深互联将继续深入研究零信任理念，专注于技术的研究与开发，为企业远程办公保驾护航，为国家网络安全发展贡献一分力量！识别二维码免费领取零信任相关解决方案 -The End- 签约喜讯零信任落地案例 | 云深互联成功签约某银行客户零信任落地案例 | 云深互联成功签约某住房公积金管理中心客户零信任落地案例 | 云深互联成功签约某新能源开发企业客户零信任落地案例 | 云深互联成功签约某集团控股药房客户零信任落地案例 | 云深互联成功签约某运营商客户解决方案 ① 场景解决方案远程办公 | 为什么零信任是远程办公的未来趋势？数字化转型 | 为什么企业数字化转型需要零信任? 分支结构远程办公 | 为什么分支机构远程办公需要零信任？ ② 行业解决方案金融行业 | 为什么金融行业需要零信任安全的解决方案? 运营商 | 5G浪潮下，零信任如何保障运营商的网络安全？医疗行业 | 数字化时代，零信任如何解决医疗行业的网络安全隐患？教育行业 | 信息化时代，零信任如何帮教育行业化“危”为“机”？能源行业 | 数字化时代，零信任是如何为能源行业保驾护航的？云深漫说【云深漫说】零信任解决了远程办公的哪些“坑”？【云深漫说】兵临城下之攻防演练的防御之道技术分析一文了解零信任架构的3大核心技术浅谈零信任的6大商业和安全益处戏说零信任和0day之间的“爱恨纠缠” 云深互联云深互联（北京）科技有限公司（Clouddeep Technology），取名自“云深不知处，只在互联中”，寓意着公司的使命：通过零信任SDP（软件定义边界）网络隐身技术，保障企业数据的安全可信访问并且高效互联互通。公司致力于为企业提供零信任架构的网络安全产品与服务，技术具备国际领先水平，连续入选全球IT权威咨询机构Gartner的《零信任网络访问ZTNA市场指南》、《软件定义边界SDP市场增长研究报告》行业报告，也是工信部信通院《中国网络安全产业白皮书》的零信任安全典型代表厂商。 2020-09-15 17:57

CSA GCR发布| 《软件定义边界（SDP）和零信任》（中文版） 2020年8月10日，CSA大中华区在CSA Summit上正式发布《软件定义边界（SDP）和零信任》（中文版），白皮书对如何使用SDP来实现零信任网络（ZTN），为什么将SDP应用于网络连接，以及为什么是最先进的ZTN实现等问题进行了分析解答。软件定义边界（Software Defined Perimeter, SDP）是一个能够为OSI七层协议栈提供安全防护的网络安全架构，实现资产隐藏，并在允许连接到隐藏资产之前使用单个数据包通过单独的控制和数据平面建立信任连接。使用SDP实现的零信任网络使组织能够更好防御新变种攻击方法，以及改善企业所面临攻击面日益复杂和扩大的安全困境。从本质上讲，零信任是一种网络安全概念，其核心思想是组织不应自动信任传统边界内外的任何事物，并旨在捍卫企业资产。实施零信任需要在授予访问权限之前验证所有尝试连接到资产的事物，并在整个连接期间对会话进行持续评估。如图1所示，美国国家标准与技术研究院（NIST）描述了使用“信任边界”。图1：来源：NIST，800-207，零信任架构第二版草案软件定义边界（SDP）是零信任策略的最高级实现方案。云安全联盟CSA已采用并倡导将以下结构应用于网络连接：图2：SDP架构（来自CSA SDP规范1.0） • 将建立信任的控制平面与传输实际数据的数据平面分开。 • 使用动态全部拒绝（deny-all）防火墙（不是完全deny-all，而是允许例外）来隐藏基础架构（例如，使服务器变“黑”，不可见）-丢弃所有未经授权的数据包并将它们用于记录和分析流量。 • 访问受保护的服务之前，通过单包授权（SPA）协议来认证和授权用户以及验证设备。-最小授权在此协议中是自带的。更多内容，请见白皮书：在该白皮书中，CSA全球SDP工作组和CSA大中华区SDP工作组的多位专家们对SDP如何实现零信任的战略、价值、实施等内容做了原创和翻译，相信对广大的安全专家、CIO、CISO和公司业务高管在考虑企业的零信任落地时会有启示和帮助。感谢CSA大中华区对本报告的辛勤付出：编译组长：陈本峰、郑大义编译组员：崔泷跃、高巍、靳明星、杨正权、姚凯、于乐、余晓光贡献单位：华为、万物安全、易安联、云深互联 (以上按字母拼音排序) 关注本公众号，回复“下载”，获取《软件定义边界（SDP）和零信任》（中文版）下载方式。 2020-08-20 16:11

重磅| 零信任专家认证CZTP，全球首期公开课开启重磅| 零信任专家认证CZTP，全球首期公开课开启 2020-08-14 14:23

数字化时代，零信任如何解决医疗行业的网络安全隐患？当互联网+医疗时代的来临，医疗信息化程度越来越高，伴随而来的网络安全问题也日益突出，尤其是随着网络规模的不断扩大，整个系统面对的安全风险也越来越大。在当前新型冠状病毒大流行导致全球卫生危机的背景下，医疗行业已然成为网络攻击的首要目标。医疗服务信息化是国际发展的趋势，也是我国医疗改革的重要内容和必经之路。随着信息技术的快速发展，越来越多的企业和医疗机构加入到医疗信息化的建设浪潮之中。互联网医疗火热背后，医疗信息安全问题如影随形。近年来，针对医院的勒索、挖矿、医疗信息泄露等医疗行业的信息安全事件层出不穷，医院信息系统已经成为了不法黑客的重点攻击对象之一。数字化时代下医疗行业的安全风险随着互联网医疗的不断推进，医疗行业面临着更为严峻的网络安全态势。医疗行业数字化过程中引入新技术新业务应用的同时，也加速了医疗行业数字化风险的暴露，近些年，由于忽视网络安全及数据隐私导致的安全事件及合规问题层出不穷。目前医疗健康行业所面临的风险集中表现为： 01、以勒索病毒为代表的僵木蠕等恶意程序风险：大部分医疗组织和机构的安全保障和风险管理措施普遍落后，且医疗数据具有较高的价值，这让黑客们趋之若鹜，攻击手段也越来越多样化，而其中，勒索病毒对医疗行业数据安全的威胁与日俱增。黑客采用恶意攻击、网络监听、密码暴力破解等手段侵入服务器，盗取医疗行业核心机密，例如：医疗记录、医疗数据、患者资料库等；僵尸、木马、病毒等恶意程序感染风险更高。勒索攻击者普遍认为，医院、诊所等医疗机构涉及人身安全和个人最隐私的信息，倘若因勒索病毒感染导致数据丢失、业务系统中断，就会将患者的生命置于风险之中，且会面临上级部门的问责。医疗行业是一个对时间敏感的领域，对此，上位者通常别无选择，往往会不惜一切代价马上支付赎金解锁数据，而不是苦等数据从备份中恢复出来。对黑客来说得手如此容易，让黑客乐此不疲。从2018年开始，我国医疗体系遭受攻击的频率就呈明显上升趋势。国内曾出现多个医疗遭遇勒索病毒的事件，攻击者入侵医院信息系统，导致部分文件和应用被病毒加密破坏，影响医院正常运行，患者无法正常接受治疗。据不完全统计，黑客曾对医疗行业的暴露破解达到了单日80万次的高峰。最重要的是，在患者的确认疾病、治疗关键时期，一旦勒索病毒入侵医院，发生干扰CT扫描、窃听诊疗信息或劫持系统的情况，可能造成难以挽回的伤害。对医疗机构来说除了勒索病毒之外，挖矿病毒也是同样需要重视的病毒。挖矿木马，这是一类利用漏洞入侵计算机，并植入挖矿软件以挖掘加密数字货币的木马。2018年7月，腾讯御见威胁情报中心检测到多家医院服务器被黑客入侵，攻击者暴力破解医院服务器的远程登录服务，之后利用云分享文件功能下载多种挖矿木马，挖山寨加密币。从而导致医院业务系统性能变差、速度变慢，因而错过患者的黄金诊疗时间，造成不可逆的严重后果。医院是存在是为了救死扶伤，但挖矿木马的存在不仅会导致计算机CPU占用明显增加、系统卡顿，甚至会使业务服务无法正常使用。另一方面，挖矿木马为了不被清除，还会通过防火墙配置、修改计划任务等方式与专业人员进行安全对抗，再次影响业务的开展。对医疗行业的网络安全隐忧，并不是无稽之谈。在挖矿木马消耗计算机资源、医疗设备资源的背景下，甚至并不排除这类网络攻击会引发延误诊疗的可能。 02、应用服务安全带来的大数据泄露风险：有些医疗机构的应用服务（如数据库服务、FTP服务、打印机服务等）端口暴露在公共互联网。对于黑客来说医疗行业的数据有着较高的价值，黑客可以利用患者的某些身份信息或其他医疗数据以获取更重要的文件。 03、网站篡改风险：在国家的重大活动期间，如果医疗机构官方网站遭遇了黑客的恶意篡改、发布一些非法信息，将造成严重的社会影响。 04、内部威胁：《受保护健康信息泄露报告》表明，遭受过数据泄露的医疗机构中，有57.5%都是内部人员导致的，只有42%是外部攻击者所为。很大一部分内部人员数据泄露都是因为好玩或者是满足自己的好奇心，主要是查询工作职责以外的数据，比如名人信息等。患者在医疗机构进行治疗期间，无论是门诊还是住院，很多人都会接触到他们的医疗记录。因此，医疗机构更倾向于采用宽松的访问控制。毕竟，想要给患者提供医疗救助，就必须在短时间内获取患者的详细数据。传统上，医院现有的网络安全设备、防火墙、防病毒等设施，基本可以防范大多数来自于外部的攻击。但坚固的堡垒往往容易从内部被突破，往往能非法获取医疗隐私数据的都是医疗机构的内部人员。医疗机构通常具有扁平的组织结构和网络。副作用是，这使攻击者的侧向移动更加容易。一旦进入内部，他们就可以更自由的将恶意代码传播到越来越多的计算机上。很多时候由于医院内部人员安全意识的缺失，个人设备往往未经加密，还很可能带有可能破坏其所连接的恶意病毒或“蠕虫”，使医院网络安全遭受威胁。从统计的数据上来看，从攻击者侵入之后，长期潜伏并持续盗取企业重要数据，入侵并泄露被发现所间隔的时间已经由最初的几小时或几天演变成如今的几个月甚至数年，这样的数字开始使患者机密信息的安全性受到质疑。 05、暗藏“危机”的合作伙伴：同医疗机构有着密切合作的伙伴也存在潜在的威胁，对方的网络环境以及人员的安全专业知识、操作是否合规合法都存在一定的威胁。实施零信任安全随着医疗安全问题不断严峻，若想真正做到网络安全需要通过消除之前的假设信任模式并要求每个人和每个设备都不断地进行验证身份来避免风险。身份是零信任的基础，需要成为组织的新边界。所有的访问请求都必须收到严格监控和限制，无论这个访问请求是来自组织内部还是外部。零信任有三大支柱：1）验证每个用户的身份；2）验证每个设备的身份；3）限制特权和对数据的访问。它通过缩小安全范围并防止网络中的攻击者进行不受约束的活动来帮助保护网络。制定专门的策略需要在进行通信的同时对网络进行微分段，从而使攻击者不可能进行横向移动。即使在传统系统中实施零信任，也有可能通过采用基于角色的访问控制来避免持续使用过时的技术所存在的多种威胁。在这样的框架中，通过向某人授予最小的访问权限，来完成他手中的工作。通过确保数据完整性促进零信任借助零信任，医疗机构已经转移到适用于当今现代混合云和本地环境的严格安全立场。这种立场具有很多的层次和复杂性，若在医疗行业中采用这种立场，将有助于消除存在于这些层次之间的盲点，并确保仅向正确的人员提供正确的访问权限，任何无法验证的内容都会被拒绝访问。如果信任为零，则企业设备或网络对于不受信任的公共网络或个人设备都是不信任的。在用户和设备上执行相同的安全检查，每个人都同样受到怀疑，但每个人也同样可以获得他们所需要的访问权限。这种零信任的访问策略适用于保存数据的任何位置，并且在访问数据时将其应用于所有系统的接口。在医疗领域，通过零信任打造的解决方案可以通过共享信息让患者尽快获得治疗，同时又可以保护患者的个人信息。由此可见零信任解决方案是支持数字医疗较合适的选择。为了通过零信任方法实现数据安全性目标，医疗组织需要考虑三个关键要素： 01、确保零信任包含多个级别的安全性； 02、确保使用适当的权限安全地访问所有患者数据和资源； 03、通过身份和访问管理解决方案制定“最小访问”策略，并仅向有访问数据的人员授予访问权限。采用零信任安全标志着从被动安全性到主动安全性的范式转变，其中目标是防止违规行为发生而不是在发生后进行“反应”。写在最后医疗行业是当今最热门、产值最高的行业之一，因此，也成为网络攻击犯罪分子的主要目标之一。近年来医疗行业遭受网络攻击事件接连发生，给医疗行业带来巨大损失。医疗行业需要加强自我安全意识，防御网络攻击刻不容缓。如今，医疗行业的员工希望能够才能自己的个人设备进行连接，并且可以在任何地方进行连接。尤其是医生们，无论他们身在何处，都要求拥有自由访问网络的自由。能否以不损害患者信息安全性的方式实现这一新功能，取决于医疗机构所采用的安全防护措施的安全性能。传统基于防火墙基于边界的安全防御模式已经不在奏效，随着医疗机构的数字化，面临的挑战越来越多，医疗机构的安全策略需要逐步适应这种变革。零信任可以确保患者机密信息的持续安全以及减轻普遍且不断增长的数据泄露威胁，也可以满足医疗机构人员逐渐远程办公的需求，帮助医疗机构真正实现数字化转型的数据之安。扫描二维码免费领取： SDP实现等保2.0合规技术指南（白皮书）识别二维码免费领取 -The End- 签约喜讯零信任落地案例 | 云深互联成功签约某银行客户零信任落地案例 | 云深互联成功签约某住房公积金管理中心客户零信任落地案例 | 云深互联成功签约某新能源开发企业客户解决方案 ① 场景解决方案远程办公 | 为什么零信任是远程办公的未来趋势？ ② 行业解决方案金融行业 | 为什么金融行业需要零信任安全的解决方案? 运营商 | 5G浪潮下，零信任如何保障运营商的网络安全？技术分析一文了解零信任架构的3大核心技术浅谈零信任的6大商业和安全益处云深互联云深互联（北京）科技有限公司（Clouddeep Technology），取名自“云深不知处，只在互联中”，寓意着公司的使命：通过零信任SDP（软件定义边界）网络隐身技术，保障企业数据的安全可信访问并且高效互联互通。公司致力于为企业提供零信任架构的网络安全产品与服务，技术具备国际领先水平，连续入选全球IT权威咨询机构Gartner的《零信任网络访问ZTNA市场指南》、《软件定义边界SDP市场增长研究报告》行业报告，也是工信部信通院《中国网络安全产业白皮书》的零信任安全典型代表厂商。 2020-07-23 14:23

为什么企业数字化转型需要零信任? 大数据、云计算和物联网等技术的不断兴起，使得安全性问题变得更为突出。而在数字时代，网络安全防护并非看起来那么简单，势必要将重心放在保护客户的数据资产上。特别是今年上半年，随着全球新冠疫情的流行和蔓延，众多企业和员工选择远程办公。此时，对于企业而言，需要快速评估其身份和访问管理(IAM)系统是否可以允许远程员工在网络外围访问公司资源的问题。企业需要快速制定数字化转型的计划，以适应不断变化的业务和远程办公的需求。然而众所周知，使用虚拟专用网络(VPN)解决远程办公问题时，存在端口暴露、数据遗失等安全问题，缺乏足够的安全性。但数字化转型不是短期投资，而是长期战略的一部分，需要更合适的解决方案。企业可以通过零信任策略在用户访问资源前不断进行身份验证，以此来实现企业员工的安全远程访问。采用“零信任理念”可以确保请求访问的用户身份是经过授权验证的，在维护企业安全的同时，保证安全访问的过程可以正常进行。数字化转型带来的网络变革对于现代企业而言，安全性的风险管理是一项复杂的任务，这些风险会在多个位置不断变化。防火墙和基于网络的访问一直是企业网络安全的重要组成部分，但是，传统基于边界的安全访问模型已不再适用。据相关数据显示，有25.7% 的公司让其 40% 以上的员工远程办公，超过 67% 的员工使用他们自己的设备工作。其中，80% 的自带设备 (BYOD) 均为完全非托管设备。企业约50% 的时间都在运行基于云的应用程序。而以边界为中心的防御需要设备和安全策略管理，以及频繁的软件升级，都无疑加重了IT 团队不堪重负的操作复杂性和压力。与此同时，企业数字化转型推动的新业务流程也无疑扩大了攻击面。数据显示，63%的数据泄露由第三方导致，每日新增恶意程序有390000款，其中1/3的移动设备具有中高度数据曝光风险。随着攻击面的不断扩张、紧缺的 IT 资源难以管理日益复杂的网络架构、网络攻击手段也日渐更新，使得用户和设备及应用程序和数据正在向传统企业边界和控制区域之外迁移，这就是企业数字化转型带来的网络变革。零信任是适合云时代的企业安全模型零信任是一种战略概念，它鼓励安全团队减少对网络外围设备安全性的依赖，更多的是不管身在何处的用户通过不断进行身份验证，可直接应用于公司资源的安全过程和技术作为响应，各企业组织开始朝着一种新的以身份为中心的方法发展，而不是一种依靠公司网络来实现生产性、安全性和敏捷性的企业安全策略。零信任模式取代了以边界为中心的安全架构。它可确保根据身份、设备和用户环境动态实施安全和访问决策。零信任安全框架还规定，只有经过身份验证和授权的用户和设备才能访问应用程序和数据。同时，它还可以保护这些应用程序和用户免遭互联网上的高级威胁。而对于零信任的原理，也有最简洁的描述： 1. 网络始终被认为是敌对的。 2. 网络上始终存在外部和内部威胁。 3. 网络局部性不足以决定对网络的信任。 4. 每个设备，用户和网络流都经过身份验证和授权。 5. 策略必须是动态的，并从尽可能多的数据源中计算得出。构建零信任安全的六大关键功能零信任考虑了来自内部和外部来源的威胁的可能性，并保护组织机构免受两种类型的威胁。网络安全必须与组织的网络完全集成，因为组织机构必须与经常处于“信任”位置的恶意内部人员竞争。而构建零信任安全可以更好的判断身份的真实性，起到更好的安全保护作用。机构零信任安全的6大关键功能如下： 1. 强大的标识和身份验证：从注册到每次访问请求之间的验证和身份验证，对于提高安全性至关重要。这些功能可确保无论将其部署在哪里，所有用户(特权用户和非特权用户)以及所有资源都受到保护。 2. 端点安全性：合法用户经常通过使用受损设备访问资源，从而使组织面临高风险。这些功能可确保在设备受到威胁时不会提供访问权限。 3. 网络安全：防止网段之间的横向移动通常是最小化漏洞影响的最有效方法。这些功能可确保在检测到恶意行为或超过风险阈值后立即遏制违反行为并终止访问。 4. 工作负载安全性：攻击来自具有有效凭据的攻击者以及来自外部的攻击。这些功能可确保在所有授权决策中包括上下文，并确保涵盖了应用程序和API中的漏洞。 5. 交易安全性：某些类型的交易比其他类型的交易具有更大的风险，因此应将其视为此类交易。这些功能可确保用户验证高风险交易，同时还可以识别交易是否代表异常行为。 6. 数据安全性：无论其敏感IP还是被全球范围内众多隐私保护机制之一所覆盖的用户数据，数据安全性已成为许多组织的头等大事。这些功能可确保数据在需要的地方进行加密，并且用户始终可以控制其数据。零信任带来的好处通过用零信任策略代替网络信任，组织机构可以获得的不仅仅是改善的安全性。企业可以提高员工生产力，同时标准化了对所有公司资源的访问控制，从而实现了零信任。通过考察员工所访问设备和资源的风险状况，而不是仅通过确定员工是否在公司网络中，组织机构可以更加放心地开放对远程员工的访问权限，以使他们能够获得所需的资源。采用零信任方法可实现业务敏捷性，以确保企业可以快速适应和利用新技术来成功满足数字化转型计划。借助零信任，企业可以根据最适合特定资源的条件，从本地数据中心，私有云，公共云以及两者之间的所有内容中进行选择。在选择最适合每种资源的部署时，组织可以通过优化托管和管理费用以及减少VPN和其他基于外围工具的许可费用来节省成本。最后，可以设置合规性。除此之外，零信任安全还有如下几个优势：身份验证：多重身份验证 (MFA) 提供了额外的验证和安全级别;它可确保仅经过验证的用户才能访问业务关键的应用程序。通过 MFA 对用户进行身份验证和授权后，单点登录 (SSO) 允许用户使用一组凭据登录所有应用程序。这提高了工作效率;无需重新确认每个应用程序的身份，也免除了跨应用程序的同步问题。根据诸多信号做出持续访问决策 — 包括跨IaaS、本地和 SaaS 应用程序的 MFA 和 SSO — 在为最终用户提供便利的同时，也为企业带来了更出色的保护。安全访问：虚拟专用网络 (VPN) 等传统远程访问技术无法满足当今无边界数字化企业日益增长的需求。传统 VPN 对企业安全构成威胁，因为它本身就会在防火墙上形成漏洞，从而提供不受限制的网络访问。一旦攻击者位于内部，其就可以自由地横向移动以访问和利用网络中的任何系统或应用程序。传统 VPN 不仅会使企业面临安全风险，而且它们还是复杂的解决方案，需要大量 IT 资源来进行硬件和软件管理，同时维护和扩展的成本高昂。零信任，仅允许用户访问其角色所需的应用程序：基于授权、用户身份、设备状态、身份验证和授权的访问可以减少横向攻击，进而减少网络风险敞口。淘汰传统 VPN 将改善用户体验、提高员工工作效率。摆脱对防火墙、硬件和软件的依赖意味着可降低 IT 维护成本。此外，仅应用程序权限还可改善管理，提供对访问应用程序的人员、数据传输位置以及访问方式的可见性和洞察力。安全性：零信任遵从永不信任且验证的原则，在认证之前，所有资源均不可见。此外，零信任通过细粒度的访问控制手段、可视化的策略管理能力和不落地的数据防泄露技术，提供按需、动态的可信访问，同时基于身份实行严格的访问权限控制和对所有入网设备的安全可控。WAF是SQL注入攻击的第一道防线，而零信任可以在最初就减少这种现象发生的概率，零信任与WAF相比可以为企业提供更加广泛的保护。写在最后在万物互联的时代，企业数字化转型将是一种必然的趋势。基于传统边界的防护不但复杂，而且风险大，不再适用于现在的业务模式。而现在基于零信任理念新的防护模式，可以持续推动企业网络安全架构的变革，让企业在零信任世界中动态的建立起真正的信任，为企业数字化转型提供敏捷高速的安全支撑。扫描二维码免费领取：软件定义边界SDP帮助企业安全迁移上云（白皮书）识别二维码免费领取 -The End- 签约喜讯零信任落地案例 | 云深互联成功签约某银行客户零信任落地案例 | 云深互联成功签约某住房公积金管理中心客户解决方案 ① 场景解决方案远程办公 | 为什么零信任是远程办公的未来趋势？ ② 行业解决方案金融行业 | 为什么金融行业需要零信任安全的解决方案? 运营商 | 5G浪潮下，零信任如何保障运营商的网络安全？技术分析一文了解零信任架构的3大核心技术浅谈零信任的6大商业和安全益处云深互联云深互联（北京）科技有限公司（Clouddeep Technology），取名自“云深不知处，只在互联中”，寓意着公司的使命：通过零信任SDP（软件定义边界）网络隐身技术，保障企业数据的安全可信访问并且高效互联互通。公司致力于为企业提供零信任架构的网络安全产品与服务，技术具备国际领先水平，连续入选全球IT权威咨询机构Gartner的《零信任网络访问ZTNA市场指南》、《软件定义边界SDP市场增长研究报告》行业报告，也是工信部信通院《中国网络安全产业白皮书》的零信任安全典型代表厂商。 2020-07-16 18:13

国家发改委等13部门发文，在线教育、线上办公、“无人经济”等15大新业态获支持！【导读】近日，国家发改委、中央网信办、工信部等13部门联合印发了《关于支持新业态新模式健康发展激活消费市场带动扩大就业的意见》（以下简称“意见”），意见聚焦线上服务、产业数字化转型、新个体经济、共享经济新业态4大方向，多措并举大力发展在线教育、互联网医疗、线上办公、“无人经济”等15大新业态，旨在落实《政府工作报告》部署，支持新业态新模式健康发展，激活消费市场带动扩大就业，打造数字经济新优势。关于支持新业态新模式健康发展激活消费市场带动扩大就业的意见各省、自治区、直辖市、新疆生产建设兵团有关部门：党中央、国务院高度重视数字经济发展，先后出台实施“互联网+”行动和大数据战略等一系列重大举措，加快数字产业化、产业数字化发展，推动经济社会数字化转型。在各方面共同努力下，数字经济助推经济发展质量变革、效率变革、动力变革，增强了我国经济创新力和竞争力。特别在抗击新冠肺炎疫情中，数字经济发挥了不可替代的积极作用，成为推动我国经济社会发展的新引擎。为落实《政府工作报告》部署，支持新业态新模式健康发展，激活消费市场带动扩大就业，打造数字经济新优势，提出如下意见。一、总体要求以习近平新时代中国特色社会主义思想为指导，全面贯彻党的十九大和十九届二中、三中、四中全会精神，坚持新发展理念，坚持推动高质量发展，坚持以供给侧结构性改革为主线，深入实施数字经济战略。把支持线上线下融合的新业态新模式作为经济转型和促进改革创新的重要突破口，打破传统惯性思维。从问题出发深化改革、加强制度供给，更有效发挥数字化创新对实体经济提质增效的带动作用，推动“互联网+”和大数据、平台经济等迈向新阶段。以重大项目为抓手创造新的需求，培育新的就业形态，带动多元投资，形成强大国内市场，更好地满足人民群众对美好生活的新期待，推动构建现代化经济体系，实现经济高质量发展。二、发展原则 ——打破惯性思维，创新治理理念。以抗击新冠肺炎疫情期间涌现的线上服务新模式发展为契机，打破传统业态按区域、按行业治理的惯性思维，探索触发式监管机制，建立包容审慎的新业态新模式治理规则。 ——加快转型升级，拓展融合深度。深入推进各行业各领域数字化转型，着力提升数字化转型公共服务能力和平台“赋能”水平，推进普惠性“上云用数赋智”服务，增强转型能力供给，促进企业联动转型、跨界合作，培育数字化新生态，提高转型效益。 ——激发市场活力，开辟发展空间。营造鼓励就业模式创新的政策氛围，支持大众基于互联网平台开展微创新，探索对创造性劳动给予合理分成，降低创业风险，激活全社会创新创业创富积极性。 ——提升要素效率，畅通经济循环。探索生产资料所有权和使用权分离改革，大力推进实物生产资料数字化，促进生产资料共享，促进数据要素流通，引导增值开发应用，激活数字化对实物生产资料倍增作用，提升全要素生产率。三、积极探索线上服务新模式，激活消费新市场（一）大力发展融合化在线教育。构建线上线下教育常态化融合发展机制，形成良性互动格局。允许购买并适当使用符合条件的社会化、市场化优秀在线课程资源，探索纳入部分教育阶段的日常教学体系，并在部分学校先行先试。鼓励加大投入和教师培训力度，试点开展基于线上智能环境的课堂教学、深化普及“三个课堂”应用等。完善在线教育知识产权保护、内容监管、市场准入等制度规范，形成高质量线上教育资源供给。（教育部牵头负责）（二）积极发展互联网医疗。以互联网优化就医体验，打造健康消费新生态。进一步加强智慧医院建设，推进线上预约检查检验。探索检查结果、线上处方信息等互认制度，探索建立健全患者主导的医疗数据共享方式和制度。探索完善线上医疗纠纷处理办法。将符合条件的“互联网+”医疗服务费用纳入医保支付范围。规范推广慢性病互联网复诊、远程医疗、互联网健康咨询等模式。支持平台在就医、健康管理、养老养生等领域协同发展，培养健康消费习惯。（国家卫生健康委、医保局按职责分工负责）（三）鼓励发展便捷化线上办公。打造“随时随地”的在线办公环境，在部分行业领域形成对线下模式的常态化补充。支持远程办公应用推广和安全可靠的线上办公工具研发，满足日常性多方协同工作、异地协同办公需求，有效支撑工作效率提升、业务协同模式创新和业务组织方式变革。推动完善电子合同、电子发票、电子印章、电子签名、电子认证等数字应用的基础设施，为在线办公提供有效支撑。（国家发展改革委、中央网信办、工业和信息化部牵头，商务部、国家保密局、税务总局等按职责分工负责）（四）不断提升数字化治理水平。促进形成政企多方参与、高效联动、信息共享的现代化治理体系和治理能力。结合国家智慧城市试点建设，健全政府社会协同共治机制，构建政企数字供应链，以数据流引领带动物资流、技术流、人才流、资金流，有力支撑城市应急、治理和服务。支持民间资本参与水电路网等城市设施智慧化改造。结合国家区域发展战略及生产力布局，加快推进5G、数据中心、工业互联网等新型基础设施建设。探索完善智慧城市联网应用标准，推进京津冀、长三角、粤港澳大湾区、成渝等区域一体化数字治理和服务。（国家发展改革委、中央网信办、工业和信息化部牵头负责）四、加快推进产业数字化转型，壮大实体经济新动能（五）培育产业平台化发展生态。着力发挥互联网平台对传统产业的赋能和效益倍增作用，打造形成数字经济新实体。开展重大工程布局，支持传统龙头企业、互联网企业打造平台生态，提供信息撮合、交易服务和物流配送等综合服务。鼓励金融机构在有效防范风险的前提下，依法依规为平台提供金融服务。建设跨产业的信息融通平台，促进农业全流程、全产业链线上一体化发展。支持工业互联网平台建设推广，发挥已建平台作用，为企业提供数字化转型支撑、产品全生命周期管理等服务。发展服务衍生制造，鼓励电子商务、转型服务等行业企业向制造环节拓展业务。大力发展众包、云外包、平台分包等新模式。（国家发展改革委、中央网信办、工业和信息化部、农业农村部、商务部牵头，交通运输部、人民银行、银保监会按职责分工负责）（六）加快传统企业数字化转型步伐。助力降低数字化转型难度，发展线上线下融合的业务发展模式，提升企业发展活力。组织数字化转型伙伴行动，建立政府-金融机构-平台-中小微企业联动机制，发展普惠性“上云用数赋智”。鼓励各类平台、机构对中小微企业实行一定的服务费用减免。培育一批数字化服务企业和创新应用企业，发挥引领带动作用。组织面向数字化转型基础软件、技术、算法等联合攻关。鼓励发展开源社区，支持开放软件源代码、硬件设计和应用服务。（国家发展改革委、中央网信办、工业和信息化部牵头，农业农村部、商务部、国务院国资委、人民银行、银保监会等按职责分工负责）（七）打造跨越物理边界的“虚拟”产业园和产业集群。实现产业供需调配和精准对接，推进产业基础高级化和产业链现代化。实施数字经济新业态培育行动，支持建设数字供应链，推动订单、产能、渠道等信息共享。支持具有产业链、供应链带动能力的核心企业打造产业“数据中台”，以信息流促进上下游、产供销协同联动，保产业链供应链稳定，发展产业服务化新生态。支持出口园区和基地创新数字服务出口新业态新模式，大力发展数字贸易。（国家发展改革委、中央网信办、工业和信息化部、农业农村部、商务部、交通运输部按职责分工负责）（八）发展基于新技术的“无人经济”。充分发挥智能应用的作用，促进生产、流通、服务降本增效。支持建设智能工厂，实现生产过程透明化、生产现场智能化、工厂运营管理现代化。发展智慧农业，支持适应不同作物和环境的智能农机研发应用。支持建设自动驾驶、自动装卸堆存、无人配送等技术应用基础设施。发展危险作业机器人，满足恶劣条件应用需求。试点探索完善智能公共服务新业态涉及的交通、食品等领域安全发展政策标准。（国家发展改革委、中央网信办、工业和信息化部、农业农村部、商务部、交通运输部按职责分工负责）五、鼓励发展新个体经济，开辟消费和就业新空间（九）积极培育新个体，支持自主就业。进一步降低个体经营者线上创业就业成本，提供多样化的就业机会。支持微商电商、网络直播等多样化的自主就业、分时就业。鼓励发展基于知识传播、经验分享的创新平台。鼓励商业银行推广线上线下融合的信贷服务，合理降低个体工商户融资成本。通过网络平台开展经营活动的经营者，可使用网络经营场所登记个体工商户。引导互联网平台企业降低个体经营者使用互联网平台交易涉及的服务费，吸引更多个体经营者线上经营创业。加强新业态新模式就业统计监测研究。（国家发展改革委、人力资源社会保障部、人民银行、市场监管总局、国家统计局、银保监会按职责分工负责）（十）大力发展微经济，鼓励“副业创新”。着力激发各类主体的创新动力和创造活力，打造兼职就业、副业创业等多种形式蓬勃发展格局。支持线上多样化社交、短视频平台有序发展，鼓励微创新、微应用、微产品、微电影等万众创新。引导“宅经济”合理发展，促进线上直播等服务新方式规范健康发展。探索运用区块链技术完善多元价值传递和贡献分配体系。实施新业态成长计划，建立微经济等新业态成长型企业名录，及时跟踪推动解决企业的政策堵点。（国家发展改革委、中央网信办、工业和信息化部、商务部按职责分工负责）（十一）强化灵活就业劳动权益保障，探索多点执业。探索适应跨平台、多雇主间灵活就业的权益保障、社会保障等政策。完善灵活就业人员劳动权益保护、保费缴纳、薪酬等政策制度，明确平台企业在劳动者权益保障方面的相应责任，保障劳动者的基本报酬权、休息权和职业安全，明确参与各方的权利义务关系。探索完善与个人职业发展相适应的医疗、教育等行业多点执业新模式。结合双创示范基地建设，支持建立灵活就业、“共享用工”服务平台，提供线上职业培训、灵活就业供需对接等就业服务。推进失业保险金的线上便利化申领，方便群众办事。（人力资源社会保障部、国家卫生健康委、医保局等按职责分工负责）通过用零信任策略代替网络信任，组织机构可以获得的不仅仅是改善的安全性。企业可以提高员工生产力，同时标准化了对所有公司资源的访问控制，从而实现了零信任。通过考察员工所访问设备和资源的风险状况，而不是仅通过确定员工是否在公司网络中，组织机构可以更加放心地开放对远程员工的访问权限，以使他们能够获得所需的资源。采用零信任方法可实现业务敏捷性，以确保企业可以快速适应和利用新技术来成功满足数字化转型计划。借助零信任，企业可以根据最适合特定资源的条件，从本地数据中心，私有云，公共云以及两者之间的所有内容中进行选择。在选择最适合每种资源的部署时，组织可以通过优化托管和管理费用以及减少VPN和其他基于外围工具的许可费用来节省成本。最后，可以设置合规性。六、培育发展共享经济新业态创造生产要素供给新方式（十二）拓展共享生活新空间。推动形成高质量的生活服务要素供给新体系。鼓励共享出行、餐饮外卖、团购、在线购药、共享住宿、文化旅游等领域产品智能化升级和商业模式创新，发展生活消费新方式，培育线上高端品牌。推动旅游景区建设数字化体验产品，丰富游客体验内容。扩大电子商务进农村覆盖面，促进农产品进城和工业品下乡。鼓励康养服务范围向农村延伸，培育农村消费新业态。完善具有公共服务属性的共享产品相关标准，优化布局，规范行业发展。（中央网信办、国家发展改革委、交通运输部、工业和信息化部、商务部、国家卫生健康委、文化和旅游部、市场监管总局按职责分工负责）（十三）打造共享生产新动力。推动形成高质量的生产服务要素供给新体系。鼓励企业开放平台资源，共享实验验证环境、仿真模拟等技术平台，充分挖掘闲置存量资源的应用潜力。鼓励公有云资源共享，引导企业将生产流程等向云上迁移，提高云资源利用率。鼓励制造业企业探索共享制造的商业模式和适用场景，促进生产设备、农用机械、建筑施工机械等生产工具共享。（国家发展改革委、中央网信办、工业和信息化部、农业农村部等按职责分工负责）（十四）探索生产资料共享新模式。健全完善“所有权与使用权分离”的生产资料管理新制度。取消各种不合理的限制，畅通共享经济合作机制，鼓励各类所有制企业、行政事业单位等法人主体生产资料共享。依托互联网、云计算等技术，盘活空余云平台、开发工具、车间厂房等闲置资源，充分发挥市场在资源配置中的决定性作用。各类企业作为平等独立的市场主体，按市场化原则、商业化方式自主推进生产资料共享，提高资源利用效率。（国家发展改革委、工业和信息化部、国务院国资委等按职责分工负责）（十五）激发数据要素流通新活力。推动构建数据要素有序流通、高效利用的新机制。依托国家数据共享和开放平台体系，推动人口、交通、通信、卫生健康等公共数据资源安全共享开放。在修订税收征收管理法的基础上，健全适应数据要素特点的税收征收管理制度。加快全国一体化大数据中心体系建设，建立完善跨部门、跨区域的数据资源流通应用机制，强化数据安全保障能力，优化数据要素流通环境。（国家发展改革委、中央网信办、工业和信息化部牵头，交通运输部、税务总局等按职责分工负责）七、保障措施（十六）持续加强统筹协调。要打破惯性思维，拿出硬招、实招、新招，支持新业态新模式健康发展。要加强统筹协调，强化政策联动和各部门协同配合，形成促进新业态新模式发展的合力。要结合实际进一步细化具体目标和任务，积极主动、大胆探索，全面激发市场主体创新活力。（十七）有效释放改革活力。要继续推进简政放权、放管结合、优化服务改革，优化营商环境。要加快在知识产权保护、普惠金融支持等方面持续深化改革，降低新业态新模式创新发展成本。国家数字经济创新发展试验区等要重点发挥先行示范作用，率先探索改革举措，形成辐射带动效应。（十八）坚持包容审慎监管。要探索创新监管模式，积极鼓励创新，健全触发式监管机制，构建各类主体参与的多方协同治理体系。要及时修订完善监管政策制度，为新业态新模式发展留足空间。要坚守安全和质量底线，强化安全监测和风险评估，对于侵犯他人合法权益、违背公平竞争秩序等违法行为要坚决依法打击。（十九）积极营造良好氛围。要认真抓好相关政策出台、解读和宣传，及时回应社会关切，合理引导预期，激发市场创新活力。要及时总结宣传发展新业态新模式的好做法、好经验，充分调动社会各界推动新业态新模式健康发展的积极性，发挥各类主体创造潜力，增强广大群众参与感、获得感和幸福感，凝聚广泛共识。来源：网信军民融合扫描二维码免费领取：软件定义边界SDP帮助企业安全迁移上云（白皮书）识别二维码免费领取 -The End- 签约喜讯零信任落地案例 | 云深互联成功签约某银行客户零信任落地案例 | 云深互联成功签约某住房公积金管理中心客户解决方案 ① 场景解决方案远程办公 | 为什么零信任是远程办公的未来趋势？ ② 行业解决方案金融行业 | 为什么金融行业需要零信任安全的解决方案? 运营商 | 5G浪潮下，零信任如何保障运营商的网络安全？技术分析一文了解零信任架构的3大核心技术浅谈零信任的6大商业和安全益处云深互联云深互联（北京）科技有限公司（Clouddeep Technology），取名自“云深不知处，只在互联中”，寓意着公司的使命：通过零信任SDP（软件定义边界）网络隐身技术，保障企业数据的安全可信访问并且高效互联互通。公司致力于为企业提供零信任架构的网络安全产品与服务，技术具备国际领先水平，连续入选全球IT权威咨询机构Gartner的《零信任网络访问ZTNA市场指南》、《软件定义边界SDP市场增长研究报告》行业报告，也是工信部信通院《中国网络安全产业白皮书》的零信任安全典型代表厂商。 2020-07-16 18:13

新冠疫情引发十大网络安全变革过去几个月，安全行业讨论最多的话题就是新冠疫情将如何深刻改变网络安全行业。近日首席信息安全官Jon Oltsik分享了他与多位CISO讨论后的结论，认为新冠疫情将引发网络安全行业一系列重大变革，安全牛整理如下：居家办公将成为新常态根据ESG研究，有79％的IT高管表示，在新冠病毒大流行消退之后，他们的组织将采取更加灵活的远程办公政策。此外，在家办公模式似乎运转良好：78％的知识工作者报告说在家工作更具生产力或生产力没有变化。在提高生产率和节省房租方面，在家办公是赢家，并且正在推动安全投资和优先事项等诸多变化。残余的安全边界将彻底消失当我20年前进入安全领域时，一群金融服务公司成立了一个名为Jericho论坛的组织，该组织提出了取消安全边界的概念。尽管大多数安全专家都同意这一想法，但扩展安全性仍然是一个挑战，因此网络安全边界仍然存在，并且随着时间的推移变化缓慢。但是新冠病毒可能会是网络安全边界棺材板上的最后一颗钉子。为了支持更分散的IT基础架构，安全控制将大量地移至端点（用户、设备、应用程序、数据等）。好消息是，基于云的管理平面将使该体系结构比过去更易于扩展和操作。新的“安全边界”将是：用户和设备（即身份）和数据。安全上云由于新冠疫情，云工作负载迁移得以加速部署到比内部部署服务器，网络和存储设备更容易管理的云基础架构。为了跟上步伐，CISO必须加强其团队的云安全招聘，培训和技能开发。目前的趋势很很清楚，公共云是用于网络安全控制，整合SD-WAN和安全服务的事实上的基础架构。对于安全分析而言，数据和分析引擎快速迁移到云中也是如此。最后，安全管理平面将朝着多云方向发展。CISO将需要新技能来迁移数据和工具以及管理云服务。攻击面管理（ASM）主流化随着用户和资产变得更加分散和远程，CISO将需要更好的方式来收集，处理和分析数据以进行网络风险管理。这种趋势将很快发生，因为大多数组织都不能感知所有网络连接，而且经常会发现诸如未知设备、服务器配置错误、默认密码（弱密），合作伙伴连接之类的问题。ASM将从一个深奥的概念演变为实实在在的企业需求。像BitSight、Bugcrowd、CyCognito、Randori等供应商将受益于这种过渡。政策管理空前重要在内容分发的流程中，CISO将需要与业务经理一起确定谁可以从何处执行何种操作，然后真正地通过精细而动态的规则集加强其安全策略。确定策略后，他们还将需要CIO的帮助来构建用于策略实施和监视的基础结构。这里的安全技术蕴含着巨大的机会：能够构建直观，灵活且可扩展的策略管理引擎的供应商将胜出。身份管理面临彻底改革分布式安全控制和策略管理必须以现代的身份管理基础结构为基础，而不是我们在过去20年中一直拼凑缝补的方式。为了简化此迁移，身份管理也将迁移到云中。对于JumpCloud、Okta和Ping来说，这是个好消息，但像亚马逊、谷歌、VMware和微软这样的云服务提供商也会发挥重要作用。大规模的网络威胁情报成为热点新冠疫情是网络犯罪分子的一次全球性机遇，导致了一系列新的骗局和攻击。为了应对这种趋势，组织需要能够以前所未有的规模操作，分析和寻找威胁。这将为高端市场的威胁情报平台和调查工具（如Anomali，King＆Union、Palo Alto Networks、RecordedFuture、ThreatConnect和ThreatQuotient）带来增长机会。较小的企业可能会从Cisco、FireEye、IBM和Secureworks等公司获取深入的威胁情报服务。人工智能和机器学习是应对新威胁的关键安全团队将需要同时了解更多资产、更多连接、更多移动和更多威胁，而业务管理部门则推动建立永久的在家办公可以肯定的是，地球上没有安全团队可以在没有帮助的情况下跟上如此重大的变革。安全业界目前正在加速AI/ML的研发，我们需要快速起步。这是一个广泛的机会，但是我认为像Devo、Google（Chronicle）、IBM、Microsoft、SAS和Splunk这样的公司将发挥作用。安全培训成为“刚需” 居家办公和疫情相关的网络欺诈的风行意味着安全意识培训正在从可有可无的可选项，变成一个安全“刚需”。展望未来，我相信大多数员工都需要接受安全意识培训，并且与奖惩机制挂钩。业务经理还将对员工的安全教育负责，并在其团队的无知导致安全漏洞时受到处罚。在供应侧，安全培训供应商将需要为知识工作者设计更完善的课程，以补充基本的合规性培训。加强安全与IT运营之间的合作设置安全端点、云工作负载或网络基础结构将需要“安全内生”，而不仅是“安全增强”。此外，安全策略的实施和监控将需要各部门进行协调。过去，安全和IT运营团队有着不同的目标、KPI和薪酬结构。未来，组织可能会根据共同的项目而不是分散的目标来衡量这些团队。对于像ExtraHop、Netscout、ServiceNow和Tanium这样的在这两个领域都有技术和经验的供应商来说，这应该是个好消息。如果安全厂商想跟上步伐，他们将需要改善其IT运营能力。来源：安全牛 -The End- 远程办公解决方案识别二维码免费领取签约喜讯零信任落地案例 | 云深互联成功签约某银行客户零信任落地案例 | 云深互联成功签约某住房公积金管理中心客户解决方案 ① 场景解决方案远程办公 | 为什么零信任是远程办公的未来趋势？ ② 行业解决方案金融行业 | 为什么金融行业需要零信任安全的解决方案? 运营商 | 5G浪潮下，零信任如何保障运营商的网络安全？技术分析一文了解零信任架构的3大核心技术浅谈零信任的6大商业和安全益处云深互联云深互联（北京）科技有限公司（Clouddeep Technology），取名自“云深不知处，只在互联中”，寓意着公司的使命：通过零信任SDP（软件定义边界）网络隐身技术，保障企业数据的安全可信访问并且高效互联互通。公司致力于为企业提供零信任架构的网络安全产品与服务，技术具备国际领先水平，连续入选全球IT权威咨询机构Gartner的《零信任网络访问ZTNA市场指南》、《软件定义边界SDP市场增长研究报告》行业报告，也是工信部信通院《中国网络安全产业白皮书》的零信任安全典型代表厂商。 2020-07-13 14:50

5G浪潮下，零信任如何保障运营商的网络安全？近年来，在信息技术革命和经济全球化的推动下，电信业发生了巨大的变化，发展和变革的浪潮席卷全球。5G作为新一代信息通信技术演进升级的重要方向，是实现万物互联的关键信息基础设施、经济社会数字化转型的重要驱动力量。但随着电信运营商5G移动网络大规模的建设，随之而来的网络安全问题显得更加严峻。电信行业作为国家信息化建设的基础行业，其企业自身的网络安全的重要性更是不言而喻。运营商为了支持业务发展，会在内部建设数量更多的业务系统，采用的多是以防火墙、IPS等传统的边界防御设备为主的安全体系。而在云计算、大数据、移动化的时代背景下，这样传统的安全架构将会逐渐失效，所以目前迫切需要一种有效的手段和方案，能够快速发现风险，化被动为主动，深入识别内部暴露的问题，并持续有效地对风险进行监控与分析，从而提高攻击门槛，缩减修复漏洞的窗口期。基于此情况零信任成为各大运营商首选的理念，那么针对5G场景存在的危机以及零信任是如何为5G保驾护航的？下面将一一为大家进行解答。 5G网络应用场景存在的危机 5G网络的三大应用场景包括： 1、移动大宽带：三维立体视频、云工作、云娱乐； 2、高可靠低时延：车联网、无人驾驶、远程医疗； 3、海量机器通信：物联网、智慧城市、智慧楼宇。我们享受着5G所带来的巨大好处时，在势态发展的另一端，前所未来的安全风险也随之而来，具体的风险有以下几点： 01、接入物联网设备安全各类物联网设备接入5G网络无疑会给人们的生活带来便捷，但是随着接入5G网络的物联网设备越多，黑客通过海量低成本的物联网设备攻入5G网络的概率越高，且任何一个5G接入的设备都可能成为网络攻击的入侵点，5G网络将使得网络攻击潜在对象增加。下面通过一个小例子具体解释一下：某黑客在多次因为违章被罚款之后，在一个月黑风高的夜晚，来到家附近的一个摄像头下。趁着四下无人将摄像头上的网线转接下来，由于服务器和摄像头之间并没有太多复杂的认证，所以黑客以中间人的方式，连接上交管所的服务器，顺利的找到自己的违章照片。通过黑客的经历，我们可以发现，虽然当大量的公共基础设施设备连入网络后，会给政府等部门的统一管控带来便利，但物联网设备同样很容易被攻破。对于暴漏在公共场所接入5G网络的物联网设备来说很难像政府机关的机密计算机那样得到很好的安全防护，因为过于高额的成本让人望而却步。由此可见，接入物联网设备地安全问题，不容小觑。 02、边缘服务器安全若想实现5G的高可靠低延时场景，就需要通过边缘计算。由于5G在速度提升、容量和延迟方面的改进，在进行部署时将可以会打开许多网络，这将给黑客提供可趁之机。随着5G网络部署连接到更多的设备，DDos威胁可能会导致更多的攻击的出现，这不仅体现在频率上，而且攻击的传播范围和速度上也是很明显的。当我们全面进入到5G世界，将会有更多的连接设备，它们将能以更高的速度产生流量。进入5G的边缘计算时代，大量的数据要在边缘侧完成计算和储存，这使得企业不仅要加固服务器的网络安全防护，也要保护所有的边缘计算设备，这将需要耗费大量的精力来执行安全防护，也会让防护变得非常困难。我们可以理解为若对只有一个门的房子进行防护，这是很简单的，但是若要你对一个拥有100个门的别墅进行防护，将大大增加防护难度，需要大量的人力财力和物力。 03、远程控制设备安全国家预计在未来可以通过5G网络使用远程设备对智能制造设备进行控制。从产业需求看，没有5G安全，就没有产业的安全。尤其，5G将被广泛应用于电力能源、交通运输、工业制造等重点行业时，一旦网络遭受攻击或者入侵，将会严重威胁一国的经济社会稳定和人民生产生活。 5G网络的低时延特性可以使得加工过程更加细致和准确，但是如果远程控制设备被黑客攻击植入病毒，进而会影响生产，将对智能制造生产线造成严重后果，不但有可能会导致设备停止运转，若生产参数在操作人员没有发现的情况下被改，将会导致产品残次率飙升，产线合格率下降，严重影响品牌口碑，对公司造成致命的打击。若电网在5G场景下，远程控制设备被恶意篡改，将会导致电网的絮乱，会对社会造成严重的经济损失。同理，若是医疗行业的远程控制设备被攻击，很可能会危及到患者的生命，后果不堪设想。远程控制设备都属于企业私有物品，若企业的安全防护意识不高，很有可能会被黑客绕过5G网络的层层防护，直击中心。 04、用户隐私安全 5G网络的建设涉及到IT基础设施供应商、通信网络运营商和虚拟网络运营商。接入设备中也通过不同的网络接入，实现物与物、物与人的泛在连接。即涉及到的环节更加复杂，数据的来源和流向更加多样性，用户的隐私数据将更加广泛的流动。在5G技术中引入的虚拟化技术后，将导致网络安全边界更加模糊。在高速网络环境下，给用户隐私带来更大的威胁。历史告诉我们每当我们提升计算能力和连接能力时，同时也扩大了威胁范围。不仅如此，随着我们越来越依赖通信网络和技术来传输大量数据时，若它们遭到破坏，我们将有可能会面临严重的灾难。企业迎接5G的准备工作虽然到目前为止，5G已经逐渐进入人们的生活，但是对企业来说很难做好万全的准备，但在涉及网络安全时，企业可以采取积极主动的措施，专注并进行坚实基础投资，转变自身的观念，将安全视为实现战略创新和取得进步的一种方式。 01、审查企业基础架构和管理技术组织机构不应该持续依赖传统管理技术和安全架构，对于不能配合其它设备的方案应该进行及时的更新。企业需要对当前的安全状况有一个全面的了解将对快速发现和修复威胁有不可估量的价值，目前有大量的解决方案存在无法兼容的问题，这导致了无效的安全举措，更新安全架构成本过高，工作效率低下。 02、提高自动威胁检测和应对能力随着企业向云体系过度，面对不断增多的威胁，对于快速并灵活的保护措施的需求也在不断增长。企业需要能够检测并自动加强从端点到边缘以及中间每个云的安全策略。对任何一个企业来说，这都将是一个需要兼顾各方的过程，因为他们需要及时了解新的安全威胁和策略，并同时对以及存在的威胁提高警惕。 03、更新企业响应计划安全漏洞时刻都会发生，针对因安全漏洞而被入侵造成的损失，企业需要做最坏的心理准备，企业应该根据现有的行业标准NIST框架制定相关的零信任计划，该计划需要包含检测、识别、响应和修复威胁形成一个循环的过程，这意味着修复的最佳做法总是反馈给最初的阶段，以便不断改进和学习。这样可以确保企业的响应计划永远是最新的，并可以做好在最坏的情况下迅速恢复正常工作的准备。零信任在5G场景下的优势网络切片是5G特有的一项关键技术，其面向业务配置网络的特性可以有效地助力行业进行数字化转型。网络切片安全首先需要为不同终端提供差异化的安全保护。但引入这些新进技术的同时也给网络安全带来了巨大的挑战，由于它使网络物理边界变得十分模糊，以前物理边界防护的各种安全机制难以发挥作用。所以，新的安全机制必须适应虚拟化、云化的需求，这时零信任的价值开始体现，凭借“永不信任且验证”的理念，零信任成为对企业来说更合适的安全机制。2020年，Garnter发布了5G安全战略白皮书，其中包含三大支柱： 1）纵深防御：整体安全流程、端到端的方式、更高级别的安全自动化； 2）持续性和自适应：自适应风险决策、持续的可见性和评估； 3）零信任：实现设备健康认证与用户身份验证相结合、微隔离和软件定义边界。 5G时代对于运营商来说，安全即是服务，零信任SDP可以为运营商提供的行业解决方案是从组网、隔离性、密码算法、认证机制等方面提供定制化的安全配置，提供有保障的、灵活可定制的安全服务。在5G场景下的终端类型是多种多样的，通过零信任可以加强5G纵深防御，提高安全自动化水平，减少5G未来面临的安全威胁。零信任网络可通过对内部网络与外部网络都不信任，在访问前验证访问者身份，上下文策略合理性，减少网络攻击面。在企业侧，可形成为企业零信任网络，消除企业内网与外网的区别，让用户有一致的访问体验，实现端到端的全程加密。零信任网络可通过安全大脑为企业提供安全保障，安全大脑可分别以公司和行业为单位划分网络，在接入5G之后可体现不同的优势： 1、以公司为单位划分网络： 1）利用运营商的5G网络，我们可以通过接口开放，让多种设备互联，实现终端的多样化。 2）运营商的5G网络可以通过基于软件定义边界的SDP将整个网络划分成若干个子网接入各种终端设备。 2、以行业为单位划分网络： 1）接入运营商的5G网络，我们可以帮助用户实现低延时，快速访问，不再卡顿等现象。 2）5G运营商的安全大脑可以分析终端的流量，实现后台的管控和策略下发。未来期望 5G是一把双刃剑，5G技术革命决定了一个国家的发展速度，而5G安全防御能力则决定了国家的前进路程。 5G应用将迎来一个前所未来的新时代，希望通过大家共同的努力，解决5G的网络安全问题，真正开启5G时代的大门，确保5G通信发展的安全和持续性。针对现有通信网络中存在的问题和潜在威胁，通过安全圈人共同的努力，进行深入研究，找到合理高效、安全可用的5G网络保障措施，构建高系统性体系架构，使5G通信的安全性更加坚实可靠。 -The End- 远程办公解决方案识别二维码免费领取白皮书下载零信任安全SDP功能及应用详解一文带你读懂NIST《零信任安全架构标准》签约喜讯零信任落地案例 | 云深互联成功签约某银行客户更多精彩阅读一文了解零信任架构的3大核心技术为什么金融行业需要零信任安全的解决方案? 云深互联再次入选Gartner的SDP行业报告 NIST建议的零信任安全8大应用场景免费：三步实现千人远程内网办公云深互联陈本峰：软件定义边界（SDP）是零信任安全的落地技术 Cybersecurity Insiders 发布《2019零信任安全市场普及行业报告》云深互联云深互联（北京）科技有限公司（Clouddeep Technology），取名自“云深不知处，只在互联中”，寓意着公司的使命：通过零信任SDP（软件定义边界）网络隐身技术，保障企业数据的安全可信访问并且高效互联互通。公司致力于为企业提供零信任架构的网络安全产品与服务，技术具备国际领先水平，连续入选全球IT权威咨询机构Gartner的《零信任网络访问ZTNA市场指南》、《软件定义边界SDP市场增长研究报告》行业报告，也是工信部信通院《中国网络安全产业白皮书》的零信任安全典型代表厂商。 2020-07-07 17:42

为什么金融行业需要零信任安全的解决方案? 近年来，随着互联网、云计算和人工智能等新技术的不断发展，互联网与金融行业的结合也愈发紧密。一方面为金融机构的竞争发展拓展了新的空间，使得资金和投资管理变得十分便利;另一方面也引发了更多的数据泄露的情况，使得金融行业面临的网络安全的风险随之增加。同时，新兴技术的不断兴起，对整个金融行业的网络安全建设也提出了新的更全面具体的要求。金融企业的数字化转型使得安全风险系数不断加大，因此迫切的需要改进原有的防御理念和技术，构建更敏捷高效的网络安全体系，来支撑金融行业持续安全高速的发展。 01 金融行业面临的威胁及挑战在金融行业的发展中，只有明确自身存在的威胁和挑战，才能做到有针对性的做出防御策略和手段，维护整个行业的稳定发展，金融行业具体面临的4大威胁及挑战有： 1、总部员工办公：访问系统无法做到统一配置、统一管理，员工出差办公需要通过VPN访问内网，安全风险过高; 2、网点员工远程访问：终端设备中毒后易感染内网，权限管控粒度不够; 3、外拓人员的移动展业：数据传输泄密的风险、设备认证和身份管理的风险; 4、外包人员：访问权限管理困难，通过虚拟桌面等远程工具访问银行内部系统，安全风险大。在当前新技术不断涌现、企业边界迅速瓦解的大背景下，企业安全架构也面临新的挑战。零信任针对传统架构思想进行了重新评估和审视，并给出了新的防护思路。零信任的创新价值不仅仅在于具体的技术本身，而是在于它的架构理念和安全逻辑。如下，针对零信任在金融行业的解决方案为大家进行详细的解读。 02 零信任的适用场景金融企业数字化变革引发的IT基础架构转型，以及引入零信任技术，在IT架构的研发、设计、运营阶段强化零信任思维，同步规划、建设、运营，无疑能帮助过户外面再科技竞争中抢占先机。不同于传统的VPN连接进入企业内网，基于零信任技术可以基于设备状态、用户身份、以及行为模式进行动态管理，实现对不同企业资源细粒度的访问控制，解决VPN账号鉴权技术落后、缺乏环境识别、无法发现横向移动等安全缺陷以及令人头疼的网络设备集中式安全策略管理带来的开销等问题。零信任技术无论是在用户体验上还是在其安全性上，都比传统的VPN更具有优势。零信任SDP从根本上对网络安全模型进行了改革，其遵循着“默认不信任，总是验证和授予最少权限”的原则，打破物理便捷的局限性，从基于传统的静态便捷的被动防御转化为基于动态便捷的主动防御。深云SDP是基于零信任安全架构设计的产品，该产品方案的核心是采用动态端口技术，隐藏企业安全边界达到出口，保护企业数据“隐身”与互联网中，让黑灰产业无法发现无法攻击，全方位的保护企业的数据资产。深云SDP网络隐身技术不同于传统的边界防御措施，它主张“隐身”“最小授权”是更适用于云计算和移动时代的企业访问控制方案。深云SDP在金融行业具体有7大适用场景： 1、员工安全办公平台； 2、出差员工移动办公； 3、营业网点安全访问内网； 4、外拓人员移动展业安全管理； 5、外包商人员安全接入平台； 6、满足金融机构安全迁移上云需求； 7、满足国密该找与等保合规要求。 03 方案优势与价值众多周知，零信任在用于用户访问和身份管理的策略的基础上，可以部署加密分段，以确保只有特权用户才能访问特权应用程序或信息。从而使黑客无法从一个受感染的域或网段转移到另一个受攻击的域或网段，从而可以有效的保护数据资产。细数之下，零信任的方案优势有以下几点： 1、基于零信任架构可以解决远程办公的安全隐患问题。网络隐身的特性，可隐藏服务器业务系统;私有DNS可防止业务系统被劫持。 2、基于国密标准加密的浏览器;支持SSL和国密标准加密传输; 3、统一办公登录门户，而且可实现Chrome和IE双内核自由切换; 4、支持浏览器水印、cookie加密;支持禁止复制、打印、管理员代码调试等，有效防止数据被泄密。采用零信任，对于用户来说，也有如下几点价值体现：实现互联网暴漏面最小化，降低攻击风险; 实现企业安全办公平台统一化，提升办公效率; 实现办公数据可视化，运维简单; 实现多因子认证，提升身份认证安全; 实现应用级访问准入，提升网络访问安全。 04 未来期望在大数据时代，数据安全往往与企业的存亡休戚相关。在金融行业领域，数据是金融机构最具有战略性的、最核心的资产。虽然目前很多企业在安全防御上投入增加，提高了防御力，但安全形势依然严峻，在应用安全领域，金融企业仍然面临多种安全威胁。虽然对于零信任安全的研究仍处于探索阶段，但希望在未来通过大家共同的努力，持续推动企业网络安全架构的变革，在零信任世界中动态地建立起真正地信任，为金融行业数字化转型提供敏捷高效地安全支撑。 -The End- 远程办公解决方案识别二维码免费领取白皮书下载零信任安全SDP功能及应用详解一文带你读懂NIST《零信任安全架构标准》更多精彩阅读一文了解零信任架构的3大核心技术零信任安全十周年峰会|陈本峰受邀出席并解读《NIST零信任架构》云深互联再次入选Gartner的SDP行业报告 NIST建议的零信任安全8大应用场景免费：三步实现千人远程内网办公云深互联陈本峰：软件定义边界（SDP）是零信任安全的落地技术 Cybersecurity Insiders 发布《2019零信任安全市场普及行业报告》云深互联云深互联（北京）科技有限公司（Clouddeep Technology），取名自“云深不知处，只在互联中”，寓意着公司的使命：通过零信任SDP（软件定义边界）网络隐身技术，保障企业数据的安全可信访问并且高效互联互通。公司致力于为企业提供零信任架构的网络安全产品与服务，技术具备国际领先水平，连续入选全球IT权威咨询机构Gartner的《零信任网络访问ZTNA市场指南》、《软件定义边界SDP市场增长研究报告》行业报告，也是工信部信通院《中国网络安全产业白皮书》的零信任安全典型代表厂商。 2020-06-30 18:44

Gartner 九大安全与风险趋势（2020版） CISO应该理解这些趋势，以实践安全计划的强力执行。技术安全人员短缺、云计算快速迁移、法规遵从要求、威胁的无情演变，仍然是当前最重要的主要安全挑战。然而，对COVID-19的响应，仍然是2020大多数安全机构面临的最大挑战。疫情大流行及其对商业世界造成的改变，加速了业务流程数字化、端点移动性和云计算在大多数组织中的扩展，揭露了传统思维和技术的不足。 COVID-19将使安全团队的重点放在这些事情的价值上：云交付安全和运行工具（这些都不需要LAN连接来运转），审查远程访问策略和工具，迁移到云数据中心和SaaS应用程序，保护新的数字化工作以最小化人与人之间的交互。 Gartner已经确定了九个年度最高趋势，这是领导机构对这些长期外部趋势的反应。这些趋势突出了安全生态系统尚未被广泛认可的战略转变，但预计会产生广泛的工业影响和潜在的破坏潜力。 01 扩展检测和响应能力（XDR）将提高精确性和生产扩展的检测和响应（XDR）解决方案正在兴起，自动收集和关联来自多个安全产品的数据，以改善威胁检测，并提供事件响应能力。例如，一个导致电子邮件、端点、网络发起告警的攻击，可以组合成一个单个事件。XDR解决方案的主要目标是提高检测精度，并提高安全运行效率和生产效率。数据的集中和归一化，也有助于通过组合更多组件的软信号，来检测可能会被忽略的事件。 02 安全过程自动化将消除重复性任务熟练的安全从业人员的缺乏和安全工具内自动化的可用性，推动了更多安全过程自动化的使用。该技术基于预定义的规则和模板，自动执行以计算机为中心的安全运行任务。自动化安全任务可以以更快、可扩展的方式和更少的错误执行。然而，构建和维护自动化的收益会递减。SRM领导者必须投资于自动化项目，以帮助消除那些耗费大量时间的重复性任务，以留出更多时间来关注更关键的安全功能。 03 人工智能为保护数字业务计划创造新的安全责任人工智能（AI）特别是机器学习（ML），在安全和数字业务中的一系列广泛的用例中，继续自动化和增强人类决策。然而，这些技术需要安全专业技能来解决三个关键挑战：保护AI驱动的数字业务系统；利用人工智能和打包的安全产品一起来增强安全防御；预期攻击者对AI的恶意使用。 04 企业级首席安全官员（CSO）将汇聚多个面向安全的竖井 2019年，传统企业IT系统之外的事件、威胁和漏洞披露有所增加，并促使领先组织重新思考网络和物理世界的安全问题。新出现的威胁，如对业务流程的勒索软件攻击、对构建管理系统的潜在siegeware攻击、GPS欺骗和持续的OT/IOT系统漏洞，横跨了网络和物理世界。主要关注以信息安全为中心的工作的组织，没有能力处理安全故障对物理安全的影响。因此，部署网络和物理系统的领先组织正在出现企业级CSO，以将多个面向安全的竖井汇聚起来，以用于防御目的，并且在某些情况下成为业务推动者。CSO可以将IT安全、OT安全、物理安全、供应链安全、产品管理安全、以及健康、人身安全和环境计划，聚集成一个集中化的组织和治理模式。 05 隐私正在成为的一门独立的学科不再只是合规、法律或审计的“其中一部分”，隐私正逐渐成为一种越来越有影响的、定义的学科，影响着组织的几乎所有方面。作为一个快速增长的独立学科，隐私需要在整个组织中更加整合。具体而言，隐私规范将参与共同指导企业战略，因此需要密切配合安全、IT/OT/IoT、采购、人力资源、法律、治理等各个方面。 06 新的“数字信任和安全”团队聚焦于维护消费者与品牌互动的完整性消费者通过各种各样的接触点与品牌互动，从社交媒体到零售。消费者在触摸点内的安全感受是一个商业差异。这些触摸点的安全性，通常是由离散群组管理的，具体的业务单元集中在它们运行的区域上。然而，公司正越来越多地转向跨职能的信任和安全团队（trust and safety teams），以监督所有的互动过程，确保消费者与企业互动的每个空间的标准安全水平。 07 网络安全从基于局域网的设备模型向 SASE转变随着远程办公技术的发展，云交付的安全服务越来越受欢迎。安全访问服务边缘（SASE）技术允许组织更好地保护移动工作者和云应用程序，通过基于云的安全堆栈来路由流量，而非对流量回程以使其通过数据中心中的物理安全系统。 08 保护云原生应用的动态需求的全生命周期方法许多组织在面向终端用户的端点上，使用相同的安全产品，就像对待服务器工作负载一样，这种技术经常在“升迁和转移”云迁移期间继续进行。但是云原生应用需要不同的规则和技术，从而导致云工作负载保护（CWPP）的发展。但是随着应用程序越来越动态，安全选项也需要改变。CWPP与新兴的云安全配置管理（CSPM）相结合，可用于安全需求的所有演进。 09 零信任网络访问（ZTNA）技术开始取代 VPN 疫情大流行凸显了许多与传统VPN相关的问题。新兴的零信任网络接入（ZTNA）使企业能够控制对特定应用的远程访问。这是一个更安全的选择，因为它“隐藏”来自互联网的应用——ZTNA只与ZTNA服务提供者通信，并且只能通过ZTNA提供者的云服务来访问。这降低了攻击者在VPN连接上进行攻击以便攻击其他应用程序的风险。全面的ZTNA采用，确实要求企业有一个关于用户需要访问哪些应用程序的精确映射，这个过程会放慢ZTNA的采用速度。关于ZTNA市场指南，请参见《零信任网络访问市场指南（2020版）》。来源：网络安全观 -The End- 远程办公解决方案识别二维码免费领取白皮书下载零信任安全SDP功能及应用详解一文带你读懂NIST《零信任安全架构标准》更多精彩阅读一文了解零信任架构的3大核心技术零信任安全十周年峰会|陈本峰受邀出席并解读《NIST零信任架构》云深互联再次入选Gartner的SDP行业报告 NIST建议的零信任安全8大应用场景免费：三步实现千人远程内网办公云深互联陈本峰：软件定义边界（SDP）是零信任安全的落地技术 Cybersecurity Insiders 发布《2019零信任安全市场普及行业报告》云深互联云深互联（北京）科技有限公司（Clouddeep Technology），取名自“云深不知处，只在互联中”，寓意着公司的使命：通过零信任SDP（软件定义边界）网络隐身技术，保障企业数据的安全可信访问并且高效互联互通。公司致力于为企业提供零信任架构的网络安全产品与服务，技术具备国际领先水平，连续入选全球IT权威咨询机构Gartner的《零信任网络访问ZTNA市场指南》、《软件定义边界SDP市场增长研究报告》行业报告，也是工信部信通院《中国网络安全产业白皮书》的零信任安全典型代表厂商。 2020-06-24 18:02

为什么零信任是远程办公的未来趋势？ 2020年初，新型冠状病毒席卷全球，在疫情没有得到有效的控制前，各大企业积极响应国家号召开始启动远程办公模式。在远程办公的热潮中，中大型企业的VPN远程办公也暴露了诸多安全问题，其中最让人印象深刻的是某上市公司生产环境遭到恶意破坏;某公司的运维员工通过VPN进入公司内网的跳板机，在权限管控缺失的情况下，报复性破坏公司的数据库，凭一己之力蒸发公司市值近20亿元。在此情况下，企业如何更安全的实现远程办公，是诸多企业关注的重点。特别是后疫情时代的到来，远程办公成为当下的主旋律。而零信任在解决远程办公的同时，避免了网络攻击对企业应用、数据资产造成的威胁，是企业解决远程办公的极好选择。本文将针对于此给出详细有力的解释! 01 远程办公危机四伏远程办公凭借着能够提升办公协作和企业管理效率、减少人群接触风险等特点，在疫情期间成为企业实现安全复工复产的重要方式。但是，对于大部分企业来说，因疫情而临时搭建出来的远程办公系统尽管可以解决企业员工的办公需求，但是也带来了大量的危机。员工异地访问的身份识别、多地分散的终端安全防护、网络信息加密的不确定性，使接入环境变得异常复杂，不利于运维人员的管理和追溯;同时一些企业所使用的传统网络架构，也让大量高风险业务端口暴露在外，使企业的核心业务和数据容易遭到黑客的攻击而泄露。在传统的VPN难以继续满足企业的需求时，基于零信任理念打造的企业安全访问体系开始被广泛使用，下面我们将分析零信任的优势和如何解决现阶段远程办公的问题。 02 远程办公的未来趋势零信任 & VPN 虚拟专用网络(VPN)等传统远程访问技术无法满足当今无边界数字化企业日益增长的需求。且传统的VPN对企业安全也会构成一定的威胁，因为VPN本身在防火墙上就会形成漏洞，从而提供不受限制的网络访问。一旦攻击者位于内部，其就可以自由地横向移动以访问和利用网络中的任何系统或应用程序。传统VPN作为提供远程服务的虚拟专用网络访问功能未跟上安全性要求和当今不断变化的威胁格局。远程访问通过创建加密的点对点连接IP流量流经的“隧道”。但是，VPN使企业更容易受到攻击和数据的泄漏，因为组织内的用户都可以访问整个内部网络以进行访问公司资源。用户不限于特定网络资源，使VPN成为最弱的一种有关身份访问的故障点和凭证管理，在使用中没有细分、审核和控制。除此之外，VPN还有用户体验不佳、拓展性差等问题存在。零信任的安全理念是建立在身份验证、设备验证、网络隔离和访问控制的基础上，是保护管理应用和数据的关键。传统保护网络安全的方式是先访问资源再验证身份，而零信任的理念则是先验证身份，再授权进行访问。零信任网络则可以在任何时候都限制对所有用户的访问，随着网络攻击者的攻击手段变得越来越先进，VPN不足以阻止他们，但是基于零信任网络，无论攻击者是否已经获得用户的授权凭证，他们的行动都将受到限制，遵循最小授权原则，所有其他资源对用户不可见。零信任网络可以划定一个清晰的边界，在网络中使用微分段创建安全区域以此加强网络的安全性。零信任 & WAF 现代网络攻击具有高度针对性，恶意攻击者利用电子邮件、社交媒体、即时消息等社交工具，通过高度相关和个性化诱饵来攻击个人。网络罪犯会寻找具有所需资历、技能集和访问级别的特定用户，然后发起针对这些用户权限的应用程序攻击。虽然大部分的公司使用WAF来保护面向外部的应用程序及其背后的数据免受应用程序层和注入攻击，但网络罪犯将以设备为目标，将其转变为僵尸机器，并利用它攻击防火墙后方被认为安全的应用程序。而且在使用WAF时还存在几点弊端： 1)WAF对HTTP协议实现了自解析，无法和容器背后的Web应用保持对协议的理解一致，在误杀和漏报之间不能很好的平衡; 2)WAF对每个请求都要进行解析和识别会导致占用内存过多的情况; 3)WAF协议单台服务器部署，并且存在影响正常业务和被绕过的风险，不适合大型网站的防护使用，存在一定的局限性。零信任遵从永不信任且验证的原则，在认证之前，所有资源均不可见。此外，零信任通过细粒度的访问控制手段、可视化的策略管理能力和不落地的数据防泄露技术，提供按需、动态的可信访问，同时基于身份实行严格的访问权限控制和对所有入网设备的安全可控。WAF是SQL注入攻击的第一道防线，而零信任可以在最初就减少这种现象发生的概率，零信任与WAF相比可以为企业提供更加广泛的保护。零信任远程办公方案的优势随着当下环境发展到由更复杂的应用程序和终端组成，基于边界防护的安全体系将失去有效的洞察力和控制力，而零信任安全被认为是解决现阶段网络安全问题的最佳解决方案。零信任在远程办公的安全性上的优势，主要有以下几个方面： 1)零信任访问：实现所有用户接入前统一认证，即先认证、再连接，隐藏应用减少攻击面。 2)细粒度的按需授权：进行多层级细粒度的授权，实现全面最小按需授权。 3)动态风险评估：实时评估终端环境、用户行为等风险，发现异常立刻触发响应，形成闭环。基于零信任理念的远程办公方案，可以最大程度的让员工拥有内外网一致的办公体验。通过零信任方案，让终端用户可以直接在公网进行认证之后，访问授权的企业应用，而不会因为网络的连通性而影响办公效率。过去，在安全和便捷之间，我们总是很难达到一个理想的平衡，但是现在基于零信任理念而产生的远程办公方案，对企业来说可以提高安全性，对企业员工来说有更高的易用性，拥有更完美的体验，提高工作效率。 -The End- 远程办公解决方案识别二维码免费领取白皮书下载零信任安全SDP功能及应用详解一文带你读懂NIST《零信任安全架构标准》更多精彩阅读一文了解零信任架构的3大核心技术零信任安全十周年峰会|陈本峰受邀出席并解读《NIST零信任架构》云深互联再次入选Gartner的SDP行业报告 NIST建议的零信任安全8大应用场景免费：三步实现千人远程内网办公云深互联陈本峰：软件定义边界（SDP）是零信任安全的落地技术 Cybersecurity Insiders 发布《2019零信任安全市场普及行业报告》云深互联云深互联（北京）科技有限公司（Clouddeep Technology），取名自“云深不知处，只在互联中”，寓意着公司的使命：通过零信任SDP（软件定义边界）网络隐身技术，保障企业数据的安全可信访问并且高效互联互通。公司致力于为企业提供零信任架构的网络安全产品与服务，技术具备国际领先水平，连续入选全球IT权威咨询机构Gartner的《零信任网络访问ZTNA市场指南》、《软件定义边界SDP市场增长研究报告》行业报告，也是工信部信通院《中国网络安全产业白皮书》的零信任安全典型代表厂商。 2020-06-23 16:41

零信任网络访问市场指南（2020版）数字业务的现实是，它需要随时随地访问任何应用程序，而不管用户及其设备的位置如何。而ZTNA（零信任网络访问）恰恰使能了本不适合传统访问方法的数字业务转型场景。尤其是对于那些寻求更灵活、更具响应性的方式与数字业务生态系统、远程工作者、外部合作伙伴进行连接和协作的组织，ZTNA再适合不过。 ZTNA削弱了网络位置的优势地位，消除了过度的隐式信任，代之以显式的基于身份的信任。从某种意义上说，ZTNA创建了个性化的“虚拟边界”，该边界仅包含用户、设备、应用程序。ZTNA还规范了用户体验，消除了在与不在企业网络中所存在的访问差异。最关键的是，它还将横向移动的能力降到最低。 Gartner旗帜鲜明地建议：安全和风险管理领导人应试点ZTNA项目以作为SASE（安全访问服务边缘）战略的一部分，或迅速扩大远程访问。同时也指出：尽管VPN替换是ZTNA采用的一个常见驱动因素，但ZTNA很少能完全替换VPN。2020版指南延续了2019版市场指南中关于ZTNA产品的实现方式（端点启动和服务启动）和ZTNA产品市场的分类方式（即服务产品和独立产品）。虽然Gartner报告一贯前瞻，但该指南也罗列了一些务实的做法，即在零信任架构还无法全面实现的情况下，如何使用现用技术提升安全性。这样的技术包括：传统VPN、DMZ、PAM、WAF、虚拟桌面、远程浏览器隔离、CDN、API网关。可参见本文“ZTNA备选方案”小节。综合该指南中“市场建议”和“评估因素”章节内容，可以看出：为了构建一套基于零信任的完整身份访问安全体系，应聚合人员、设备、程序等主体的数字身份、认证因素和IT服务资源属性、环境属性、数据资源安全属性等数据，结合访问控制策略数据，形成统一身份数据视图；应面向云、大数据平台、应用系统的服务与资源，建立基于资源属性的数字身份统一授权管控策略，实现人机交互、系统间互访的统一授权管理，以及基于零信任的细颗粒度访问控制；应集成多因素身份认证（MFA），支撑高强度身份认证；应集成用户行为分析（UEBA），支撑对异常行为的发现与处置。这些都是不可或缺的要素。本报告译自2020年6月份发布《Gartner零信任网络访问市场指南（2020版）》。虽然从名称上看，这只是一篇市场指南，但其中言简意赅地反映了零信任的诸多技术要点和趋势，值得技术专家了解和关注。本想只做摘录，但原文很短，译文也就万言。故简单照搬，仅做少许结构调整。并无商业目的，主要是与业界同步信息。若有不妥，请联系笔者删除。本文目录一、概述 1）主要发现 2）主要建议二、市场定义和价值主张 1）ZTNA市场定义 2）ZTNA市场描述 3）ZTNA价值主张三、市场方向 1）端点启动的ZTNA 2）服务启动的ZTNA 四、市场分析 1）好处和用途 2）风险 3）ZTNA评估因素 4）ZTNA备选方案五、代表性供应商 1）市场产品分类 2）即服务产品的供应商 3）独立产品的供应商 4）产品选择的趋势六、市场建议 01 概述主要发现数字化业务转型要求系统、服务、应用程序编程接口、数据和流程能够通过多种机制随时随地从互联网上的任何用户设备访问。这扩大了攻击者的攻击范围。用户和应用程序已经在云中。因此，安全访问能力也必须向云交付发展。许多零信任网络访问产品都是基于云的。传统网络、VPN、DMZ（非军事区）架构中用于建立访问的IP地址和网络位置，通常配置为允许过度的隐式信任和未修复的漏洞，从而使企业面临攻击风险。 ZTNA提供自适应、身份识别、精确访问。它削弱了网络位置的优势地位，消除了过度的隐式信任，代之以显式的基于身份的信任。 ZTNA提高了应用程序访问的灵活性、敏捷性、可扩展性，使数字业务能够蓬勃发展，而无需将内部应用程序直接暴露在互联网上，降低了攻击风险。尽管VPN替换是ZTNA采用的一个常见驱动因素，但ZTNA很少完全替换VPN。组织通过ZTNA，可以允许非受管设备和外部合作伙伴安全地访问应用程序，而无需信任设备连接。最近向远程劳动力的转移，加速了ZTNA的采用，以解决传统VPN访问的硬件和带宽限制。主要建议负责基础设施安全的安全和风险管理领导，应该：部署ZTNA产品，该产品依赖于多个上下文因素，以建立和调整应用程序级访问的信任。停止那些主要依赖IP地址和网络位置作为信任的代理。如果您的传统远程访问VPN由于扩大的远程劳动力而遇到容量或带宽限制，请评估使用基于云的ZTNA来卸载一些用例。替换面向员工和合作伙伴的应用程序的设计，这些应用程序将服务暴露于直接的互联网连接。一个特别有益的用例是试点一种数字业务服务的ZTNA部署，在该服务中需要合作伙伴能够访问。对不需要全面网络访问的用户，逐步淘汰基于传统VPN的接入，并开始逐步采用ZTNA。这减少了对支持广泛部署的VPN代理的持续需求，并引入了无代理的身份和设备感知访问，这有助于从受管和非受管设备进行访问。选择与通用多因素认证产品集成的ZTNA产品，将身份保证扩展到单一因素之外，这是对基于上下文的自适应访问控制ZTNA原则的重要补充。选择与组织的安全访问服务边缘（SASE）架构计划一致的ZTNA产品，或展示强大的供应商安全访问服务边缘（SASE）产品路线图，以使未来的网络和安全，能从云端作为服务交付。 02 市场定义和价值主张 ZTNA 市场定义 Gartner将零信任网络访问（ZTNA）定义为一种产品和服务，这些产品和服务创建了一个基于身份和上下文的逻辑访问边界，该边界围住了一个用户和一个应用程序或一组应用程序。应用程序被隐藏以避免被发现，并且通过信任代理将访问限制为命名实体的集合。信任代理在允许访问之前验证指定参与者的身份、上下文和策略遵从性，并最小化网络中其他位置的横向移动。根据全球知名IT咨询机构Gartner发布的零信任网络访问（ZTNA）行业报告，零信任网络访问也称为软件定义边界（SDP），是围绕某个应用或某一组应用创建的基于身份和上下文的逻辑访问边界。如今，零信任安全已经成为美国国家级网络安全战略。 ZTNA消除了经常伴随其他形式的应用程序访问的过度隐式信任。 ZTNA市场描述打破了原有的“内部即可信”、“外部即不可信”的安全模式。当用户成为移动用户，当“外部”业务伙伴需要访问时，虚拟专用网（VPN）和非军事区（DMZ）就变得普遍起来，但它们同时给予攻击者滥用的过度隐性信任。数字业务的现实是，它需要随时随地访问任何应用程序，而不管用户及其设备的位置如何。新模型——零信任网络（ZTN，zero-trust networking）——提出了一种抽象和集中化访问机制的方法，使得安全工程师和工作人员能够对其负责。ZTNA以零信任的默认拒绝姿态开始。它基于人员及其设备的身份以及其他属性和上下文（如时间/日期、地理位置和设备姿态）授予访问权限，并自适应地提供当时所需的适当信任。其结果是一个更具弹性的环境，具有更好的灵活性和更好的监控。ZTNA在呼唤那些寻求更灵活、更具响应性的方式与数字业务生态系统、远程工作者、合作伙伴进行连接和协作的组织。 ZTNA提供了对资源的可控的身份感知和上下文感知的访问，减少了攻击面。ZTNA提供的隔离性，提升了连接性，消除了直接向Internet公开应用程序的需要。Internet仍然是不受信任的传输；信任代理调解应用程序和用户之间的连接。信任代理可以是由第三方提供商管理的云服务，也可以是自托管服务（以客户数据中心中的物理设备或公共IaaS云中的虚拟设备的形式）。一旦信任代理评估了用户的凭据和其设备的上下文，信任代理就与逻辑上靠近应用程序的网关功能通信。在大多数情况下，网关建立到用户的出站通信路径。在某些ZTNA产品中，代理仍保留在数据路径中；在其他产品中，只有网关保留在数据路径中。在许多情况下，用户和设备的行为会被持续监控，以防出现异常行为，正如Gartner的持续自适应风险和信任评估（CARTA）框架所述。从某种意义上说，ZTNA创建了个性化的“虚拟边界”，该边界仅包含用户、设备和应用程序。ZTNA还规范了用户体验，消除了在与不在企业网络中所存在的访问差异。 ZTNA 价值主张尽管ZTNA产品在技术方法上有所不同，但它们提供的基本价值主张大体相同：将应用程序和服务，从公共互联网上的直接可见性中移除。针对命名用户对指定应用程序的访问，启用精确性（“刚好及时”和“刚好足够”）和最小权限，即只有在对用户身份、设备的身份和卫生状况（高度建议）、上下文进行评估之后。启用独立于用户物理位置或设备IP地址的访问，除非策略禁止（例如，针对世界特定地区）。访问策略主要基于用户、设备、应用程序的身份。只允许访问特定的应用程序，而非底层网络。这限制了对所有端口和协议或所有应用程序的过度访问，因为其中有些可能是用户无权访问的。最关键的是，它还将横向移动的能力降到最低，因为这是困扰许多企业的有害威胁。提供网络通信的端到端加密。针对敏感数据处理和恶意软件形式的过度风险，提供了可选的对通信流量的检查。启用可选的会话监视，以指示异常行为，如用户活动、会话持续时间、带宽消耗。为访问应用程序（无代理或通过ZTNA代理）提供一致的用户体验，无论网络位置如何。 03 市场方向随着越来越多的组织向远程工作过渡，ZTNA激起了这些组织的兴趣，以寻求比VPN更灵活的替代方案，并对位于本地和云中的应用程序进行更精确的访问和会话控制。 ZTNA供应商继续吸引风险投资资金。这反过来又鼓励新的创业公司进入一个日益拥挤的市场，并寻求差异化的方式。这一市场的并购活动正在进行中，目前已有多家初创企业被大型网络、电信和安全供应商收购。 Gartner已经识别出ZTNA供应商在为市场开发产品和服务时采用的两种不同方法：一种是端点启动的ZTNA，另一种是服务启动的ZTNA。端点启动的ZTNA 这类产品更接近于最初的云安全联盟（CSA）软件定义边界（SDP）规范。安装在被授权的最终用户设备上的代理，将其安全上下文的信息发送到控制器。控制器提示设备上的用户进行身份验证，并返回允许的应用系统列表。在对用户和设备进行身份验证之后，控制器通过一个网关提供设备的连接性，该网关屏蔽了服务免受Internet的直接访问。该屏蔽作用可保护应用程序免受拒绝服务（DoS）攻击和其他威胁，而如果将它们放在传统的DMZ中，它们则将承受这些威胁。一旦控制器建立连接性，一些产品将保留在数据路径中；而其他产品则自行从数据路径中删除。由于需要安装某种形式的代理或本地软件，端点启动的ZTNA很难（即便不是不可能）在非受管设备上实现。在某些情况下，第三方统一端点安全（UES）产品（用户可能比全面设备管理更愿意接受）可以向信任代理提供态势评估。（概念模型见图1）服务启动的ZTNA 这类产品更接近于谷歌BeyondCorp的愿景。与应用程序安装在同一网络中的连接器，建立并维护到提供者的云的出站连接（有些实现称为“由内向外”）。用户向提供者（provider）进行身份验证，以访问受保护的应用程序。反过来，提供者使用企业身份管理产品验证用户。只有验证成功后，流量才会通过提供者的云，从而将应用程序与通过代理的直接访问隔离开来。企业防火墙不需要为入站流量打开。但是，提供者的网络成为必须评估的网络安全的另一个要素。服务启动ZTNA的优点是，终端用户的设备上不需要代理，这使得它成为非受管设备的一种有吸引力的方法。缺点是应用程序的协议必须基于HTTP/HTTPS，从而限制了通过如HTTP之上安全Shell（SSH）或远程桌面协议（RDP）访问web应用程序和协议的方式。最近，一些较新的供应商开始提供额外的协议支持。（概念模型见图2）有一些供应商支持将两种方案结合起来的混合用例，包含两种风格：一种风格，是将模型组合到单个产品中，使客户能够为某些应用程序选择端点启动的会话，为其他应用程序和具有非受管设备的用户选择服务启动的会话。另一种风格，是提供带有最终用户代理的服务启动模型，以支持遗留协议。 04 市场分析互联网是用来连接事物而非阻止的。有了IP地址和路由，任何东西都可以与任何东西对话（默认允许）。而身份验证这个棘手的问题，是在协议栈的高层处理的。然而，攻击者滥用了这种信任。当企业开始连接互联网时，攻击者迅速移动，依靠网络防火墙在内部创建“可信”据点；当员工开始移动时，VPN通过扩展网络将内部信任扩展到远程员工，而攻击者非法获取VPN凭据以滥用此信任；当需要外部访问时，服务又会移动到DMZ中，从而使它们暴露给攻击者。过度的隐性网络信任，会产生过度的潜在风险，从而受到攻击。网络访问（甚至“ping”或查看服务器或应用程序的权限）不应该是给定的。它应该基于用户、设备的身份和上下文来获得。越来越多的互联网连接服务，以及服务和用户几乎可以位于任何IP地址的越来越大的可能性，再加上向越来越多远程工作人员的转变，加剧了旧模式的弱点。好处和用途 ZTNA的好处是立竿见影的。与传统的VPN类似，带入ZTNA环境的服务在公共互联网上不再可见，因此，可以抵御攻击者。此外，ZTNA在用户体验、灵活性、适应性、策略管理的易用性方面，也带来了显著的优势。对于基于云的ZTNA产品，可扩展性和易采用性是额外的好处。总之，ZTNA使能了不适合传统访问方法的数字业务转型场景。由于数字转型的努力，大多数企业在境外拥有的应用程序、服务和数据将多于境内。基于云的ZTNA服务，将安全控制放在用户和应用程序所在的位置——即云中。一些较大的ZTNA供应商已经在全球范围内投资了很多POP点（points of presence），以满足时延敏感的要求，并满足区域性的审计和检查要求。有一些用例适合于ZTNA：向合作生态系统成员开放应用程序和服务，如分销渠道、供应商、承包商或零售店，而无需VPN或DMZ。访问过程与用户、应用程序、服务的耦合更紧密。规范应用程序访问的用户体验——ZTNA消除了公司网络内部和外部的区别。基于用户行为派生角色——例如，如果用户的电话在一个国家，但其PC在另一个国家，并且两者都试图登录到同一应用程序，则应允许合法访问，同时应阻止失陷的设备。在不信任本地无线热点、运营商或云提供商的情况下，将加密从端点一直携带到ZTNA网关（它可能与它正在保护的应用程序运行在同一服务器上）。为IT承包商和远程或移动员工提供特定于应用程序的访问，作为基于VPN的访问的替代。控制对应用程序（如基于云的应用程序）的管理性访问，作为完备特权访问管理（PAM）工具的最低替代方案。在并购活动中扩展对收购组织的访问，而无需合并网络、合并目录或配置站点对站点VPN和防火墙规则。在网络或云中隔离高价值企业应用程序，以减少内部威胁，并影响管理性访问职责的分离。在个人设备上验证用户——ZTNA可以通过降低全面管理要求和实现更安全的直接应用程序访问，提高安全性并简化自带设备（BYOD）项目。在物联网网段上，创建物联网设备的安全飞地或基于虚拟设备的连接器，进行连接。在敌意网络上隐藏系统，例如用于协作的系统，否则会开放给公共互联网。风险尽管ZTNA大大降低了总体风险，但并没有完全消除所有风险，如以下示例所示：信任代理可能成为任何一种失效的单点。当服务关闭时，通过ZTNA服务完全隔离的应用程序将停止工作。精心设计的ZTNA服务，应包括物理和地理冗余，具有多个入口和出口点，以最大限度地降低中断影响整体可用性的可能性。此外，供应商的SLA（或缺少SLA）可以指示他们对其产品的看法有多稳健。应支持带有SLA的供应商，以尽量减少业务中断。信任代理的位置会给用户造成延迟问题，对用户体验产生负面影响。精心设计的ZTNA产品，应提供多个POP，结合对等关系，以提高冗余度，同时减少延迟。攻击者可能试图破坏信任代理系统。虽然不太可能，但风险并不是零。建立在公有云上或主要互联网运营商中的ZTNA服务，可得益于提供商强大的租户隔离机制。然而，租户隔离的崩溃，将允许攻击者渗透到供应商的客户的系统中，并在其内部和之间横向移动。受损的信任代理应立即故障转移到冗余的信任代理。如果它不能，那么它就应该关闭——也就是说，如果它不能转移滥用，它就应该断开与互联网的连接。应支持采取这种立场的供应商。此外，请验证供应商是否维护了自己的安全运行团队，这些团队勤勉地监视其基础设施，以发现影响服务完整性的问题。受损的用户凭据，可能允许本地设备上的攻击者观察和渗出设备中的信息。结合设备身份验证和用户身份验证的ZTNA架构，在一定程度上遏制了这种威胁，阻止了攻击传播到设备本身之外。建议在可能的情况下，MFA应该与任何ZTNA项目一起使用。考虑到信任代理失效和用户凭据的问题，管理员帐户应准备好防范攻击。限制管理员的数量，并监视他们的活动，以减少内部威胁，并支持默认情况下需要对管理员进行强身份验证的供应商。一些ZTNA供应商已选择将其开发重点放在仅支持web应用协议（HTTP/HTTPS）上。通过ZTNA服务承载遗留应用程序和协议，对供应商的开发和客户的部署都是一项更具技术挑战性的工作。市场在不断变化，较小的供应商可能消失或被收购。 ZTNA评估因素在评估ZTNA技术时，需要提出以下关键问题：供应商是否要求安装端点代理？支持什么操作系统？什么移动设备？代理在其他代理已经存在的情况下表现如何？供应商是否支持受管和非受管设备的ZTNA（理想情况下两者都支持）？供应商是否将ZTNA作为一项服务提供，或是否要求客户安装和管理ZTNA代理（理想情况下使用兼容两者的混合架构）？该产品是否能够在不需要统一端点管理（UEM）工具的情况下，对设备进行安全态势评估（操作系统版本、修补程序级别、密码和加密策略等）？是否提供了在非受管设备上实现此目的的选项？产品是否使用本地代理来确定设备健康和安全状况，作为访问决策的一个因素？它是否需要辅助产品来执行端点评估，如网络准入控制或UEM？ZTNA供应商与哪些供应商合作，或者他们是否提供自己的产品？该产品是否与任何领先的UES或EPP（端点保护平台）/EDR（端点检测与响应）提供者集成，以深入了解设备安全态势？信任代理支持哪些认证标准？是否可以与场内目录或基于云的身份服务集成？信任代理是否可以与组织的现有身份提供者集成？信任代理是否支持MFA？有没有用户和实体行为分析（UEBA）功能，可以识别ZTNA保护环境中何时发生异常情况？一些ZTNA产品部分或全部作为基于云的服务交付。这是否满足组织对数据检查和日志记录的安全性和常驻性要求？供应商是否经过一个或多个第三方认证，供应商是否与客户共享评估报告？供应商在全球的出入境点（称为边缘位置和/或POP）在地理上的差异有多大？供应商使用哪些边缘/物理基础设施提供商或托管设施？供应商是否提供“冷土豆路由”（cold-potato routing），即尽快将最终用户设备引入供应商网络，或者供应商是否只允许“热土豆路由”（hot-potato routing），即最终用户的流量穿越更多的公共互联网？当ZTNA服务受到持续攻击时，供应商的技术行为是什么？服务是故障时自动关闭（fail closed）（从而阻止数字业务伙伴访问企业服务）还是故障时自动打开（fail open）？对于特定的企业应用程序，是否可以有选择地选择故障时自动关闭或自动打开？如果故障时自动打开能力是一项要求，不要忘记添加其他防御层来保护不再被ZTNA服务屏蔽的应用程序。该产品是否只支持web应用程序，或者遗留应用程序是否也能获得同样的安全优势？供应商选择了什么算法和密钥长度？不允许使用不安全的传输层安全（TLS）版本吗？供应商的产品描述是否显示了对当代和标准密码实践的理解，或者是否掺入了太好而不太真实的密码“蛇油”（snake oil）？用户和设备通过身份验证后，信任代理或网关是否仍驻留在数据路径中？这种做法值得考虑。留在数据路径中的信任代理或网关提供了更高的可见性，并可以监视异常和可疑的活动。然而，它们可能成为瓶颈或单点故障。支持故障转移的设计，可缓解此问题，但可能容易受到试图绕过检查的分布式拒绝服务（DDoS）攻击。供应商能否提供会话流和内容的检查，以检查不适当的敏感数据处理、恶意软件检测、异常行为？该产品是否支持单包授权（SPA）作为对信任代理身份验证的初始形式？SPA允许代理忽略任何通信尝试，除非第一次尝试包含专用的加密数据包。该产品是否支持单包授权（SPA）作为对信任代理身份验证的初始形式？SPA允许代理忽略任何通信尝试，除非第一次尝试包含专用的加密数据包。提供商是否维持缺陷奖励计划，并制定可信、负责任、公开或私人披露政策？对于软件提供商来说，不断地测试和消除产品漏洞是至关重要的。应该支持那些主动这么做的提供商。供应商是否提供了一个安全的API，用于用户到应用程序分段的编程管理？供应商支持多少应用程序？如果您需要超过允许的最大值，如何管理（例如，通过单个管理控制台支持多租户管理）？许可模式是什么？是按用户还是按带宽？如果在合同有效期内超过使用量会怎样？（您是否失去了访问权限，是否需要补偿款，或者是否将宽限期延长到下一次续订）？供应商是否有其他安全访问服务边缘（SASE）组件，如安全web网关（SWG）、云访问安全代理（CASB）、防火墙即服务（FWaaS）和软件定义WAS（SD-WAN；可能是合作伙伴提供的）？（他们是否有与SASE一致的产品路线图，包括网络组件）？ ZTNA备选方案 ZTNA有几种可供内部和外部用户团体使用的应用程序替代方法：传统VPN仍然流行，但鉴于数字业务的动态特性，它们可能无法为公开服务提供足够的风险管理，并且可能更难管理。传统的VPN也可能会为大多数移动员工带来规模和带宽问题。始终要求设备和用户身份验证的VPN，可提供与ZTNA类似的结果；但是，基本的网络访问型VPN则不能。对于进入企业系统的第三方特权访问，PAM工具可以是VPN的有用替代品。通过基于反向代理的web应用防火墙（WAF）公开web应用程序是另一种选择。使用WAF即服务（即云WAF），流量在交付到目的地之前通过提供商的WAF服务进行检查。为了避免误报或潜在的应用程序故障，云WAF和其他WAF一样，通常需要一些时间来测试和调整规则。由于受保护的服务在公共internet上仍然对攻击者可见，因此隔离受限于WAF的强度。然而，面向合作伙伴和员工的应用程序通常不是WAF的候选对象。部署虚拟桌面是一种有用的方法，可以让非受管设备上的用户使用一组应用程序，本质上是向每个人“投影”公司桌面策略。场内VDI正在让位于桌面即服务（DaaS，desktop as aservice），后者由大型超大规模云提供商提供，如AWS和Microsoft Azure。远程浏览器隔离产品提供了另一个选项，特别是对支持web的应用程序访问进行隔离。这里，浏览器会话本身是从最终用户的设备呈现的，并且通常是在服务中，从企业网络（例如，基于云的远程浏览器服务）呈现的，在双方提供隔离。一些ZTNA供应商还提供远程浏览器隔离产品。询问路线图计划以及隔离是否将成为未来聚合服务的一部分。选择保留现有的设计模式并在传统DMZ中公开数字业务应用，仍然是替代方案。然而，DMZ对现代攻击仅提供了有限的隔离（通常是反向代理WAF）。此外，DMZ仍会让所有攻击者发现应用程序。 CDN可以吸收DDoS攻击，降低bot攻击的噪声和威胁，防止网站被破坏。但是，它们不提供应用程序级别的保护，也不提供匿名性——以站点为目标的攻击者可以发现该站点受到CDN的保护，并可能试图利用CDN中存在的漏洞进行攻击。许多CDN包括一个基本的云WAF。不需要完整的交互式互联网连接、只需向公共互联网暴露API的应用程序，可以通过API网关进行保护，尽管ZTNA也可以在这里工作。API网关执行身份认证、验证授权并协调应用程序API的正确使用。如果应用程序本身缺少确保API安全性的机制，则这一点尤其有用。大多数API网关还通过本机监视工具或与流行的安全信息和事件管理（SIEM）工具集成，来公开所有活动的日志。应该支持与企业目录和单点登录（SSO）协议集成的API网关。 05 代表性供应商市场产品分类 ZTNA产品和服务由供应商以两种方式提供：即服务产品：作为云服务独立产品：作为客户负责支持的独立产品即服务产品（见表1）比独立产品需要更少的设置和维护。它们通常需要在最终用户或服务端进行资源调配，并通过供应商的云来路由流量以执行策略。独立产品（见表2）要求客户部署和管理产品的所有要素。此外，一些主要的IaaS云提供商为其客户提供ZTNA功能。即服务产品的供应商独立产品的供应商产品选择的趋势显然，在客户交互中，即服务风格正在迅速超过独立风格。据Gartner估计，超过90%的客户正在实现即服务风格。独立风格主要吸引那些不喜欢云计算的企业。云和本地访问代理的一种新兴混合方法是第三种选择，它吸引了那些希望优化应用程序策略规则以实现对应用程序的远程和本地访问的组织。一些供应商提供ZTNA作为企业的服务或部署。（表1列出了最符合其核心架构的供应商。）本市场指南中列出的供应商并不意味着一份详尽的清单。本节旨在提供对市场及其产品的更多了解。 06 市场建议鉴于公共互联网所代表的重大风险，以及为了在企业系统中站稳脚跟而损害暴露于互联网的系统的吸引力，企业需要考虑将数字业务服务与公共互联网的可见性隔离开来。ZTNA隐藏了服务以免被发现和侦察，同时建立了真实的、基于身份的栅栏，这比过去简单混淆的概念使攻击者更难以绕过。对于传统的VPN访问，寻找这样的场景：其中的目标用户集，一旦通过ZTNA服务执行工作后，就能在改善组织的总体安全状况方面提供即时价值。在大多数情况下，这很可能是一个面向合作伙伴或员工的应用程序。ZTNA项目是朝着更广泛的零信任网络（默认拒绝）安全态势迈出的一步。对于基于DMZ的应用程序，评估哪些用户集需要访问。对于那些具有一组已定义用户的应用程序，计划在未来几年内将它们迁移到ZTNA服务。通过将这些应用程序迁移到公共云IaaS，可以作为此架构转换的催化剂。具体建议如下：对ZTNA项目进行预算和试点，以证明ZTNA对组织的益处。如果VPN替换是主要目标，则计划保留VPN一段时间，同时验证ZTNA产品可以替换VPN的所有用例。为远程工作者测试ZTNA产品的延迟，并设定实际期望，要求ZTNA交付的应用程序延迟不低于现有VPN。为用户到应用程序的映射制定计划。基于角色的访问控制（RBAC）可以帮助解决这个问题。避免允许所有用户访问所有应用程序（生成策略的观察阶段除外）。识别哪些应用程序和工作流不适合ZTNA，并将其排除在范围之外。这包括访问和下载非结构化数据和面向消费者的应用程序。 ZTNA市场正在崛起，因此只需签署短期合同（即不超过12至24个月），以在市场增长和成熟时保持更大的供应商选择灵活性。对于大多数数字业务场景，支持提供ZTNA即服务的供应商，以便于部署、提高可用性和抵御DDoS攻击。支持那些无需在防火墙中打开监听服务（入站连接）的供应商，因为这是典型的ZTNA即服务风格。当安全需求要求在现场安装ZTNA产品时，应选择能够尽可能减少防火墙开口数量的供应商。如果命名用户要使用非受管设备，则计划部署基于反向代理的ZTNA产品或服务，以避免安装代理。确保供应商支持组织和合作伙伴现在使用的身份验证协议，包括企业的标准身份存储，以及将来预期使用的任何身份验证协议。可用范围越广越好，包括云SSO提供商和SaaS化交付的访问管理提供商。不要期望合作伙伴使用你的身份存储。需要对SAML、OAuth、OIDC和类似身份联合功能的支持。评估供应商查询其他类型设备代理（如UEM、EDR、移动威胁防御（MTD））的能力的有效性，以获得用于改进自适应访问决策的更多上下文。攻击者将瞄准ZTNA信任代理。对于基于云的产品，请评估其DoS和故障转移架构。要求供应商支持管理员帐户的高级别安全性和监视。对于本地ZTNA产品，使用支持本地部署的云工作负载保护平台（CWPP）工具，加固主机操作系统（请参阅“云工作负载保护平台市场指南”）。主要依赖默认拒绝的策略，仅通过允许列表来显式定义允许在系统上执行的代码。不要仅仅依靠补丁来保持系统的坚固性。如果你选择一家规模较小的供应商，应考虑在合同中加入适当条款并在需要时列出备选供应商名单，准备潜在的购置。否则，考虑到云基础设施、SWG、FWaaS、CASB和SASE架构中包含的其他产品的优势，应通过支持提供ZTNA作为强大SASE产品基础的一部分的供应商，来限制供应商风险。来源：网络安全观 -The End- 白皮书下载零信任安全SDP功能及应用详解一文带你读懂NIST《零信任安全架构标准》更多精彩阅读一文了解零信任架构的3大核心技术零信任安全十周年峰会|陈本峰受邀出席并解读《NIST零信任架构》云深互联再次入选Gartner的SDP行业报告 NIST建议的零信任安全8大应用场景免费：三步实现千人远程内网办公云深互联陈本峰：软件定义边界（SDP）是零信任安全的落地技术 Cybersecurity Insiders 发布《2019零信任安全市场普及行业报告》云深互联云深互联（北京）科技有限公司（Clouddeep Technology），取名自“云深不知处，只在互联中”，寓意着公司的使命：通过零信任SDP（软件定义边界）网络隐身技术，保障企业数据的安全可信访问并且高效互联互通。公司致力于为企业提供零信任架构的网络安全产品与服务，技术具备国际领先水平，连续入选全球IT权威咨询机构Gartner的《零信任网络访问ZTNA市场指南》、《软件定义边界SDP市场增长研究报告》行业报告，也是工信部信通院《中国网络安全产业白皮书》的零信任安全典型代表厂商。 2020-06-22 18:34

新华社｜零信任成为网络安全新理念新架构备受关注的“零信任十周年峰会”近日在北京举行。此次峰会由国际云安全联盟（CSA）组织发起，以“十年磨一剑，零信任出鞘”为主题，包括华为、阿里云、腾讯云、奇安信、360、云深互联和山石网科等在内的行业巨擘均现身承办或协办单位之列。相关专家和公司高管在大会发言和接受记者采访时表示，不管是在国内还是国外，零信任都将是未来网络安全发展的新方向。尤其是在当前新形势下，零信任愈发被政府部门和业界所关注。相较于传统的防护手段，零信任这种网络安全的新理念新架构更有优势。伴随着5G网络、大数据中心、工业互联网等新基建的加速推进，零信任结合国内实际应用场景的落地发展也将走上快车道。 01 零信任理念符合网络安全发展方向 “零信任安全理念符合网络安全的发展方向，希望零信任实践在数据保护上能够得到充分运用。”中国友谊促进会理事长、公安部原副部长、国家网信办原副主任陈智敏说。在今年全国两会上，陈智敏提出了关于深入推进APP违法违规收集使用公民个人信息治理的提案，提案中有关个人信息保护的观点与零信任安全架构的安全理念不谋而合。工信部原副部长杨学山表示，工信部2019年起草的《关于促进网络安全产业发展的指导意见（征求意见稿）》提出，要积极探索拟态防御、可信计算、零信任等网络安全的新理念、新架构，促进网络安全理念和技术的创新。中国工程院院士倪光南认为，网络安全面临的挑战日益多样化，建立自主创新、安全可控的网络信息技术体系是数字经济发展的必要保障。探索包括零信任在内的我国网络安全关键技术的新理念非常有意义，同时希望能够结合国内的应用场景，让零信任更好地落地发展。中国工程院院士邬江兴指出，政产学研需要推动网络安全技术创新，拟态防御与零信任安全都是基于给保护目标穿上“隐身衣”的新理念、新架构，比传统的查漏堵门、杀毒灭马等防护手段更有优势，也更适合云时代无边界的防护体系需求。 02 零信任从概念走向应用落地据了解，传统的网络安全是基于防火墙的物理边界防御，也就是为大众所熟知的“内网”。防火墙的概念起源于上世纪80年代，该防御模型前提假设是企业所有的办公设备和数据资源都在内网，并且内网是完全可信的。然而，随着云计算、大数据、物联网等新兴技术的不断兴起，企业IT架构正在从“有边界”向“无边界”转变，传统的安全边界逐渐瓦解。随着以5G、工业互联网为代表的新基建的不断推进，还会进一步加速“无边界”的进化过程。与此同时，零信任安全逐渐进入人们的视野，成为解决新时代网络安全问题的新理念、新架构。根据全球知名IT咨询机构Gartner发布的零信任网络访问（ZTNA）行业报告，零信任网络访问也称为软件定义边界（SDP），是围绕某个应用或某一组应用创建的基于身份和上下文的逻辑访问边界。如今，零信任安全已经成为美国国家级网络安全战略。在国内，工信部2019年起草的《关于促进网络安全产业发展的指导意见（征求意见稿）》中，零信任安全首次被列入网络安全需要突破的关键技术。同年，中国信息通信研究院发布的《中国网络安全产业白皮书》说，零信任已经从概念走向落地。这份白皮书首次将零信任安全技术和5G、云安全等并列列为我国网络安全重点细分领域技术。云安全联盟（CSA）大中华区主席李雨航表示，零信任在全球已经成为网络安全的关键技术和大趋势，但在海外的落地实践中走过一些弯路，主要原因是客户对零信任有一些误区。今后，联盟将推出系列活动和研究指南帮助产业对零信任进行理解、消化和实施。在零信任海外发展十年经验的基础上，争取在下一个十年让零信任最佳实践在中国落地。 03 新基建推动零信任快速普及值得注意的是，互联网安全行业专家对零信任安全抱有较高的期望值。零信任安全专家、CSA大中华区SDP工作组组长、云深互联CEO陈本峰今年带领工作组完成了国内首个零信任安全专家认证CZTP教材的编写以及NIST美国国家标准《零信任架构》草案的中文翻译版发布。他在会上指出，零信任真正落地需要因地制宜。虽然近年来零信任在国内外发展十分迅速，但是中外之间仍存在一些差异。美国目前已经形成一套完善的零信任理论，但对中国来说是刚刚起步。在国内终端环境多样化的情况下，需要大家不断摸索和研究，争取开发出一套属于中国自己的零信任理念和架构。陈本峰表示，软件定义边界（SDP）是在企业上云、远程办公、移动办公的大环境下设计出来的，是零信任安全理念具体落地的技术手段。作为SDP领域的代表性安全厂商，云深互联利用新一代零信任网络隐身技术，为企业构建起“云-管-端”一体化的数据资产安全防护体系。随着中国企业上云以及以5G、工业互联网为代表的新基建的快速推进，零信任理念与SDP技术架构将很快在多个行业普及。阿里云安全资深产品专家尚红林认为，零信任安全靠旁路和植入是很难做到高效实时的，但是云原生特有的优势可以把从IaaS、PaaS到SaaS的身份彻底构建连接，让零信任在实施过程中更加高效。而构建从IaaS、PaaS到SaaS的连接也将成为未来技术发展的趋势。奇安信集团身份安全事业部总经理张泽洲说，零信任是一种安全理念和架构思维，企业在落地过程中务必从架构视野上把握零信任全貌，并结合企业现状开展零信任的工程化实践。尤其应结合业务和安全需求选择零信任的切入场景，依据安全现状筛选优先构建的零信任能力，基于具体的风险缓解目标设立务实的安全预期，从而分阶段有序推进零信任落地。 360集团云安全研究院高级安全总监魏小强则表示，零信任是一种方法论，是一种安全范式。身份管理是零信任的基础，没有身份管理，零信任将无法成功实施。身份正从单一属性走向多属性，从认证走向连接。身份管理的本质是连接，连接既创造价值也带来风险，安全连接则是零信任的基石。因此，应从安全连接的视角去重新思考零信任架构，寻找新的解决方案以应对软件定义时代的到来。来源：新华社 -The End- 白皮书下载零信任安全SDP功能及应用详解一文带你读懂NIST《零信任安全架构标准》更多精彩阅读一文了解零信任架构的3大核心技术零信任安全十周年峰会|陈本峰受邀出席并解读《NIST零信任架构》云深互联再次入选Gartner的SDP行业报告 NIST建议的零信任安全8大应用场景免费：三步实现千人远程内网办公云深互联陈本峰：软件定义边界（SDP）是零信任安全的落地技术 Cybersecurity Insiders 发布《2019零信任安全市场普及行业报告》云深互联云深互联（北京）科技有限公司（Clouddeep Technology），取名自“云深不知处，只在互联中”，寓意着公司的使命：通过零信任SDP（软件定义边界）网络隐身技术，保障企业数据的安全可信访问并且高效互联互通。公司致力于为企业提供零信任架构的网络安全产品与服务，技术具备国际领先水平，连续入选全球IT权威咨询机构Gartner的《零信任网络访问ZTNA市场指南》、《软件定义边界SDP市场增长研究报告》行业报告，也是工信部信通院《中国网络安全产业白皮书》的零信任安全典型代表厂商。 2020-06-18 15:45

浅谈零信任的6大商业和安全益处近几年随着互联网的不断发展，企业的运作方式也与几年前大不相同，员工、设备甚至是应用程序也不再被锁定在公司的范围内。随着企业上云数据化转型以及大量远程办公的需求，企业开始使用零信任安全模型保护敏感资源和数据。零信任提供的不仅仅是一道防线，该模型的安全优势带来了可观的业务价值：更高的企业可视性、更低的IT复杂性、要求更高的安全性工作负载、数据保护、卓越的用户云迁移的经验和支持。本文将针对零信任的6大商业和安全益处进行详细的解读。 01 保护客户的数据一旦恶意软件进入防火墙内的最终用户的服务器，它就可以将客户数据传输到网络外部的控制服务器。若私人或机密客户的数据出错可能会对客户造成一定不良的影响，具体包括： 1）对客户的破坏：若客户的个人身份信息被盗将对客户的生活造成严重的影响，网络罪犯可能会通过被盗用的身份访问客户的各种详细数据，影响客户的日常生活。 2）声誉损害：客户和利益相关联，若一个企业无法妥善保护好客户的重要数据，导致客户的重要信息被泄露，那么将会影响到企业的声誉，导致很多人将拒绝与其合作。 3）知识产权损失：若知识产权被盗可能会使企业损失数年的努力，消灭自身的竞争优势。企业实施有效的零信任解决方案可以确保只有经过身份验证和授权的用户、设备才能访问应用程序和数据，这样可以防止许多负面后果的出现。 02 减少发现漏洞的时间从理论上讲，实施零信任网络意义重大。网络安全威胁可以来自网络外部或内部的任何地方，甚至可以从一个地方开始转移到另一个地方。采用“永不信任，始终验证”的原则可以帮助组织减少与应用程序和服务相关的漏洞。减少发现漏洞的时间具体有三个方面：用户/请求侵入传统企业安全框架的黑客通常可以在未被发现的情况下继续寻找有价值的资料，并且将在目标网络中横向移动感染其他主机。使用现有基于边界的安全系统，很难跟踪和监视到外部域的DNS请求。由于企业每天要分析的数据量太大，所以大多数公司都不进行流量审核。零信任提供可见性实时了解用户行为，以便IT团队能够快速发现问题、立即触发干预。设备一台设备每天可以进行几千次查询，每个用户可能网络上都有多个设备。大量的请求阻碍了企业从将这些数据输入到安全信息和事件管理能够提供网络级别可见性的系统。基于云的零信任服务可以将网络上的流量与来自其他网络的流量关联起来，从而使之更容易了解并识别非正常请求的趋势。数据由于DNS流量在传统网络中是未过滤和开放的，所以恶意的DNS将不受检查，而绕过所有网络级安全检测。基于此情况，网络罪犯通常使用DNS隧道来过滤敏感数据。这些数据包是加密的，通过压缩、切割并传送到外部犯罪服务器。零信任解决方案可以检查网络中的所有流量并基于DNS的数据进行过滤检测。 03 降低安全堆栈的复杂性用遗留技术实现安全性是非常复杂和昂贵的，传统的边界环境包括用于访问控制的虚拟或硬件设备、安全机制，以及应用程序交付和性能实用程序。若想在全局中设置运行传统的边界环境，那么则必须重复这些堆栈以获得冗余和跨区域和数据中心的高可用性。但若使用基于云的零信任解决方案则可以通过将所有这些功能转移到云服务的方法来消除这种复杂性。 04 解决安全技能短缺对于企业的威胁越来越复杂而且越来越有针对性，可以帮助罪犯进行攻击企业的工具越来越多。传统的安全边界不再提供可行的保护，面对暴露新的漏洞和攻击面需要大量的专家进行专门的解决，这样会消耗企业大量的人力和财力。但是大量拼凑在一起的安全产品涌入，将IT部署、管理和集成的技术堆砌在一起，进一步对本来压力很大的企业员工进行征税。这些因素导致企业对网络安全的关注逐渐增加，也推动了网络安全的发展，但同时也导致技能短缺。据了解，截止到2017年11月战略小组和信息系统安全协会的调查报告显示：70%的受访者认为安全技能短缺正在影响他们的企业的发展。因为实现零信任的环境是基于云环境，所以当实际采用零信任的组织模型时企业不再需要安装复杂的设备堆栈来保护每个数据中心，可以降低复杂性并且简化操作。 05 提供安全性和出色的最终用户体验过去，企业必须在强大的安全性和良好的、高效的用户体验之间进行权衡。高度安全的密码通常很复杂，当用户花费大量时间重新输入多个冗长的密码时会降低生产效率。当用户尝试通过写下复杂的密码来加强记忆，或者使用过于简单容易的密码时，则会危及安全性。零信任解决方案提供安全的访问、生产效率和易用性。SSO进一步增强了用户体验并通过允许用户登录到它们需要并可以访问的应用程序，而不需要每次重新验证。基于云的零信任解决方案还可以优化应用程序性能，并适用于不同的设备类型和网络条件，这些解决方案能够实时适应内容、用户行为的变化，以及通过自适应和蜂窝加速实现连接。利用机器学习的自适应基于真实用户行为的性能自动化技术加速解决方案。基于全球互联网状况，蜂窝加速解决方案通过使用快速、高效和现代的web协议，以及通过智能的优化协议和路由来减少延迟。 06 促进企业迁移至云端企业正越来越多的寻求通过转向SaaS和IaaS平来实现其应用程序和基础设施的现代化。但当企业采取这一方法时，他们并不能再继续使用之前的安全解决方案。传统基于设备的防火墙和网关从未在云环境中使用，因此企业无法充分保护云应用程序的安全性，甚至阻碍了企业上云。基于云的零信任解决方案代表了一种新的安全模式，旨在保护云和数据中心中的应用程序。这些解决方案假设没有边界，且环境是敌对的。这种基于云的零信任体系结构提供了单点控制和通过身份验证，为最终用户提供所有内部部署的SSO功能以及云应用程序。现在为企业迁移到云端而提出的基于云的零信任解决方案提供了高效和有效的安全性。同时，因为零信任环境遵循最少的访问原则，它允许每个用户访问特定的应用程序和数据。安全管理人员不必再害怕提供对客户、合作伙伴的访问，因为他可以对不同的身份进行定制并且可以严格控制。 07 结论通过零信网络的安全解决方案，企业不仅可以获得保护其资源所需的安全性，还可以实现可观的业务效益。除了改进在整个企业范围内的可视性和缩短发现漏洞的时间，企业还可以降低自身的安全堆栈，最大限度地减少安全技能人才短缺的影响，并保护客户数据以避免声誉受损损失和重大经济损失等。同时，企业也可以改善用户的体验并促进通过采用零信任安全架构将企业快速迁移到云端。 -The End- 白皮书下载零信任安全SDP功能及应用详解一文带你读懂NIST《零信任安全架构标准》更多精彩阅读一文了解零信任架构的3大核心技术零信任安全十周年峰会|陈本峰受邀出席并解读《NIST零信任架构》云深互联再次入选Gartner的SDP行业报告 NIST建议的零信任安全8大应用场景免费：三步实现千人远程内网办公云深互联陈本峰：软件定义边界（SDP）是零信任安全的落地技术 Cybersecurity Insiders 发布《2019零信任安全市场普及行业报告》云深互联云深互联（北京）科技有限公司（Clouddeep Technology），取名自“云深不知处，只在互联中”，寓意着公司的使命：通过零信任SDP（软件定义边界）网络隐身技术，保障企业数据的安全可信访问并且高效互联互通。公司致力于为企业提供零信任架构的网络安全产品与服务，技术具备国际领先水平，连续入选全球IT权威咨询机构Gartner的《零信任网络访问ZTNA市场指南》、《软件定义边界SDP市场增长研究报告》行业报告，也是工信部信通院《中国网络安全产业白皮书》的零信任安全典型代表厂商。 2020-06-17 15:37

倒计时2天｜零信任十周年峰会议程公布！由云安全联盟大中华区策划发起的零信任十周年峰会将于2020年6月5日（本周五）下午14:00正式开幕。 2020-06-03 17:33

预告｜零信任十周年峰会将于6月5日举办，报名通道开启零信任，顾名思义“永不信任、始终验证”，最早雏形源于2004年成立的耶利哥论坛(Jericho Forum)，其成立的使命是为了定义无边界趋势下的网络安全问题并寻求解决方案。2010年约翰·金德维格(John Kindervag)首次提出了零信任安全的概念，走到今天，已经十年时间。这期间，零信任安全理念在国外被广泛应用。 2020-05-27 18:42

安诠|零信任SDP X 等保2.0应用分享会直播回顾零信任SDP X等保2.0应用分享会是云安全联盟大中华区对近日发布的《软件定义边界(SDP)实现等保2.0安全架构指南》(以下简称“指南”)而策划发起的一场线上圆桌分享活动。此次吸引了2000+观众在线观看，热议不断，备受好评。本次活动，由来自云安全联盟大中华区研究院副院长贾良玉、中国电信研究院应用安全研究所所长何国锋、华为高级安全专家余晓光、云深互联联合创始人兼CEO陈本峰、易安联副总经理兼CTO秦益飞、深信服解决方案主管刘鹏、天融信资深安全顾问汪云林、字节云智CEO高巍共8位专家在线分享，针对零信任SDP、等保2.0在通用领域、云计算、移动互联安全、物联网、工业控制系统领域的实践应用深度解析。为了给大家分享更多内容，原定90分钟的直播分享延长到130分钟，着实是一场干货满满的分享。 2020-05-12 18:25

CSA GCR发布｜《SDP实现等保2.0合规技术指南》网络安全等级保护制度标准于2019年12月1日实施，是国家信息安全保障的基本制度、基本策略、基本方法。等保2.0将等保1.0的被动式传统防御思路转变为主动式防御，覆盖工业控制系统、云计算、大数据、物联网等新技术新应用，为落实信息系统安全工作提供了方向和依据。 2020-04-29 10:15

《网络安全审查办法》（附：答记者问）国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局联合制定了《网络安全审查办法》，现予公布。 2020-04-27 17:08

零信任安全SDP功能及应用详解传统的IT安全方法一直是建立隔离墙，核心数据和应用程序已存储在数据中心中，并受到包括防火墙和其他过滤器的安全边界的保护。例如，应用中，在企业内部部署基于外围的虚拟专用网络(VPN)，为员工和承包商提供对企业网络的访问，是典型的使用场景，也是由来已久的远程访问机制。但是，登录后，VPN用户可以广泛访问公网资源。这种围绕“全有或全无”原则的方法使敏感信息处于潜在风险中。这种警告引起了人们对软件定义边界(SDP)的日益增长的兴趣。这些解决方案在授予对特定网络区域和应用程序(而非整个网络)的访问权限之前，基于预定义的策略执行用户身份验证和授权。一方面，今年全球疫情严重，远程办公的员工数量逐渐增加;另一方面，网络入侵造成的损害如此之大，以至于基于边界防护的远程访问模式暴漏出的弊端愈发明显。在这种情况下，众多企业开始考虑SDP的远程内网接入解决方案。那对于SDP的主要功能及应用场景又有哪些?这些在《软件定义边界架构指南》一书中都有体现，而且，自去年发布以来，一直备受欢迎。小编决定，免费发送电子版白皮书，扫描下方二维码，小编将统一发给大家。扫码免费领取本书的内容架构如下： SDP架构 SDP 架构的主要组件包括客户端/【发起主机 (IH)】，服务端/【接受主机(AH)】和【SDP 控制器】，AH 和 IH 都会连接到这些控制器。【SDP 主机】可以启动连接(发起主机或 IH)，也可以接受连接(接受主机或 AH)。IH 和 AH 之间的连接是通过【SDP 控制器】与安全控制信道的交互来管理的。该结构使得控制层能够与数据层保持分离，以便实现完全可扩展的安全系统。此外，所有组件都可以是冗余的，用于扩容或提高稳定运行时间。通过遵循此处概述的工作流程，可以使用图 1 中概述的技术来保护这三个组件之间的连接。图1 SDP架构 IH上的【SDP 客户端软件】启动与 SDP 的连接。包括笔记本电脑、平板电脑和智能手机在内的 IH 设备面向用户，也就是说 SDP 软件在设备自身上运行。网络可以是在部署 SDP 的企业的控制之外。AH 设备接受来自 IH 的连接，并提供由 SDP 安全保护的一组服务。AH 通常驻留在企业控制下的网络(和/或直接的代表)。SDP 网关为授权用户和设备提供对受保护程序和服务的访问。网关还可以对这些连接进行监视、记录和报告。IH 和 AH 设备连接到【SDP 控制器】，【SDP 控制器】可以是一种设备或程序，它确保用户是经过身份验证和授权、设备经过验证、通信是安全建立的、网络中的用户流量和管理流量是独立的，来确保对隔离服务的安全访问。AH 和控制器使用单包授权(SPA)进行保护，这样让未授权的用户和设备无法感知或访问。 SDP安全优势 SDP的安全优势有以下几项： SDP 通过最小化攻击面来降低安全风险。 SDP 通过分离访问控制和数据信道来保护关键资产和基础架构，使其中的每一个都看起来是“黑”(不可见)的，从而阻止潜在的基于网络的攻击。 SDP 提供了一个集成的安全体系结构，这个体系结构是现有安全产品(如 NAC 或反恶意软件)难以实现的。 SDP 提供了基于连接的安全架构而不是基于IP 的替代方案，因为当今 IP 环境的爆炸式增长和云环境中的边界缺失使得基于 IP 的安全性变得脆弱。 SDP 允许根据预先审查谁可以连接(从哪些设备、哪些服务、基础设施和其他参数)来控制所有连接。 SDP的主要功能 SDP的设计至少包括五层安全性： (1)对设备进行身份认证和验证; (2)对用户进行身份验证和授权; (3)确保双向加密通信; (4)动态提供连接; (5)控制用户与服务之间的连接并且同时将这些连接隐藏。这些和其他组件通常都包含在 SDP 实现中。SDP的主要功能包括五大方面：信息/ 基础设施隐藏 1. 服务器“变黑”，减轻或减少所有外部网络攻击和跨域攻击。 2. 减少拒绝服务(DoS)攻击。 3. 检测错误包，快速检测所有外部网络和跨域攻击。双向加密的连接 1. 验证用户和设备身份，减轻或减少来自未授权用户和设备的连接。 2. 不允许伪造证书。 3. 不允许中间人攻击。 “需知(NEED TO KNOW )”访问模型 1. 取证简化，缓解或降低恶意数据包和恶意连接。 2. 细粒度访问控制，缓解或降低来自未知设备的外部用户的数据窃取。 3. 设备认证，缓解或降低来自未授权设备的威胁，证书窃取。 4. 保护系统免受已被入侵设备的攻击。动态访问控制 1. 动态的、基于会员认证体系的安全隔离区，缓解或降低基于网络的攻击。应用层访问 1. 取消广域网接入，攻击面最小化;消除了恶意软件和恶意用户的端口和漏洞扫描。 2. 应用程序和服务访问控制，攻击面最小化;恶意软件和恶意用户无法连接到资源。 SDP的潜在应用领域因为SDP是一种安全架构，所以它能够很好提供多种不同级别的安全，无法简单把它归类到现有的安全常见类别。SDP的潜在应用领域包括：基于身份的网络访问控制。SDP允许创建与组织相关的以身份为中心的访问控制，且访问控制是在网络层实施。例如，SDP支持仅允许财务用户只能在公司允许的受控设备上通过Web访问财务管理系统。SDP还允许只有IT用户才能安全地访问IT系统(SSH)。网络微隔离。SDP 能够实现基于用户自定义控制的网络微隔离。通过SDP可以自动控制对特定服务的网络访问，从而消除了手动配置。安全的远程访问(VPN替代)。SDP 可以保护远程用户和本地用户。公司组织可以使用 SDP作为整体解决方案，摒弃VPN 解决方案。而且，SDP解决方案还专为细粒度访问控制而设计。用户无法访问所有未经授权的资源，这符合最小权限原则。第三方用户访问。保护第三方访问权限使企业能够进行创新和适应。例如，用户可以从公司办公过渡到家庭办公以降低成本或者有时可以远程工作，而且某些功能可以安全地外包给第三方专家。SDP 可以轻松控制和保护第三方用户的本地访问。特权用户访问安全。对特权服务的访问可以限制为授权用户，并在网络层受到保护，并且可以向未经授权的用户隐藏特权服务，从而限制攻击范围。SDP 确保只有在满足特定条件时(例如，在定义的维护窗口期或仅从特定设备)才允许访问，然后可以记录访问日志以进行合规性报告。高价值应用的安全访问。可以通过集成用户/身份感知，网络感知和设备感知在不暴露完整的网络的情况下限制对应用程序的访问;并依靠应用程序或应用程序网关进行访问控制。SDP还可以促进应用程序升级，测试和部署，并为 DevOps CI / CD 提供所需的安全框架。托管服务器的访问安全。可以通过业务流程来控制对托管服务器的访问。SDP 可以覆盖复杂的网络拓扑、简化访问，同时记录用户活动以满足合规性要求。简化网络集成。借助 SDP，网络可以快速无中断地互连，而无需进行大规模更改。安全迁移到IaaS云环境。SDP 方案改进了IaaS 安全性。不仅将应用程序隐藏在默认防火墙之外，还会对流量进行加密，并且可以跨异构企业定义用户访问策略。请参考《SDP 在 IaaS 中的应用》白皮书(可扫码二维码免费领取)。强化身份认证方案。SDP 需要在对特定应用程序授予访问权限之前添加 2FA。并通过部署多因素身份验证(MFA)系统来改善用户体验，并可以添加MFA 以增强遗留应用程序的安全性。简化企业合规性控制和报告。SDP 降低了合规范围(通过微隔离)，并自动执行合规性报告任务(通过以身份为中心的日志记录和访问报告)。防御 DDoS 攻击。SDP 可以(让服务器)对未经授权的用户不可见，并通过使用 default-drop 防火墙，只允许合法的数据包通过。以上是针对SDP的架构及功能应用进行的分解，让我们清楚的认识到SDP能够为组织机构的安全专业人员提供他们寻求的工具，为稳健的企业开发、操作、安全提供健壮的、可适应的、可管理的基础架构。更多内容，在《软件定义边界架构指南》一书中，扫描以下二维码或阅读原文，填写信息，免费领取。扫码免费领取 -The End- 2020-04-26 20:04

CSA大中华区SDP工作组周年会圆满召开 2020年4月3日，云安全联盟大中华区召开SDP工作组周年会，参加周年会的有CSA大中华区研究院副院长贾良玉，以及来自华为、阿里云、深信服、奇安信、Ucloud、三未信安、中宇万通、云深互联、易安联、万物安全等二十多家单位的专家。 CSA大中华区SDP工作组自2019年3月底成立，至今刚满一年，在会议上，CSA大中华区研究院副院长贾良玉对SDP工作组过去的一年取得的成绩表示肯定和赞扬，感谢各位专家的辛苦奉献，期望SDP工作组在未来取得更多的成果，推动SDP/零信任在中国的落地。 SDP工作组组长陈本峰总结过去一年的工作及提出了对2020年的工作规划。在过去的一年中，SDP工作组本着务实、守信、共享、合作共赢的原则，引入并汉化5个白皮书，分别是《SDP标准规范1.0》、《SDP架构指南》、《软件定义边界SDP帮助企业安全迁移上云（IaaS）》、《抗DDoS攻击-SDP作为DDoS攻击的防御机制》、《谷歌BeyondCorp系列论文合集》，输出1个原创性指南《SDP实现等保2.0合规技术指南》，完成国内首本零信任行业技术实践书籍《软件定义边界SDP安全架构技术指南》草稿。扫描下方二维码，领取SDP工作组研究成果（白皮书）扫码领取 2020年，SDP工作组在以研究SDP为主的基础上，增加对零信任相关领域的研究，加强落地实践方面的研究，输出更多场景落地的相关内容。同时，SDP工作组将与CSA大中华区其他工作组加强联系，输出研究成果，共同推动行业不同领域的发展。 SDP工作组专家聚焦研究的同时，也希望把工作组SDP的经验，与业界分享，帮助更好地推广SDP技术，所以在2020年，SDP工作组将会举办更多的线下交流活动，届时也欢迎业界朋友共同参与SDP工作的交流活动中。会上，SDP工作组各专家在会议上也针对2020年如何更好地开展研究工作以及如何做好零信任落地作了积极的讨论。在此，CSA大中华区感谢工作组所有专家在过去一年的支持和无私奉献，祝愿SDP工作组在2020年的工作顺利开展。 SDP工作组专家名单 2020-04-10 18:15

一文带你读懂NIST《零信任安全架构标准》伴随着5G、人工智能、大数据等新兴技术的兴起，服务器上云、移动办公已经变成常态。随之而来，网络安全面临的挑战也变得愈发严重。传统基于防火墙的物理边界防御已不再适用，基于用户身份的软件定义边界的云时代模型是大势所趋。软件定义边界（SDP）是基于零信任安全架构的落地实践。为了更好的了解零信任、并为将零信任安全概念迁移并部署到企业环境，美国国家标准与技术研究院（NIST）等权威机构，近期发布了Draft (2) NIST Special Publication 800-207 Zero Trust Architecture.该草案总结概括了零信任的历史、零信任架构的逻辑组件、部署方案/用例以及与零信任相关的威胁。为了帮助更多安全从业人员能够阅读了解该草案，对零信任安全有更深的了解，云深互联将该草案中文版翻译出来，供大家免费获取观看。（获取全文，扫描下方二维码。）扫描二维码，免费领取《零信任架构标准草案》的主要内容分为以下部分： Ø 第1节：为文档内容简介。 Ø 第2节：定义ZTA并列出设计ZTA企业网络时的一些网络假设。本节还包括ZTA设计原则的列表。 Ø 第3节：描述ZTA的逻辑组件或构建模块。独特的实现可能以不同的方式组合ZTA组件，但提供相同的逻辑功能。 Ø 第4节：列出一些可能的用例，其中ZTA可使企业网络更加安全，更不容易被攻击利用。这包括拥有远程员工、云服务、客户网络等的企业场景。 Ø 第5节：讨论了使用ZTA策略的企业面临的威胁。其中许多威胁与传统架构的网络相似，但可能需要不同的缓解技术。 Ø 第6节：讨论ZTA原则如何适合和/或补充了联邦机构现有的指南。 Ø 第7节：提出企业（如联邦机构）向ZTA过渡的起点。这包括描述在ZTA原则指导下规划和部署应用程序和网络基础设施所需的一般步骤。零信任网络架构零信任体系架构是一种端到端的网络/数据安全方法，包括身份、凭证、访问管理、操作、终端、宿主环境和互联基础设施。零信任是一种侧重于数据保护的架构方法。初始的重点应该是将资源访问限制在那些“需要知道”的人身上。传统上，机构（和一般的企业网络）专注于边界防御，授权用户可以广泛地访问资源。因此，网络内未经授权的横向移动一直是政府机构面临的最大挑战之一。可信Internet连接（TIC）和机构边界防火墙提供了强大的Internet网关。这有助于阻止来自Internet的攻击者，但TIC和边界防火墙在检测和阻止来自网络内部的攻击方面用处不大。一种可用的ZTA定义如下：零信任架构（ZTA）提供了一个概念、思路和组件关系（架构）的集合，旨在消除在信息系统和服务中实施精确访问决策的不确定性。此定义聚焦于问题的关键，即消除对数据和服务的非授权访问，以及使访问控制的实施尽可能精细。也就是说，授权和批准的主体（用户/计算机）可以访问数据，但不包括所有其他主体（即攻击者）。进一步， "资源"一词可以代替"数据"，以便ZTA与资源访问（例如打印机、计算资源、IoT执行器等）有关，而不仅仅是数据访问。为了减少不确定性（因为它们不能完全消除），重点是身份验证、授权和缩小隐含信任区域，同时最大限度地减少网络身份验证机制中的时间延迟。访问规则被限制为最小权限，并尽可能细化。在图1中，用户或计算机需要访问企业资源。通过策略决策点（PDP）和相应的策略执行点（PEP）授予访问权限。图1：零信任访问系统必须确保用户"可信"且请求有效。PDP/PEP会传递恰当的判断，以允许主体访问资源。这意味着零信任适用于两个基本领域：身份验证和授权。系统能否消除对用户真实身份的足够怀疑？用户在访问请求中是否合理？用于请求的设备是否值得信任？总体而言，企业需要为资源访问制定基于风险的策略，并建立一个系统来确保正确执行这些策略。这意味着企业不应依赖于隐含的可信性，而隐含可信性是指：如果用户满足基本身份验证级别（即登录到系统），则假定所有资源请求都同样有效。零信任体系架构的逻辑组件在企业中，构成ZTA网络部署的逻辑组件很多。这些组件可以作为场内服务或通过基于云的服务来操作。图2中的概念框架模型显示了组件及其相互作用的基本关系。注意，这是显示逻辑组件及其相互作用的理想模型。从图1中，策略判定点（PDP）被分解为两个逻辑组件：策略引擎（PE）和策略管理器（PA）（定义如下）。图2：零信任核心逻辑组件组件描述：策略引擎（Policy Engine, PE）：该组件负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用企业安全策略以及来自外部源（例如IP黑名单、威胁情报服务）的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问。策略引擎（PE）与策略管理器（PA）组件配对使用。策略引擎做出（并记录）决策，策略管理器执行决策（批准或拒绝）。策略管理器（Policy Administrator, PA）：该组件负责建立客户端与资源之间的连接（是逻辑职责，而非物理连接）。它将生成客户端用于访问企业资源的任何身份验证令牌或凭证。它与策略引擎紧密相关，并依赖于其决定最终允许或拒绝连接。实现时可以将策略引擎和策略管理器作为单个服务；这里，它被划分为两个逻辑组件。PA在创建连接时与策略执行点（PEP）通信。这种通信是通过控制平面完成的。策略执行点（Policy Enforcement Point, PEP）：此系统负责启用、监视并最终终止主体和企业资源之间的连接。这是ZTA中的单个逻辑组件，但也可能分为两个不同的组件：客户端（例如，用户便携式电脑上的代理）和资源端（例如，在资源之前控制访问的网关组件）或充当连接门卫的单个门户组件。零信任架构的几种实践方案企业可以通过多种方式为工作流程制定ZTA。这些方法在使用的组件和组织的策略规则的主要来源方面有所不同。每个方法都实现了ZT的所有原则，但可以使用一个或两个（或一个组件）作为策略的主要驱动力。这些方法包括通过下一代防火墙（NGFW）增强身份治理驱动的逻辑微分段，以及基于网络的细分。 1.ZTA使用增强的身份管理开发ZTA的增强的身份管理方法将参与者的身份用作策略创建的关键组成部分。如果不是主题请求访问企业资源，则无需创建访问策略。对于这种方法，企业资源访问策略基于身份和分配的属性。资源访问的主要要求基于授予给定主题的访问特权。其他因素（例如使用的设备，资产状态和环境因素）可能会改变最终的置信度计算（和最终的访问授权）或以某种方式调整结果，例如授予根据网络位置仅部分访问给定数据源。单个资源或保护该资源的PEP组件必须有一种方法，可以将请求转发到策略引擎服务，或者对主体进行身份验证并批准请求，然后再授予访问权限。通常使用开放式网络模型或具有访问者访问权限或网络上频繁使用非企业设备的企业网络找到针对企业的基于身份治理的增强方法。最初，所有具有资源访问权限的资产都将获得网络访问权限，这些资源仅限于具有适当访问权限的身份。自设备NIST. SP.800-207（第二草稿）零信任架构以来，身份驱动的方法与资源门户网站模型配合得很好。身份和状态提供辅助支持数据以访问决策。其他模型也可以使用，具体取决于现有的策略。 2.使用微隔离的ZTA 企业可以基于将单个或一组资源放在由网关安全组件保护的其自己的网段上来选择实施ZTA。在这这种方法中，企业将NGFW或网关设备用作PEP，以保护每个资源或一组资源。这些网关设备动态授权访问来自客户端资产的各个请求。根据型号的不同，网关可以是唯一的PEP组件，也可以是由网关和客户端代理组成的多部分PEP的一部分。由于保护设备充当PEP，而该设备的管理充当PE / PA组件，因此该方法适用于各种用例和部署模型。此方法要求身份管理程序完全发挥作用，但依赖网关组件充当PEP，从而保护资源免受未经授权的访问和/或发现。这种方法的关键必要性是对PEP组件进行管理，并应能够根据需要做出反应和重新配置，以响应威胁或工作流中的更改。可以通过使用不太先进的网关设备甚至无状态防火墙来实现微分段企业的某些功能，但是管理成本和快速适应变化的难度使这成为非常糟糕的选择。 3.使用网络基础结构和软件定义边界SDP的ZTA 第三种方法使用网络基础结构来实现ZTA。ZT的实现可以通过使用覆盖网络来实现（即第7层，但也可以将其设置为低于ISO网络堆栈）。这些方法有时称为软件定义边界（SDP）方法，并且经常包含SDN [SDNBOOK]和基于意图的联网（IBN）[IBNVN]的概念。在这种方法中，PA充当网络控制器，根据PE做出的决定来建立和重新配置网络。客户端继续请求通过PEP（由PA组件管理）进行访问。当在应用网络层（即第7层）实施该方法时，最常见的部署模型是代理/网关。在此实现中，代理和资源网关（充当单个PEP，由PA配置）建立用于客户端和资源之间通信的安全通道。部署场景/用例任何企业网络都可以在设计时考虑零信任原则。如今，大多数组织的企业基础架构已经具有了零信任的某些要素，或者正在通过实施信息安全和弹性策略以及最佳实践来实现。有几种场景可以更轻松地实施零信任体系架构。如下几个用例，是零信任架构的实践应用：（详细内容请看中文翻译版文档） 1. 拥有多分支机构的企业最常见的情况是，企业只有一个总部和一个或多个地理上分散的位置，这些位置没有企业拥有的物理网络连接（见图3）。远程位置的员工可能没有完全由企业拥有的本地网络，但仍需要访问企业资源才能执行其任务。同样，员工也可以使用企业拥有或个人拥有的设备，进行远程工作或在远程位置工作。在这种情况下，企业可能希望授予对某些资源（如员工日历、电子邮件）的访问权限，但拒绝访问更敏感的资源（如人力资源数据库）。在这个用例中，PE/PA最好作为一个云服务托管，终端系统有一个连接代理或访问一个资源门户。由于远程办公室和工作人员必须将所有流量发送回企业网络才能访问云服务，因此将PE/PA托管在企业本地网络上可能不是响应最迅速的。图3：有远程办公员工的企业 2. 企业多云战略部署ZTA策略的一个越来越常见的用例是使用多个云提供商的企业（见图4）。在这个用例中，企业有一个本地网络，但使用两个（或更多）云服务提供商来承载应用程序和数据。有时，应用程序，而非数据源，托管在一个独立的云服务上。为了提高性能和便于管理，托管在云提供商A中的应用程序，应该能够直接连接到托管在云提供商B中的数据源，而不是强制应用程序通过隧道返回企业网络。这个多云用例是ZTA采用的主要驱动因素之一。它是CSA的SDP规范的服务器到服务器实现。随着企业转向更多的云托管应用程序和服务，依赖企业边界进行安全保护显然成为一种负担。ZTA认为，企业拥有和运营的网络基础设施与任何其他服务提供商拥有的基础设施之间应该没有区别。多云使用的零信任方法，是在每个应用程序和数据源的访问点放置PEP。PE和PA可以是位于云或甚至第三个云提供商上的服务。然后，客户端（通过门户或本地安装的代理）直接访问PEPs。这样，即使托管在企业外部，企业仍然可以管理对资源的访问。图4：多云用例 3 .临时工、外包员工访问业务系统另一个常见的场景是，一个企业包含需要有限访问企业资源才能完成工作的现场访问者和/或外包服务提供商（见图5）。例如，企业有自己的内部应用程序、数据库和员工工作系统。这些包括外包给偶尔在现场提供维护任务的供应商的服务（例如，由外部供应商拥有和管理的智能暖通空调（HVAC）系统和照明系统）。这些访客和服务提供商将需要网络连接来执行他们的任务。ZTA网络可以通过允许这些设备（以及任何来访的服务技术人员）访问Internet来实现这一点，同时还可以屏蔽企业资源。在本例中，该组织还有一个会议中心，访客可以在其中与员工进行交互。同样，通过ZTA的SDP策略，员工设备和用户是有区别的，可以分别访问恰当的企业资源。进入校园的访客可以访问Internet，但不能访问企业资源。它们甚至不能进行网络扫描，以查找可能可见的企业服务（即阻止主动网络侦察）。图5：具有非员工访问的企业 4. 跨企业协同第四个用例是跨企业协作。例如，有一个项目涉及企业A和企业B的员工（见图6）。这两个企业可以是独立的联邦机构（G2G），甚至是联邦机构和私营企业（G2B）。企业A运行用于项目的数据库，但必须允许企业B的某些成员访问数据。企业A可以为企业B的员工设置专用账户，以访问所需的数据并拒绝访问所有其他资源。图6：跨企业协作点击【阅读原文】，可免费申请零信任架构草案中文版。 - End - 2020-03-17 18:27

勠力同心，守护安全｜当黑天鹅事件常态化，企业网络安全建设如何“突围”？当黑天鹅事件成为常态 “突围” 不只是一个人的战争 2020年是不平凡的一年当众人齐心协力，共同战“疫”之时网络黑客却仍未停歇利用新冠肺炎传播恶意软件或者钓鱼邮件入侵公司网络窃取信息，侵占企业网络资产对于网络安全行业创业者来说防范网络安全突发事件，提升网络信息安全保障能力成为另外一条重要的战线由OASES智能终端安全生态联盟、安芯网盾、云深互联、漏洞银行、网新恒天、守内安联合发起的 “当黑天鹅事件成为常态，突围不只是一个人的战争 ” 网络安全在线技术分享活动将于 2020年2月26日-29日晚19：30 开启 7位深耕于信息安全技术一线专家从远程办公、内存安全、APP隐私合规、AIoT产业安全、安全基线、零信任安全等话题出发答疑解惑威胁从未停歇，挑战时刻存在？如何保护信息基础设施的安全？所有组织机构都需要一件能够真正对抗威胁的 “利器” 在这里或许你可以找到一些答案如何参与直播？ ⬇️ 扫码进入直播社群还可立享十大福利为了感谢各位支持直播活动主持人将在每场直播过程中进行3轮抽奖抽取积极提问互动的幸运观众现金红包等你拿 2020-02-24 19:26

一文读懂：为什么软件定义边界（SDP）更适合远程访问应用场景？如今，越来越多的员工逐渐习惯使用手机、平板电脑等个人设备，通过4G和5G网络进行收发邮件、处理工作流程，访问企业资源；使用笔记本电脑，通过公共WiFi连接到公司网络进行远程办公。根据“全球职场分析”和FlexJobs公司报告，远程办公人员的数量在过去十年中增长了115%。然而与此同时，员工对企业内部网络资源的远程访问也增加了企业网络的脆弱性，产生众多安全隐患。本文将通过传统远程访问方式的对比情况、场景案例，详解软件定义边界（SDP）在远程访问中为企业带来的强大优势。远程访问常见方式向业务人员提供应用系统的安全远程访问有三种常见方式：直接连接、VPN和VDI。 (1) 直接连接：在直接访问的情况下，应用系统通常是一个Web应用程序，配置到公共互联网环境下，不考虑访问限制。在这些情况下，应用系统暴露于各种安全威胁下，极易受到各种形式的攻击，包括暴力破解，DDoS，XSS和任何TLS漏洞（如心脏出血漏洞Heartbleed或贵宾犬漏洞Poodle）。 ∇ (2) VPN：通过VPN，内网及其所有的资源都将对该业务人员的设备开放。 ∇ (3) VDI：通过VDI，业务人员可以操作虚拟计算机（通常是Windows操作系统），这个虚拟机可以用作企业应用系统的启动平台。业务应用系统通常是一个需要“厚Windows客户端”（较多在客户端及服务器端的运算，较少的通信链接）的客户端/服务器应用程序。 ∇ 使用SDP访问通过SDP解决方案，只有授权用户才能访问业务应用系统。实际上，未经授权的用户甚至无法访问SDP网关 ——在SDP模型中有一个重要概念，即单包授权（Single Packet Authorization, SPA）技术。所有访问业务系统之前都需要发一个SPA包，该包内含有用户身份、访问token、时间戳、超时时间等数据，网关只有接收客户端发来的第一个带身份信息的包，服务器验证通过后，才会允许建立用户与应用之间的连接。也正因为应用受到单包授权SPA的保护，所以对攻击者来说实际上是完全不可见。 ∇ 以下为不同的用户的访问需求，以及如何管理这种访问： _ 案例一 _ 需求：Grace在公司总部的销售部门工作。日常工作中，她需要通过由IT团队开发的新销售报告系统访问重点客户销售报告。由于经常拜访不同地方的客户，需要远程运行报告，且该应用系统托管在Amazon AWS上。挑战：Grace在出差期间在机场和咖啡店访问多个免费网络。过去，IT安全部门发现了她的笔记本电脑上的恶意软件，他们担心当Grace通过VPN访问新的重点客户销售报告或返回公司总部时，恶意软件可能会传播到AWS基础架构中。 ∇ ∇ _ 案例二 _ 需求：Dave负责IT部门的供应链应用系统。新的业务流程要求其供应商员工Jim在货物发运后立即在其供应链应用系统中输入货件的详细信息。挑战：这需要授予第三方供应商的一部分人员对应用系统的访问权限，这些业务人员（例如Jim）不是公司的员工，而Dave对其安全策略及安全培训等方面的控制是有限的。Dave不希望授予他们进入公司内网的广泛网络访问权限（VPN），他担心如果供应商端的账号被盗，他的整个公司网络将会受到伤害。他该如何限制“爆炸半径”？ ∇ ∇ _ 案例三 _ 需求：Jim每周都会准备一份业务分析报告，生成报告的是一个只能在Windows系统上运行的客户端/服务器(C/S)应用程序。所以IT部门为Jim和他的团队部署了一个VDI解决方案。Jim每次需要通过VDI登录远程桌面，然后启动报告程序。挑战：这个（C/S）报告程序是从一个大型供应商处购买的打包的应用程序。建议的部署模式仅是“自有”，即供应商建议不要通过公共互联网访问应用程序的服务端，因为其并不稳定/安全。也就是说，服务器必须与客户端在同一网络内。因此，对于远程用户，IT安全团队决定使用VDI，其中客户端和服务器始终保持在同一网络中。但是，构建和维护VDI服务器的成本非常高，并且会随着远程/出差雇员数量的增加而增加。组织面临的挑战是如何安全地开放（C/S）应用程序的服务器部分，以便业务用户可以直接在他们自己的Windows笔记本电脑上运行客户端。 ∇ 总结在这个使用场景中，SDP为企业提供了强大的优势： ○为远程业务用户提供安全访问企业应用的途径； ○精确控制用户可以访问的应用程序； ○增加第三方业务集成； ○更简单的合规报告； ○降低VDI相关基础设施成本； ○更简单的安全策略配置； ○提高业务流程的生产效率。文章来源：《软件定义边界在IaaS中的应用》（中国云安全联盟） - End - 更多精彩阅读免费：三步实现千人远程内网办公后边界时代的信任是“零信任” 云深互联陈本峰：软件定义边界（SDP）是零信任安全的落地技术 Cybersecurity Insiders 发布《2019零信任安全市场普及行业报告》云深互联云深互联（北京）科技有限公司（Clouddeep Technology），成立于2012年，致力于为企业提供零信任架构的网络安全产品、技术与服务。云深互联创新实践的深云SDP（软件定义边界）网络隐身技术，具备国际领先水平，成为全球IT权威咨询机构Gartner的《零信任网络访问ZTNA市场指南》报告中唯一入选的中国品牌，也是中国信通院《中国网络安全产品白皮书》的零信任安全典型代表厂商。 2020-02-06 20:12

Cybersecurity Insiders 发布《2019零信任安全市场普及行业报告》近日，Cybersecurity Insiders联合Zscaler发布的《2019零信任安全市场普及行业报告》指出，零信任作为一种基于上下文控制（用户、设备、应用程序等）提供对私有应用程序最低权限访问的新安全模型正迅速流行起来。正因如此，许多IT团队正在优先规划采用现代的云安全技术，取代传统的基础设施如VPN和DMZ。安全优先级报告中，62%的受访者表示，他们当前最大的应用程序安全挑战是确保对分布在数据中心和云环境中的私有应用程序的访问安全。其次，在私人应用程序访问方面，个人最关心的领域是访问权限过大的内部用户（61%），与使用薄弱安全措施访问内部应用程序的合作伙伴（61%）捆绑在一起，而这些危险在利用以网络为中心的分段和最低权限访问难以实现攻击。所以，当在数据中心或公共云环境中访问运行私有应用程序时，最高的安全优先级别首先是用户的特权帐户管理和多因素身份验证（68%），其次是异常活动的检测和响应（61%），再次是从个人、非管理设备（57%）的安全访问等四大措施。主动安全倡议而这四大安全措施都与零信任网络访问有关：身份和访问管理（72%）、数据丢失预防DLP（51%）、BYOD/移动安全（50%）和保护在公共云上运行（即Microsoft Azure,Amazon Web Services, Google Cloud Platform）的私有应用程序的访问（47%）。采用零信任报告指出，目前78%的IT安全团队希望在未来实现零信任网络访问；19%的受访者正在积极实施零信任，15%的受访者已经实施了零信任。零信任的信任度虽然超过四分之三（78%）的企业希望采用零信任，但几乎一半的企业IT安全团队对他们使用当前安全技术提供零信任的能力缺乏信心。53%的人会由于有过错误的依赖于网络安全技术的经历而采取零信任政策。零信任的优势当被问及零信任的益处时，三分之二的IT安全专业人员（66%）表示，他们最为兴奋的是零信任安全访问能够提供最低权限的访问来保护私有应用程序；其次，应用程序不再暴露给未经授权的用户或互联网（55%），访问私有应用程序不再需要网络访问（44%）。 59%的企业在采用ZTNA服务零信任已经从概念走向了落地，目前有许多应用案例，而这也正助力它成为安全解决方案的行业风向标。在最近采用零信任策略的企业案例中，我们发现零信任主要应用在三大领域：安全访问运行在混合和公共云环境中的私有应用程序（37%），紧随其后的是使用现代远程访问服务取代VPN（33%），以及控制对私有应用程序的第三方访问（18%）。零信任网络访问（ZTNA）, 也称为软件定义边界（SDP），是围绕某个应用或一组应用创建的基于身份和上下文的逻辑访问边界。应用是隐藏的，无法被发现，并且通过信任代理限制一组指定实体访问。在允许访问之前，代理会验证指定访问者的身份，上下文和策略合规性。这个机制将把应用资源从公共视野中消除，从而显著减少攻击面。报告指出在接下来的12个月内， 59%的IT安全团队计划采用零信任网络访问（ZTNA）服务；而10%的企业将在近3个月内就采用零信任ZTNA建设方案。而这也与Gartner行业报告《Market Guide for Zero-Trust Network Access》对SDP/ZTNA市场的预测一致：到2022年，60％的企业将淘汰大部分远程访问虚拟专用网络（VPN），转而使用零信任ZTNA。云深互联（北京）科技有限公司（Clouddeep Technology），成立于2012年，致力于为企业提供零信任架构的网络安全产品、技术与服务。云深互联创新实践的深云SDP（软件定义边界）网络隐身技术，具备国际领先水平，成为全球IT权威咨询机构Gartner的《零信任网络访问ZTNA市场指南》报告中唯一入选的中国品牌，也是中国信通院《中国网络安全产品白皮书》的零信任安全典型代表厂商。你可能还喜欢云深互联入选Gartner2019“零信任网络访问”推荐产品供应商工信部：2025年网络安全产业规模将超过2000亿，零信任网络被列为网络安全需要突破的新技术。点击蓝字关注我们哦~~ 2019-11-13 18:16

工信部：2025年网络安全产业规模将超过2000亿，零信任网络被列为网络安全需要突破的新技术。近日，工信部公开征求对《关于促进网络安全产业发展的指导意见（征求意见稿）》的意见，提出2025年网络安全产业规模将超过2000亿，零信任网络被列为网络安全需要突破的新技术；云深互联进入信通院零信任网络推荐厂商。 2019-09-30 20:03

CSA 2019全球云安全峰会首次在北京召开，云安全联盟展区亮相北京网络安全大会。 CSA 2019全球云安全峰会将于8月22日在北京召开，云安全联盟展区亮相北京网络安全大会。CSA云安全联盟峰会将和北京举办的BCS2019期间同场召开，这是CSA首次在美国以外的地方举行。 2019-08-20 13:42

CSA发布| SDP标准规范1.0 随着信息化的不断深入，基于互联网及各种专网部署的业务应用系统已非常普及，如何确保这些业务应用和数据的安全访问是当前网络安全的基础性问题之一。但现有网络条件下难以避免的各种先天缺陷和日趋复杂的应用场景，以及网络协议自身的广泛脆弱性和安全策略配置不严谨所带来的安全隐患成为常态，一味地堵漏洞、打补丁、防病毒等被动式防御和局部式治理、增量式修复的防护策略，已不能适应多变的网络安全形势。基于传统网络安全模型、以边界防护为核心的防护理念和措施也已不能满足应用和数据保护的需求，需要建立强信任、强可控、强防护的全域安全。 2019-05-25 14:16

云时代的企业信息安全架构会议圆满落幕 4月20日，由云深互联承办的 CSA安全沙龙——云时代的企业信息安全架构会议，在北京微软大厦故宫厅顺利举行，活动聚集了来自IBM、奇安信（原360企业安全）、360 科技、天融信、普华永道、启明星辰等多家安全厂商，聚焦“企业新的安全架构”及“SDP在国内发展”等话题，从不同视角展开深入讨论。 2019-04-22 17:52

【活动预告】云时代的企业信息安全架构 CSA安全沙龙活动是由云安全联盟大中华区（CSA GCR）主办的系列活动，将在中国各城市组织安全公司、云计算厂商、云安全用户等共同探讨与新兴技术安全相关各类问题，分享国内外优秀方案及实践，促进行业各界交流，寻找合作与发展，推动下一代安全技术创新，促进新兴技术安全的发展。 2019-04-12 20:00

CSA 大中华区召开SDP工作组启动会，新工作组成立 3月26日，云安全联盟大中华区（CSA GCR）召开SDP工作组启动会，SDP工作组正式成立。SDP工作组专家分别来自阿里云、腾讯云、京东云、360企业安全集团、Ucloud、顺丰科技、云深互联、华云数据、BMW等二十多家单位。 2019-03-29 13:56

2018年网络安全大盘点之安全法规/政策篇前言根据国家信息安全漏洞统计平台的数据，2018年共计13957个漏洞被曝光（1月1日至12月31日）。英特尔CPU、微软、思科等高危漏洞曝光的同时，其它大大小小的漏洞事件数不胜数；从美国社交网络服务网站Facebook到国内12306铁路购票网站的大量用户数据信息被泄露，各类数据泄露事件层出不穷；HNS僵尸网络、“微信支付”等勒索病毒更是对我们生活造成了一定的影响。安全法规/政策篇大数据、工业互联网、智慧城市的安全和个人信息保护是2018年各项政策法规的关注点。随着《网络安全法》的实施，许多监管规定、行业与技术标准开始落地，国内的信息安全工作越来越有法可依，有据可查。 2018年网络安全相关法规/政策发布时间线如下：部分法规/政策详情：（a）《微博客信息服务管理规定》《微博客信息服务管理规定》是国家互联网信息办公室依据《中华人民共和国网络安全法》等相关法律法规制定的，该规定于2018年2月2日发布，并于2018年3月20日开始实施。《微博客信息服务管理规定》共十八条，包括微博客服务提供者主体责任、真实身份信息认证、分级分类管理、辟谣机制、行业自律、社会监督及行政管理等条款，旨在促进微博客信息服务健康有序发展，保护公民、法人和其他组织的合法权益，维护国家安全和公共利益。（b）《快递暂行条例》《快递暂行条例》第四十四条规定：经营快递业务的企业有下列行为之一的，由邮政管理部门责令改正，没收违法所得，并处1万元以上5万元以下的罚款；情节严重的，并处5万元以上10万元以下的罚款，并可以责令停业整顿直至吊销其快递业务经营许可证：（一）未按照规定建立快递运单及电子数据管理制度；（二）未定期销毁快递运单；（三）出售、泄露或者非法提供快递服务过程中知悉的用户信息；（四）发生或者可能发生用户信息泄露的情况，未立即采取补救措施，或者未向所在地邮政管理部门报告。（c）《信息安全技术个人信息安全规范》全国信息安全标准化技术委员会在2017年12月29日正式发布的《信息安全技术个人信息安全规范》，于2018年5月1日正式实施。《信息安全技术个人信息安全规范》以国家标准的形式，明确了个人信息的收集、保存、使用、共享、转让、公开披露等活动的合规要求，为网络运营者制定隐私政策及完善内控提供了指引。（d）《关于加强征信信息安全管理的通知》 2018年5月2日，中国人民银行下发《关于进一步加强征信信息安全管理的通知》（银发[2018]102号），进一步加强金融信用信息基础数据库运行机构和接入机构征信信息安全管理。通知要求，运行机构和接入机构要健全征信信息查询管理，严格授权查询机制，未经授权严禁查询征信报告，规范内部人员和国家机关查询办理流程，严禁未经授权认可的APP接入征信系统。此外，要求成立征信信息安全工作领导小组，明确领导层中分管征信工作的负责人为第一责任人。（e）《通用数据保护条例》 2016年4月，欧洲议会投票通过了《通用数据保护条例》（General Data Protection Regulation ，简称GDPR），并于2018年5月25日开始实施。GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度，可称得上史上最严格的数据保护条例。根据GDPR，没有保护好数据导致数据泄露行为，行为轻微的要罚款1000万欧元或全年营收的2%（两者取最高值），行为严重的则要罚款2000万欧元或全年营收的4%（两者取最高值）。（f）《网络安全等级保护条例》 2018年6月27日，公安部发布《网络安全等级保护条例（征求意见稿）》。作为《网络安全法》的重要配套法规，《网络安全等级保护条例（征求意见稿）》对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设提出了更加具体、操作性也更强的要求，为开展等级保护工作提供了重要的法律支撑。（g）《公安机关互联网安全监督检查规定》《公安机关互联网安全监督检查规定（公安部令第151号）》于2018年9月15日公安部部长办公会议通过，自2018年11月1日开始实施。《公安机关互联网安全监督检查规定》是网络安全执法检查工作与《网络安全法》的深度结合，对执法过程进行了详细的规定，使得监督检查工作做到依法检查、依法处置。（f）《金融信息服务管理规定》为加强金融信息服务内容管理，提高金融信息服务质量，促进金融信息服务健康有序发展，保护自然人、法人和非法人组织的合法权益，维护国家安全和公共利益，根据《中华人民共和国网络安全法》、《互联网信息服务管理办法》、《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》，制定了《金融信息服务管理规定》，并于2019年2月1日起施行。 2019-02-26 19:20