来源 :通信世界网2022-12-01
近日,在中央网信办网络安全协调局的指导下,由中国网络安全产业联盟(CCIA)组织的“零信任优秀应用案例”评选结果正式发布。公司报送的《云网融合场景下端到端网络安全保护实践》,即“守望者·安全卫士”云网一体防护方案(简称“安全卫士”),成功入选CCIA“2022年零信任优秀应用案例”。该防护方案在推动网络安全技术创新、助力网络安全产业发展方面发挥了重要作用,在创新安全体系构建和示范性应用场景建设方面皆取得了良好的效果。
1 背景
数字化转型过程中技术转型先行,云计算成为数字基础设施重要支撑,应用架构随基础架构升级不断演进,以及互联网向网络空间演化,致使网络边界模糊,弱化了传统边界安全机制的防护能力。传统安全防护手段聚焦业务系统本身,防护机制主要围绕“查找漏洞、修复漏洞、数据安全”进行局部保护,未形成全程全网的安全保护体系,不能完全适应日益严峻的网络安全对抗形势,难以防范未知的网络安全威胁,局部一旦被攻破,网络整体安全将无法得到保障。
2 方案建设内容
为解决上述痛点问题,中国移动立足运营商“网络+安全”优势能力,充分利用云网资源禀赋,突破传统以业务为核心的安全防护模式。以“零信任”理念为引导,以运营商独有的号卡身份认证能力,云网协同应用防护能力,电信级基础网络调度能力为“三横”,以多层级安全能力智能统筹为“一纵”,打造“能力联动、一体防护”的“三横一纵”全程可信网络安全防护体系,为用户提供电信级的身份安全、边界安全、应用安全及运营安全。通过云、网、卡融合联动,构建最小身份边界,辅以动态调整访问策略,打破默认的“信任”,为业务系统提供访问过程中全生命周期的安全保障,逐步趋近“不被控”、“不可达”、“不可知”的网络安全“三重境界”防护效果。
3 方案特色优势
?运营商独有的身份安全优势
“安全卫士”通过电信级高可靠数字号卡身份认证能力和集中管理体系,解决传统认证方式中因篡改、仿冒、密码窃取等因素导致的用户身份不可信问题,可实现“无密可破”。
?运营商独有的访问控制优势
以运营商具备针对特定用户来授权签发“进门条”的独特优势。依托“进门条”,对于无法通过认证的访问主体将被一律拒绝而无法与被访问资源建立连接,屏蔽非授权用户的所有扫描和探测行为。
?运营商独有的安全管理优势
基于“以号为人、卡为钥匙”的身份管理机制,对每个用户流量实施精细化管控,实现从“IP溯源”到“号卡溯源”的成效提升,提高应用系统安全防护性能与安全运营工作效率,也更符合国家监管需求。
?运营商独有的安全运营优势
依托运营商通信网络,基于电信级流量管控机制,以全网安全态势视角构建集中安全运营中心,实现安全态势可见、可管、可控,实现覆盖“端、网、云、业、数”的集中安全运营。
4 高价值应用案例
安全卫士解决方案已在数字政府、算力网络、5G等应用场景中深入实践。目前已覆盖甘肃、陕西、江苏等十余个省份,防护各类应用系统数千个,安全能力调用累计超千亿次,攻击拦截总量数亿余次。
在中国移动某大型业务系统安全保障实践中,安全卫士解决方案有效防范和化解了可能产生的各类网信安全风险,确保该系统安全运行,为该系统监测了1.84亿余次访问、拦截网络攻击30.2万余次、拦截境外流量14万余次,平均每日拦截境外访问流量超过30%,7x24小时保障了10个业务系统良好运行,在常态化工作和专项行动中保障了该系统“零安全事件“发生。
本防护方案充分利用中国移动基础网络、身份认证与应用防护能力,顺应了国家网络安全战略,为能源、金融、教育、医疗、智慧家庭等行业提供全套安全防护,打造了业务稳定与安全可靠兼得的“实战级”安全“样板房”。在未来,中国移动将继续加强基础网络安全能力建设,深化“连接+算力+能力+安全”的新型信息基础设施打造,为中国式现代化的持续推进提供安全赋能。