精益信任安全解决方案

方案背景

随着云计算、大数据、移动互联等技术的快速落地，以及数据泄露、高级持续攻击等内部系统安全威胁的升级，零信任在网络安全领域出现。 针对零信任的疑问，国际权威 IT 研究分析机构 Gartner 在研究报告《Zero Trust Is an Initial Step on the Roadmap to CARTA》中，认为网络安全应基于持续自适应的风险和信任评估，最终实现对风险和信任进行精 益控制。这一目标在报告中被描述为精益信任。而零信任只是实现这一目标的第一步。

在精益信任中，业务交互以信任为基石，业务的开展需要信任的建立。同时信任与风险相伴相生，网络安全不能实现零风险，只能管理风险。风险的管理，是通过对信任的控制实现。还需持续监测评估风险，根据业务的需要和风险的反馈，持续调整信任。所以说，信任与风险的精益控制回路，是精益信任的核心理念。相比零信任，精益信任通过信任和风险的反馈控制，实现“准确而足够”的信任。已有零信任架构多以身份为中心构建，精益信任架构则以风险和信任为中心，实现安全架构的重构，身份安全是其中一部分。

方案概述

精益信任安全架构包含精益信任平台和精益信任插件。其中精益信任平台部署于应用服务区前端，控制对应用服务区的访问行为。平台由 5 个模块组成，分别是权限管理中心、安全接入网关、身份认证中心、终端管理中心和检测分析中心。精益信任插件部署于用户端的个人电脑或移动终端上，实现用户端设备防护、环境感知，并建立对接精益信任平台的认证通道。信任建立前，默认任何用户、设备都不可信。依据身份、设备、环境的多源上下文信息，在信任控制中心对用户、设备进行信任的评估，依据评估结果确定信任等级，建立信任。

信任建立后，基于信任等级和资源安全等级，确定访问控制规则，下发安全接入网关，开展业务访问。访问过程通过检测分析中心、终端管理中心、身份认证中心进行持续的风险 / 信任评估，依据评估结果，精益调整信任等级以及访问控制规则。持续循环反馈，实现信任 / 风险的精益控制。

方案价值

1.安全架构革新：精益信任安全架构基于信任 / 风险精益控制理念，构建新一代安全边界，树立行业标杆

2.提升安全能力：每一次访问行为与身份绑定；信任建立和调整基于多源信息评估；代理或隧道机制隐藏后端资源；边界、内网、终端安全设备动态联动。

3.自动化运维，自适应策略：风险事件自动化响应，策略规则实现自适应调整。

4.多种接入部署方式：支持代理与隧道模式，实现私有化与云化部署。

5.模块化、标准化：功能组件按需部署，特有技术实现风险和信任标准化传递，兼容原有设备。

6.身份与设备管理：多认证方式支持，多设备类型支持。