一、项目背景

随着企业数字化转型进程的推进,各类业务系统和数据资产逐渐向互联网开放,企业网络边界变得日益模糊。这为企业的网络安全带来了两个方面的挑战:

1. 业务系统和网络设备直接暴露于公网,面临攻击威胁加大的风险。
2. 企业核心数据资产可能被内部不法分子利用网络权限非法获取。

传统的网络安全防护主要依赖网络边界的策略来实现对资产的保护,这种策略在当下环境中逐渐显得力不从心。攻击者可以利用各种手段绕过网络边界,直接获取内部访问权限后进行数据盗取。

因此,企业亟需建立一套更可靠的网络安全防护体系,在数字化浪潮中保护数据安全。零信任网络安全架构通过其细粒度的访问控制和持续监测的理念,可以有效降低企业数字化进程中的网络安全风险,保护核心数据资产,值得本企业考虑部署实施。

二、项目必要性

通过对本企业当前网络安全体系的调研和风险评估,确定部署零信任网络安全的必要性:

1. 多业务系统直接面向公网,风险加大

随着业务对外开放的需求,多个业务系统直接通过公网可访问,相比内网环境,面临更大的风险。

2. 权限控制粒度不足,数据访问难限制

当前依赖网络边界的权限控制,根本无法对内部不同用户和终端进行细粒度的安全策略管控。

3. 中间件、系统组件漏洞被利用可能

应用和系统组件的漏洞很容易被外部攻击者利用,进行侧面的渗透入侵。

4. 内部人为操作误导致数据泄露事件时有发生

部分员工通过擅自将数据拷贝至私人设备等方式导致的数据泄露。

5. 日志审计机制不完善,事后溯源分析困难

针对数据非法访问场景,当前的日志收集和审计机制不足以支持事后详细溯源。

6. 没有可以可视化分析网络运行状态的安全运营中心

综上,零信任网络安全建设,是保护本企业核心数据资产安全的必要手段。

三、项目选型思路

本项目将遵循业界通行的零信任网络安全模型,主要思路包括:

1. 以身份为基础,进行细粒度的最小权限访问控制

不同用户和终端在访问系统和数据时,进行严格的身份识别,并仅获取完成工作必须的最小权限。

2. 基于多种维度信息,实现精确的动态访问控制

除静态身份信息外,还综合考虑访问环境、行为等动态因素,进行实时的风险评估,动态调整访问策略。

3. 实现对访问主体的全生命周期监控和审计

从访问前、中、后各个阶段,持续收集审计日志信息,建立详尽的监控和审计体系。

四、解决方案设计

根据零信任网络安全模型要求,本项目的网络架构设计主要包含以下要素:

1. 部署可信访问网关,所有外部访问流量必须先经过gateways认证和授权。
2. 构建身份认证和管理体系,绑定每个访问主体的身份信息。
3. 实现基于身份和策略的细粒度的最小权限访问控制。
4. 构建动态访问控制机制,根据访问环境和请求内容动态授权。
5. 部署持续监控和审计系统,全面收集访问日志信息。
6. 建立集中式安全管理系统,实现安全策略集中制定和可视化管理。

关键的网络拓扑如下:

[图片]

五、效益评估

相比于传统的网络边界防护体系,本项目可以为企业带来如下效益:

1. 减少超过80%的网络攻击面,降低外部威胁风险。
2. 避免超过90%的数据非法访问或盗取风险。
3. 安全事件发生后可以进行详细溯源,减少事后处理成本超过60%。
4. 提高网络环境管理和运维效率超过50%。
5. 减少公网带宽超过30%,降低成本支出。

六、投入预算

本项目的具体投入预算如下:

1. 零信任可信访问网关设备2台,预算XXX万元
2. 身份认证和权限管理系统,预算XX万元
3. 安全信息事件管理系统,预算XX万元
4. 项目实施和部署成本,预算XX万元

综上,本项目的总预算为XXX万元。

考虑到项目实施可以分阶段进行,先打通核心业务系统的零信任访问 networking,再逐步扩展覆盖全企业范围,初期阶段的预算可以控制在XXX万元左右。

七、风险评估

本项目在设计和实施中需要注意的主要风险包括:

1. 部分业务系统可能需要进行改造以适应新架构。
2. 员工的工作习惯也需要一定改变来适应新的访问模式。
3. 项目实施初期可能会对业务访问造成一定影响。
4. 日志和监控信息量激增,需要存储和处理能力保障。

Suggestions:

1. 分阶段实施,先在新建业务系统中落地验证。
2. 提前进行员工培训,说明新架构带来的改变。
3. 详细测试各业务系统在新架构下的运行情况。
4. 评估并扩容日志和监控平台,保障其处理能力。

八、后续工作

如果立项通过,本项目的后续工作安排如下:

1. 进一步优化网络拓扑设计方案。
2. 详细评估各业务系统对新架构的适配情况。
3. 搭建实验环境进行新架构的验证。
4. 制定网络设备和软件产品的具体采购清单。
5. 进行项目解决方案的具体实施设计。
6. 根据实施设计进行详细的实施部署。
7. 建立完善的技术支持体系。
8. 提供员工相关的培训和技术支持。
9. 通过多批次的实施,最终实现全网络的零信任安全架构。