如何从“零”开始破解运营商安全接入防护难题？

（原标题：如何从“零”开始破解运营商安全接入防护难题？）

网络安全形势日益严峻，作为基础电信业务经营单位的电信运营商面临着越来越大的压力。运营商依靠传统的访问控制、接入控制等系统构建了网络安全基础接入防护能力，但面对日益复杂的网络安全挑战，传统的解决方案已无法解决运营商面临的接入与防护挑战，如何保障业务安全也成了运营商长期思考的问题。

一般而言，运营商的内部系统类型可大致分为办公类系统（如OA、邮件等）、生产类系统（如业务受理、CRM等）和运维类系统（如工单系统、网元运维管理等）三大类；在系统的访问接入上，分为互联网接入和DCN网接入两种途径；访问用户涵盖内部办公人员、网管运维人员、坐席、第三方驻场人员等多种角色；访问终端涉及多种终端类型和操作系统。

安全接入与防护已成运营商安全建设的难题

各种不同角色的用户、不同访问途径、不同的业务系统、不同类型的终端交织下，安全接入与防护成为运营商安全建设的主要难题，主要原因有以下几个方面：

其一，系统暴露面大。一方面通过互联网接入的业务较多，存在被恶意扫描、漏洞试探攻击、弱密码爆破等入侵风险。另一方面通过运营商DCN网为接入途径的应用系统包含大量内部敏感数据（B域、O域、M域等），直接暴露在所有内网甚至外网用户面前，增大了攻击面与数据暴露面，一旦遭到攻击后果将难以估量。

其二，终端安全问题突出。如前文所述，用户终端通过互联网接入访问内部系统时，面向的用户角色复杂，涉及业务系统同样复杂多样，加之终端本身安全状态不可控，极易成为攻击对象，进而威胁内部网络。

其三，访问权限管理困难。用户角色多样，数据中心逐渐增多、多云多数据中心接入成为常态，如何在多角色、多云多数据中心环境下实现统一的权限管理成为运营商信息化建设的又一挑战。随着高级威胁不断加剧，权限管理必须要融入到业务的动态访问过程中，即能够对异常访问行为实现自动化、精细化的动态权限控制，以应对非法接入访问的风险，解决账号共享问题带来的数据安全隐患，实现对弱口令的有效检测与处置。

零信任架构为何能被运营商青睐？

面对安全接入与防护的棘手问题，以“从不信任、总是验证”为理念的零信任自然而然地受到了运营商的关注。

具体来看，部署零信任架构可以实现泛终端统一安全接入防护体系的建立，通过SDP（软件定义边界）方式实现“云改数转”后PC、移动端等统一安全接入需求，同时大幅缩减系统暴露面、助力纵深防御与数据安全，补足安全建设短板，实现对灰度流量的处置能力，满足重要时期网络安全保障需求。同时，零信任架构更符合运营商多云同时接入的需求，满足云化趋势，实现多云环境下大并发用户的就近接入。目前这种零信任架构已经在运营商行业的多数据中心统一安全接入建设、终端统一安全接入建设、运维系统权限安全建设等重要场景有诸多实践。

在多数据中心统一安全接入建设方面，某运营商集团，基于全国各省 B 域系统的业务上与集约化建设需求，增加了大量安全访问需求，因此需要对访问人员进行统一安全管控。针对具体问题，该运营商集团采用深信服零信任解决方案，通过在多云环境分布式部署零信任访问控制系统aTrust，对B域系统进行安全发布，有效收缩系统暴露面，实现用户的统一安全接入管控，同时以弹性扩容机制打破资源瓶颈实现高并发、解决多数据中心跨域部署的统一安全管控问题，全面提升系统访问安全性，最终为集团数万人提供满足1.5万并发接入的安全防护。

在运营商终端统一安全接入建设方面，某省级运营商在信息化建设中投入上线了数百个办公及业务系统，并在移动端构建了以门户APP为主，集成众多业务APP的移动办公平台，日常承载上万员工的日常办公和运维业务，业务暴露风险、终端安全风险成为主要威胁。为有效收缩业务暴露面，该运营商采用深信服零信任解决方案，通过基于零信任的全终端安全沙箱技术为移动终端和传统PC终端构建统一的终端安全能力，隐藏业务暴露面，实现全省3W多终端的统一安全接入，满足攻防演练/重保期间的安全保障，对访问行为有效溯源，定位攻击行为。

在运维系统权限安全建设方面，某省级运营商涵盖网管系统、办公系统、业务后台管理系统等200个网络及应用运维系统，6000余名运维人员，有大量的业务系统需要通过内网和外网访问，权限管理成为最大问题。为实现用户访问的权限最小化管理，该运营商采用深信服零信任方案，将运维系统隐藏在零信任网关之后，对接现网4A系统，实现访问流量的身份化，结合终端环境和访问行为实现访问权限的动态访问控制。

为何各大运营商在零信任落地中选择深信服？

据了解，作为国内率先探索零信任应用的企业之一，深信服基于十几年来SSL VPN市场领导者地位，对业务接入访问场景有非常深刻的认识和积累，同时基于深信服自身安全产品体系带来的安全实践经验和安全能力，提出了“以身份为中心，可信访问、智能权限、极简运维”的零信任架构理念。

基于该理念，深信服推出了基于SDP架构的零信任访问控制系统aTrust产品及解决方案，通过新一代网络隐身、动态自适应认证、全周期终端环境检测、动态业务准入、动态访问控制、多源信任评估等核心能力，帮助运营商实现流量身份化、权限智能化、访问控制动态化、运维管理极简化的新一代网络安全架构转型。

深信服零信任整体架构

据深信服零信任产品线总经理郭炳梁介绍，深信服以自身安全为底层设计和开发要素，全新推出零信任安全架构方案，其核心组件也被命名为aTrust。除了业务安全防护能力外，在自身安全上，也经过内外部重重把关验证，仅以运营商行业为例，就在多个用户处经历过多轮实际的深度攻防渗透验证。对业务安全和自身安全的深刻理解，也是深信服零信任能得到运营商客户认可的其中一个关键因素。截至目前，深信服零信任已在多家运营商中成功落地。

据悉，作为一家专注于企业级安全、云计算及基础架构的产品和服务供应商，深信服在持续深耕网络安全的同时，也不断围绕企业级用户的需求，创新并升级自身的产品、解决方案和服务，形成覆盖企业级安全、云计算与基础架构的三大产品线。成立20多年，深信服的产品和服务一直在助力政府、运营商、金融、教育、医疗、能源、交通等众多行业的数字化转型。深信服运营商事业部总经理张瑜表示：“随着运营商业务支撑系统云化与中台改造的加速，运营商的安全建设正从传统的边界防御向云端安全与终端安全延伸，从网络安全向数据安全、应用安全延伸。对此，深信服深度结合行业发展趋势，提出了‘可信接入、立体防护、全网感知、集中管控’的安全建设思路，以助力运营商构建新一代安全架构，为运营商信息化发展保驾护航。”