证券办公场景下的零信任安全实践

在数字化转型的浪潮下,证券行业的办公方式多样且复杂,有投行、研究、交易等,各办公和业务系统接入方式也呈现碎片化、移动化,管理困难。特别是在后疫情时代,混合办公趋势凸显,证券行业的办公模式逐渐转变为“远程+本地”的混合接入架构。通过互联网访问这种安全边界之外办公环境的安全问题开始需要被更多关注,原先围绕各办公区网络边界的静态ACL策略展开的安全防控,需要转变成设备、身份、环境等多维主体的持续风险验证。
同时,证券行业作为强监管行业,证券的服务和数据具有天然的敏感性,《网络安全法》、《数据安全法》、《个人信息保护法》,以及行业的法规中已经明确对用户的隐私数据保护、软件/操作系统正版化、从业人员的设备管理提出了更高的安全建设要求。

图片

在这样的背景下,民生证券以“永不信任”的零信任作为基本理念,建立了一个从终端、身份、环境,到行为的持续风险验证的软件化安全边界。本文以民生证券为例,介绍证券公司落地全端零信任过程中的探索实践。

一、办公安全解决方案的关键考量
为了解决证券办公场景下的信息安全问题,前期我们在几种方案中做了比较和研究。首先是传统的办公网办公的方式已经跟不上业务快速发展的步伐,无法支持灵活的办公方式,而且也过于信任办公网边界内的行为,存在一定的安全风险和隐患。2009年谷歌公司正是因为一次钓鱼中毒事件,导致一名黑客在其内网潜伏了数月没有被发现,这个事情之后谷歌公司的办公体系就开始进行零信任改造。
第二种是传统的VPN。其本身的概念只能解决远程办公问题,本身不包含终端和网络上的多重验证和管控,而且传统的VPN还是有端口的暴露,仍存在一些无法规避的安全问题。
然后是云桌面使用。云桌面是当下使用比较多的方案,其优点是安全性较好,管理起来方便,但成本较高,一台云桌面可能需要2-3个副本,对中小券商来说大规模使用不太经济,另外对网络性能要求较高,网络延迟的情况下,不仅会议沟通、内网访问、审批等受到影响,甚至打字也会出现延迟,降低办公体验。还有一种是本地虚拟化的沙箱方案,这种方案对部分敏感性应用的隔离访问具有一定优势,但如果把系统都接入进来,其兼容性问题导致的运维成本较重,尤其是BYOD的办公模式未必友好。
最后,民生证券采用了基于客户端、数据端、控制端三端的零信任安全办公体系。通过ALL in One的客户端架构,集成杀毒、基线检查、风险监测、多因素验证、终端管理等多个安全模块,一方面以便捷的接入方式,提供便捷的安全接入能力,另一方面可以通过不同的策略应对不通场景的办公需求,尽可能对业务少打扰,避免一刀切给业务办公带来的打扰和不便,平衡甚至提升办公效率。
另外,本方案通过零信任的终端管理能力,支持从业人员设备管理、软件正版化管理等工作,结合常态化自动化的设备信息采集,提供全域统一的资产视图和全面的资产看板,给公司管理和统计工作,以及员工使用都带来了极大的便利。

二、方案设计和部署

首先通过零信任收缩资产暴露面,将公网暴露的互联网资产收缩到零信任里面,之后建立完善得的权限管理,最小化控制访问权限。
当员工使用PC进行办公时,通过客户端完成身份认证、设备健康状况检查,并通过隐身网关的敲门认证。在办公访问的过程中,零信任根据用户的身份、设备的类型进行访问的限制。新电脑或者临时办公电脑,只能访问部分非敏感应用,同时会受到更频繁的验证。对于登记的办公设备,可以访问用户身份下的所有应用,并根据办公场景适配相应的策略池进行风险持续验证,办公设备还会有更多的管控措施,以确保满足安全合规的需求。
移动端不设单独客户端,而是通过SDK嵌入到已有的移动办公APP“小民”中,实现一个APP完成即时沟通、移动审批、内网访问等多种功能。
所有的数据汇入分析中心进行分析和计算,并对风险行为出发验证。

图片

在部署上,本方案有三个核心组件:客户端以ALLIn One的产品架构集成身份认证、杀毒、终端管理、IT工单、信息采集等终端安全能力,在此基础上提供用户身份、设备身份的可信校验手段,作为后续“流量身份化”的技术基础。
控制端为零信任安全运营平台,包括与零信任网关完成最终鉴权的零信任控制台、公司内网身份源、外置日志中心、行为分析与风险运营系统。
数据端以网关的形态分布式部署于各地机房与云上,通过加密隧道、七层代理等方式为用户客户端提供统一的业务安全接入能力。网关替代原有物理边界,流量访问经过鉴权后,最终完成代理转发,形成企业业务真正意义上的“软件网络边界”。

图片

三、运营实操

在运营实操上,本方案首先通过攻击面管理对外网的暴露资产进行探索,梳理出不必要的风险暴露并进行零信任访问的收缩,基于此,通过零信任的权限管理体系实现内网的最小化权限访问。为了防控员工设备和账号的失陷风险,以及关键员工的泄密风险,本方案进一步建立了全链路、场景化的风险策略体系,并对办公过程中各类风险因素进行持续有效验证。最后,借助零信任的终端管理和资产上报功能,实现从业人员的设备合规管控。

  • 攻击面管理

存量系统,通过智能资产测绘与关联、信息图鉴技术、攻击者尺度动态叠加技术、供应链数字资产全面探测等技术手段,对公司进行攻击面识别,攻击面评估,攻击面收敛。将发现的废弃系统进行下线处理,存在缺陷应用联合应用团队紧急修复。办公系统、后管页面、测试系统等不必要对外的风险暴露系统,收缩到零信任后面。新增系统,通过公司上线审批和网络策略关闭等流程进行管控,直接对接到零信任就行访问。

  • 全链路风险策略体系

员工在准备办公的时候,终端首先会对设备与环境进行检查,检查安全配置、病毒入侵风险、异常网络环境、设备登记情况等。设备和环境安全检测通过后会进行认证与权限确认,包括账号是否存在风险、账号与权限是否对应、认证环境是否携带专用敲门信息等,在确保账号安全之后,完成权限的分配。
在实际办公过程中,会对行为和操作进行审计,如敏感页面的访问和下载、是否有异地操作、是否有高频操作等。另外,风险策略不是一刀切的适用所有场景,而是不同的场景适配不同的策略,会根据安全制度的要求、业务的需求,以及一些办公场景数据的聚类,形成不同的策略并适配到不同的场景。

  • BYOD下的办公设备合规管理

作为强监管行业,证券公司对从业人员的设备合规有严格的要求,如MAC地址管理、软件和操作系统正版化管理等。
对于MAC地址管理,传统的方式是通知、填报和匹配三个环节,中间还有很多人工运维工作,效率较低。基于零信任的设备登记模块,我们的员工会对自己设备进行类型、用途、固定资产编号等维度的登记。登记为办公设备的电脑,作为可信设备会有更好的体验,但也会有更严格的合规管理;临时或者个人电脑为非可信设备,仅可作为临时办公,并会触发更强的安全验证,临时设备的使用记录也会被分析和审计,如果频繁使用,那么同样会升级为办公设备。
办公设备的MAC地址会通过零信任客户端进行提取、降噪后,通过API形式发送到下游,从而进行更自动化、智能化的管理。
对于软件和操作系统的正版化管理,零信任客户端首先会做一些基本的判断和识别,如通过操作系统的识别号判断是否存在盗版的可能等,通过软件列表判断是否安装了违规软件等。对于商业软件的授权管理,零信任可以按照使用部门、角色、人员、设备来设置授权数,当范围内的员工安装软件,占用授权之后,后台会实时更新授权数,当软件使用数量超过授权告警阈值时,会触发「超额提醒」通知管理员。对于其他一些违规安装的情况,则会禁入办公。

  • 推广和运维

任何基于端的产品,都有较为繁重的推广和运维工作。推广方面,民生证券的零信任方案在疫情期间实现了全量的推广,并为公司员工提供了一个安全、便捷的办公环境。推广的过程中,也伴随着各类问题排查、体验优化的运维工作,基于民生证券的经验,我们总结了以下几个非产品本身的常见问题:

图片

对于设备端和用户认知的问题,我们前期通过自助排查文档,后期引入AI知识库问答,来自动化、智能化辅助员工进行问题定位和排查。对于部分设备端,或者网络、上下游的问题,我们增加的更多的检测并在零信任端上尽可能做出明确提示。

四、方案效果1)安全提升:暴露面收缩和全链路风险验证
我们基于零信任网关提供的网络访问控制能力,和动态控制引擎的安全管理能力,整体保障了办公的安全性。
将公司系统对互联网开放访问,接入只能通过零信任访问,减少企业公网域名和IP数量,收缩风险暴露面,大大降低了外部攻击的可能性。
公网暴露面进行收缩后,基于ALL in One的客户端信息,从杀毒、安全基线检查、DLP,以及设备、账号的身份化信息和多因素认证记录,到访问行为信息,全部嵌入到零信任的动态控制策略中,多维持续的对风险进行验证,保障安全办公。
2)效率提升:业务自动化和制定场景化办公策略
业务和办公系统接入零信任的使用相比于使用传统的内网办公区、内网终端等复杂条件嵌套方式,提升员工访问效率80%。相比于原来的VPN+防火墙策略开通模式,原来用户申请一个业务的访问权限需要在多个平台提交工单开通网络权限,现在仅需在零信任平台通过一个工单完成点到点的审批与自助开通,业务自动化处理效率提升90%。
基于多维度的信息,和灵活的动态控制引擎,根据不同的办公场景、不同的业务需求,定制化一些场景策略,比如为高敏感系统定制安全接入方案,实现特定角色+设备+IP环境的访问需求;为需要经常在非办公区访问的系统制定分层风险策略,减少验证打扰,优化体验;为分支机构人员定制办公电脑软件管理策略,提升合规性。通过场景化的风险策略,避免一刀切的管控,深度服务并满足业务部门安全办公需求,提升办公体验。
3)管理提升:丰富终端资产管理提升合规管理效率
通过零信任的终端管理、信息采集上报功能和丰富的OpenAPI接口,有效提高了公司的在软件与操作系统正版化、MAC地址管理、设备资产台账管理等方面的合规管理效率。

作者介绍

丁安安,民生证券技术平台及信息安全负责人,硕士研究生学历,中国通信标准化协会(CCSA)评审专家、CSA 云安全联盟专家会员、申请并授权技术专利 8 篇。

杜峥,民生证券应用安全负责人,参与多次省市级攻防演练,均取得前三名次,具有多年大型 java 项目开发经验。