一、项目背景及目标

1.1 需求分析

我行在实现数据变现、确保业务系统稳定安全运行的同时，为保障我行的业务及数据安全，需达成以下目标：

（1）满足合规要求，如数据安全法、国密改造、信创及银行业政策标准等；

（2）通过覆盖数据全生命周期的安全保护与管理，支撑我行远程访问开发平台接入安全、内网业务数据访问保护，保障全行现有业务的稳定运行及新业务上线；

（3）通过代理技术降低行内业务系统的对外暴露面，实现对行内业务系统的数据保护；

（4）通过沙箱等技术手段保障数据安全，实现数据泄密可追溯；

（5）通过GPT技术的推理能力实现将访问关系、网络暴露面和识别的单点风险有机串联， 构筑我行员工行为建模及行为可视化能力，帮助我行管理人员提前预测潜在的多条攻击路径，形成面向业务资产视角的攻击路径全景图，从而完善事前加固措施，有效规避安全事件发生。

1.2 项目立项背景

（1）访问流量缺乏身份：在标准流量数据中只有基础的五元组信息，缺乏完整的访问主体、访问客体的身份信息，无法快速对应到人、终端和业务。如源IP对应的我行员工身份、终端资产信息，目的IP/端口对应的业务资产身份信息（服务类型、业务名称）。

（2）多源身份割裂：虽然建设了身份基础设施，也普遍是多源割裂的状态，既有IAM账号体系，也有独立认证的业务系统。同一个人在不同应用系统、数据库的账号并不一样，平台则无法基于统一身份对全网访问日志进行身份化的行为分析。

（3）访问链路难以串联：在SNAT、Nginx、跨局域网等环境中，基于网络的访问行为分散在不同的终端安全、网络安全设备上，只能依赖我行人工专家进行访问链路的溯源、分析，日常访问中难以看清完整访问流。

（4）忽视潜在攻击路径：尽管边界防护建设较好，但是在办公跨网访问、应用系统权限管理上存在管理盲区，导致暴露面未及时收敛。单点的暴露面和资源危弱性（漏洞、弱口令、基线）容易被安全管理人员忽视，未及时修复，但可以被攻击者利用完成最终的攻击。过往的安全运营中，更多的是发生安全事件后，再通过人工溯源回溯整个的入侵的路径，整体偏置后，事前无感知，无法提前加固进行规避。

（5）Web应用缺失管控：我行存在大量B/S应用，承载大量核心数据，管控粒度粗，审计不完整、风险难追溯，具体表现如下两点，首先是业务难审计：大多数应用存在风险操作审计短板，操作日志审计缺失，比如某员工查询了客户的个人资料行为，同时存在大量老旧应用，业务改造工作量大，内部推动困难；其次是风险难追溯：出现应用风险操作或数据泄露风险事件后，溯源取证困难，缺少直观的举证，我行希望做到像 ECC 运维室摄像头，可把人员访问应用的所有操作都录下来。

（6）数据落地缺失高效轻量保护机制：过往基于文件加密或桌面云等办公方式过重，严重依赖于应用层，存在诸多绕过风险，且对应用程序具备侵入性，对信创PC等兼容性较差，我行缺失接近操作系统层面具备一定抗破解能力及绕过能力的数据保护机制。

1.3 项目目标简介

（1）构建我行基于零信任的人-应用的访问控制体系

通过本项目构建我行人-应用的SDP访问控制体系，以实现我行员工在访问被允许之前，都必须经过身份认证和授权，避免过度的信任；我行员工对资源的访问权限是动态的；分配访问权限时应遵循最小权限原则；尽可能减少我行资源非必要的网络暴露，以减少攻击面；尽可能确保所有的我行员工、资源、通信链路处于最安全状态；尽可能多地和及时地获取可能影响授权的所有信息，并根据这些信息进行持续的信任评估和安全响应。

（2）构建我行行为建模能力

从我行员工访问地点、访问时间、访问频率、访问路径、操作习惯等维度对我行员工访问行为进行建模分析，通过应用安全大模型以这些访问属性为基础进行持续的学习和行为画像构建，为每个员工构建独特的访问行为基线画像。基于访问行为基线画像为入口点，结合以降维、聚类、决策树为主的计算处理模型发现异常行为，对我行员工/资产进行综合评分，识别内鬼行为、已入侵的潜伏威胁、外部入侵行为提前预警。在我行员工访问过程中，对于偏离正常基线的行为，具备根据事先配置的动态访问控制ACL规则联动实现对异常访问行为的阻断、告警或二次认证。

（3）构建我行行为可视能力

通过可视化技术将我行员工访问路径、访问流量、我行员工异常访问行为直观展示，同时也将在线设备状态、统计情况、策略执行情况、执行路径、资源访问等统计数据可视化呈现，帮助我行安全运维人员更为直观、更为全面地了解访问主体的安全状态和行为，从而更快速、更精准地找到风险点，触发安全响应，支撑安全决策。

（3）构建基于驱动层的数据保护机制

引入沙箱技术，沙箱在 Windows、Mac、统信 UOS、银河麒麟 Kylin 等终端设备上创建一个或多个与本地 PC 环境逻辑隔离的安全工作空间，在工作空间中运行的软件（应用）具备SSL通信商密加密、落地文件加密、文件外发管控、内外网络访问隔离、程序管控、剪切板拷贝控制、外设管控、屏幕水印等数据保护功能。与其他数据防泄密方案相比，具备部署成本低、用户体验好、安全性高等优点。与我行现有的桌面虚拟化也不同，沙箱使用终端的硬件资源，业务数据隔离加密保存在本地，同时部署时考虑和我行现有桌面虚拟化进行客户端融合，在终端安装一个客户端软件，不需要安装额外的操作系统。

（4）构建B/S应用保护机制

针对于行内现有的B/S应用构建保护机制，可实现免客户端访问业务，最好实现无感知代理访问，同时具备“透明代理为主，按需改写”的代理思路，尽量降低对业务系统的影响，兼容绝大多数 B/S 应用。可以为B/S应用提供禁止打印、禁止调试、录屏审计等能力。

（5）满足合规性、兼容性及未来延展能力

本项目需满足合规要求，如数据安全法、国密改造、信创及银行业政策标准等；同时需要考虑对我行现有域控、全终端（含信创）、桌面虚拟化、现有数据中心应用等的充分兼容性，无需改造即可上线，在未来延展性上，具备敏感数据API接口用数活动识别、数据资产分级分类等能力。

二、创新点

（1）采用分步建设方案

我行基于过往同业实践经验，结合行内实际需求，采用先构建统一身份体系（域控）、统一访问平台（桌面虚拟化）、再从远程办公场景到内网逐步延伸，总结实现出了一套良好的落地方案，通过分场景、分阶段建设，助力我行实现零信任进展顺利。在方案架构的选择上，以SDP控制中心、SDP代理网关、客户端（含沙箱）、SDP分析中心为核心组件的极简架构，帮助我行更容易分场景、分阶段实践落地。

（2）实现纯 WEB 接入

可实现在免客户端情况下，B/S资源采用“透明代理为主，按需改写”的代理思路，尽量降低对我行现有业务系统的影响，兼容我行绝大多数 B/S 应用。对于已经实现域名化的业务系统，提供了智能改写黑名单、手动改写等能力来解决此类兼容性问题，保证业务系统的正常访问。同时零信任将为其提供暴露面收敛、细粒度管控和数据访问保护三个层面的安全性保护。能够将业务系统收敛至零信任的保护之下，有效的放扫描、防 0day/1day 攻击；同时支持 URL/API 级别的应用权限管控，针对不同的 URL 路径分别授权，实现应用权限的精细化管控；零信任还支持为 WEB 应用添加页面水印、禁止复制、禁止下载、禁止打印、禁止鼠标右键、禁止浏览器调试等数据安全保护能力，能够有效的防止业务数据的泄露。

（3）全功能跨平台兼容

建设时就需适配 windows、mac、UOS、麒麟、中科方德、Ubuntu、iOS、安卓、鸿蒙等主流终端及国产终端；Edge、Chrome、Firefox、Safari、IE、Opera、搜狗、360、密信、红莲花、赢达信等主流浏览器及国密浏览器。提供多个用户自服务能力简化管理运维难度，如提供权限申请自服务工具、终端环境诊断工具等。我行员工可通过自服务工具自助申请权限，自助诊断终端环境，减少管理员配置及管理难度，提升管理效率。

（4）统一工作台

零信任客户端可根据实际需求灵活扩展能力，包括沙箱、我行现有桌面虚拟化客户端、未来的终端安全杀毒等；我行员工只需要安装 1 个客户端即可满足安全便捷的入网和访问业务的需要，规避员工重复安装的动作，优化员工使用体验，简化管理员客户端推广工作，一定程度上减少我行员工投诉。

（5）业务发布性能

系统可以更加高效灵活地调度 CPU、内存等硬件资源，针对资源发布、用户认证、日志审计等消耗性能较高的功能模块重点进行性能优化，从而支持 10 万级别的应用、10 万级别的用户数、上万级别的用户组，相比传统的访问控制设备性能获得极大提升。满足金融级高性能、高稳定性要求。

（6）大并发高可用

系统在架构上采用了控制平面与转发平面分离的架构，不依赖于外置负载均衡即可实现分布式部署和水平扩容，极大地提升了并发接入能力，满足我行大并发、高性能的需求。对于“早高峰”特殊场景，大量用户同时接入时，将根据优先级不同，动态调整不同类型请求的处理速率，使得接近高优先级业务请求先被处理，有效防止“踩踏现象”，实现 2-10 倍压力状态下，用户上线速率可保持超压前的 95%以上。当控制面故障时，不会影响代理转发面转发已认证用户的流量，保证业务的连续性和可靠性。

（7）系统主动防御能力

在安全检测和防护能力上，基于主动防御的设计思念，围绕设备、账号、终端三个核心保护对象构建针对性的“三道防线”，并融合多维度诱饵和原生轻量蜜罐等欺骗诱捕技术实现主动防御。

（8）事件和数据运营

在安全事件和数据的运营上，系统通过对登录、访问大数据的二次运营、关联分析，实现全网数据的攻防态势可视化，发现关键异常，自识别误报，缩减告警数量，进一步增强实战攻防场景下的信任评估和访问控制运营能力，并通过可视化大屏提供整个访问控制体系的运行状态直观监测。

（9）引用大模型技术的分析中心

围绕关键业务资产，通过大模型的强大推理能力，将访问关系、网络暴露面和识别的单点风险有机串联，帮助管理人员提前预测潜在的多条攻路径，形成面向业务资产视角的攻击路径全景图，从而完善事前加固措施，有效规避安全事件发生。利用应用内容日志和行为分析模型，识别应用内与应用组合的行为模式差异，同时具备关联推理能力：通过AI大模型深入理解攻击者技战法和ATT&CK TTP战术，借助大模型独特的行为链研判和情景关联分析能力，从海量的正常访问行为中精准发现无攻击特征的高隐秘行为。在安全制度理解与运营：借助AI大模型对于语义的深度理解诶能力，既能让AI学会通用安全规范知识，也能不依赖安全人员制定规则，自动学习我行内部安全规范，自动理解规范并识别违规，发现点对点的风险。

三、项目技术方案

（1）SDP控制中心：

SDP控制中心，是整个零信任方案中控制平面。控制中心负责认证、授权、策略管理与下发，是整体的调度与管理中心。负责控制建立连接和切断主体（用户）与客体（应用）之间的通信连接（通过给网关发送控制指命）。它负责生成客户端用于访问应用的身份验证凭证。

控制中心支持自适应身份认证、动态权限控制，对接入的身份、终端、环境、行为进行信任评估，基于策略引擎配置的策略结果，决定最终允许或拒绝会话。如果会话被授权且请求已被认证，则控制中心通知网关允许代理访问。如果会话被拒绝（或之前的批准被拒绝），则控制器向网关发出指令以切断连接。同时，控制中心受 SPA 单包授权技术对设备本身的服务进行隐身保护——只有已授权的客户端接入，才能打开认证页面，未授权的客户端将无法接入控制中心对外提供的任何服务，认证页面都无法打开。

此外，在主动防御能力体系中，控制中心负责威胁诱捕策略配置和下发，并提供丰富分析和可视化能力，如行为洞察分析、防线可视分析、实体调查分析；同时，控制中心还需对接我行现有身份管理体系，实现整个访问控制体系的身份唯一化。

（2）SDP代理网关：

零信任代理网关，是整个 aTrust 方案中的数据平面。安全代理网关负责建立、监视及切断访问主体（用户）和客体（应用）之间的连接。它与控制中心通信，从控制中心接收策略和指令。代理网关支持多种访问协议代理：7 层 WEB 代理、4 层 TCP 代理、3 层 IP 代理，可以满足多种类型应用的发布，所有经代理网关代理转发的流量均基于 国密协议加密。同时，代理网关受 SPA 单包授权技术对设备本身的服务进行隐身保护，只有已授权的客户端才能通过代理网关代理访问业务，否则将无法连接代理网关对外放通的端口服务。由于所有流量都经过安全代理网关，代理网关会记录所有的访问请求，包括源 IP、目标IP以及访问的URL的路径，可进行日志审计，同时支持通过 syslog 将平台的所有日志对接给第三方日志平台。

（3）SDP分析中心：

SDP分析中心旨在打造全场景可视可控的零信任安全框架，以身份和资产为中心，以持续审计分析和持续验证为手段的细粒度访问分析和控制。零信任分析中心通过开放日志接入能力，打造全面可视、信任评估等核心能力，并且能够拓展数据安全场景，最终帮助我行在持续开放的环境中有信心（能见性和可预测性）和有能力不断收敛权限（而不影响业务），并不断确保每次访问真实可靠。同时对接安全大模型，安全大模型外挂向量数据库，保障具备我行管理制度等内部数据理解能力的同时不会将我行内部管理制度等数据训练使用。同时提供大屏展示等能力，确保整个访问控制体系可视化能力形成。

（4）SDP客户端：

系统的PC面相市面主流的操作系统均有对应的客户端，PC 客户端支持国密隧道访问。同时客户端提供终端安全检测的能力，对接入的终端当前的环境（如操作系统、防火墙、杀毒软件、应用进程）进行收集和上报，上报给控制中心进行信任评估的策略管理。开启SPA服务隐身后，只有授权过的客户端才能连接控制中心和代理网关，才能进行认证、授权和代理访问。此外，客户端具备沙箱能力，保障敏感业务限制在仅能在工作空间中访问，沙箱可提供数据防泄密能力。其在终端上创建与个人环境完全逻辑隔离的安全工作空间，在工作空间中运行的软件具备链路加密、文件加密、文件隔离、网络隔离、剪切板隔离、进程保护、屏幕水印、防截屏录屏、外设管控等数据保护功能，与其他数据防泄密方案相比，具备部署成本低、用户体验好、安全性高等优点。

四、项目过程管理

五、运营情况

（1）应用情况

目前已经面向全行正式发布12套系统，可以满足全行员工日常办公需求，满足信息技术部员工开发测试需求。详见下图：

（2）运行情况

目前，系统已正式上线运行近2个月，日活用户超过1000人，系统运行平稳，负载正常，未发生系统故障、安全策略异常和功能异常，整体情况符合预期。

六、项目成效

（1）经济效益

数据安全建设间接辅助效益主要是保障我行内部业务持续、安全、稳定运转，由业务产生效益，安全作为辅助保障。数据已成为驱动业务、经济发展的核心要素，数据作为驱动业务进步的“发动机”，保障其安全是我行应重点关注的。数据安全以数据为核心，通过对业务或场景梳理，建设贴身的、动态的、可持续性的数据安全体系（技术、管理、运维），保障业务相对安全稳定运行，保障我行发展战略更好落地。通过对业务及战略的有效支撑，从而实现我行业务线可持续、稳定的产生价值。同时有了数据安全保驾护航，减少因数据破坏造成的经济损害，提升我行数字竞争力和拓展数字经济空间潜力。

（2）技术效益

我行通过建设数据安全体系，加强了业务保护能力、加大了数据防护范围、加深了数据保障能力，对我行原有以网络为中心的安全体系进行扩充完善，弥补传统防护技术短板，提升我行整体（可视、可控、可管）应对能力。新技术的应用是为了更好支持业务不断发展，在应用过程中，如何解决新技术产生的新风险则尤为重要，通过新技术的探索、建设和使用，提高了我行员工的技术水平，以数据为核心的安全体系建设，在业务技术与数据之间建立“护城河”，有效解决新技术风险对数据的破坏行为，也提升我行对业务的持续保障和管控能力。

（3）社会效益

我行通过建设数据安全体系，保障了我行客户的数据安全，大大减少了我行客户数据的泄露风险，为社会稳定与公共网络空间安全贡献了我行的一部分力量。同时我行对数据安全建设探索的经验在行业内可复制性较强，对于行业内的安全体系建设探索提出了一个可行方向，也完成了一次较为成功的实践。

七、经验总结

通过内网零信任新一代访问控制体系的建设，确保我行的业务系统安全和数据安全，在网络访问安全、业务数据安全及访问行为安全等方面，通过对不同业务数据、不同人员身份、不同访问环境的敏感级别的定级和管控，有效收缩业务系统对外发布的网络暴露面，减少被攻击的突破口，降低网络安全和业务数据泄露风险。

通过此项目的建设和经验积累，给予中小规模金融银行单位，在网络安全边界模糊化后，内网新一代访问控制体系如何保障业务安全的经验和方向。建立一套行之有效的底层基础建设与相配套的管理体系是极其必要的，通过软硬配套，保障数据安全。保证机密不离行，数据不落地，以提前应对于可能会带来的业务风险，保障数据安全性的情况下拓展业务能力。