1、浅谈零信任在传统企业的意义浅谈零信任在传统企业的意义肖寒肖寒我遇到过的问题，相信您也遇到过制造企业建设“零信任”的第一步，应该怎么走01浅谈什么是零信任网络020304制造企业信息安全现状说明目录content再看“零信任”架构05目录content01浅谈什么是“零信任”网络01.1-浅谈什么是【传统网络安全架构】互联网区隔离区可信区特权区1.1.传统网络安全架构的浅谈：传统网络安全架构的浅谈：1.1.典型的边界信任模型架构图，认为1）Internet为不可信任的区域；2）DMZ区域是类似防火墙的区域；3）Trusted与Privileged为信任区域。（可信设备）真的是这样么？真的是这样么

2、？1.2.风险：【FW】是边界信任的核心！如果威胁超出防火墙防护范围？如果攻击者绕过了防火墙？如果无法识别可信设备对其他可信设备的访问防御？01.2-浅谈什么是【零信任架构】2.2.“零信任”架构的浅谈：“零信任”架构的浅谈：2.1.支持“零信任”模型能正常运行的核心是一个被称为Control Plane/控制平面的组件。即，所有访问敏感信息的请求都应该先经过控制平台，由控制平台对访问进行评估，决定此次访问需要提供什么等级的认证信息，再校验访问所携带的认证信息是否达到标准，从而实现认证，当认证成功后，再对访问进行授权，若认证失败，则拒绝访问。（我首先想到的SSL VPN、堡垒机）注：“零信任”

3、模型是一种“信任细化”的设计，即“摒弃”了边界信任模型“过度信任”的一刀切做法，采用对信任在访问维度，设备维度和时间维度的细化处理，再加上认证和授权体系的动态化，使得权限授权也是被细化处理的。在企业现有环境中，可以直接应用么？在企业现有环境中，可以直接应用么？目录content02制造企业信息安全现状说明02-制造企业信息安全现状说明特点：1）系统多2）模块多3）角色多4）账号多5）行为多CRM客户关系管理PLM产品生命周期管理SRM供应商关系管理ERP企业资源计划SCM供应链管理WMS仓储管理系统OMS订单管理系统风险：1）如何进行认证管理？【分开还是统一】（如何落地双因素认证）2）如何确认

4、可信设备、可信边界、可信链路【有的对外，有的对内】3）如何有效的进行信息安全策略的落地、安全事件快速响应和有成效日常运维风险管控？MES制造企业生产过程执行管理系统02-制造企业信息安全现状说明建立企业可度量、可持续改进信息安全体系。整个体系以信息资产为核心，以管理体系为基础，以运维体系为纽带，带动技术体系发展，通过对管理、运维和技术三个方面的统一管理，以达到满足企业信息安全的方针目标。信息安全体系信息安全体系 信息资产信息资产网络网络应用应用物理环境物理环境安全管理体系安全管理体系安全运维体系安全运维体系安全技术体系安全技术体系安全管理机构安全管理机构安全管理制度安全管理制度安全教育培训和体

5、系宣贯安全教育培训和体系宣贯安全审核安全审核安全响应恢复安全响应恢复运行管理运行管理安全监控安全监控运维流程运维流程(ITILITIL)持续改进持续改进应急响应应急响应分域保护框架分域保护框架安全通讯网络安全通讯网络安全计算环境安全计算环境安全区域边界安全区域边界安全管理中心安全管理中心数据安全数据安全领导层-决策工作层-管理执行层-执行安全方针安全制度安全规范直属公司考核事业部考核职能部门考核安全事件管理安全通告安全意识培训/宣贯安全管理培训/宣贯安全技术培训/宣贯应急管理平台主机监控应急响应规范应急预案规划机房环境管理恶意代码防范评估加固评定修订技术管理安全设备监控数据库监控应用及业务监控

6、网络安全管理系统安全管理业务连续性管理安全审计管理信息安全事故管理备份与恢复数据库管理和优化日志收集与分析管理系统获取、开发与维护资产、设备和介质管理发布管理配置管理问题管理办公区业务系统区互联网接入区数据中心区核心交换区安全管理区网络资源管理网络入侵检测恶意代码防范网站完整性保护数据生命周期安全数据防泄漏数据归档拓扑管理风险管理监控管理资产管理系统管理安全事件管理脆弱性发现与管理安全知识库边界入侵防范边界访问控制边界恶意代码边界攻击防御边界协议限制及协议异常检测边界VPN隧道冗余用户鉴别系统安全审计终端安全管理资源访问控制边界反垃圾邮件主机主机数据数据数据加密备份与恢复规划和建立实施和运行监

7、视和评审保持和改进ISMSISMS符合性符合性法律法规行业监管信息资产管理信息资产管理信息分类分级信息使用规范事件管理变更管理服务级别管理服务台问题管理能力管理可用性管理 IT财务管理问题：矛盾么？03-我遇到过的问题，相信您也遇到过1）从0开始的痛点；03-我遇到过的问题，相信您也遇到过2）建立纵向防护体系的痛点（产品上线+告警处理+运维管理）03-我遇到过的问题，相信您也遇到过3）建立主动性防御体系的痛点（日志分析中的【分裂与整合】）03-我遇到过的问题，相信您也遇到过4）建立安全业务融合体系的痛点（业务中台+数据中台）目录content04制造企业建设“零信任”的第一步，应该怎么走抛砖引

8、玉1）初级防护&基础防范“零信任”A、建立用户可信；【用户识别】B、建立设备可信；【设备识别】04-制造企业建设“零信任”的第一步，应该怎么走2）体系化控制“零信任”C、建立流量可信；【流量识别】统一身份认证管理系统、零信任网络访问网关（统一身份认证管理系统、零信任网络访问网关（SDPSDP）、）、可信终端识别系统、可信资产管理系统，等可信终端识别系统、可信资产管理系统，等注：识别注：识别+分析阶段分析阶段可信可信FWFW、可信、可信WAFWAF、SDNSDN、零信任终端工作站、可信堡垒、零信任终端工作站、可信堡垒机、流量可视化，等机、流量可视化，等注：识别注：识别+分析分析+控制阶段控制阶段3）主动防御“零信任”D、建立应用可信；【应用识别】4）安全业务融合防御“零信任”F、建立零信任网络。“一切规零”可信浏览器、可信云平台、零信任数据库、可信容器、可信浏览器、可信云平台、零信任数据库、可信容器、自适应安全、自适应安全、SDSSDS、行为可视化，等、行为可视化，等注：识别注：识别+主动防御阶段主动防御阶段数据中台数据中台+可信中台可信中台注：可信生命周期管理阶段注：可信生命周期管理阶段05-再看“零信任”架构不矛盾！不矛盾！只是信息安全防御到了一定阶段的只是信息安全防御到了一定阶段的必然解决方案而已！必然解决方案而已！