腾讯安全产业安全运营部程文杰：零信任安全护航电力安全生产

来源： 时间：2021-08-04 14:23

零信任安全为电力安全生产保驾护航

——访腾讯安全产业安全运营部总经理程文杰

中国电力新闻网记者 邓恢平

　　“随着‘云大物移智’等新技术在电力企业数字化转型中的深度应用，电力企业面临更加复杂的网络安全挑战。零信任安全将为解决电力网络安全问题提供重要抓手。”近日，腾讯安全产业安全运营部总经理程文杰就零信任安全在电力行业应用等问题接受《中国电力报》记者专访时表示。

　　中国电力报：请您介绍下零信任安全这一概念以及其提出的背景？

　　程文杰：传统的信息安全防护逻辑中假定所有能够接入内网的用户都是可信安全的，基于这种假设信息安全的防护重点在边界，这种防护逻辑称之为城堡加护城河的防御模式。然而，从绝大多数的真实安全事件来看，边界并非牢不可破，攻击者通常会采用钓鱼、社工等方式绕过边界向内网中防护意识薄弱的用户进行渗透，然后进行横向移动，逐步控制内部网络中的关键节点，最终达到攻击目的。

　　此外，随着云和SaaS的普及，现代企业的信息化应用部署模式也发生了显著的变化，企业的安全边界变得越来越模糊，这导致传统的城堡加护城河的防护模式越来越难以应对愈演愈烈的黑客渗透和攻击。

　　所以，零信任的概念应运而生，它是一种截然不同的安全理念。零信任假定网络中任何一个接入设备都可能已经被入侵，因此是默认不可信的。当用户通过这些设备对我们的重要应用系统和数据发起的每一次请求，都需要对访问用户的身份进行认证和授权，同时还要评估终端的安全性以及所在环境的安全性，通过层层防护，确保从人到设备、从应用到链路都是安全合规的，这样才能允许访问请求到达后端应用。同时通过对用户的访问行为进行持续的分析，及时发现异常行为并进行阻断。

　　简单理解，零信任安全是整合了身份安全、设备安全、应用安全和链路安全等要素，通过实时行为和环境评估，确保业务系统的访问安全性。整个零信任的核心思想是“持续认证，永不信任”。

　　2016年，腾讯开始启动自己的零信任产品开发，通过自研的iOA零信任系统，来解决员工从任何位置访问公司的业务、开发、运维等系统时的安全接入问题。在2020年疫情期间，腾讯在一个星期内实现了整个iOA系统的扩容，支撑了整个公司7万用户近10万终端的远程办公需求。

　　中国电力报：相比于传统安全理念，零信任安全有何优势？

　　程文杰：一是增强了对应用和数据访问的权限控制，通过对访问用户的身份、权限等进行确认，降低了无关人员和攻击者对目标应用系统的访问和扫描，降低了目标系统被访问和探测的可能性。

　　二是由于增强了对终端、用户和环境等因素的实时分析和评估，增强了终端自身在访问应用业务时的安全性，这样能够避免攻击者利用合法的客户端发起的针对目标系统的攻击行为，同时，也减少了攻击者利用存在漏洞的客户端在网络内部横向平移的可能性。

　　三是零信任强调对用户行为、终端状态和访问的实时监控和分析，通过实时监控和分析，能够及时发现终端、用户或环境中存在的异常行为，快速定位威胁，并通过自动化编排系统实现与第三方系统的联动，及时对高危的访问进行拦截并进行事后分析和调查。

　　中国电力报：在电力企业加快数字化转型背景下，零信任安全在电力的应用前景如何？

　　程文杰：每个行业都能找到和零信任安全结合的场景，部分企业已经在零信任办公安全的落地上迈出了第一步。例如：山东电力在内部尝试部署零信任访问的解决方案，以解决内部员工在访问这些业务系统时面临的安全问题。

　　目前，我们正在围绕电力的行业属性发掘更多的零信任应用场景，例如：采用基于身份的微分段技术对电力行业的工控环境实施更加有效的保护；利用机器学习和数据分析技术，更有效地分析和发现网络中存在的安全风险和异常行为；引入零信任接入对敏感资源的访问进行精细化控制；利用安全自动化及编排技术将电力行业的专有系统和目前流行的身份管理、安全运维中心等进行对接和整合，降低手工管理的成本和导致的错误等。

　　随着“云大物移智”等技术在电力企业数字化转型中的深度应用，电力企业面临更加复杂的网络安全挑战。基于以上现状，零信任安全战略将为解决电力网络安全问题提供重要抓手。在电力企业数字化转型的过程中，面对新技术的应用、新设备的采用、新场景的出现，我们可以用零信任安全的理念主动发现并遏制新技术、设备和场景可能带来的风险和漏洞，并加大黑客入侵的难度，基于零信任安全在主机安全、远程访问、身份安全、数据安全方面已有的积累，防患于未然，为电力行业的安全生产保驾护航。

责任编辑：刘卓　 投稿邮箱：网上投稿