夯实基座,重构一体化信任体系——启明星辰集团内网身份认证体系全面切换中国移动超级SIM卡

发布时间 2023-03-28

新基座


2023年3月27日,启明星辰集团北京总部的员工刚一到岗,打开内网系统,马上就看到了新的登录提示。


PC端和手机端通过超级SIM卡号登录


上图场景代表集团内部业务系统(简称内网)已全面切换了新的身份认证系统——中国移动超级SIM卡号及认证体系。简言之,集团所有员工都采用中国移动超级SIM卡作为身份标识和认证工具。


中国移动超级SIM卡是普及度高、成本低、可便捷加载各类应用、具有金融安全等级的IT智能卡,集“U盾、办公令牌、一卡通”于一身的安全号卡。与普通SIM卡相比,超级SIM卡安全等级更高,具备登录办公系统快捷认证的功能。


时间回溯到一周前,整个集团发文组织北京总部及分支机构全员更换中国移动超级SIM卡。而公司所有内部业务系统也开始有序地切换到依托超级SIM卡的访问控制机制。


 一周时间集团超额完成了超级SIM卡换卡工作


经过一周的切换准备,在周末的紧锣密鼓工作下,周一新信任体系开始运转,这时旧系统也依然可用,现在进入到重构集团内网一体化信任体系的交割过渡期。


必要吗?可行吗?


像所有中大型机构一样,启明星辰集团内部业务系统越来越多,而不同时期、不同渠道、不同风格的内网系统,其身份认证和访问控制也不可避免地出现多样化。这给业务方便性及安全性都带来了不小的影响。同时,安全访问控制产品存在孤岛效应,缺乏统一联动的身份信任体系,在信息系统网络化更加开放复杂的接入场景下,导致风险暴露面持续增加。因此,一体化信任体系的重构,势在必行。


那么,采用中国移动超级SIM卡,有什么好处?归根结底,主要有以下三点:


1、高安全性,强功能性。我们现在的日常生活中,手机已经成了必不可少的随身物品,手机采用了超级SIM卡后,除了具备普通SIM的通信功能外,还拥有加密芯片这一金融安全等级的独特优势。超级SIM卡有硬件芯片作为安全载体,具备高安全(EAL4+)能力,同时可以支持数字证书、国密算法加密。另外,手机独有的机卡通道和传统的短信认证及App认证相比也更加安全。


2、便捷性,低成本。中国移动的基础设施体系完善,在普及性、便捷性的基础上,可以方便升级换卡。同时,中国移动已经提供了“证书分发”为代表的全程管理,而手机是最容易的载体,业务接入的方式可以由企业根据自身业务特点,个性化选择效率更高、更安全的登录方式。通过手机的便携性,比U盾等其他方式更便捷易实施。


3、可靠的基础设施服务和可扩展性。随着未来TO C端的日常应用以及TO B端的云应用越来越多,外部生态链的人员越来越多。超级SIM卡体系设计已经具备了可扩展的架构能力,可以很容易地形成创新应用生态。


综上所述,在中国移动的强大服务保障体系下,进行基于超级SIM卡号身份的内网一体化信任体系重构行之有效,综合成本合算。


重构的进展


为全面提升网络安全能力和效果,尤其是内网及核心业务的安全管控能力,启明星辰集团结合自身情况,从“端、网、应用、数据”四大方面进行升级改造。


“端”——集团全员在一周内,超额完成中移动超级SIM号卡的更换;


“网”——集团内网全面部署适配超级SIM卡的安全认证中心、内网威胁流量分析系统、内网安全审计系统;


“应用”——在集团内部应用前部署了超级SIM应用防护网关;


“数据”——部署安全运营系统与网络UEBA系统,收集、汇总相关安全数据后,由安全运营团队对威胁和异常数据进行多级分析与研判,并对安全问题进行闭环处理。


启明星辰集团内网安全升级方案


完成全部升级改造后,启明星辰集团内部安全状态将呈现全新的面貌。对于互联网用户、内网用户、分支机构用户,访问业务应用及高敏感服务(如代码服务、财务系统等)均需要通过绑定身份的超级SIM号卡进行认证才可以正常使用,且一切操作行为均被应用网关记录以备审计。


对于集团远程办公和移动办公业务同样替换为SIM卡认证,实现了对操作行为的全面监控。通过配置应用网关权限,集团可实现对个人访问范围及访问行为的全面管理与监控;配合内网安全运营团队,可实现对高敏感业务安全态势的实时展现,对违规行为、异常行为的常态化监控,对特殊数据的体系化保护。


重构的未来


在此次实践过程中,启明星辰集团利用超级SIM卡、应用网关实现了内网访问行为的身份绑定、高敏感应用的鉴权保护及行为数据的全方位审计与分析,并结合安全运营实现了对内网安全风险的全面呈现与管控。


在方案实施中,启明星辰集团在极少改动现网业务的情况下,通过采用中国移动超级SIM卡与身份基础设施,快速、便捷地解决了传统身份认证与权限鉴定的安全问题,实现了对业务系统整体访问控制及用户行为监管的诉求,大大提升了安全访问体验,配合安全运营团队对具体问题的闭环管理,共同构建了一套行之有效的内网安全运营体系,整体提升了集团具体网络安全防护等级。


随着数字化转型不断加速,新兴技术与创新业务不断打破企业原有安全边界,为企业信息安全带来前所未有的挑战。业务上云后各种数据的集中部署打破了数据的边界,同时放大了静态授权的管控风险,数据滥用风险变大。不同密级数据融合导致权限复杂与污染,提升了整体安全等级,打破了安全和业务体验的平衡。  


零信任是一种业内达成共识的安全模型,是应对上述挑战的重要方法,其基于访问主体身份、网络环境、终端状态等尽可能多的信任要素对所有用户进行持续验证和动态授权。启明星辰集团本次内网一体化信任体系的构建是零信任技术思想的落地,也将延伸至云环境及更广泛的供应链安全。


框架和境界


超级SIM卡是中国移动元信任安全框架思想的落地能力与产品服务。它是面向云网一体安全防护的理论体系,以信任为核心,对企业网络内外的任何人、设备和系统,基于身份认证、设备认证因势授权,重新构建企业访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信,保护企业的核心资产和数据的安全。


中国移动副总经理李慧镝在2021年世界互联网大会上提出了在“护好网络”方面,立足运营商的“网络+安全”的优势,结合网络安全演变、技术特点与发展规律,以及移动在“云网端安”关键信息基础设施安全防护方案的探索,总结形成了“不被控”“不可达”“不可知”的网络安全“三重境界”,推动网络安全从“单点可控”迈向“全程可信”。


启明星辰集团在内网改造上的实践,是对中国移动网络安全“三重境界”及“元信任安全”理论与框架的落地,构建了以身份实名信任为核心,以网络、业务与数据防护为目标,集内网安全运营与动态可信边界为一体的零信任技术落地实践。


通过围绕超级SIM卡安全芯片、安全的号卡认证及统一身份管理这一信任根基的建设,实现了身份可信、过程可溯的能力,为TO B领域企业内外网办公、内外部用户访问及多场景共存的综合协同网络安全防护体系提供了落地案例,更好地解决了传统防护手段单点、无法联动、内网疏漏、运营缺乏、安全可见性低等问题。


基座重启


当今世界正面临“百年未有之大变局”,网络空间已成为继陆、海、空、天之后的“第五空间”。在全球网络安全威胁持续加剧,网络攻防对抗强度不断升级的新形势下,启明星辰集团基于长期的数字化及网络安全建设,已基本形成自身网络内的信息业务体系及安全防护管理体系,但在黑客攻击手段不断更新的情况下,现有防护监管体系已经不能完成满足需要。内网高敏感应用、VPN等业务存在被仿冒登录、数据窃取的风险,同时也存在一定的内部监督审计缺失的情况。


因此,启明星辰集团制定了基于中国移动超级SIM卡的身份认证体系全面升级切换计划,覆盖多场景下远程接入、移动办公、分支办公等内部网络安全监管、安全运营及纵深防控体系,拉开了一体化信任体系建设的序幕。