烟草行业全网零信任实践案例

案例背景

某烟草总公司作为省级烟草专营主体,承载着卷烟销售、物流配送及供应链管理等核心业务,日均需支撑全省市单位员工及第三方协作人员的业务访问。随着业务系统云化迁移和移动办公需求激增,传统边界防护模式面临严峻挑战:

  • 互联网暴露面风险 OA、物流调度、供应链管理等核心系统需通过互联网开放访问,护网期间多次面临攻击渗透风险。
  • 内网横向风险 省级烟草内网包含省市单位近万台个人电脑设备,极易因某台设备中病毒导致内网横向移动,风险进一步扩大。
  • 数据安全威胁涉烟敏感数据(如商户信息、销售数据)存在泄露隐患,需满足《烟草行业网络安全管理办法》的合规要求。
  • 终端管理盲区分散的办公终端(含移动设备)缺乏统一安全基线,易成为攻击入口。

覆盖场景

作为省级烟草专卖机构,围绕烟草信息化建设投入数百个内部业务系统,日常有超过万名用户,近万个不同类型终端访问内网进行日常办公以及以及近百运维人员,其信息交互、网络环境、终端设备等复杂性对网络安全能力提出巨大挑战。因此建设围绕烟草现网用户面向办公、开发测试、运维等场景的业务系统安全接入与防护,访问数据的安全隔离与防护,实现业务系统的安全防护 。覆盖如下三大场景:

  • 全网办公场景

通过零信任网关构建虚拟身份安全边界,实现内网和外网等全网用户通过零信任网关安全访问OA、ERP等内部业务系统,收敛业务暴露面。

  • 数据开发运维场景

面向第三方外协人员如外包团队,将通过零信任授信终端远程接入开发测试环境,并通过统一数据访问网关进行开发与运维操作,实现代码与数据隔离。

  • 云上应用访问场景​

针对部署在阿里云/华为云上的业务系统(如企业微信H5应用)纳入零信任安全防护,收敛业务的互联网暴露面,降低被攻击的安全风险。

技术方案

结合烟草行业信息化建设现状,采用零信任系统整体架构参考SDP(软件定义边界)标准架构设计,由零信任客户端、零信任控制中心、零信任应用访问网关以及零信任数据访问网关组成。

图1 零信任系统整体架构

在用户对烟草内应用访问的前、中、后三个阶段均设计了控制点,构建覆盖业务和数据访问全生命周期的安全防护体系。

  • 访问前——统一设备准入身份认证,解决设备和用户可信问题

对接企业微信进行扫码认证,并集成OTP认证系统提升已有的认证体系安全性,解决合法用户使用弱口令登录到业务系统可能导致的安全隐患。通过在零信任网关上的统一身份认证打通多个应用,用户一次登录即可一键免登录访问其他应用;自动获取用户身份安全状态进行访问授权,让授权用户安全无感接入,且可无缝切换内外网,随时随地访问内部应用和数据。

  • 访问中——细粒度访问控制和攻击面收敛

零信任控制中心基于用户访问环境变化(终端设备,地理信息,访问时间等)动态升级认证方式;对内部应用和数据的访问持续验证、动态控制访问权限,接入用户只能基于最小化权限原则进行访问;采用反向代理模式对内部应用和数据访问流量进行收口,隐藏内部业务系统,收缩资产暴露面,整个网络去除匿名流量,有效缓解各种网络扫描探测、漏洞攻击等网络攻击风险。

  • 访问后——数据安全治理可视化

为烟草内部应用创建可信身份网络,所有进出流量都会打上身份标签,每次访问都能有效追溯,提供固化访问证据。管理员可实时全面了解内业务应用数据的使用、操作情况,建立数据安全的宏观视角,全面掌握应用数据流动状况。出现安全事件后,可以通过身份标签对异常数据访问执行溯源和证据固定。

最终达到对于企业来说无比重要的两个战略目标

  • 1:所有企业应用的访问都是统一网关并且有身份(账号、设备等身份),应用访问控制点
  • 2:所有企业数据的访问都通过统一网关做统一隔离访问管控数据访问控制点

使用情况

采用主备的控制中心,分布式的网关部署模式,覆盖泛微OA、企业微信、专卖系统、财务一体化平台等上百个重要应用,其中WEB应用接入近10万+用户,隧道应用接入超过5000+用户。覆盖终端类型有Windows、信创系统(统信、麒麟)等超6000+台终端设备,已支持30个局点进行分权分域管理。用户企业微信扫码快速登录,日均业务访问量超数十万次,已经初步实现内网和外网一体化无边界办公使用体验。

客户价值

全网零信任的建设,给烟草总公司带来的应用管理和数据管理上新的变化。

  • 1:构建统一的应用访问网关:将互联网暴露面全面收敛,定制应用发布标准,使得所有应用的发布都接入到该平台,杜绝影子资产,应用安全治理得到保障。
  • 3:企微扫码轻松登录:对于用户来说只需要企业微信扫码,无需账号密码就可以访问相关的应用和数据资源,大大方便了用户等使用。
  • 4:实现分权分域式管理:所有应用访问统一了入口,对于用户和应用的管理由子管理员管理,实现在集中管理的同时又能够自治管理。
  • 2:构建统一的数据访问网关:通过构建一个数据加工安全空间,使得数据开发和数据运维都需要通过该数据加工安全空间(数据访问网关)进行数据访问,数据资源通道有了全面管控能力。
  • 5:安全管理能力得到大幅度提升: 离职人员权限自动失效;临时应用可临时生效;临时工账号可设置临时时间;权限可自助申请等。
  • 6:安全对抗能力得到极大增强:一键开启重保模式,对非可信的设备直接说NO;重要应用开启OTP验证;对弱密码登录说NO等等。

结束语

我们以访问安全为出发点构建安全底盘,包括攻防安全、业务安全和数据安全。将各类应用访问和数据访问接入到零信任网络中,每一个应用都将获得安全赋能,总体安全水位不会再由于个别应用的安全水位降低而降低。

相对于传统的安全防御方案,这是一种面向攻防面向未来的新一代安全防御体系,解决安全问题同时也会大大提高了IT运维效率。