分类： 资讯

随着移动化超级APP的广泛应用，很多企业将微应用/H5应用搬到超级APP里面，导致之前从内网访问的应用，变成了移动端可访问的小程序；这增加用户便捷性的同时，也给企业安全带来了安全隐患。

本期，虎符网络与大家分享其为某头部运营商办公超级APP所构建的零信任安全访问方案。方案通过在超级APP中集成零信任SDK，并结合零信任安全网关进行互联网暴露面收敛，确保只有可信用户和可信终端才能访问核心应用，实现在移动办公业务场景下构建可信身份网络。

超级APP带来的安全隐忧

超级APP指的是移动互联网中平台化的基础APP，除了提供APP自有的功能外，还可以利用其自身引擎来承载各类轻应用的运行，包括第三方的轻应用。

某头部运营商设计开发的SSB APP是一款用于内部员工移动办公的超级APP应用程序，除了提供远程办公接入服务外，还集成了很多第三方H5应用、IM消息服务、视频及语音服务等内部应用。该超级APP在互联网出口通过域名解析的方式对外提供服务，并基于不同应用域名路径将来自移动端的访问请求转发至对应的应用服务器上。本质上，这相当于将企业内网应用的服务端口直接暴露在互联网上，增大了攻击面。攻击者可以利用这些攻击面入侵承载内网应用的后端服务器，进而横向摆渡到整个企业内网，导致了极大的安全风险与隐患。

针对上述痛点，业主单位总结出以下核心安全诉求：➢ 解决超级APP上各类H5微应用在移动办公场景下的接入安全、应用安全问题，以保证业务的连续性和数据的安全性。➢ 赋予移动办公应用更全面的安全防护能力，减少来自外界的潜在攻击，形成紧密的安全访问闭环。

零信任SDK构建可信的虚拟身份网络

2023年年初，该运营商将虎符网络零信任方案引入到移动办公场景中，以保护内网核心应用的安全访问为目标来规划防护体系，通过在资源访问路径上建立访问控制点，收敛资源的攻击暴露面，降低安全风险，提升移动办公网络的整体安全水位。

虎符网络在该企业自建的超级APP中集成“虎盾零信任SDK”，结合零信任安全网关构建移动办公环境下的可信身份网络，将超级APP及第三方H5微应用全部收纳到运营商“虚拟身份内网”中，实现互联网暴露面收敛、终端和应用准入、灵活访问控制等安全目标。

在方案设计层面 ，通过在互联网边界部署零信任安全网关，收敛内网应用的互联网暴露面，同时保护超级APP应用自身及其挂载的内网H5服务。集成了虎盾零信任SDK的APP通过零信任网关实现了“先认证，后访问”的业务逻辑，只有通过授权的终端设备才可以通过零信任网关代理访问H5微应用，且整个访问过程都会被记录和审计。区别于传统方案，除了收敛应用后端服务暴露面外，也可以通过SPA单包敲门机制来收敛网关自身暴露面，做到端口隐藏，杜绝对网关设备端口扫描和暴力破解等攻击。

在方案落地过程中 ，简化了封装SDK接口类型，降低集成难度，采用了按需调用与关闭的业务逻辑，避免并发资源浪费同时也节省耗电量。

在用户体验方面，通过身份认证对接、用户认证信息同步和二次认证校验方式，超级APP集成的零信任SDK可以获取用户身份认证结果信息，并转发至零信任网关进行二次认证校验，实现了认证的自动化，认证全程终端用户几乎无感知。

更安全、更稳定、更高效的新体验

2023年年初，零信任SDK方案正式在运营商的生产网环境中投入使用，并已与业务部门主数据完成对接。目前总用户规模超万人，覆盖运营商的全体自有员工和外包员工。

当下，智能手机等移动终端设备正在将固定的办公模式转变为移动化、碎片化的办公模式，通过“零信任SDK+零信任安全网关”的模式将各类移动办公终端统一接入到整体零信任系统中，将零信任的覆盖范围由办公内网扩展至全网，可以在平衡安全性和用户体验的同时，有效解决移动办公所导致的多重安全问题。

7月12日，由中国信息通信研究院（信通院）、中国通信标准化协会算网融合产业及标准推进委员会（CCSA TC621）共同主办的“2023年算网融合产业发展峰会”在北京成功召开。本届峰会以“新技术 新设施 新生态”为主题，会议期间发布了多项领域的研究成果，解读算网融合领域的十大发展趋势，展示算网融合产业的优秀发展实践。

在峰会期间同期举办的“零信任产业发展论坛”上，由信通院、信通院算网融合推委会组织评选的《2022零信任优秀案例》成果正式发布。经信通院专家组的材料盲审、专家评审等多个环节的严格筛选，虎符网络承建的零信任项目凭借独创性、完备性、可实施推广性，成功入围《2022零信任优秀案例》，并荣获“零信任杰出实践奖”。

案例简介

从2022年开始，申通快递把零信任方案纳入到安全建设体系中，通过将内部业务应用收纳于零信任网关之后收敛攻击面，加强应用安全防护，针对Web应用进行敏感数据分析和治理；同时通过“零信任客户端+网关”的形式强化对终端用户身份和设备的管理，也便于后续建立全网统一的终端安全基线。

在申通快递与虎符网络的共同建设下，针对物流企业业务特点定制的一体化零信任安全方案已在集团办公网络中持续输出价值：企业的私有应用通过零信任网关全部收进到基于可信身份构建的“虚拟内网”中，收缩应用的互联网暴露面；对私有应用的访问方式从“先访问后验证”改变为“先验证后访问”，匿名流量无法进入到内网；端网融合的纵深防御体系让零信任网络中的每一个应用都获得安全赋能，让安全水位得到整体提升，同时也降低了IT运维成本。

物流企业一体化零信任安全方案在申通快递的成功落地实践并获得信通院认可，再次验证了虎符网络的零信任产品在远程办公、攻防实战、终端设备管控等场景中的安全价值和实力。方案具有广泛的适用性和可复制性，可以帮助从几百人到上万人不同规模的企业真正做到安全和业务的共生共长。

“

在多云化的数字时代，如何帮助企业打造应用访问的安全底盘，构建零信任“虚拟内网”，在体验提升的前提下，让所有内部私有应用的整体安全水位上升一个大台阶，一直是虎符网络思考和践行的命题。

近期，虎符网络将会与大家一起分享其为甲方客户构建的“虚拟内网”案例，这个“虚拟内网”不仅适合上万人的大企业，也适合几百人的中小企业，且具有很强的成长性，可以真正做到安全和业务的共生共长。

“

物流企业的安全风险与思考

支撑物流企业海量规模业务的是多套高度复杂的IT系统，涵盖终端准入、面单信息采集、信息传输、数据集中、支付系统打通、物流与仓储调配等数十个主要业务环节，使用这些业务系统的人员身份复杂且流动性大，地域分布广，且超大规模快递量，涉及到用户的敏感信息都是数以亿计。

结合物流行业的实际业务场景和监管要求，该企业总结出三方面典型安全风险。

▏护网期间核心应用被攻破

出于业务可用性和便利性考虑，我们需要将OA、CRM等私有应用暴露在互联网上供用户访问；由于暴露面扩大，护网期间就容易遭到攻击。任何一个有漏洞的私有应用都可能成为整个安全体系中的短板，红队可能此为跳板穿透到整个内网攻破核心应用，导致我们在护网中丢分。

▏  敏感信息泄露

物流行业是一个高度信息化的行业。随着网购和快递的飞速发展，用户的姓名地址等隐私泄露问题愈发凸显。我们亟需新技术对用户访问的内部敏感数据进行分类打标，追踪敏感数据流向情况，整合敏感数据流向记录，向企业管理者绘制个人隐私数据流向，并能够对各种数据泄露行为进行实时阻断。

▏  终端设备缺乏统一管理手段

物流企业的员工及业务相关第三方人员数量庞大，总部、省公司、转运中心、分支网点等总计超50万用户，日常近7万个Windows、MacOS等不同类型终端访问其内部业务系统。由于访问人员数量众多，办公地点分散，BYOD设备类型众多，终端安全已成为安全建设的薄弱环节。对访问终端和用户执行统一的可信认证，不但是保障安全的业务刚需，也是提升协同效率的必要手段。

端网融合构建“虚拟内网”

从2022年开始，分两期项目将虎符网络的零信任方案纳入到安全建设体系中，核心是解决以上三大典型安全风险。通过将内部业务应用收纳于零信任网关之后收敛攻击面，加强应用安全防护，针对Web应用进行敏感数据分析和治理；同时通过“零信任客户端+网关”的形式强化对终端用户身份和设备的管理，也便于后续建立全网统一的终端安全基线。

方案设计方面，零信任方案将传统的基于网络区域边界的安全防护模式，转变为基于可信身份的“先验证后访问”的防护模式，在整个虚拟内网中消除匿名流量；零信任网关将之前暴露在互联网上的应用进行隐藏，有效保护内网业务应用免受来自互联网或非法用户的恶意连接，真正做到攻击面收敛，安全可靠，护网无忧。

实施部署方面 ，系统整体采用管控分离部署架构，控制中心集中化部署于总部生产域中，安全网关集群分布式部署于多云环境及办公网等，实现多云多数据中心统一认证、统一策略和安全基线。

当总部、各省区及网点办公网用户访问受保护的资源时，在控制中心集群域进行统一认证鉴权，鉴权通过后由客户端（或浏览器）与对应的安全网关建立安全加密隧道，后续用户访问授权应用资源时数据流量走该加密隧道，当连接不同物流云业务域时不需要频繁切换网络反复认证，方便快捷；管控分离和集中认证鉴权的设计不仅为集团办公人员提供了随时随地的安全办公方式，还消除了物理逻辑边界的限制，既保障了用户的安全接入，又提升了用户体验。

Web应用的终端授权化，Web应用选择了域名方式接入。与传统方式不同，用户选择访问Web应用时必须安装客户端进行客户端认证，认证成功后才能访问Web应用。这种模式较好地增强了安全的管控能力。

从“你是谁”到“你在做什么”

项目实施完成后，企业的所有私有应用通过零信任网关全部收进到基于可信身份构建的“虚拟内网”中，收缩应用的互联网暴露面；对私有应用的访问方式从“先访问后验证”改变为“先验证后访问”，匿名流量无法进入到内网。可信身份网络有效地提升了企业的整体安全水位，个别应用的自身漏洞或缺陷不再是安全短板。

方案在用户对内网应用访问的各个阶段均设计了控制点，从“你是谁”、“你安全么”，到“你可以做什么”、“你在做什么”，端网融合的纵深防御体系让零信任网络中的每一个应用都获得安全赋能，从而安全水位得到整体提升。这是一种面向攻防的新一代安全防御体系，除了解决安全问题，同时也降低了IT运维成本。

​“ChatGPT是个好东西，在特定场景下是一种颠覆性的创新，但是它不是万能的，需要知道适用哪些场景。如何找到合适的场景去利用ChatGPT这样的新技术，这一点至关重要”，这是虎符网络创始人、CEO在近日举行的ChatGPT安全研讨会上，对ChatGPT技术发展和未来应用前景的预测。

本次研讨会由云安全联盟大中华区主办，虎符网络等企业共同协办，于5月30日通过线上会议形式成功召开。研讨会期间，云安全联盟大中华区正式发布报告《ChatGPT的安全影响》。该报告重点关注ChatGPT在网络安全领域的影响，强调其在提升生产力和改变软件开发实践上的潜力，同时也指出了区分其合法和非法使用的挑战。报告由CSA工作组专家编写，虎符网络安全专家参与中文版的翻译和审校工作。

报告指出，ChatGPT的火爆，将AI的安全与隐私又一次置于聚光灯下，高智慧AI如果产生对人类的不良意识更将是全新的巨大威胁。安全从业者想了解ChatGPT能否有助于自己的工作，企业的管理者想了解能否使用ChatGPT带来业务优势，并规避风险，甚至大众也有AI时代安全与隐私的顾虑和担忧。《ChatGPT的安全影响》能以专业的视角，清晰和准确的描述ChatGPT的安全影响，给读者信息、思考和启发。

研讨会期间，虎符网络创始人、CEO王伟受邀参加“ChatGPT及其安全影响”圆桌讨论，与多位业界专家共同探讨ChatGPT技术的未来发展趋势，带来精彩的分析与专业解读。

01 ChatGPT技术的优劣势

ChatGPT是一种生成式AI，在特定的领域具有颠覆性。ChatGPT中的“Chat”具有交互特性，这个特性决定了能做什么不能做什么，它的能力需要不断跟用户交互学习提升。ChatGPT擅长做海量数据的搜索，具备一定的加工、分析和推理能力，但是对于答案的正确性不高，容易“一本正经的胡说八道”。所以从应用来看，对答案准确性有较高要求的场景，ChatGPT技术显得力不从心。

02 ChatGPT在网络安全领域的应用

ChatGPT本身是一个人机交互场景，可利用其技术做运营辅助，预测网络攻击，提升运营效率。如果需要将ChatGPT技术运用到更深的领域中，需要利用深度学习模型，生成对话或者模拟用户行为，与恶意软件和攻击行为做互动，进一步诱捕攻击者行为，用于提升蜜罐工作效率或者优化防御体系，让ChatGPT技术应用的广度和深度都得到提升。这就好比战争中的“矛”与“盾”，一方面ChatGPT降低了攻击者的技术门槛，简化了攻击流程；另一方面安全从业者也可以利用ChatGPT的交互、智能等特性实现更深层次的对抗和防御。

03 ChatGPT带来的综合影响

首先，ChatGPT是一个很好的降本增效工具，企业要积极拥抱编程助手、写作助手等新技术，降低运营成本。其次，ChatGPT作为大语言模型技术提高了人机交互体验，从整个网络安全角度来讲，要考虑好场景应用，再引入这类新技术。例如，在安全托管运营场景下，可以利用ChatGPT技术对安全事件快速做出响应并且进行溯源和情报分析，这可以大幅提升运营效率和体验效果。

5月12日，由统信软件与龙芯中科联合主办的“2023通明湖论坛信息技术基础底座创新发展分论坛”在北京正式举办。中国科学院院士、政府领导、行业大咖、核心伙伴等“政产学研”各界人士汇聚一堂，旨在聚焦基础软件生态发展成果，传递最前沿的技术洞察。

虎符网络作为信创产业中网络安全能力提升的重要参与者，受邀出席本次峰会。峰会期间，UOS主动安全防护计划（UAPP）2023授牌仪式正式举行，虎符网络获得统信软件的授牌正式成为UAPP成员单位，将会与统信软件共筑数字新基建的安全底座。

近年来，在信息技术快速发展和市场需求持续放量的双轮驱动下，信息技术应用创新产业取得了长足发展。与此同时，随着信息技术体系、标准和生态的重构升级，以操作系统为代表的信息技术应用创新产品也面临着全新的安全挑战。

为更好地推动信息技术应用创新网络安全产业发展，保障网络安全，提升基础软件安全防护水平，统信软件与工业和信息化部网络安全技术与产业发展重点实验室，共同联合国内多家头部安全广商全面发起UOS主动安全防护计划（UAPP，UOS Active Protections Program)，打造具备世界顶级安全水平的操作系统，共建信息技术应用创新基础软件平台安全底座。

虎符网络紧跟国家大政方针，积极投身于信创产业建设，深入支持国产化体系。目前，公司的主流产品已与飞腾、海光、兆芯、鲲鹏等芯片平台下的多个国产操作系统完成兼容适配，零信任产品可以支持国产化替代，整体运行稳定，在功能、性能及兼容性方面表现良好。

未来，虎符网络将与统信软件及其他优秀安全合作伙伴一同聚力前行，基于UAPP计划为全面加强产业生态凝聚力，共建信创安全生态，共同构筑可信可控的数字安全屏障贡献企业力量。

4月28日，浙江省软件行业协会正式发布协会团体标准T/ZSIA0002-2023《攻击面收敛架构技术规范》，并于2023年5月1日起正式实施。该标准由虎符网络牵头起草，虎符网络的3位安全专家顾春辉、侯汉书、毛召锋参与团标撰写，并协调多家政府部门、行业协会及企业共同参编，是国内首个针对攻击面收敛架构技术规范的团标。

背景介绍

在云大物智移场景下，政企用户办公网络环境不再局限在固定空间，网络安全边界变得模糊，传统的物理边界防御方式面临重大挑战。政企业务上云趋势不可逆转，在互联网上开放服务成为政企的业务刚需，由此引发的攻击暴露面扩大问题日益严峻。为规范攻击面收敛架构相关的技术规范，在广泛征求浙江省软件行业协会成员意见后，经协会批准立项，由虎符网络牵头开展《攻击面收敛架构技术规范》团体标准的研究和编写工作。

编制过程

在浙江省软件行业协会指导下，按照协会标准化工作规程，虎符网络与各家参编单位组成标准研制工作组，共同开展标准研究起草工作。起草单位在攻击面收敛领域具有丰富的实践经验，研制工作组具有广泛代表性。

以虎符网络在攻击面收敛领域积累的实践经验与方法为基础，在广泛调研的情况下，经与标准研制工作组共同研讨和验证，标准于2023年4月28日通过了专家审查，并最终获得协会批准发布。

现实意义

T/ZSIA0002-2023《攻击面收敛架构技术规范》为企事业单位进行应用攻击面收敛产品或方案的设计、开发和实施提供了重要遵循，可作为选择攻击面收敛产品或方案的参考依据。本标准具有普适性和通用性，可以结合具体业务场景进行落地推广，形成移动办公场景下的一种低成本高效率的安全防护方案。

虎符网络此前参与制定多项网络安全相关的标准、白皮书及技术指南均已发布实施。下一步，虎符网络将继续充分发挥自身优势，持续发力政企网络安全能力的建设和提升，积极参与各项网络安全相关标准的制定工作，为加快网络安全行业规范、健康发展贡献力量。

近日，CSA正式发布了《企业数据安全风险管理指南》。该指南从企业数据运营者视角切入，结合数据安全风险影响分析，明确了数据安全风险管理必要性，阐述了数据安全风险管理各要素各环节内容，并分享了典型行业及场景下的数据安全风险管理实践。

指南构建了以数据为中心的风险管理框架，在充分分析各类数据处理活动场景所面临的数据安全风险的基础上，从数据安全风险赋值、数据安全风险管理工具、数据安全风险分析资料等三个方面给出了20套附录工具，为企业开展数据安全风险管理工作提供了详尽的实践方法和路径。

 企业数据的安全风险可根据其来源整体上分为两大类：

一是企业数据因越权访问、非法爬取、脱库、撞库、非法拷贝、拒绝服务攻击、中间人攻击、嵌入恶意代码、数据污染、数据过载、人员有意或无意操作、设备故障、自然灾害等等安全威胁，利用管理制度流程及安全保障能力的脆弱性，影响数据的保密性、完整性、可用性、可控性而造成的数据泄露、数据篡改、数据破坏、数据丢失、数据伪造、数据滥用等安全风险。

二是因企业数据处理活动违反法律、行政法规等有关规定，因违法违规开展收集数据、存储数据、使用数据、加工数据、传输数据、提供数据、公开数据、交易数据等处理活动，引起的违法违规风险。

此外，还有其他可能对国家安全、公共利益或组织、个人合法权益造成影响的数据安全风险。

企业数据安全风险管理框架

指南以数据识别和数据处理活动识别为基础，充分考虑各类数据所处的活动场景，制定企业数据安全风险管理框架，主要包括数据安全风险管理规划、数据处理活动管理、数据安全风险评估、数据安全风险处置、数据安全风险沟通与评审、数据安全风险监督改进六个环节，其中数据安全风险沟通与评审和数据安全风险监督改进贯穿数据安全风险管理流程始终。

虎符网络深度参与了此次指南的编制工作，为推进企业数据安全风险管理建设贡献了专业力量。在第六届云安全联盟大中华区大会期间，该项目凭借高质量原创成果，高效团队协作的优势得到评审组及行业的认可，荣获2022年度“优秀项目奖”。

作为数据安全领域的创新者，虎符网络积极投入数据安全产品的创新研究，深度参与了国家、行业、团体数据安全标准的制定，为政府、医疗、教育等行业规范、有效落实数据安全建设提供驱动力，持续为客户提供全面的数据安全综合能力。

未来，虎符网络将继续充分发挥自身优势，持续发力企业数据安全能力的建设和提升，积极参与各项数据安全白皮书、建设指南及标准的制定工作，助力数据的规范化使用和开放共享，推动数据安全行业规范、健康发展贡献力量。

在习近平总书记4.19网信工作座谈会重要讲话发表7周年、杭州亚运会即将召开之际，“之江网安论坛”系列技术沙龙-数字政务创新安全实践研讨会在杭州未来科技城圆满召开。会议由浙江省网络空间安全协会主办，未来数商联盟、杭州虎符网络有限公司、杭州孝道科技有限公司承办，浙江省大数据产业技术联盟、浙江省网络空间安全协会软件供应链安全专委会、余杭区数字经济协会联合协办，深入交流和探讨数字政务创新安全实践，针对数字政务行业的典型业务场景分享最新数据安全建设思路和落地实践。

会议重温了习总书记在网络安全和信息化工作座谈会上指出的“安全是发展的前提，发展是安全的保障，安全和发展要同步推进”的论述，同时结合浙江省网络和数据安全现状和安全技术发展趋势，聚焦数字政务创新安全实践，共商共研促提升、积极探索谋发展。

本次研讨会得到政府代表、高校学者、网络安全领域企业代表、资深专家的悉心指导和大力支持。杭州市余杭、拱墅、萧山区数管局，衢州、丽水等多地市大数据管理部门，浙大计算机学院、省教育厅技术中心、未来科技城管委会，以及来自企事业单位、高校、网络安全行业参会代表共60余人出席会议。

 协会常务副理事长宋皆荣为研讨会致辞，分享了浙江省数字经济高质量发展和创新提质的现状及面临挑战。他表示，在享受数字化改革、数字化发展带来便利和快捷的同时，要重视和正确面对网络安全、数据安全等系列问题。鼓励研讨会针对目前行业热点难点问题，通过交流和探讨，碰撞思想火花、交流解疑释惑，为数据安全治理、网络安全保障、经济社会发展助力，展现行业担当。

杭州市余杭区数管局副局长陈雄作为东道主，对参会领导嘉宾、行业专家和企业代表表示诚挚的欢迎，期待与会各位同仁在数据流通、开发环境、数据交易等领域的安全实践案例进行多方发言、深度探讨。

虎符网络CEO王伟作《数据授权运营场景下的新安全挑战》主旨演讲，就数据授权运营场景下的新安全挑战，他从政企数据共享、政府直接开放数据、数据开放给第三方等八方面挑战进行分析并分享了解决思路。

杭州市拱墅区数管局金江锋围绕“数据隔离访问应用实践”主题，分享了主要数字政务场景业务系统应用的复杂性和拱墅区数管局的创新实践以及下一步推进工作思路。浙江大学计算机学院研究员纪守领作为数据驱动安全、AI安全、大数据分析等领域的专家，结合时下热点ChatGPT，进行了安全可信、智趣结合的人工智能主旨演讲。孝道科技CTO徐锋以“针对数据政务环境下的软件供应链安全”为主题。从数据价值高、敏感度高、业务需求高的新业务场景出发，阐述如何做好安全管理，如何建立软件供应链安全的有效措施和科学方案。阿里巴巴集团大淘宝数据安全负责人王云翔结合企业生态数据安全实践，分享了对数据安全建设和落地的思考。

研讨会现场讨论热烈，各位网络安全同仁们汇聚一堂，围绕痛点难点、各抒己见，共议技术创新趋势，共谋数据安全产业发展。最后，协会常务副理事长宋皆荣作总结发言，研讨会圆满结束。

从烽火狼烟、飞鸽传书、驿站传信到有线电话、手机、微信、钉钉……信息时代下我们的生活已经发生了质的飞跃。信息时代最大的特征之一是海量数据的产生，21世纪的石油和金矿——数据，已成为数字经济和信息社会的核心资源，价值日益凸显。

公共数据的共享和开放，使数据的应用产生了大量价值，北京、上海、浙江等地陆续确立了公共数据授权运营 基本原则，即“原始数据不出域、数据可用不可见 ”，这对数据流转过程中的安全性与可控性提出了更高的要求。

图片来自网络
数据安全管理的痛点难点 

数管局主要负责统筹政务数据资源的采集、分类、管理、分析和应用工作，使用的业务系统应用场景比较复杂，涉及研发人员对代码数据的访问，第三方、外包人员对内部数据的使用，以及内部运维人员对数据资源的访问等，数据访问人员多且分配权限复杂，导致政务办公业务系统风险暴露面扩大，数据被窃取或滥用的概率增加。

多方数据使用，就意味着数据访问的方式多样化，比如远程访问、驻场访问、跨部门访问等，传统的VPN+堡垒机方式，无法对多样性数据使用全过程进行监管，尤其是数据的下载、打印、复制等流转环节，无法控制权限和追溯行为。

数管局内部的数据资源除了传统数据库，还有大量的云资源服务器、公共数据平台、人员信息文档等，数据使用接入环节复杂，访问不同业务系统还可能需要采取不同的接入和验证方式，除了带来用户体验问题 外，也增大了数据安全管控的难度。

这种情况下，数管局作为数据资源的主管单位，如何有效对数据进行安全监管，防范数据使用过程中的风险，是必须解决的一道难题。

传统的数据安全方案内在基因是“防”，但数据的特性决定单纯的“防”无法解决当前的问题。“我们的核心诉求，是在满足内外部人员远程办公良好使用体验的同时，实现数据资源的安全访问和高效管控。必须要在保证数据高效流转的前提下，进一步增强数据安全管理能力和网络攻击防御能力”。

某数据资源管理局的安全负责人，对当前的业务需求做出如上总结，并提出以下几点具体要求：一是，对不同身份进行权限管理。明确每个用户的数据资源访问权限，无权限不可访问，同时也不可越权访问。二是，为每个用户数据使用进行隔离。用户不能直接接触目标资源，不能获得资源的实际地址、登录账号等各种具体信息。数据的使用与转发均通过数据安全盘进行，用户下载数据需审批，数据无需落地就可以安全使用。三是，多维度监测数据使用行为。主要体现在用户的访问全过程，完整记录用户究竟有哪些操作存在风险和安全隐患，且可视化还原上述操作以便有针对性地实施追踪与审计。

 构筑数据安全堡垒 

2022年，该数管局引入了虎符网络的基于云数据沙箱的数据不落地安全方案。该方案成功借鉴疫情防控工作做法，围绕区内一体化平台、三级数据仓等核心数据资产，建设数据安全隔离访问系统，通过数据沙箱技术构建数据安全隔离域，同时具备多维度记录、预警用户操作行为的功能，实现“数据可见不可落地”的安全目标。

项目竣工后，该数管局实现以下典型安全效果：

01 网络准入阶段

数据开发运维访问权限严格控制，OA等内网应用通过网络隐身方式收敛了业务暴露面，有效避免互联网扫描、黑客攻击等风险，对0day攻击免疫。

02 应用登录阶段

通过统一身份认证打通多个应用，用户一次登录即可自动找到匹配的子账户，并一键免登访问其他应用，所有数据资源访问统一认证。统一后的扫码登录方式还可以规避弱口令顽疾，提升员工工作效率和使用体验。

03 数据访问阶段

数据开发运维访问隔离在沙箱环境，沙箱使用过程可由管理员进行监管，审计日志全记录。数据的查询、分析、处理、下载等全流程不落地，数据可用不可下载，有效防止了数据泄露的发生。

 后记 

在智慧城市、数字政府建设实践中，政务系统一旦遭受黑客的攻击，可能会带来重要数据被窃取、仿冒和篡改的风险，造成重大损失。在我国数字产业发展全面驶入快车道的关键历史时期，守护政务系统的数据安全显得尤为重要。

基于云数据沙箱的数据不落地安全方案，已经成功应用在多地市大数据局及区县数管局，运行稳定，数据安全管控治理效果明显。方案具有示范性、先进性和创新型，可以有效助力电子政务行业客户做好数据泄露防范工作，筑牢数字政府安全底座，以数字安全保障企事业单位高质量发展。

3月16日，浙江省网络空间安全协会第一届第五次会员大会（暨一届五次理事会）暨2023之江网安论坛在杭州之江饭店成功举办。浙江省委网信办副主任马晓军、协会理事长陈纯院士、浙江省密码局商密办主任邵辉等领导出席，近160家会员单位代表、上百位特邀专家、嘉宾莅临现场。

活动现场揭晓了2022年度协会网络安全行业优秀案例优胜名单，同时2022年度协会网络安全行业发展成果评选技术创新成就奖、跨越成长新锐奖、服务保障贡献奖三大奖项进行颁布。虎符网络“电子政务行业云数据沙箱安全建设实践”案例入选“2022年浙江省网络安全行业优秀案例”，公司荣获“网络安全跨越发展优秀奖”。

浙江省委网信办副主任马晓军（左一）、中国工程院院士陈纯（右一)为虎符网络等获奖单位颁奖

浙江省密码局商密办主任绍辉（左一）、协会常务副理事长宋皆荣（右一）为虎符网络等获奖单位颁奖

2022年浙江省网络安全优秀案例

“2022年浙江省网络安全优秀案例”是浙江省网络空间安全协会为深入实施“网络强国、数字中国”国家战略而启动的评选活动，旨在促进全省网络安全行业新技术新产品新方案创新，助推数字化改革向纵深发展，助力打造网络强国重要窗口。

虎符网络获奖的“电子政务行业云数据沙箱安全建设实践”案例，成功借鉴疫情防控工作做法，围绕电子政务行业的核心数据资产，建设数据安全隔离访问系统，通过数据沙箱技术构建数据安全隔离域，形成区域性系统建设运维管理规范；原有VPN、堡垒机等数据资源访问通道全部关闭，真正实现了”数据可见不可落地”的安全目标。目前该案例已成功应用在多地市的大数据局及区县数管局，运行稳定，数据安全管控治理效果明显。

活动现场揭晓了2022年度协会网络安全行业优秀案例优胜名单，同时2022年度协会网络安全行业发展成果评选技术创新成就奖、跨越成长新锐奖、服务保障贡献奖三大奖项进行颁布。虎符网络“电子政务行业云数据沙箱安全建设实践”案例入选“2022年浙江省网络安全行业优秀案例”，公司荣获“网络安全跨越发展优秀奖”。

网络安全跨越发展优秀奖

“网络安全跨越发展优秀奖”的评选，旨在展示能够在三年疫情严重影响的情况下克服时艰，积极推动企业稳步发展、强化技术创新升级、取得卓越成果的高成长性企业。虎符网络创业的三年，经历了从新冠疫情爆发到全面取得抗疫胜利的全过程。在行业整体增速放缓的大环境下，虎符网络克服重重阻力保持高速成长，产品布局不断丰富，获得政府、运营商、物流、教育等行业越来越多头部客户的认可；创新成果相继获得中国网络安全产业联盟、浙江省网络空间安全协会、云安全联盟大中华区（CSA-GCR）等多个行业协会认可。在此次网络安全行业发展成果评选中，虎符网络再次脱颖而出，成功获选“2022年度网络安全跨越发展优秀奖”。