导语

能源是现代经济活动的重要支撑，对推动社会发展起着不可或缺的重要作用。随着IOT、AI、大数据、云计算等新兴技术的广泛使用，能源行业也更加依赖数字化技术来管理和控制其基础设施。这使得能源企业成为了网络攻击的重要目标，攻击形式包括恶意软件、勒索软件、拒绝服务攻击和网络钓鱼等。这些攻击可能导致能源基础设施的瘫痪、数据泄露，甚至威胁国家安全。

通过零信任理念对能源企业的现有网络系统和安全防护能力进行升级优化，不仅可以实现细粒度的访问控制能力，同时也可以帮助组织更好治理复杂多样的数字化业务系统应用。

安全牛在近期开展的《现代企业零信任网络建设应用指南》报告研究过程中，对某大型能源企业零信任安全访问控制建设项目进行了调研分析，并从用户需求、方案设计、方案建设及运营等维度，对项目实际建设经验和特点进行了研究总结。

本案例正式收录于《现代企业零信任网络建设应用指南》，项目由深圳竹云科技股份有限公司建设实施，并提供案例研究支持。

案例背景

某能源行业头部集团企业，其集团信息化建设工作始终聚焦“智能制造”、“互联网+新业态”两大主线展开，并不断深化“两化融合”。

近年来，随着该集团业务全面推广上云、合作厂商人员及设备流动性增强以及远程办公迅速增长，导致其传统的物理安全边界逐渐模糊、内部资源暴露面快速扩大，这对传统边界安全防护理念和手段带来了多重挑战，亟需有更好的安全防护理念和解决思路。

在此背景下，集团决定在集团总部及下属企业采用零信任理念对原有网络系统进行升级改造，并对向零信任网络转型提出了以下建设目标：

（1）为集团及下属企业建立以统一身份管理（IAM）为基础，融合零信任“从不信任、始终验证”安全理念的持续信任评估和动态访问控制体系；

（2）面向能源行业信息化访问过程安全的应用场景，通过零信任安全防护体系核心组件与零信任体系安全防护生态系统结合，为全集团用户、基础设施和业务应用提供可信接入、持续认证、信任评估及动态访问控制能力。

解决方案设计

根据该用户对零信任网络建设的需求分析，结合其当前安全建设现状，竹云科技采用了以统一身份为基础的零信任访问安全解决方案，为集团/企业构建体系化的零信任安全访问控制系统，以满足其网络安全纵深防御、动态防护诉求，同时实现应用多场景认证、内外网安全访问、细粒度访问控制需求。

方案总体架构设计如下：

在本方案中，设计包括了零信任安全网关、可信接入终端Agent、零信任控制中心、统一身份与认证管理、密码基础设施五大组件类型。

1、零信任安全网关

零信任安全网关作为应用唯一访问入口，隐藏应用真实访问地址和端口，在可信验证通过后与可信接入终端建立微隧道或TLS 网络传输数据加密通道，并持续进行访问主体身份和目标资源的权限认证。在该项目中，依托已有云平台分别部署内网、外网访问安全网关集群，实现内、外网访问流量隔离防护。

2、可信接入终端Agent

在用户终端安装可信接入终端，由集团数字证书管理系统为可信接入终端签发身份证书。根据可信接入终端上报的信息，信任评估引擎可以建立“用户+终端设备+运行环境”可信访问模型。

3、零信任控制中心

零信任控制中心由安全策略决策引擎、信任评估引擎共同组成。其中，安全策略决策引擎提供SDP控制器和策略计算引擎的能力，对可信接入策略、认证策略、访问控制策略进行配置、管理、评估决策。支持基于访问主体、访问环境、访问客体、效力多维度灵活配置。信任评估引擎接入用户行为日志、设备管理数据、资产价值数据进行评估分析，建立用户、终端设备、网络初始信任值及应用资源授权访问所需信任等级；接入终端环境感知、网络态势感知、WAF 安全系统风险结果数据，分析影响信任等级的风险因子，动态评估信任等级变化，将评估结果推送至安全策略决策引擎，决策引擎进行策略命中计算并下发执行，形成数据驱动的动态访问控制体系。

4、统一身份与认证管理

统一身份与认证管理为零信任体系中核心的用户管理和认证中心， 支撑用户全生命周期管理、身份认证、单点登录和合规审计。通过标准化集成（支持 SAML、Oauth、jwt 等多种主流认证协议），实现用户面向各业务系统的统一身份访问，信息化系统集中管理、认证授权；用户认证方式支持多因素认证（短信、OTP、数字证书、二维码等），多种组合适应多场景认证；采集用户认证日志，为用户行为分析提供数据支撑。

5、密码基础设施

密码基础设施包括密码服务平台和数字证书系统。密码服务平台发挥密码算法的安全核心作用，持续保障零信任体系各组件在业务信息存 储、传递、访问等环节的完整性、保密性和可用性；数字证书系统对用户、可信接入终端和设备进行证书签发，唯一标识数字身份，保证用户、终端应用和设备的合法性，并提供证书核验模块，实现证书安全认证， 确保用户身份、应用、设备可信。

建设实施与运营

目前，该项目已经顺利完成前期试点（2022年7月完成）和应用推广（2023年5月完成）相关工作，总计接入业务应用系统80余个，其中有3个应用属于集团统建应用，涉及集团所有员工。项目中使用到零信任安全网关、可信接入终端（Agent）、零信任控制中心等四个主要产品部件，另外与企业原有的统一身份与认证管理、密码基础设施进行了整合，目前颁发Agent的授权数为5000个，项目后续的重点工作也包含推广Agent的使用范围。

在项目实施过程中，竹云科技充分利用该集团现有的安全基础和能力，与各安全系统的广泛集成，使建设的零信任安全能力真正融入到了企业的业务安全之中，包括：

1、与资产管理、桌面管理、补丁管理系统进行集成，收集设备信息和环境属性，为建立设备可信、环境可信提供了便利；

2、与防火墙、 WAF、态势感知等安全生态系统集成，充分利用各系统的日志、流量、情报收集分析，风险发现能力，将风险分析结果接入信任评估系统，提升信任评估的范围普适性、时效性、准确性。

在零信任网络实施完成后，后续仍需要大量的运营工作支撑，其中一个关键要求就是要与各业务系统应用中的安全性需求梳理对接，需要详细了解各应用系统的等保定级水平、安全内控要求和业务流程，才能够为应用定制更加贴合的可信认证策略和信任评估模型，最小化业务授权，酌情应用更多维度的 WAF 安全防护功能，并找到安全和用户体验的平衡点。

每个企业都有自己的管理模式，没有任何一套信任评估和策略体系可以完全复制使用，每一次失败的策略都会降低用户的耐心，实现真正意义好用的零信任要经过漫长的运营、优化过程。

案例特点分析

目前，该项目运行稳定，实际应用效果符合建设预期，并体现以下特点：

1、零集成

方案基于集团/企业统一身份管理系统扩展实现，集团范围内应用系统已与统一身份系统完成集成工作，支持配置化应用接入，网关集群与 应用系统网络可达，不影响现有应用系统的部署，无须做任何定制或升级，便于快速推广。

2、低网络改造成本

可信控制中心（控制器、策略引擎和信任评估引擎）与安全接入网关通信可达，支持云化部署，不影响现有网络结构，无需做额外改造，有效降低企业IT建设成本。

3、可灵活选择实施模式

支持有端（可信接入终端 Agent）与无端实施模式，有端模式防护能力更强，无端模式更易于推广，用户可根据安全防护需求、用户体验、建设成本选择更适合的实施模式。

4、以信任的持续评估驱动动态访问控制

通过信任等级的持续评估驱动决策引擎动态调整访问控制策略，实现针对业务访问的动态控制；信任评估涉及的风险计算因子支持风险规则自定义和组合关联评估，可接入多源数据实现风险规则模型和信任评估模型的灵活扩展。

5、实现了多场景认证

显著扩展了用户统一身份认证能力，支持针对同一应用的不同业务模块配置不同安全级别的认证方式，为普通业务提供便捷认证，为敏感业务提供安全认证，特殊操作提供补充认证。

6、用户体验良好

落地零信任体系后，在进行业务访问时，原有的访问体验基本不变，甚至有所简化，如外网访问内网应用不再通过 VPN 方式，可直接通过外网安全网关进行访问，在减少VPN 登录环节的同时，降低通过VPN 打穿内网的安全风险，提升用户体验和访问安全。

案例点评

在本案例项目中，方案架构设计遵循了控制面和数据面分离及先验证后连接的零信任安全理念，有扎实的身份、权限、设备综合管理能力，并向上扩展了数据安全、API安全能力，体现出细粒度安全访问管理理念的追求。在产品设计方面，方案提供商基于客户的行业特点挖掘了多种行业特性，能够贴合用户的实际业务需求，整体功能设计完善，同时也注重了在产品应用时的可用性。