随着互联网的持续发展，便捷的共享方式极大地提高了企业的生产力和工作效率，但随之也给企业内网带来了极大的安全隐患。企业内网承载大量的核心资产和机密数据，一旦受到攻击可能会造成大量损失，因此，如何通过零信任内网安全解决方案保障企业数据安全，加强企业信息化建设，是提高企业信息安全管理水平的关键。

一、企业内网安全面临的问题与挑战

数字经济时代，数字应用是推动经济社会发展的必要生产要素，其重要性日益凸显。面对新基建的历史机遇，随着5G网络、人工智能、工业互联网等产业的成熟，移动互联网、物联网、工业互联网、车联网等新型应用场景的持续推广也随之带来了许多安全问题，企业内网安全面临以下挑战：

1、针对企业网络边界的猛烈攻击

攻击者大量利用弱口令、口令爆破等惯用伎俩，在登录过程中突破企业边界、在传输过程中截获或伪造登录凭证。大型组织甚至国家发起的APT高级攻击，还可以绕过或攻破企业网络防护边界在企业内部进行横向访问。  

2、企业资源暴露程度大幅度增加

在非授权访问、员工无意犯错等情况下，“合法用户”非法访问特定的业务和数据资源后，造成企业内部数据泄漏，甚至可能发生内部员工“获取”管理员权限，导致更大范围、更高级别的企业信息安全灾难性事故。

3、传统安全防御体系已经无法适应安全管控需求

传统的安全架构以“纵深防御+边界防御”为主，企业在成长过程中，安全边界逐步被打破，并彻底走向模糊化，基于边界的安全防护体系逐渐失效，已经难以适应企业快速成长，难以应对业务的快速变化。

二、企业内网安全场景分析

企业内部业务一方面实现了多部门、多平台、多业务的数据融合；另一方面业务访问方面打破了业务之间、部门之间的网络边界，实现互通互访。其主要的零信任业务场景包括：

1、企业分支机构实现内网访问

通常企业有一个总部和一个或多个位置分散的分支机构，这些机构没有由企业自有的物理网络连接，员工可通过内网访问企业内部应用，其应用系统会暴露于各种安全威胁下，易受到各种形式的攻击，包括暴力破解、DDoS、XSS和任何TLS漏洞。

2、企业内部员工出差实现内网访问

员工在出差过程中，经常通过不同的环境或设备远程访问企业内网进行公文处理、邮件收发或资料上传下载，因不安全的环境和设备非常容易导致恶意软件通过内网进行传播，带来巨大的安全风险。

3、企业运维人员通过远程实现内网访问

企业内部运维人员在非工作时间，为快速支持和解决业务的应急问题，需要通过远程访问后台服务器的端口和访问权限进行管理，而粗放式的端口授权和访问机制，导致攻击者可快速扫描其服务器漏洞，增加了被攻击风险。

4、企业内部人员通过外网直接访问被暴露的应用系统

一部分企业为方便应用系统被全球用户或分支机构访问，采取直接通过NAT方式映射至互联网，并开通其访问端口和访问路径，其安全隐患一是应用系统无法应对各种攻击和病毒入侵，二是攻击者使用DDoS等攻击手段导致业务瘫痪。

三、零信任内网安全解决方案

派拉零信任身份安全系统是基于“零信任”架构，集成账户管理、统一认证、访问授权、集中审计、特权管理、应用安全等，实现内网安全管理功能和服务。

1、SDP方式实现BYOD分支机构访问

基于零信任资源门户部署方式，对用户的自有设备实现设备、人员和权限的综合鉴权与访问，其中门户网关可以是单个资源或资源集，并且不需要在客户端设备安装代理软件。

2、SDP方式实现不支持BYOD分支机构访问

基于零信任设备代理/网关部署方式，对用户的非自有设备实现设备、人员和权限的综合鉴权与访问，其中每个资源都具备一个网关，并且在客户端设备安装代理软件。

3、SDP方式实现运维管理及业务应用远程访问

使用SDP网关，针对运维管理人员及企业内部用户，通过远程访问或直接访问形式，首先进行SPA单包认证，只有用户身份、访问权限和设备通过验证且可信，则建立相应的TCP连接，同时开放服务器运维端口及应用系统访问端口等权限。

4、使用微隔离技术加强企业内部业务安全访问

通过新一代防火墙NGFW技术,实现针对企业内部以应用维度进行网络隔离，主要包括两种实现模式：

• 第三方防火墙微隔离：通过第三方防火墙供应商提供的虚拟防火墙进行隔离，其特点包括具备丰富的安全能力、支持自动化编排和丰富的分析报告；

• 基于代理模式微隔离：通过使用将代理软件部署至主机或虚拟机中，实现动态方式控制代理主机间的通信和安全，其特点包括适用各种线下线下平台、支持自动化编排和安全策略的快速迁移。

5、企业内部用户身份管理与访问控制

通过对企业多身份源的统一、可信终端管控以及不同网络访问场景的安全管控，促进企业对内部、外部、客户、消费者、合作伙伴等不同群体和对象的管理。同时基于主体、客体和环境等层面的角色动态管理和最小权限管控，满足安全治理要求。通过AI风险分析与监测，动态感知安全边界的变化，更多的用户通过手机、Pad等不同可信终端进行业务访问，进一步扩大安全管理边界。基于可信设备的准入和身份鉴别，保障设备可信接入和安全环境的合规访问。

四、零信任内网安全访问业务价值

1、构建更安全的内部安全网络

通过实施“从不信任并始终验证”，不同类型用户只能按照预先确定的信任级别，访问预先申请的企业资源，未预先申请的企业资源将无法被访问，阻止企业内部“漫游”情况。

2、增强对企业应用和数据的保护

在实施“按需受控访问”的基础上，有效整合资源保护相关的数据加密、网络分段、数据防泄露等技术，保护应用资源、数据在网络中的传输和存储，并优先保护高价值资源。

3、大面积减少攻击企业内部风险

用户通过访问认证之前，资源对用户隐身；即便在用户通过访问认证和授权，成功进入网络以后，零信任架构也将阻止用户漫游到未经授权的区域。零信任思维从根本上降低了外部（互联网可发现）和内部（内部威胁）攻击面。

4、缩减企业安全管理成本和建设成本

零信任架构终结了安全防护手段各自为政的现状，在零信任架构实施时，可以通过与现有工具的集成，大幅度降低零信任潜在建设成本。

据旧金山计算机安全研究所的统计，60％到80％的网络滥用事件来自内部网络，对内部人的信任所造成的危害程度，远远超过黑客攻击和病毒造成的损失。展望未来，随着网络防护从传统边界安全理念向零信任理念演进，零信任将成为数字安全时代的主流架构。