Page 29 - 金融科技视界2023-4期

P. 29

Technical Tracking
技术追踪

相比SDP，微分段在国内金融业的落地依然处在起步阶段。均需要投入大量人力物力，需要企
由于微分段各类解决方案在适用性、落地成本等方面具有一定业高层的重视和大力支持。在这个
的局限性，配置复杂、维护成本高、实施困难大，目前金融业鲜过程中，运维人员要完成网络架构
有落地；针对企业内网的大量存量资产难以人工梳理访问关系摸排、资产访问关系梳理、与现有
的困难，主机微分段可通过自学习方式对业务关系进行梳理，各安全系统的对接，并在运行阶段

构建出应用间访问基线并按需加固，但由于涉及全量设备的建立专业保障团队，在兼顾业务的
Agent安装，可能会引发兼容性问题；而K8S+Service Mesh的基础上不断优化授权策略。同时，
云原生微服务仅适用于PaaS云环境，对于环境复杂的大型金融开发人员也要在新的IT架构下优化

企业，除了PaaS云环境外，还存在大量部署在传统环境和IaaS DevOps流程，业务人员要适应其带
云平台中的应用，需要建立传统、IaaS、PaaS的零信任互访控来的业务流程变化。对于企业来说，
制，目前尚无有效解决方案。需要深入理解零信任的三个维度才
能用好零信任，解决数字化转型伴
目前工行已对微分段在行内的落地前景做了相关研究，从国随的安全风险。

内外成熟解决方案、金融业成功案例、开源工具二次开发等多面
入手，借助行内IaaS、PaaS等多种基础环境进行了全方位的适用另外，零信任安全架构需要与可
性探索，并在内网测试环境进行了相关试点。信计算紧密结合，企业应在实现“硬

件—操作系统—终端—应用”纵向
可信的基础上，通过零信任架构建
总结立“用户—网络—主机—应用”的横
向信任链条，让最初得到的信任能
实现完整的零信任安全架构一方面需要基于现有网络安全够一直传递到最后，保证完整的端到

框架进行平滑演进，另一方面从前期规划到后期运维的各阶段端安全。

2023.4 金融科技视界 27

24 25 26 27 28 29 30 31 32 33 34