石化盈科与竹云携手打造石化集团零信任标杆案例

为切实落实企业数字化转型过程中的网络安全保障工作，中国石化集团提出十四五网络安全愿景，在十四五期间建成动态综合、攻防一体的网络安全能力体系，助力集团数字化业务新发展，为全面实现“建设世界领先洁净能源化工公司”保驾护航。十四五规划中提出要以零信任理念为基础，聚合安全支持系统及服务能力，以数字身份为基石，构建用户、设备、网络、资源完整信任链，对业务访问进行持续信任评估和动态访问控制。

石化盈科信息技术有限责任公司（简称“石化盈科”）携手竹云为中国石化建立一套以统一身份IAM平台为核心基石，融合零信任的持续信任评估和动态访问控制体系。面向能源行业信息化访问安全的应用场景，通过零信任安全防护体系核心组件与零信任体系安全防护生态系统结合，为全集团用户、基础设施和业务应用提供可信接入、持续认证、信任评估及动态访问控制。基于业务应用进行信任评估及访问控制业务场景验证，依托零信任安全代理网关，统一应用服务发布入口，实现资产隐藏，减小资源暴露面；对业务访问进行持续身份校验，最小化访问授权；对访问行为进行可信评估，动态生成控制策略，执行细粒度访问控制。

基于集团IAM平台进行扩展实现，集团范围内系统已与IAM平台完成集成工作，支持应用配置化接入，网关集群与应用系统网络可达，不影响现有应用系统的部署，无须做任何定制或升级，便于快速推广。

可信控制中心（决策引擎、信任评估引擎）与安全接入网关通信可达，支持云化部署，不影响现有网络结构，无需做额外改造，有效降低企业 IT 建设成本。

沉淀了基于ABAC的策略规则模型，支持“主体、环境、客体、行为”多维度规则属性，支持内外网多因素认证、阻断、放行、IP黑白名单、用户黑白名单以及消息提醒多种规则，可根据安全和业务需求自由组合配置，实现基于用户、IP、应用、菜单、行为、信任等级等多场景访问控制。

通过信任等级的持续评估驱动决策引擎动态调整访问控制策略，实现针对业务访问的动态控制；信任评估涉及的风险计算因子支持风险规则自定义和组合关联评估，可接入多源数据实现风险规则模型和信任评估模型的灵活扩展。

中国石化集团零信任安全系统通过用户身份、可信终端、运行环境多环节认证及持续校验保证了接入安全、持续访问安全；通过用户行为及风险结果分析评估，动态调整访问信任等级，及时发现异常访问并自动响应处置，实现事前防御、事中处置、事后审计的全流程安全防护，在用户管理、设备管理、权限管控、安全防护等方面具备广泛应用价值。