近日，中国计算机学会（CCF）抗恶劣环境计算机专委会组织召开《零信任网络隐身协议》（以下简称“NHP协议”）标准宣贯会，聚焦该标准在实际场景中的应用与落地，开展深入解读和实践分享。东方通应邀参会，分享了在零信任安全领域的技术成果与实践经验。

CCF抗恶劣环境计算机专委会成立于1986年，致力于采取灵活多样的形式，搭建抗恶劣环境计算机学术交流与沟通的平台，推动相关领域技术进步，为国家有关机关部门建言献策，为企业提供技术咨询服务。此次宣贯会聚焦的《零信任网络隐身协议》（NHP协议）标准，是国内首个聚焦零信任网络隐身技术的相关标准，该标准由CCF抗恶劣环境计算机专委会牵头提出并归口管理，核心内容涵盖五大关键组成要素，包括NHP协议技术架构、实现过程、消息定义、日志记录及测试验证方法，从技术规范到落地验证，全面系统地明确了NHP协议的应用标准。基于这一标准，CCF抗恶劣环境计算机专委会还推出了openNHP技术，为NHP协议的大规模应用和推广奠定基础。

直击网络安全新挑战

东方通零信任方案：

构建 “看不见、不可信、攻不透” 防护体系

东方通网安技术总监郝长久在分享中指出，数智时代，企业在加速数字化转型和业务云化过程中，面对员工混合办公、使用终端多样化、访问分布在混合云上的企业资产等复杂办公场景，企业的内外部网络边界正在逐渐消失，数据泄露、恶意攻击、未授权访问等安全事件频发。

面对 APT 攻击、0day漏洞等威胁，传统基于网络边界的静态防护已束手无策。在云计算与物联网带来严峻网络安全挑战的背景下，企业亟需推进安全体系升级，以“未授权对象不可见、风险行为动态免疫”的方案，有效应对高危漏洞、高危端口和弱口令三大隐患。作为网络信息安全领域的优质企业，东方通围绕客户需求，结合openNHP技术理念，推出零信任解决方案，构建起“看不见、不可信、攻不透”的动态免疫防护体系。

看不见：多维度隐身，隔绝外部侦察

• 网络隐身：通过NHP敲门技术将网络进行隐身,实现端口隐藏、被保护资产、资产和通信的不可检测,有效防止网络侦察和攻击。
• 域名隐身：业务系统配置私有化域名，通过域名方式进行单点登录访问，不对外暴露真实目标资源IP和端口，有效提升真实服务地址防护。
• 敏感数据隐身：通过零信任隧道代理访问的业务系统，可直接在业务系统界面配置需要脱敏的敏感数据项位置、数据脱敏策略，保存刷新后实时生效，保证敏感数据访问安全。

不可信：全维度感知，动态评估风险

• 身份感知：以身份为核心持续动态认证，系统对终端身份、人员身份进行持续动态认证，发现异常情况，及时降低信任度，认证控制策略动态调整。
• 入侵侦测感知：及时识别黑客的扫描入侵行为，未知来源无法通过扫描工具发现零信任网关服务，感知到非法入侵操作时，管理员收到入侵告警信息，屏幕高亮闪烁提醒，并能直观查看入侵来源信息。
• 立体感知：从终端、人员、资产三个维度构建立体化的持续风险评估体系，实时感知环境变化带来的安全风险。
• 风险溯源管控：指令级协议审计、图形录像化访问审计、图形审计录像检索、审计录像回放、审计报告导出等能力，结合页面访问水印防止非法截屏、拍照等操作，有效防止数据信息泄漏，追溯数据源。

攻不透：多层级防御，筑牢安全屏障

• 加密隧道传输：零信任方案结合NHP噪声协议以及国密方式敲门技术，访问隧道采用TLS双向加密隧道技术方式，无法对数据包内容进行解析和提取，同时隧道支持国密方式对数据进行加密，数据安全有保障。
• WEB攻击防御：持续动态评估零信任隧道访问行为，针对威胁访问高效防御，可应对如跨站脚本漏洞（XSS）、SQL注入、Cookie篡改、DoS攻击、防爬虫等Web服务攻击场景，并进行检测及告警/阻断，同时对渗透入侵、获取权限、数据篡改等行为进行分析，保障访问安全。
• 威胁敏捷监测与响应：采用先进分析识别算法和机器学习技术支持Web攻击，挖矿，后门攻击等17大类超过4500+策略规则的入侵防御知识库，对网络流量中恶意活动、入侵行为、漏洞利用等安全威胁高效识别，迅速响应。
• 安全办公隔离：以数据保护为核心，结合零信任网络隧道、软件定义边界、环境隔离、网络隔离、数据隔离、通讯传输加密、细粒度访问控制、业务访问权限管控、文件存储加密、数据流转安全控制等能力，提供更轻量易用且更高级别的数据安全防护。

基于openNHP技术理念

赋能全场景防护：

从应用管控到数据安全

基于openNHP技术理念，东方通构建了覆盖“访问-操作-数据-溯源”全链路的安全方案，核心能力可概括为三大场景：

• 应用级精细化管控：老系统无需改造，细粒度防风险 企业中大量老旧设备无法配合集成开发，东方通零信任网关可直接实现 “无改造接入、行为可控、风险可溯”；
• 动态威胁防护：可信通道内也能 “拦截攻击”传统零信任方案在 “敲门成功后” 就默认可信，而东方通结合入侵监测技术实现 “全流程威胁监测”；
• 数据安全闭环：文件不落地，数据可溯源 数据泄露是企业安全的 “心腹大患”，东方通通过 “安全空间 + 审批 + 水印” 构建防护体系。

目前，东方通零信任方案已广泛应用推广，在通信、电力、金融等领域落地标杆案例，满足了用户“多云资产防护”“敏感数据管控” 等核心需求，让企业资产‘看不见’，让访问行为‘可验证’，让数据安全‘有保障’，实现‘动态免疫’的安全目标。数智时代，安全不是“一次性投入”，而是“持续动态的过程”，东方通将持续创新零信任安全体系，助力更多行业用户构建自主创新、智能可靠的安全防护体系，升级安全防护能力，为数智业务的高质量发展保驾护航。