icon数字化转型与新基建时代网络安全边界的变化icon
icon内外部威胁的重点发生了变化icon

大数据安全、内部威胁、业务系统应用安全、有组织高级威胁

icon从业务视角审视安全架构的关键点icon
 
根据业务需求,以资产为中心,穷举访问路径,明确访问预期,并持续在访问过程中验证和评估真实访问上下文和访问预期的偏差。
----“什么部门的什么人,或什么设备,在执行什么任务,通过什么网络,进入什么计算环境,访问什么应用里的什么功能,才获取什么类型的数据里的什么字段”
icon从安全视角来看安全架构不足icon

仅仅依靠边界防护难以应对身份、权限、系统漏洞等维度的攻击向量。安全架构亟需升级!

icon零信任参考模型icon
icon零信任的核心能力icon
终端可信
设备清单库
设备认证
终端环境评估
自身安全
数据面、控制面分离 WAF/RASP/
进程黑白名单
最小权限
应用级授权
功能级授权
数据级授权
业务隐藏 网络隐身
业务暴露面收缩
SPA单包授权
持续信任评估
基于身份的信任评估 基于环境的风险判定 基于行为的异常发现
动态访问控制
基于属性的访问控制基线,基于信任等级的分级访问,基于风险感知的动态权限
icon奇安信对零信任关键能力的解读icon

安全能力内嵌入业务体系,构建自适应内生安全机制。

icon奇安信零信任通用参考架构icon
icon能力整体架构图icon
icon①终端安全能力icon
icon②业务隐藏与保护能力icon
icon③动态访问控制能力icon
icon④信任评估能力icon
icon从工程视角看零信任适用场景icon
icon场景选择、乐高式叠加icon
icon落地场景一:具备单点登录和统一身份认证icon
场景:
客户具备统一身份平台和单点登录系统(SSO)
业务系统实现与统一身份和SSO对接
关键点:
一、可信访问控制台对接:
对接SSO系统(OAuth2.0、CAS等标准协议)
对接AD域(同步用户/用户组信息)
注册应用信息
配置用户权限信息
二、应用系统管控
客户侧不用做任何改动
对不纳管的应用,可通过白名单机制放行
icon落地场景二:具备统一身份认证、无SSOicon
场景:
客户具备统一身份平台
客户未实现单点登录系统(SSO)
业务系统实现与统一身份对接
关键点:
TAC提供SSO能力
TAC对接AD域(同步用户/用户组信息)
业务系统对接访问控制台(提供OIDC标准接口)
TrustAgent提供3层转7层的能力
icon落地场景二:具备统一身份认证、无SSOicon
场景:
客户具备统一身份平台
客户未实现单点登录系统(SSO)
业务系统实现与统一身份对接
关键点:
TAC对接统一身份认证(同步用户/用户组信息)
完成零信任认证并上线
TrustAgent提供3层转4层的能力
客户侧不应做任何改动
icon落地场景三:无统一身份认证、无SSOicon
场景:
客户不具备统一身份平台
客户未实现单点登录系统(SSO)
业务系统账号由业务系统建立
业务系统认证由业务系统完成
关键点:
客户侧不应做任何改动
TAC建立零信任账号信息,完成零信任认证
TrustAgent提供3层转4层的能力建立安全连接
icon典型场景一:数据中心场景icon

驱动力:业务驱动:资源整合 数据融合 数据共享 数据安全;政策驱动:《国务院关于印发促进大数据发展行动纲要的通知》(国发〔2015〕50 号)《“十三五”国家信息化规划》以及互联网+政务服务等各项工作要求;

痛点【风险】
身份可信问题:业务人员身份管理、资源管控、权限管控问题怎么解决? 暴露面大问题:数据中心对外暴露,如何规避一刀切的防护方式,进行动态灵活授权?如何确保先认证,再连接? 终端可信问题:多端协同需要加剧,终端环境安全状态感知缺失,如何确保终端安全? 访问行为不可控:对异常访问如何检测? 如何动态控制? 数据共享交换:跨部门、跨平台信息多云共享、数据交换安全防护如何强化?
icon数据中心场景解决方案icon

从应用访问、接口调用两个维度保证 终端可信 + 身份可信 + 访问可信+ 动态控制

icon案例一:某市政务云实践案例及配置icon

背景需求:市政务系统集中上云,各委办局业务资源整合,统一纳管,接口开放,面临数据安全问题。应用资源暴露面增加,风险加大,终端分散 设备安全性、合法性问题,业务访问权限控制不够灵活。

解决方案:在数据域和用户域之间建立安全访问平台,实现统一安全接入、单点登录等:业务集中代理,对外隐藏应用系统,各各委办局访问终端风险情况实时感知,感知结果实时上报,重新评估主体信任,动态调整访问权限,统一认证、单点登录。
用户价值:业务整合上云,资源集中安全防护,提高管理效率,一体化安全访问平台,满足多种类型架构应用,资源防护全覆盖,综合多维度风险信息,基于身份评估的动态访问控制机制,实现各委办局办公安全接入。
产品配置:
一期: 可信应用代理TAP 可信访问控制台TAC 可信环境感知TESS
二期: 智能身份分析平台IDA 智能可信身份平台TrustID
icon案例二:某央企数据中心零信任实践案例及配置icon

背景需求:企业数据中心建成后,响应上级部门要求,数据需按要求进行共享,面临的主要问题:接口开放,面临数据安全问题,跨部门人员调用、应用主体身份安全、设备安全问题难保障,应用接口调用过程中的权限控制问题,调用方业务系统的安全性感知问题。

解决方案:业务集中代理,隐藏后端业务、接口【一期目标】,运维管理安全管理【一期目标】,可信身份统一管理、终端环境安全感知,主体身份持续评估、业务访问动态控制。
用户价值:细粒度访问控制能力,解决应用层跨部门数据安全交换需求。对不同部门用户、运维人员的身份进行持续评估动态授权,提升业务访问、运维访问安全。接口代理安全防护,助力分析域、处理域实现双域互通。
产品配置:
可信应用代理TAP 可信API代理TIP
可信访问控制台TAC 可信环境感知TESS
icon典型场景二:远程访问场景icon

驱动力:数字化转型加速,企业需要开放更多业务给各种人员、设备、在任何时间、地点进行远程访问。新冠疫情加剧,远程访问常态:远程运维、远程访问、远程开发、合作伙伴远程访问等,护网期间VPN打穿问题。

痛点【风险】
终端可信问题:远程终端运行环境不合规,恶意软件 泛滥,业务接入前 终端自身安全性如何保障? VPN存在问题:自身漏洞、性能低、被“打穿”风险何如防范? 身份认证问题:如何化一次性静态认证为动态持续认证?静态认证后,一旦出现风险怎么发现?如何应对? 业务权限问题:高低敏感业务访问,如何在发生风险时,动态缩小用户访问权限,保护高敏业务? 第三方接入问题:远程人员、接入设备可信度无法识别,人员权限混乱
icon远程访问场景解决方案icon
icon案例一:某银行远程访问实践案例及配置icon

背景需求:采用远程接入代替现有安全桌面,3000名用户远程需求,缺乏有效权限管控,存在安全风险。访问终端不可信,终端风险不可知,云桌面直接暴露到互联网,存在安全风险,静态认证,业务访问过程中,缺乏动态控制。

解决方案:云桌面穿透,终端设备、环境风险感知,集中代理收缩云桌面暴露面,与行内已有4A系统对接,业务访问持续动态控制。
用户价值:最小权限模型隐藏应用,业务访问全程防护,访问安全。支持多用户并发访问接入,运转高效。收缩互联网边界,内外网域名保留,体验一致,传输加密。平滑对接现有4A,无需多次认证,轻松便捷,平滑对接现有预警系统,风险预警实时同步。
产品配置:
可信应用代理TAP
可信访问控制台TAC
可信环境感知TESS
icon案例二:某银行远程开发测试实践案例与配置icon

背景需求:受疫情影响,人员远程办公常态化,部分业务开发测试工作急需对外开放,但缺乏安全防护机制,业务运转效率。VPN接入到云桌面,其自身存在安全漏洞,远程开发、测试人员缺乏灵活的动态访问控制,高敏业务操作情况下,缺乏可信环境感知能力。

解决方案:在DMZ区,构建零信任安全访问平台,对测试开发人员远程提供防护,云桌面穿透,终端环境感知上报,业务集中代理,隐藏应用系统不可见,访问主体信任持续评估,细粒度动态访问控制联动,动态规避、阻断外部攻击威胁,支持二次认证鉴权。
用户价值:办公访问远程开放,企业效率显著提升,开发测试人员办公远程进行,时间、地点不再受限;无缝对接现有云桌面,安全无感内嵌,用户体验不受影响;BYOD、CYOD多类型支持,无需受限于办公终端。
产品配置:
可信应用代理TAP 可信环境感知TESS
可信访问控制台TAC 智能身份分析系统IDA
icon典型场景三:移动零信任应用场景icon

驱动力:数字化转型,企业移动化成为趋势,企业业务从多App走向平台化,移动安全从“外挂式”走向内生化。

痛点【风险】
传统的移动安全解决方案不能满足企业数字化转型需要 移动终端多元:各厂商系统漏洞防护参差不齐,个人/业务APP混用,如何确定终端可信度、 运行环境安全性? 移动网络开放:移动网络开放性高,明文传输、数据窃取篡改问题如何应对? 应用暴露面增加:业务应用对外暴露,如何确保在访问前先对终端、用户进行全面合法认证? 缺乏动态访问控制:如何准确进行访问阻断、二次认证等操作以应对访问中发生的风险行为? 无持续认证能力:如何对风险进行实时把控,对访问主体进行持续性认证,进行最小化授权?
icon移动零信任场景解决方案icon

从移动终端、用户、应用、网络、业务访问过程等环节确保 移动终端可信 + 身份可信 + 收缩业务暴露面+ 动态访问控制

icon某大型央企移动零信任实践案例及配置icon

背景需求:构建“一个保障、二个门户、三个中台、四个共享”建设驱动,信创云建设(业务汇聚蓝信、业务架构整改支持H5),将内生安全防护,融入至业务应用,提升安全体验。

解决方案:在DMZ区建设蓝信平台及访问控制平台,移动端访问接入进行防护。移动终端设备认证,加强身份准入。内网业务安全隐藏,减少暴露面。终端环境感知,风险监测、结果上报。动态访问控制,实时阻断风险行为。
用户价值:统一办公门户,应用统一管理,业务集中访问--办公集中高效。应用单点登录,无需多次输入账号口令--用户无感进入。业务安全代理,数据传输加密,风险情况综合评估,动态访问授权--业务访问安全。信息大屏展示,终端状态、风险情况动态展示--风险直观洞悉。
产品配置: 可信应用代理TAP 移动环境感知MTESS 可信访问控制台TAC 智能身份分析系统IDA
icon某部委移动零信任实践案例及配置icon

背景需求:移动应用种类繁多,一期满足50000终端安全接入需求,人员覆盖广,移动终端种类多。移动端多APP,缺乏统一移动门户。终端多元化,环境安全性参差不齐,缺乏风险感知。移动应用接入跨网络域访问,访问过程中风险事件不可控,持续性认证及动态授权机制待完善。

解决方案:移动应用资源整合,隐藏应用系统暴露面。访问链路安全加密,实现移动应用SSO。移动环境风险感知,感知结果反馈上报。多维风险综合评估,业务访问联动控制,强化内生安全。
用户价值:移动应用整合,统一办公入口,单点登录,便捷高效。终端环境感知,手机型号不限,普适性强。业务访问安全加密,传输数据不再明文展示。一次认证通过,不代表可一直访问,改静态认证为动态业务安全持续防护。
产品配置:
可信应用代理TAP 可信访问控制台TAC
移动环境感知MTESS 蓝信
icon典型场景四:API接口安全应用场景icon
icon可信API接口安全解决方案icon
icon某部委API安全访问实践案例及配置icon

背景需求:部委信息共享平台能力趋近饱和,需进行扩容及升级改造,跨网访问中转过程安全存疑(身份认证安全、访问权限安全、接口负载安全),跨网访问的网络边界安全(外部攻击防护、数据传输安全)

解决方案:
部委信息共享平台能力趋近饱和,需进行扩容及升级改造。跨网访问中转过程安全存疑(身份认证安全、访问权限安全、接口负载安全)。跨网访问的网络边界安全(外部攻击防护、数据传输安全)。
用户价值:
建设跨网交换控制平台,有效缓解用户当前数据访问压力。对外服务平滑升级,不影响现有已有对外服务。服务端风险实时感知,实现应用间的合法访问,发现和阻止不可信应用访问内部接口。
产品配置:
可信API代理TIP 服务器环境感知TESS 可信访问控制台TAC
icon典型成功案例icon
icon构建零信任安全体系价值icon
收缩暴露面,减少攻击面
最小权限,防止网络攻击横向移动
实时动态风险控制,阻止风险继续发生,减少数字资产的损失
消灭弱密码、口令、账号共享带来的安全风险
网络隐藏,单包授权机制,防止DDOS攻击
控制层面和数据层面分开,避免潜在的网络攻击,防止“一锅端”
实现自动管理降低运维成本,降低事故响应成本
提高工作效率,用户随时随地、无缝式、安全的访问企业业务和数据能力
icon产品资质icon
icon获得客户认可icon
产品推荐 查看更多>>
    威努特上网行为审计系统

    威努特上网行为审计系统,支持18种认证方式和9种第三方用户同步方式,满足各行各业用户实名审计的诉求,不同认证方式模块化,灵活扩展、灵活组合。 共享接入管理,针对私接路由器、使用Wi-FI共享软件和使用随身Wi-Fi等行为进行识别和管理,有效管理NAT场景。

    灵活扩展

    灵活组合

    共享管理

    安全接入

    中数智汇融e开金融企业合规尽调工具

    融e开是一款对公客户尽职调查工具,可以帮助金融机构用户在客户身份识别和客户持续识别业务中,快速、准确了解对公账户洗钱及账户风险、欺诈风险,并帮助引导用户快速进行风险分类、风险核查和业务决策。

    风险尽调

    受益所有人尽调

    企业信息尽调

    实地尽调

    久安世纪 生物识别统一身份认证系统

    具有完全自主知识产权的基于人体生物特征识别技术的强身份认证系统

    高可用

    安全可靠