前言

隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全形勢也逐漸出現(xiàn)種種問題。如運維人員、用戶、高管、第三方接入人員、臨時人員等多角色接入到網(wǎng)絡(luò)中導(dǎo)致用戶復(fù)雜化，存在PC機、平板、手機、NAT路由等多樣化終端，各式各樣的WEB業(yè)務(wù)網(wǎng)絡(luò)、APP等造成業(yè)務(wù)多樣化，云辦公、網(wǎng)中網(wǎng)等形成多云、多分枝多網(wǎng)絡(luò)的復(fù)雜網(wǎng)絡(luò)環(huán)境，等等。網(wǎng)絡(luò)安全也面臨著網(wǎng)絡(luò)暴露面增加、數(shù)據(jù)泄密風(fēng)險高、數(shù)據(jù)明文傳輸、身份鑒別單一、訪問限制粗化、終端種類多樣等安全風(fēng)險。

為了應(yīng)對新技術(shù)帶來的系列安全挑戰(zhàn)，一種新的網(wǎng)絡(luò)安全技術(shù)——“零信任技術(shù)”逐漸走入公眾視野。作為當(dāng)下最炙手可熱的網(wǎng)絡(luò)安全防護理念之一，零信任技術(shù)默認網(wǎng)絡(luò)無時無刻不處于危險的環(huán)境中，認任何時間、任何位置、任何設(shè)備和用戶都是不可信的，零信任將安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化“從不信任，始終驗證”是零信任的基本理念。

如何從源頭上有效防范層出不窮的網(wǎng)絡(luò)安全風(fēng)險？遠望信息基于十多年的網(wǎng)絡(luò)終端安全技術(shù)研發(fā)經(jīng)驗全新推出遠望零信任訪問控制系統(tǒng)。產(chǎn)品基于零信任 SDP（軟件定義邊界）與 IAM（身份管理）技術(shù)實現(xiàn)遠程訪問控制，可對業(yè)務(wù)實施安全隔離，訪問者需要運行零信任終端，使用授權(quán)賬號通過認證后才能連接和訪問授權(quán)的業(yè)務(wù)系統(tǒng)，并且可以根據(jù)訪問者的訪問行為、運行環(huán)境等因素動態(tài)持續(xù)調(diào)整用戶權(quán)限。 ? ?

遠望零信任訪問控制系統(tǒng)

遠望零信任訪問控制系統(tǒng)從終端安全接入控制入手，對接入網(wǎng)絡(luò)的終端強制實施身份認證，保證接入終端身份合法、設(shè)備安全和資源訪問范圍可控，讓終端用戶的數(shù)據(jù)和網(wǎng)絡(luò)得到更安全的保護，從而提高終端的主動防御能力，進而全面提升網(wǎng)絡(luò)的整體安全防御能力。

身份管理+終端環(huán)境感知：打造全面的零信任技術(shù)體系

身份識別與訪問管理

作為零信任中最核心部分，身份管理對人、設(shè)備及應(yīng)用進行身份識別和訪問管理，實現(xiàn)多因子認證。

基于終端環(huán)境感知的零信任

對需接入內(nèi)部網(wǎng)絡(luò)的終端在入網(wǎng)前進行安全檢查，確保接入內(nèi)網(wǎng)的終端符合安全要求，防止造成內(nèi)網(wǎng)隱患。對于不符合安全要求的終端進行隔離修復(fù)，修復(fù)完成后才能入網(wǎng)。

? ? ? ? ? ?

主要功能

零信任網(wǎng)關(guān)認證

提供已安裝代理程序的終端來完成零信任協(xié)議認證。

身份認證

在使用終端前可采用多因子認證方式對用戶身份進行鑒別，保證終端用戶身份的合法性，同時對身份認證操作日志進行審計。

動態(tài)驗證授權(quán)

持續(xù)對用戶的訪問行為進行安全環(huán)境評估，通過檢測異常行為、越權(quán)行為、威脅風(fēng)險及終端配置情況，動態(tài)控制和調(diào)整用戶訪問權(quán)限，以保障應(yīng)用業(yè)務(wù)的安全。

訪問控制

通過層層授權(quán)和防御機制，只授予人員所需的最小權(quán)限，進行細粒度的訪問控制。

產(chǎn)品特點

契合政務(wù)內(nèi)網(wǎng)安全管理要求

采用對接入設(shè)備安裝終端代理程序的方式，實現(xiàn)對接入設(shè)備的身份認證和安全狀態(tài)檢查，支持移動應(yīng)用掃碼等多種認證方式。從終端設(shè)備安全管理入手，堵住網(wǎng)絡(luò)安全漏洞短板，確保終端接入內(nèi)網(wǎng)的合法性，契合政府部門內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)安全管理需求。

細粒度的權(quán)限控制

零信任系統(tǒng)持續(xù)對用戶的訪問行為進行信任評估，通過檢測異常行為、越權(quán)行為、威脅風(fēng)險及終端配置情況結(jié)合UEBA，動態(tài)控制和調(diào)整用戶訪問權(quán)限，以保障應(yīng)用業(yè)務(wù)的安全。

有效減少業(yè)務(wù)系統(tǒng)暴露面

通過SPA單包敲門能力，有效保護業(yè)務(wù)系統(tǒng)真實域名、端口等信息，只有安裝了零信任客戶端的可信終端，才能訪問業(yè)務(wù)系統(tǒng)，攻擊者依靠掃描工具無法發(fā)現(xiàn)用戶的業(yè)務(wù)系統(tǒng)，從而實現(xiàn)隱身效果。

多層次的自身安全性措施，保證系統(tǒng)運行安全可靠

系統(tǒng)設(shè)計充分考慮了自身的安全性，從系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)通訊、策略分發(fā)與存儲等多個層面加強了安全保護，確保系統(tǒng)運行安全可靠。

良好的網(wǎng)絡(luò)適應(yīng)性

適用于各種復(fù)雜網(wǎng)絡(luò)環(huán)境，無需改造當(dāng)前用戶網(wǎng)絡(luò)結(jié)構(gòu)，可靈活部署到網(wǎng)絡(luò)中，同時能很好兼容不同廠家的網(wǎng)絡(luò)或安全設(shè)備，具有良好的網(wǎng)絡(luò)適應(yīng)性。