零信任访问控制系统

产品概述

1652942034530906.png


零信任访问控制系统是一个基于零信任安全理念和软件定义边界安全模型构建的安全访问控制系统。零信任访问控制系统以身份为基石,提供业务安全访问,具备动态访问控制和持续信任评估等功能,为企业网络构建无边界的数据安全防护体系,为企业远程办公、远程运维和远程研发测试提供数据安全保障。此外,依托零信任架构对应云-管-边-端的业务体系,构建工业物联网边缘侧安全智慧管理,强化对边缘侧的安全保护,有效防护潜在威胁。


客户价值


革新安全架构,保障数据安全

  • 采用零信任安全架构重构企业信息安全边界,从根源上解决数据访问的安全性问题;

  • 具备已实践的标准化落地方案,可实现企业快速升级部署;


提升安全能力,应对实时风险

  • 采用统一的数字化身份信息,实现访问用户及设备身份的全面认证;

  • 实现业务系统的网络隐身及动态按需最小授权功能,极大地减小攻击暴露面;

  • 集中业务代理,提供通道加密及攻击防护功能,有效保护传输数据安全;

  • 使用标准的国家商用密码算法,满足等级保护和密码应用安全性测评的合规要求;

  • 获取实时的环境安全状态、访问行为数据,智能分析风险并动态调整访问控制策略;


实现自动管理,降低运维成本

  • 一站式身份、认证、授权、审计及应用管理平台,快速构建统一身份管理平台;

  • 提供全面的身份协议、丰富的应用模板实现无改造快速上线;

  • 从安全架构层面解决安全的源头问题,投入低,可靠性高,避免重复建设;


提高工作效率,提升用户体验

  • 消除物理逻辑边界,提供随时随地的企业数据访问;

  • 自动获取用户身份安全状态进行访问授权,安全用户无感接入;

  • 单点登录和多因素认证结合,用户一次认证便可访问授权内所有业务系统;’


技术架构

图片1.png


零信任访问控制系统由安全控制平台 、安全网关、安全客户端和安全连接器等安全组件构成。零信任访问控制系统以软件定义边界,结合安全网关建立起一块虚拟安全域,同时结合安全网关基于端口动态授权的网络隐身技术构建起一张隐形的互联网或者虚拟边界专网,即应用只对“特定的用户+特定的设备”可见,对其他人完全不可见,并且该用户或设备访问应用的行为可以进行严格控制和记录。这种模式很好地解决了企业移动办公、企业业务上云、物联网设备数据接入云平台等带来的应用暴露在公网的问题,同时也可以增强现有IT和OT网络的南北向访问控制的安全性。


产品特性


图片2.png



可信身份认证

零信任访问控制系统为网络中的人、设备、应用都赋予逻辑身份,并基于身份进行细粒度的权限设置和判定。安全控制平台支持统一身份管理和统一授权管理。安全客户端支持账密、短信、二维码、UKey等多因素身份认证。


可信设备准入

所有的设备接入基于零信任的虚拟安全网络,都进行准入控制。安全控制台集成PKI/CA系统,也可以对接企业的CA系统,动态签发CA证书,一机一钥。PC端和移动端设备通过安装安全客户端的方式,结合CA证书和设备唯一编码,准入控制。物联网设备通过安全连接器硬件准入,支持IP、MAC、协议、厂商和设备指纹的多元组准入机制。


可信链路传输

所有的访问请求(应用、API接口等)都需要被认证、授权和加密。安全网关支持通信全程加密、双向身份认证和最小权限开放。此外,安全网关支持国密算法,且满足国家商用密码二级认证。


可信资源权限

基于策略访问控制(PBAC)权限模型,高效管理超大规模权限数据,支持三权分立、用户和资源权限分离。安全控制平台支持统一授权管理、统一应用门户及单点登录。通过最小化权限原则,保障业务按需授权。


全向防攻击

零信任访问控制系统基于网络隐身技术,打造虚拟边界专网,支持防扫描探测、防恶意攻击、防DDoS攻击、阻断黑客非法入侵。安全控制平台和安全网关均支持SPA单包授权认证,隐藏服务端口。安全网关集成入侵检测引擎,可以识别恶意攻击的流量。


数据防泄密

基于加密技术,建立数据通信虚拟加密隧道,防止数据通信过程中的泄密;基于加密技术,建立虚拟加密磁盘,防止数据在终端泄密。安全客户端集成轻量级终端安全沙箱,对下载的数据文件进行加密,带离安全环境后无法打开;同时对数据外发进行管控,提供给外单位的数据文件需提交审批申请,安全共享文件支持权限控制。


持续信任评估

通过对事件风险全面评估和持久化检查,实现风险事前自动预警。安全控制台支持对用户行为和设备行为建模分析,识别出高风险的用户和设备。系统通过安全客户端感知PC端和移动端风险,通过安全连接器感知物联网设备端的风险,通过安全网关感知网络威胁风险,通过安全控制台对接第三方的威胁情报,实现对主客体的持续信任评估。


动态访问控制

零信任访问控制系统对主客体属性、安全状态进行持续的信任评估,根据评估结果动态调整访问授权。安全控制台支持将用户行为、设备行为、终端环境、网络环境及威胁情报等风险数据汇聚,支持基于风险评估结果联动智能决策引擎,并动态调整访问控制策略,对恶意攻击进行阻断,对可疑用户访问进行二次认证。


应用场景


企业远程办公安全防护

零信任访问控制系统应用于企业办公网,为企业网络构建无边界的数据安全防护体系,适用于如下场景:企业远程办公、远程运维和远程研发测试。



1669267667560302.png



工业互联网边缘侧安全防护

针对工业物联网边缘侧感知终端种类多难统一管理、数据边界模糊识别困难、协议众多导致碎片化、缺乏行为监测易导致攻击等安全隐患,部署零信任访问控制系统,为企业规范设备入网管理、明确边缘防护措施、持续加固终端本体安全及动态监测溯源恶意攻击提供安全保障。


1667291263339778.png



ISO9001

质量管理体系认证

ISO14001

环境管理体系认证

ISO27001

信息安全管理体系认证

ISO20000

信息技术服务管理体系认证

信息系统

安全运维服务资质