网络安全-企业服务行业零信任解决方案

企业零信任解决方案智能网络连接智慧未来CONTENTS目录案例及**介绍价值优势**方案需求背景企业服务安全能力调研及安全事件

首要原因：太多部门具有访问权限控制薄弱，缺乏配置可见性很多部门都具有访问设置权限且修改情况无法清晰的展示。很多具备权限的部门、人员并未经过适当的安全培训，导致安全事件频繁发生。次要原因：对安全的重视程度不足，安全工具与人员方面的投资较低报告显示，大多数公司每个月或更长时间才执行一次检查，甚至根本不执行检查。发现权限配置问题后，安全团队还需要额外的时间进行处理。因为投资较低，需要一周或更长时间才能修复错误配置。过长的修复耗时令组织面临遭攻击风险。数据泄露：未经授权的人员获得对敏感数据的访问权限或内部员工恶意外发导致数据外泄。账户劫持：黑客可能会通过各种方式获取用户的登录凭据，以便对账户进行恶意操作。恶意软件：包括病毒、蠕虫、木马等，这些恶意软件可能会损坏系统或窃取数据。内部威胁：来自对系统有访问权限的内部员工或合作伙伴，通过不安全的方式访问。易发生的安全事件：据2022年SaaS安全调查报告显示，SaaS安全问题和事件正处于快速上升的趋势！传统安全建设方案及可能存在的威胁分析利用社交软件、网盘发送上传租户信息通过手机、PAD设备进行拍照传播对屏幕进行截屏、录屏，恶意外发泄露未及时锁屏，电脑被操控，非法拷贝或拍照窃取不同业务系统存在同个终端，误操作发送/发布点击钓鱼邮件&下载恶意软件，导致设备中木马，入侵内网系统或中勒索病毒锁定文件OA、VPN、外部服务系统等系统映射到公网，特权账号登录业务系统被非法探测、扫描，通过漏洞入侵获取租户信息账号因暴力破解、钓鱼邮件等方式被盗，入侵内网利用社交软件/网盘发送共享文件、手机拍照、截屏/录屏等方式泄露租户信息使用中毒电脑接入内网，非法入侵及病毒木马传播第三方员工内部员工互联网FWVPNACM外部服务系统租户数据库OA网络层面接入层面应用层面传统网络办公安全体系面临数字化转型落地的三大“难题”管理难题弱密码、账号共用难杜绝；钓鱼邮件防不胜防；终端失陷感染，影响内网；数据管控措施影响用户体验。01技术难题单点防护各自为战，难应对复杂攻击；缺少全局视角的分析处置，安全运营事倍功半；业务快速发展，安全防护能力升级滞后。02人员难题业务研发团队调整，已无力修复历史系统的漏洞隐患；需自定安全策略，对IT人员的技术经验、精力投入要求较高。03零信任：构建新型安全防护体系的重要选择国家法律政府政策行业标准地方条例《网络安全法》《数据安全法》《个人信息保护法》《等级保护2.0》《关键信息基础设施安全保护条例》《数据安全管理办法（征求意见）》《网络数据安全管理条例（征求意见稿）》《数据出境安全评估办法（征求意见稿）》《政务数据分级与安全保护规范-北京》《天津市数据安全管理办法-天津》《云计算数据安全规范-广东》《数字政府改革和建设总体方案-福建》《零信任系统技术规范》T/CESA1165-2021《2021SX-008中国电信零信任安全框架总体技术要求》《金融数据安全数据生命周期安全规范》《信息安全技术零信任参考体系架构》《中国银保监会监管数据安全管理办法（试行）》《零信任安全技术参考框架》《信息安全技术政务数据处理安全要求》《公安大数据安全零信任体系技术设计要求》《政务外网终端一机两用安全管控技术指南》《智慧城市零信任技术规范》国家政策持续牵引，地方/行业采用零信任架构制定标准执行落地CONTENTS案例及**介绍价值优势需求背景目录**方案**零信任架构设计控制面数据面统一身份认证1.统一账号管理

2.账号系统对接(IAM)安全检测模块1.端点安全检测2.异常行为检测、NTA

访问策略模块1.最小访问授权2.信任评分动态授权安全审计模块1.访问行为审计2.操作行为审计安全可视化1.监控告警2.安全事件展示零信任控制中心数据防泄漏1.安全域数据隔离2.数据流出限制设备终端SecureLink无端（web）HTTPS加密浏览器行为管控SecureLink客户端应用门户SSL隧道可信终端检测企业服务系统资源连接器OACRM研发系统租户数据库零信任安全网关隧道模块RBI安全隔离策略执行引擎模块网络隐身单包认证域名改写DDoS云清洗WAF云防护加速网络加密链接边缘防护加密链接安全工作空间第三方产品联动1.终端杀毒2.安全日志网络感知及清洗Y/N白名单EDR日志数据采集引擎SWG模块外部服务平台….**SASE办公安全一体化解决方案IT效率管理安全及网络云平台统一管理平台云WAF安全防护一致性策略与管理高质量智能网络HIDS威胁检测与响应XDR微隔离恶意站点防御主机侧网络侧SASE统一管理平台溯源分析应急响应告警中心态势感知Web攻击防护SecureLink客户端DDoS云清洗抵御全平台威胁情报协同历史资产保护暴露面收敛行为感知信任评估安全访问ZTNAMFA认证多认证源单点登录最小授权应用隐身动态授权统一身份策略联动安全基线全球边缘计算节点安全SD-WAN灵活扩展智能QoS端到端加密可视化管理沙箱隔离防护数据备份恢复数据外发审批SWG代理访问RBI远程隔离权限精细管控审计与拦截数据不落地水印标签多密级安全域安全工作空间通道管控审计/拦截水印/标签数据跟踪溯源取证离职审计数据安全治理XDLP数据标签分类分级敏感规则模型匹配文件类型内容识别数据安全合规模板端点数据防泄露WEB数据防泄露国密加密存储可信应用管控行为管控资产管理桌面管理准入认证DNS安全RBI访问隔离终端侧漏洞补丁管理可信进程终端防病毒终端环境感知企业服务安全一体化防护体系总览1.应用隐身2.终端可信3.身份可信4.行为可信5.数据防泄露企业服务系统资产5道可信防线，统一安全策略，实现纵深防御，保障行业网络及IT资产数据安全SecureLink客户端浏览器内部员工第三方员工SPA收敛暴露面环境检测授信设备终端安全MFA二次认证第三方IAM对接AI行为建模网络威胁检测SWG数据隔离网络隔离浏览器隔离（RBI）基于攻防对抗落地载体建立起端到端系统的零信任防护体系信息收集的深度直接关系到渗透攻击的成败应用隐身终端可信身份可信行为可信数据防泄露对外平台系统信息收集是渗透攻击的第一步，而企业服务对外暴露的资产（如外部服务平台、第三方对接平台、网络设备等）便成为了信息收集的主要入口。企业除了安全建设较为完善的对外资产外，仍会有大量的老旧或闲置资产存在严重的安全隐患，如历史原因无法收敛到内网的资产、废弃/测试的资产等。企业在互联网的资产暴露面越大，被攻击者收集的信息也就越多，而信息收集的深度直接关系到渗透攻击的成败。信息收集的内容包括：外部服务平台\第三方对接平台的域名信息、IP地址、开放端口等内部员工\第三方员工\企业租户的姓名、邮箱地址、电话号码、身份证信息等目标系统的安全配置情况（如密码策略、防火墙配置等）、公开/隐藏的安全漏洞信息漏洞利用根据收集到的系统漏洞进行渗透、入侵，对业务系统直接破坏、窃取数据01.口令爆破收集到员工身份信息后，就可以尝试爆破，部分资产仅支持静态口令，而设备、个别员工及第三方用户都采用默认密码或设置简单，容易被爆破入侵02.邮件钓鱼03.收集邮箱地址后发起邮件钓鱼，仍存在安全意识不足的员工，容易误点钓鱼邮件，进而被渗透入侵**零信任：应用隐身，收敛暴露面零信任“隐身”技术将内网办公相关的业务系统全部隐藏在零信任系统之后，收敛互联网暴露面，互联网的所有的访问请求（包括所有的TCP及UDP端口），都会默认拒绝，也无法发起建联，使得信息侦察无从发起。应用隐身终端可信身份可信行为可信数据防泄露Web服务器漏洞编程语言漏洞SQL注入漏洞Xss漏洞缓冲区漏洞跨站脚本漏洞文件上传漏洞暴力破解漏洞越权漏洞命令执行漏洞业务逻辑漏洞...零信任系统TCP端口UDP端口无反应连不上默认拒绝一切连接，扫描不到任何端口零信任系统TCP端口UDP端口SDP客户端1、SPA端口敲门发送带身份数字签名的UDP包2、验证用户身份信息3、对合法用户的IP按需放行TCP端口4、建立安全加固的https连接（每个数据包都带数字签名）只对合法用户的IP按需开放指定端口业务对接系统外部服务平台维护系统终端设备容易成为攻击方的主要突破口收集设备/终端信息向终端注入病毒/木马（钓鱼/水坑）诱骗终端执行恶意程序/发起渗透终端漏洞利用收集信息窃取数据通过终端建设通道转移终端加密进行勒索/资源劫持进行挖坑输入捕捉获取凭证设备进程注入/绕过实现持久化终端防护水平参差不齐个人终端防护水平参差不齐，易受感染终端防护策略滞后，易过期/失效家用终端不受控，无法强制管制终端用户行为不可控用户安全意识薄弱，误点钓鱼邮件、恶意广告不合规安装和使用盗版工具，留后门为满足远程售后支持，启用非必要端口/服务为了方便，设置桌面弱密码、Guest账号登录企业管理手段不规范无法强制执行系统版本升级和验证补丁是否更新办公软件不合规/盗版，涉嫌违规侵权兼顾办公效率和数据安全，无法有效管控数据外发应用隐身终端可信身份可信行为可信数据防泄露**零信任：建立可信终端安全基线，把控端点安全客户端APP零信任SecureLink安全客户端移动办公/BYOD场景远程/内网办公场景第三方合作伙伴场景零信任控制中心零信任安全网关内网资源✔确保接入终端具备较高防护水平✔确保员工使用终端的可信可控✔提供更高效的企业终端管控手段提高终端的安全防护等级，通过终端的合规检测来确保接入的终端都是安全的，防止利用终端脆弱性或将失陷终端作为跳板入侵内网增强授信和准入管理，避免终端密码失窃或被社工爆破增强终端是自我安全检测，对于潜伏的病毒、木马等威胁程序进行查杀，实时保障终端的安全定期更新终端系统策略，进行必要升级/修复终端运行软件的合规控制，避免违规侵权风险有效管控个人通讯社交工具，保障办公效率管控数据外发，数据不从终端随意外联外发阻断杀软/防火墙失效终端访问阻断感染僵木蠕、勒索病毒终端访问阻断未入域控的终端访问业务阻断未授信的终端访问业务阻断进行非法外联的终端访问业务阻断安装违规软件/进程的终端访问业务阻断系统基线不达标终端访问合规检测模块检测项：域用户检测弱口令检测授信设备检测杀软运行检测防火墙开启检测远程桌面开启检测自定义检测项端点EDR模块能力项：病毒查杀实时防护漏洞与补丁管理勒索病毒防护服务端口管控配置核查加固软件资源管理终端外设管控动态权限策略下发环境感知安全联动应用隐身终端可信身份可信行为可信数据防泄露用户身份带来的外部攻击和内部管理风险钓鱼攻击攻击者利用获取的用户身份发起钓鱼，以实现内网渗透密码爆破攻击者通过获取的用户身份发起密码爆破，以实现内网渗透0102外部攻击风险内部管理风险弱密码管控困难第三方工作人员或志愿者由于非自有员工管控较弱，容易设置弱密码，导致被爆破入侵员工账号有偿外借人员账号管理困难，员工内部存在有偿外借账号的情况，账号及权限管理形同虚设特权账号管控缺失为领导使用便捷而设置特权账号，账号普遍访问权限较大，一旦出现问题会产生严重影响内部转岗权限变更慢员工调整部门岗位，内部账号权限更新较慢，导致短期内员工具备多部门权限，存在隐患离职账号回收不及时第三方员工数量多，人员流动频繁，账号回收不及时，容易引发内部数据外泄事件应用隐身终端可信身份可信行为可信数据防泄露**零信任：全方位身份安全管理体系客户端APP零信任SecureLink安全客户端零信任控制中心认证管理权限管理单点登录零信任安全网关内网资源多因子认证（MFA）、增强认证、ABAC、RBAC统一身份管理平台基于全局的身份权限策略身份认证LDAP/OAuth2/CAS最小应用授权访问携带身份TokenSecureLink认证界面简化用户管理支持第三方认证系统快速对接，支持扫描登录，方便用户登录出现员工离职、岗位变动等操作时，可以自动更新同步权限，无需维护多套系统身份权限；支持SSO，避免重复认证，提高工作效率。多种认证方式支持多因子认证（短信、TOTP等）增强用户身份鉴定能力，避免弱密码带来的爆破风险；针对特定场景访问、敏感数据访问等，支持二次增强认证及设备认证，避免出现账号外借现象。全面监管机制支持基于异常登录监测，如异常时间/地理位置登录、密码爆破登录等，阻断登录及告警；针对特权账号，可定制加强监测机制，减轻特权账号泄露导致的大面积安全事件。攻击快速溯源基于全局的身份统一管理，访问流量中利用身份Token标记访问实体，针对每个用户的访问及操作进行实时记录、审计，出现安全事件后可基于统一身份实现快速溯源，定责到个人。应用隐身终端可信身份可信行为可信数据防泄露所有的攻击动作都会呈现出具体的行为特征应用隐身终端可信身份可信行为可信数据防泄露异常用户内网资源正常用户接入端—>资源端的访问通道正常访问行为异常访问行为威胁攻击行为外部攻击者绕过攻击防线入侵进来，如远程失陷终端，绕开端点的检测机制，利用合法内网通道入侵到内网外部入侵渗透企业员工造成的威胁隐患，如员工离职前进行内部数据打包窃取或破坏，没有锁屏习惯被上门安装后门入侵内网内部威胁隐患传输流量异常**零信任：持续行为可信评估，动态授权零信任安全网关内网资源用户行为分析引擎规则模型禁止登录降权基线模型统计模型黑名单模型关联模型情报模型内部组件日志外部产品日志限制功能增强认证观察审计动态授权信任评分UEBA分析技术基于用户大量的历史正常行为数据进行行为建模，构建出基准行为，通过基线、统计、关联等分析方法去发现与用户正常行为相异的异常活动所相关的潜在事件NTA分析技术基于网络流量深度分析技术，通过监测用户的访问网络流量并实时剖析，结合规则、情报、黑名单等分析方法去发现用户行为中存在的恶意攻击行为所相关的潜在事件应用隐身终端可信身份可信行为可信数据防泄露**零信任：异常&攻击行为模型全景图应用隐身终端可信身份可信行为可信数据防泄露异常登录行为登录/出时间异常短时间不同型号终端登录登录IP异常短时间不同版本客户端登录登录地点异常非工作时间登录登录设备ID异常未使用短信认证登录登录设备型号异常未使用双因子认证登录短时间不同IP登录攻击/恶意IP登录短时间不同地点登录恶意终端登录短时间不同终端登录黑名单账号登陆异常操作行为在异常IP地址修改密码在非工作时间变更手机号在异常地点修改密码在异常IP地址授信设备在异常终端设备修改密码在异常地点授信设备在非工作时间修改密码在异常终端上授信设备在异常IP地址变更手机号在非工作时间授信设备在异常地点变更手机号恶意IP修改密码在异常终端设备变更手机号恶意IP变更手机号恶意IP授信设备异常访问行为首次访问IP首次访问端口首次访问协议首次访问应用越权访问应用短时间内访问大量应用短时间内访问大量目标IP访问恶意IP访问恶意域名其他异常行为账号暴力破解攻击账号暴力破解成功网络会话数异常请求域名数异常出方向流量异常DNS访问频率异常异常行为模型终端安全威胁扫描探测攻击网络安全威胁拒绝服务攻击协议异常WEB攻击缓冲区溢出攻击跨站脚本攻击SQL注入攻击跨站请求伪造攻击文件包含漏洞攻击文件读取漏洞攻击目录遍历攻击敏感信息泄露暴力破解攻击代码执行漏洞攻击命令执行漏洞攻击弱口令漏洞攻击上传漏洞利用webshell上传攻击webshell利用攻击定向攻击勒索软件黑市工具远控木马窃密木马网络蠕虫流氓推广木马后门病毒蠕虫僵尸网络攻击行为模型水平TCP端口扫描水平UDP端口扫描垂直TCP端口扫描垂直UDP端口扫描Ping扫描探测SMB扫描探测短时间内远程登录（RDP）多个IP短时间内远程登录（SSH）多个IP客户端版本太低域账号检测未通过弱口令检测未通过授信设备检测未通过杀毒软件检测未通过租户数据落到本地终端后存在泄露风险社交软件泄露利用QQ、微信等聊天工具共享租户数据给他人拍照泄露通过手机拍照方式将租户信息提前分享给他人截屏/录屏泄露通过截图/录屏等方式泄露租户数据其他泄露销售泄露客户订单财务人员泄露财务数据离职人员带走材料ChatGPT提问泄露企业数据03010204企业服务平台数据泄露事件由内部泄露引起80%外部攻击：黑客或犯罪分子通过欺骗或诱导等手段，骗取员工的个人信息或登录凭证，以获取企业服务的敏感数据桌面云方案软硬件及网络成本高依赖于稳定的网络连接性能受限，视频编辑、3D建模难满足DLP方案加密影响性能，员工抵触大加密边界难划定，容易误加密按授权数量收费，无法覆盖BYOD场景沙箱技术方案轻量部署，性能占用较低加密及隔离技术完整基于零信任技术，安全有保障应用场景全面，包含BYOD场景应用隐身终端可信身份可信行为可信数据防泄露**零信任：基于沙箱技术打造安全工作空间外部服务平台资源租户数据库OA系统…**零信任安全网络结合零信任，安全性更高统一身份管理和终端管理，仅有合法的用户和可信的终端设备才能接安全工作空间通过安全工作空间接入的访问仍然实现信任评估，动态授权，实现安全升级真正实现端到端的全链路安全保护数据防泄露，完成终端数据安全闭环安全域可实现防止截屏、打印、拷贝、外发等，同时安全域内运行软件界面可添加水印，实现数据防泄露个人域运行指定的应用程序，可直接跳转到安全域内运行，规避用户在个人域生产数据后，然后拷贝到安全域的行为审计安全域内的所有操作行为，方便审计回溯划分多安全域，租户数据库与外部服务平台，避免误操作应用隐身终端可信身份可信行为可信数据防泄露个人域安全域数据无法流出**零信任：文件外发的管控措施

文件安全共享

文件外发审批

外发审计溯源内部协同办公场景，当员工需要将某份文件共享给内其他人员时，仅需对共享的文件进行右键“文件安全共享”，即可以快速完成文件共享外发文件给合作伙伴/客户审核等场景，仅需对外发的文件进行右键“申请文件外发”，便可将外发审批流程发送至管理员进行审批，审批后即可外发可实现文件共享及外发审批等行为日志审计可实现安全域内操作如屏幕截图、打印等操作审计支持水印能力，可实现截屏及外发溯源应用隐身终端可信身份可信行为可信数据防泄露企业资产数据泄露风险全程感知数据分类分级数据访问控制数据流转管控数据审计取证结合UEBA建模分析，对一些异常的外发行为进行建模分析，通过综合分析，告知管理员潜在数据安全泄密事件，比如离职倾向分析事前：建模分析，提前防范事中：自动处置，及时止损事后：深度审计，精准溯源实时监测数据访问和操作情况，及时发现异常行为，基于多维度访问控制及外发拦截等策略，响应处置数据泄露事件，紧急止损全面分析用户行为轨迹，自动生成数据泄露风险报告，通过明/暗水印、外发审计/拦截日志、截屏取证等手动精准溯源，提升审计效率S1S1S2低敏数据中、低敏数据数据分类分级数据访问控制数据流转管控数据审计取证企业数据流动下的多场景管控策略数据资产清单数据管控策略内置36+通道，如即时通信IM、网盘、云笔记等，可对所有通道的敏感文件外发进行审计，并且用户无感知自定义审批流程，高效审批无端模式管控高、中、低敏数据S1S2S3明暗水印无感审计外发拦截外发审批内部共享下载限制轻量管控策略部分管控策略全量管控策略企业办公数据防泄露最佳配置的实践案例轻量化部署，用户无感，不改变用户习惯外发审计、取证、拦截，覆盖网络/邮件/外设Web无端访问，权限精细管理，支持水印和访问审计RBI远程访问隔离，确保敏感数据不落地限制高敏感数据仅在安全工作空间内访问和操作支持多个密级安全域，对敏感数据分级管控企业IT资产办公应用邮件系统供销系统财务文件代码文档**零信任SASE一体化方案普通员工轻量客户端SWG/RBISecureLink客户端浏览器（无端）远程办公人员（BYOD）供应商合作伙伴研发外包开发设计、财务安全工作空间数据接入数据管理集中管控合规评估多场景数据保护方案，兼顾安全性/用户体验多方式接入5道防线，纵深防御，统一配置的实践案例SecureLink客户端SecureLink客户端SecureLink安全网关SecureLink客户端SecureLink策略及分析中心SecureLink安全网关办公业务区生产业务区员工办公区堡垒机OAHR邮箱OA防火墙OA1、应用隐身，非授权用户无法访问面向互联网应用迁移到内网，收敛暴露面2、二次认证、可信终端，凭证泄露也无法接入3、终端安全基线，自动查杀威胁程序入侵合规内网合规设备4、最小授权访问，阻断非授权用户访问堡垒机5、异常行为/网络威胁阻断，无法植入webshell6、三方产品联动，联合发现异常，精准识别邮箱爆破现象个人空间沙箱空间7、敏感数据严禁对外发送，确保生产数据、财务数据都不外泄黑客租户数据库外部服务平台可视化大屏助力全网访问监测攻击溯源可视化人员行为可视化网络威胁可视化访问流量可视化**零信任：一端走全球，轻松实现就近接入全球重要区域（POP-POP）数据延迟情况（单位：毫秒）中国-北美中国-欧洲中国-日韩中国-东南亚大陆-香港140+110+20+30+5+全球160+大中城市全球2800+节点CONTENTS案例及**介绍**方案需求背景目录价值优势**零信任与企业的场景结合**零信任+企业服务加强数据的安全性，控制资源调用，管理外部访问权限，并及时检测和应对潜在的安全威胁外部服务及其他系统可以采用零信任的访问控制策略，要求记者及其他用户在访问内容之前进行身份验证。这可以通过多重身份验证因素，如密码、短信、动态口令等方法来实现。用户认证和访问控制在企业中，保护敏感信息和内容的安全非常重要。零信任可以提供细粒度的数据和内容访问控制，确保只有授权用户可以访问和编辑数据和内容。数据和内容保护许多企业服务与外部合作伙伴和供应商合作，需要提供访问其内部系统和资源的权限。零信任可以确保只有授权的合作伙伴和供应商可以访问敏感资源，并提供实时的权限管理和审计功能。第三方访问管理企业服务需要保护其内部系统免受数据泄露和威胁的风险。零信任可以通过实时地监测和分析用户行为、网络流量等来检测潜在的数据泄露和威胁，并采取相应的措施进行阻止和应对。数据泄露和威胁检测**零信任安全的核心优势高安全水位首家集RBI、SWG、EDR、DLP、ZTNA多位一体统一策略,高效防护内置500+信任评估模型自研情报库3000万条规模强安全底座支持100GDDoS平台级安全防护10年网络及安全研发经验1000+研发产品团队保驾护航联动三方开放性标准接口，实现三方联动联动审计，快速定位攻击链条联动溯源，安全运营闭环处置自主可控全平台系统自主研发，无缝兼容支持国密认证，满足密评建设支持国产信创兼容性测试及认证全球加速2800+全球节点资源基于智能路由、协议优化全面提高访问效率支持SaaS及私有化方案全球加速CONTENTS价值优势**方案需求背景目录案例及**介绍该客户是中国机械制造行业头部厂商，主营业务是工程机械制造和