网络安全-全网零信任解决方案

全网零信任

解决方案GoogleBeyondCorp零信任安全模型实践特点：1、企业应用程序和服务不再对公网可见；2、企业内网的边界消失，消除基于网络位置的信任：谷歌大楼无特权网络-只能连接互联网、有限的基础设施服务（如DNS、DHCP和NTP），只有通过802.1x认证的设备才能被动态的分配到无特权网络，然后下一步再进行访问代理的认证，没有通过802.1x认证的设备只能被分配到访客网络中；3、基于身份、设备、和信任评估的细粒度访问控制；4、仅对特定应用而非底层网络授予访问权限；5、提供网络通信的端到端加密以及双向认证。引用：中国产业互联网发展联盟标准专委会零信任产业标准工作组-零信任实战白皮书零信任发展路线与**实践2004JerichoForum去网络边界化，限制基于网络的隐式授权2010Forrester提出“ZeroTrust”概念2014.12Google发布“BeyondCorp”2017O’Reily出版<ZeroTrustNetworks>2019NISTSP800-207Draft2004中国最早的802.1xNAC厂商2012基于终端代理的进程级网络访问授权2011基于角色的场景化动态最小授权2014.6EMM可信接入代理人员、设备、应用分层独立授权2015无口令战略PC移动智能设备联动2017基于零信任架构的SDP产品2019UEM统一端点管理战略2022.7参与起草的电子政务外网“一机两用”标准发布美国国家标准与技术研究院发布SP800-207:ZeroTrustArchitecture草案第二版本。2020~2004网络访问控制（NAC）架构2022IAM身份认证与管理系统2020发布统一终端安全访问零信任解决方案**全网零信任安全管理系统架构安全网关安全代理应用发布环境身份SPA信任网络信任网络端口是否开放?账号是否授权?设备是否合规?业务系统控制平面数据平面策略执行个人计算环境多域安全沙箱本地磁盘多域安全沙箱个人计算环境多域安全沙箱本地磁盘多域安全沙箱安全应用个人应用外部应用接口调用NAC准入控制企业网非企业网加密隧道加密隧道API安全网关统一管理请求接入安全应用个人应用评续信任估持控态访问制动统一策略中心统一管理中心身份验证中心智能分析中心**基于零信任理念，持续打造全网零信任架构可信身份全面身份化，实行严格的访问权限控制（不论内网或外网）；可信接入接入资产的整体安全管理，覆盖端点安全建设的全面性；持续验证永不信任可信应用基于应用“按需授权”，杜绝违规的应用在企业环境中运行；可信设备802.1x端口级准入+SPA协议+应用级的安全加密隧道结合，全面保证接入安全；可信数据场景化的数据安全防护思路，安全与效率平衡统一；以“持续验证，永不信任”为原则，围绕接入、身份、设备、应用以及数据五要素打造企业新安全体系可信身份：全网统一身份认证及用户管理可信身份能力：1、统一身份认证，包含组织架构管理和账号认证，系统自身具备统一身份认证，也可对接LDAP、IAM、4A；2、覆盖PC端认证、移动端认证、应用认证等；3、可提供双因素认证、手机和PC端联动扫码认证、单点登录、密码代填等功能。LDAP授权访问财务系统资源研发系统资源公用资源OA系统资源应用系统认证联动单点登录访问授权内置IAM模块用户同步用户认证合法放通统一认证单点登录未授权账号同步审批授权自服务门户不通过禁止访问业务统一用户管理账号密码CA证书扫码认证手机令牌短信验证OTP令牌IAM认证对接认证中心生物指纹员工管理员外部人员第三方机构可信接入：SPA网络“隐身”，信任从零开始未授权终端安装客户端，授权的终端安

全

网

关病毒木马攻击SQL注入跨站脚本攻击端口扫描攻击http/https访问携带SPA认证授权访问SPA认证：将包含用户身份/设备唯一特征码/证书等信息，向零信任安全网关进行“敲门”，成功后才可进行用户及设备访问认证；

基于SPA技术，收敛网络暴露面，让企业业务资源只对授权可信客户端可见；

注：TCP方式安全性要低于UDP方式，TCP方式的SPA以牺牲安全性来解决敲门漏洞等问题。业务系统代理访问面向资源访问侧的全端口隐藏经验能力：真正实现从理论到实践落地，积累了丰富的复杂场景的落地经验，例如NAT环境、UDP和TCP不同出口IP、多平台下高并发的SPA处理效率等，确保零信任系统及业务系统完全“隐身”有效；可信接入：动态环境感知，智能化接入认证请求认证访问智能感知接入信任评估授权环境变更检测动态授权管控请求接入802.1x+SDP认证SDP零信任认证终端环境检查不合规引导修复可联动软件商城引导自动修复修复完毕信任评分动态授权持续检测信任等级访问权限新信任等级，应用访问权限动态调整；双因素增强型认证：

手机二维码扫码认证；

手机短信认证码认证。终端环境发生变化信任评分动态授权内网外网动态智能感知终端网络环境，智能关联网络准入认证和零信任认证，实现两者有效结合。（一次登录，双重认证）引导修复可信接入：按需授权，应用级加密链路安全接入安全网关安全代理应用发布应用加密隧道应用加密隧道内部网络内部网络业务应用应用生命周期管理应用黑白名单应用发布审核审核通过标准加密/国产商用加密按需授权双向加密连接运行在安全沙箱最小权限访问访问审计控制器核心能力：1、终端无需启虚拟网卡，无需获取内网地址，四层代理与七层代理模式发起访问；2、构建国密加密隧道，可选与现有国密设施对接；3、基于指定IP/端口和URL进行细粒度的权限管控，避免越权；4、可基于用户、设备、应用单独开启关闭安全隧道，实现细粒度管控；5、终端到网关双向全链路加密，避免应用暴露及横向攻击。设备可信设备：持续信任评估，动态授权SPA身份授权环境评估业务A业务B业务CCRMＯＡ邮件B级S级A级A级C级B级SABC授权列表信任等级控制平面个人计算环境研发沙箱本地磁盘办公沙箱安全应用个人应用数据平面数据中心CRMOA邮件业务C业务B业务A加密隧道私有云公有云加密隧道可信接入代理可信接入代理威胁分析引擎行为分析引擎环境评估引擎零信任管理平台防病毒软件检查指定软件检查防火墙检查高危端口检查注册表检查…安全基线已安装未安装未开启未通过未通过-15-10-5-5可信设备：移动、PC端全生命周期统一管理PC、移动设备统一集中管理终端管理自动终端注册策略控制远程管控配置推送终端账户绑定终端使用承诺终端状态设备准入策略设备检查策略设备限制策略屏保策略远程锁屏远程注销远程数据擦除消息推送Wi-Fi配置推送iOS配置推送Android配置推送远程恢复出厂设置安全桌面(单一应用)设备围栏策略上网审计策略终端应用管控应用强制安装\卸载应用安装白名单安全基线终端环境检查终端配置检查终端安全检查软件黑白名单服务黑白名单浏览器配置检查安全管理补丁管理本地安全策略管理

单网通（一机多用）软件管理非授权外联管理操作行为管理运维审计远程协助消息通知软件分发告警通知行为审计资产采集可信应用：统一门户，应用全生命周期管理应用注册应用发布应用分发应用更新使用报告应用权限管理

从应用登记、注册、发布、访问权限、安全传输等全流程控制；建立企业级软件商城，实现应用安全发布，同时实现应用便捷下载统一工作入口个性化门户首页集成单点登录应用一键式访问业务快速发布精细化权限管理可信数据：多安全沙箱+跨沙箱数据安全交换安全应用个人应用安全网关CRMOA邮件业务C业务B业务A数据平面安全网关研发网办公网安全网关个人计算环境研发沙箱本地磁盘办公沙箱加密隧道加密隧道加密隧道数据导入管控数据导入管控数据导出审计审批禁止导出个人数据个人空间办公数据研发数据安全沙箱A安全沙箱B动态控制策略数据隔离加密存储安全隧道数据不落地数据导出审计审批可信数据：移动端数据安全能力快速集成安全沙箱、安全隧道安全阅读、安全浏览器安全相机、安全相册安全水印、安全邮件安全能力禁止复制粘贴禁止拍照截屏禁止外发分享禁止USB拷贝行为管理SDK集成自动打包安全域发布快速集成移动端标准化服务能力统一安全开发框架，标准化安全服务能力，轻量化SDK集成快速实现可信数据：数字水印及追溯优势:通过心里震慑约束员工行为，减少因误操作引起的数据安全问题优点：信息隐藏度高，不影响阅读，不容易被去除明文二维码图片矢量水印截图盲水印心理震慑通过直观的水印效果，对用户强调数据安全目标，并给予心理威慑审计追溯通过附带个人信息的水印效果，提供数据外泄的追溯手段覆盖移动端和PC端，基于应用动态加载打印水印优点：兼容所有打印机，支持敏感文件打印加水印，且不影响公文、合同等特殊文件的打印使用泄密图片**零信任平台能力框架示意图内部员工访客外部人员无线网络远程接入移动终端IoT终端截屏拍照互联网数据安全导出移动/远程办公接入控制终端接入认证安全隧道连接终端环境感知持续动态授权AllInOne解决方案框架统一身份，简化认证全网零信任终端安全管理数据安全保护配发设备强管控一机两用业务移动化支撑API安全网关统一门户，高效办公统一客户端，组件模块化一次安装，升级体验不变统一开发框架，安全能力中台化集中管理管控全面能力完整按需选择极致体验Android/iOSUOS/银河麒麟移动安全应用统一管理配发设备管控数据安全防护业务交易分析检测响应终端数据采集威胁发现告警安全事件调查快速响应处置终端安全终端基线管理安全加固管理统一策略管控运维响应支持数据安全敏感数据发现外发通道管控数据安全保护泄密溯源取证安全交换跨网数据交换补丁安全导入统一外发通道文件安全交换LAN/WANPC终端内部数据安全外发Windows/Linux/MacOS**全网零信任系统建设流程办公内网云桌面分支机构

Windows/MacOS/信创SDA/NAC访问控制

流量镜像

本地机房（数据中心）防火墙防火墙802.1x接入

、NACC流量准入移动办公互联网外网DMZ云平台云数据中心防火墙Agent客户端安全网关安全网关安全网关Agent客户端企业内网互联网全网零信任安全体系建立流程：1、部署零信任管理平台，终端安装Agent。2、互联网：在互联网访问企业资源指定路径部署安全网关，与终端建立加密隧道，优先保障远程办公终端可信接入。

Agent客户端3、内网部署安全网关，改造内网传统业务访问模式，最终形成全网零信任系统建设。

企业内网：基于内网环境，开启内网802.1x/流量准入，防止内网边界非法终端横向渗透。

结合业务模式，场景化制定终端管控策略。防火墙数据摆渡业务区域应用系统、SAP、BPM、邮件、网盘等零信任管理平台终端安全管理零信任安全接入统一认证动态授权价值优势：更高效的管理-系统融合，一套系统实现固移终端一体化管控实现PC终端和移动终端的统一管理，统一零信任管理平台和安全网关；相比业界2套系统，1套系统部署运维更简单；覆盖各类操作系统和终端类型；基于一套平台、一个客户端，可快速扩展，无需重复建设，同时提高运维和管理效率。固移终端，统一管控Android统信UOS银河麒麟WindowsMac设备iphone统一接入增强可见性简化管理提高安全性增强合规性提高操作效率减少建设成本价值优势：更便捷的选择-轻量级or全量级方案灵活扩展在完成准入认证、零信任认证建设外，加强终端及数据安全建设，通过现有安全技术手段，如防病毒软件、安全基线管理、终端补丁管理、终端软件管理、数据安全等方式，增强终端安全能力，从而提升全网安全建设水平。轻量级方案8