前言

隨著(zhù)云計算、大數據、物聯(lián)網(wǎng)等新興技術(shù)的不斷發(fā)展，網(wǎng)絡(luò )安全形勢也逐漸出現種種問(wèn)題。如運維人員、用戶(hù)、高管、第三方接入人員、臨時(shí)人員等多角色接入到網(wǎng)絡(luò )中導致用戶(hù)復雜化，存在PC機、平板、手機、NAT路由等多樣化終端，各式各樣的WEB業(yè)務(wù)網(wǎng)絡(luò )、APP等造成業(yè)務(wù)多樣化，云辦公、網(wǎng)中網(wǎng)等形成多云、多分枝多網(wǎng)絡(luò )的復雜網(wǎng)絡(luò )環(huán)境，等等。網(wǎng)絡(luò )安全也面臨著(zhù)網(wǎng)絡(luò )暴露面增加、數據泄密風(fēng)險高、數據明文傳輸、身份鑒別單一、訪(fǎng)問(wèn)限制粗化、終端種類(lèi)多樣等安全風(fēng)險。

為了應對新技術(shù)帶來(lái)的系列安全挑戰，一種新的網(wǎng)絡(luò )安全技術(shù)——“零信任技術(shù)”逐漸走入公眾視野。作為當下最炙手可熱的網(wǎng)絡(luò )安全防護理念之一，零信任技術(shù)默認網(wǎng)絡(luò )無(wú)時(shí)無(wú)刻不處于危險的環(huán)境中，認任何時(shí)間、任何位置、任何設備和用戶(hù)都是不可信的，零信任將安全體系架構從網(wǎng)絡(luò )中心化走向身份中心化“從不信任，始終驗證”是零信任的基本理念。

如何從源頭上有效防范層出不窮的網(wǎng)絡(luò )安全風(fēng)險？遠望信息基于十多年的網(wǎng)絡(luò )終端安全技術(shù)研發(fā)經(jīng)驗全新推出遠望零信任訪(fǎng)問(wèn)控制系統。產(chǎn)品基于零信任 SDP（軟件定義邊界）與 IAM（身份管理）技術(shù)實(shí)現遠程訪(fǎng)問(wèn)控制，可對業(yè)務(wù)實(shí)施安全隔離，訪(fǎng)問(wèn)者需要運行零信任終端，使用授權賬號通過(guò)認證后才能連接和訪(fǎng)問(wèn)授權的業(yè)務(wù)系統，并且可以根據訪(fǎng)問(wèn)者的訪(fǎng)問(wèn)行為、運行環(huán)境等因素動(dòng)態(tài)持續調整用戶(hù)權限。 ? ?

遠望零信任訪(fǎng)問(wèn)控制系統

遠望零信任訪(fǎng)問(wèn)控制系統從終端安全接入控制入手，對接入網(wǎng)絡(luò )的終端強制實(shí)施身份認證，保證接入終端身份合法、設備安全和資源訪(fǎng)問(wèn)范圍可控，讓終端用戶(hù)的數據和網(wǎng)絡(luò )得到更安全的保護，從而提高終端的主動(dòng)防御能力，進(jìn)而全面提升網(wǎng)絡(luò )的整體安全防御能力。

身份管理+終端環(huán)境感知：打造全面的零信任技術(shù)體系

身份識別與訪(fǎng)問(wèn)管理

作為零信任中最核心部分，身份管理對人、設備及應用進(jìn)行身份識別和訪(fǎng)問(wèn)管理，實(shí)現多因子認證。

基于終端環(huán)境感知的零信任

對需接入內部網(wǎng)絡(luò )的終端在入網(wǎng)前進(jìn)行安全檢查，確保接入內網(wǎng)的終端符合安全要求，防止造成內網(wǎng)隱患。對于不符合安全要求的終端進(jìn)行隔離修復，修復完成后才能入網(wǎng)。

? ? ? ? ? ?

主要功能

零信任網(wǎng)關(guān)認證

提供已安裝代理程序的終端來(lái)完成零信任協(xié)議認證。

身份認證

在使用終端前可采用多因子認證方式對用戶(hù)身份進(jìn)行鑒別，保證終端用戶(hù)身份的合法性，同時(shí)對身份認證操作日志進(jìn)行審計。

動(dòng)態(tài)驗證授權

持續對用戶(hù)的訪(fǎng)問(wèn)行為進(jìn)行安全環(huán)境評估，通過(guò)檢測異常行為、越權行為、威脅風(fēng)險及終端配置情況，動(dòng)態(tài)控制和調整用戶(hù)訪(fǎng)問(wèn)權限，以保障應用業(yè)務(wù)的安全。

訪(fǎng)問(wèn)控制

通過(guò)層層授權和防御機制，只授予人員所需的最小權限，進(jìn)行細粒度的訪(fǎng)問(wèn)控制。

產(chǎn)品特點(diǎn)

契合政務(wù)內網(wǎng)安全管理要求

采用對接入設備安裝終端代理程序的方式，實(shí)現對接入設備的身份認證和安全狀態(tài)檢查，支持移動(dòng)應用掃碼等多種認證方式。從終端設備安全管理入手，堵住網(wǎng)絡(luò )安全漏洞短板，確保終端接入內網(wǎng)的合法性，契合政府部門(mén)內部網(wǎng)絡(luò )的網(wǎng)絡(luò )安全管理需求。

細粒度的權限控制

零信任系統持續對用戶(hù)的訪(fǎng)問(wèn)行為進(jìn)行信任評估，通過(guò)檢測異常行為、越權行為、威脅風(fēng)險及終端配置情況結合UEBA，動(dòng)態(tài)控制和調整用戶(hù)訪(fǎng)問(wèn)權限，以保障應用業(yè)務(wù)的安全。

有效減少業(yè)務(wù)系統暴露面

通過(guò)SPA單包敲門(mén)能力，有效保護業(yè)務(wù)系統真實(shí)域名、端口等信息，只有安裝了零信任客戶(hù)端的可信終端，才能訪(fǎng)問(wèn)業(yè)務(wù)系統，攻擊者依靠掃描工具無(wú)法發(fā)現用戶(hù)的業(yè)務(wù)系統，從而實(shí)現隱身效果。

多層次的自身安全性措施，保證系統運行安全可靠

系統設計充分考慮了自身的安全性，從系統、數據庫、網(wǎng)絡(luò )通訊、策略分發(fā)與存儲等多個(gè)層面加強了安全保護，確保系統運行安全可靠。

良好的網(wǎng)絡(luò )適應性

適用于各種復雜網(wǎng)絡(luò )環(huán)境，無(wú)需改造當前用戶(hù)網(wǎng)絡(luò )結構，可靈活部署到網(wǎng)絡(luò )中，同時(shí)能很好兼容不同廠(chǎng)家的網(wǎng)絡(luò )或安全設備，具有良好的網(wǎng)絡(luò )適應性。