400-002-5855 办公业务安全访问
内网办公业务安全访问
内外网统一访问控制
终端数据安全保护
办公业务安全访问
对于移动办公、远程运维、远程开发等多场景远程访问的客户,通过部署aTrust零信任访问控制系统为用户接入内网提供统一的安全访问通道,所有远程接入访问均需要经过aTrust进行身份验证和终端/环境/行为的可信确认,然后通过aTrust零信任访问控制系统的代理网关组件加密转发,极大的减少远程办公场景内部系统被非授权访问的行为。
内网办公业务安全访问
对于内网业务丰富、权限管理复杂、人员流动频繁、跨部门合作多的企事业单位等,利用深信服零信任解决方案规范内网权限机制,基于身份的动态访问控制,应对高级威胁的风险,同时提升提升企业的生产效率,释放生产力。
内外网统一访问控制
对于内外网均有相同业务系统访问需求的企事业单位,深信服零信任解决方案可以帮助企业或单位在内外网、多区域使用同一套访问控制体系,统一终端安全接入基线,从而简化网络架构,避免重复建设,节约建设成本,提升内外网一致的访问体验。
终端数据安全保护
对于远程访问涉及敏感数据,需要对终端侧进行数据保护的企事业单位,深信服零信任解决方案从用户终端安全、身份识别、传输安全、权限评估、策略评估、数据安全各个维度为用户构建零信任“双域空间”办公平台。通过终端双域隔离沙箱,实现数据落地后的安全保护,防止终端数据主动或被动泄密。
对于不同敏感度的业务系统,采用不同安全级别的准入策略,对业务实现分级保护,平衡安全与体验。
通过“信任引擎”,识别环境、身份、行为等维度安全风险,动态调整用户的访问权限,保护业务数据资产。
提供多种用户自服务能力,简化管理运维难度。如提供权限申请自服务工具、终端环境诊断工具、授信终端自助管理工具等。
隐藏关键业务,缩小暴露面。先认证、再授权、后连接,未携带合法SPA票据的终端,无法访问任何业务系统,有效缓解扫描探测、漏洞利用、DDoS等攻击行为。
| 关键能力维度 | 传统SSL VPN | 零信任“VPN” |
| 业务发布 | 业务收缩进内网,通过SSL发布,但默认都可以连接SSL发起认证请求 | 业务收缩隐藏到代理网关(或综合网关)后
采用SPA单包授权机制,实现网络隐身 |
| 认证接入 | 双因素多因素认证
终端登录时静态准入 |
动态自适应认证,增加动态增强认证能力
全周期终端环境动态检测,动态业务准入 |
| 权限控制 | 基于角色的静态访问控制 | 动态访问控制,基于环境、身份、行为等多源条件动态调整访问权限 |
| 访问行为安全 | 日志审计,通过SYSLOG、外置数据中心记录访问资源等行为 | 全量、更精细的访问日志审计
结合第三方安全能力,多源评估,识别异常访问行为,快速处置 灰度处置能力 |
| 访问体验 | 通常采用客户端接入 | B/S业务免客户端接入
内外网一致体验 传输技术改良,兼容性与快速性更优 |
| 运维体验 | 客户端运维工作较大
权限变更、申请依赖于运维人员,权限运维难度较大 |
B/S业务免客户端
权限自服务申请与自主审批 权限;提供智能权限工具 |
业务通过传统方案收进内网会面临用户访问域名发生变化、无法强制商户安装客户端,运维难度大;当用户使用弱密码时需加强认证,当有异常暴力破解行为时需要提供防护机制。
浙江电信共有网管系统、办公系统、业务后台管理系统等200个网络及应用运维系统6000余名运维人员,需要实现各类网管运维系统统一安全接入,缩小业务暴露面,统一访问控制。
400-002-5855 
zl@yhymdata.com 
