深信服零信任访问控制系统aTrust_移动APP访问内网办公系统-云巴巴

深信服零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust，支持多种认证方式、安全工作空间、终端合规准入等功能，全方位保障用户身份安全、终端安全、数据安全、传输安全、应用权限安全和审计安全，具有安全、快速、易用等优势特点，给办公访问带来全新安全、全新体验、全新运维！

立即咨询

首页 > 产品中心 > 网络安全 > 深信服零信任访问控制系统aTrust

数字化转型深入，推动IT和安全态势发生新的变化 icon

网络边界从清晰走向模糊

1. 网络边界模糊化：过去：内外网边界明确，通过边界判断是否安全，现在：业务和终端广泛分布。2. 接入形式多样化：过去：PC接入，局域网、VPN，现在：移动终端、IoT终端，分支接入、云化业务访问…3. 应用形态复杂化：过去：C/S形态为主，少量B/S，现在：大量B/S，APP、H5、小程序等广泛存在…4. 用户角色多样化：过去：内部员工为主，现在：内部员工，供应商，外包，合作伙伴…

业务变化、攻防变化，导致安全风险剧增

终端网络复杂化：随着业务发展，大量终端可以同时访问互联网和内网，容易被钓鱼攻击成为跳板。中间件/应用漏洞频发：业务系统越来越多，同时大量集成各类中间件，中间件和应用自身漏洞多，如果暴露在互联网导致更多攻击风险。数据泄漏敞口增大：随着移动办公、远程访问增多，导致数据更易泄露、也更易被窃取。多样化终端难以标准化管控：终端分散、BYOD终端种类多，终端环境管理运维难度大。业务复杂化带来权限难管理：人员与业务快速增长，跨区域访问频繁，权限管理难度增加。军工级武器平民化：永恒之蓝。

传统基于边界防护安全模型的局限性 icon

随着时代的发展，各类新的应用和业务场景也不断涌现，传统边界安全模型的局限性逐渐暴露，对云计算等新技术新应用的适应性不强

内部网络区域信任过度

信任判定本质上基于网络位置，边界外严防死守，边界内畅通自由

核心业务服务拓扑暴露

先授权网络访问再进行身份认证，业务拓扑实际已经暴露，扩大了被攻击面

身份认证方式狭隘单一

身份认证狭义化，忽略终端和应用多维关联，缺乏复杂状况的多维认证

访问控制机制静态粗放

权限管理复杂，极易松紧失衡，不能有效匹配业务，且缺乏动态调整能力，信任持续有效

举例-某金融客户现网面临的安全挑战 icon

安全挑战：1、业务暴露面大——业务上云、分支访问、远程访问等导致传统分区分域机制被打破，攻击面扩大。2、缺乏终端评估机制——终端分散、BYOD、一机多网，导致传统终端安全手段难以适应。3、数据泄密风险加剧——远程办公、跨区域访问、BYOD等加剧数据流转，数据未授权访问、泄密风险加剧。4、权限管理粗泛——跨区域访问、远程访问，导致传统ACL手段难以精细化权限管理。

基于业务访问各个风险环节提升安全性 icon

消除隐式信任带来的安全风险，通过收缩暴露面减少攻击面，以身份为基础，通过多维持续信任评估和动态控制，及时阻断风险行为。

深信服零信任aTrust产品概述 icon

在远程办公场景，深信服基于零信任理念，以VPN领域近20年的技术积累，采用最新的SDP（软件定义边界）架构打造的新一代安全接入产品，更安全、体验更好，能够为远程办公访问提供端到端的安全防护，支持多种认证方式、安全工作空间、终端合规准入等功能，全方位保障用户身份安全、终端安全、数据安全、传输安全、应用权限安全和审计安全，具有安全、快速、易用等优势特点，给办公访问带来全新安全、全新体验、全新运维！

深信服零信任aTrust架构-深信服是怎么做的 icon

深信服aTrust构筑端到端业务访问的信任链条 icon

身份安全-动态自适应认证 icon

不仅支持多因素认证，还支持动态自适应认证，实现认证的安全与体验平衡

认证场景效果

终端可信-终端环境检测 icon

检测环境检测（支持Windows、Mac） - 无需其他组件：要求终端必需安装防病毒软件；要求终端必需打齐操作系统补丁；要求终端必需安装指定软件才允许访问报销系统；要求终端必需加入域控、必须在内网上才允许访问财务系统；

终端可信-丰富的终端环境检测项 icon

提供灵活的跨平台终端准入控制，在登录时、访问业务过程中持续检测终端环境，不满足安全基线时，及时注销登录或阻断业务访问，确保只有符合安全条件的终端才能登录并访问业务系统。

终端可信-联动EDR，增强终端环境感知（按需选择） icon

aTrust客户端与深信服自有EDR深度融合，能够在登录时获取到详细的终端安全评分（木马病毒、漏洞检测等），避免不安全终端、失陷终端接入内网

与EDR深度融合，一个托盘图标，员工感知好

SDP+EDR，同一个工作台打开，使用体验好

支持丰富终端检测能力和安全评分标准

终端可信-可信应用

识别终端上发起访问的应用程序身份，非可信应用访问业务时，及时阻断请求或强制注销，避免恶意人员使用攻击/扫描工具进行入侵，防止钓鱼、木马攻击内网业务

终端安全效果

终端必须开启系统防火墙，才能登录上线；销管系统配置了基于可信应用的防护策略，仅允许Chrome浏览器访问销管。

连接可信-第三代SPA icon

通过第三代UDP+TCP的SPA技术，隐藏设备自身暴露面

连接可信-SPA开启及安全码分发 icon

管理员可在【安全中心】->【服务隐身】开启SPA功能。选择安全码生成模式，[共享模式]适用于外部用户未导入aTrust本地的场景，[一人一码]模式每个用户的安全码唯一。在【用户管理】模块选择SPA安全码的分发范围、有效期、重置、发送（短信发送）。

开启SPA后用户使用效果 icon

合法员工获取SPA安全码，激活aTrust客户端才能连接aTrust，未获取SPA安全码的用户无法连接aTrust。

权限可信-动态权限

基于身份、环境、行多源信任评估结果，动态调整访问权限，对于明确风险行为进行阻断，对于疑似风险行为进行挑战认证/告警，应对已知和未知威胁。

动态权限效果

采用公司派发的电脑（加了域控、安装了EDR）正常可以访问订单系统、会议室系统、邮箱等；当终端运行了远控软件（如向日葵、TeamViewer等）时，禁止访问订单系统，避免敏感数据泄露。

数据保护-零信任UEM沙箱 icon

一个终端可以同时开启多个空间，每个空间单独设置策略，实现多维度隔离管控。在工作空间中运行的程序具备SSL通信加密、落地文件加密、内外网络访问隔离、剪切板控制、外设管控、程序管控、文件外发管控、屏幕水印等数据保护功能。

数据安全-基于业务数据的安全程度设置不同的数据安全策略 icon

访问一般办公应用HRM系统，直接通过浏览器访问，可设置WEB水印，及日志审计。

销售人员访问中高敏感应用订单系统，自动在UEM沙箱中访问，订单数据只能在沙箱里访问，不能被外发或拷贝。

研发人员远程访问代码系统，只能在通过零信任单点登录桌面云访问，代码系统在内网服务器上，数据不落地。

行为可信-持续信任评估（可搭配零信任分析中心ZTA-A） icon

基于用户、终端、上下文、访问行为等多维度持续信任评估，并可以记录丰富详细的行为日志

持续信任评估

从用户、终端、上下文、访问行为多维度信任评估

应用维度：应用类型、版本、进程、数字签名…

终端维度：IP、系统版本、杀软/防火墙开启、指定软件…

访问维度：控制中心接入IP、接入城市、登录时间、是否弱口令登录…

行为维度：历史访问时间、历史访问频次、历史访问业务、历史访问数据量…

丰富的日志审计

可以记录用户的行为轨迹、访问日志、登录日志、安全日志、管理员操作日志、用户日志等

行为可信-详细的日志审计 icon

可以记录用户的行为轨迹、访问日志、登录日志、安全日志、管理员操作日志、用户日志等

产品形态

综合网关形态，控制中心和网关二合一

适用于1000并发用户以内规模

用户认证、隧道建立、数据转发、策略管理一台搞定

不适用于多数据中心或多云环境部署

可硬件、虚拟化镜像交付、可按年订阅购买

标准SDP形态，控制中心和网关独立部署

适用于1000并发用户以上规模，最高可支持百万规模

控制中心负责用户认证、策略管理

安全网关负责隧道建立、数据转发、策略执行

网关支持异地部署、支持多数据中心多云部署

可硬件、虚拟化镜像交付、可按年订阅购买

应用场景一：随时随地远程办公 icon

适用行业：全行业，如制造业、烟草、食品、物流、零售、地产、科技集团等。实现效果：体验好：无论在哪办公，都可实现与内网相同的访问体验；更方便：可以不用输密码，用手机扫码就可以轻松认证；更稳定：速度更快，性能更好，更稳定，用户再多也不怕；易运维：发布资源、权限申请与审批更简单。典型案例：携程旅行通过深信服aTrust，实现“3+2”混合办公，员工每周有2天可以在家远程办公，提升员工职场满意度；杭州钢铁集团不想再通过客户端远程访问业务，用户不在公司的时候打开浏览器输入域名就可以直接访问业务；上海交通大学的老师和同学们通过深信服aTrust可以随时随地访问图书馆资源和学校办公系统，论文想下就下。产品清单：aTrust控制中心+aTrust代理网关+aTrust接入授权，或aTrust综合网关+aTrust接入授权。

应用场景二：分支/第三方安全访问总部业务 icon

适用行业：全行业，如制造业、烟草、食品、物流、零售、地产、科技集团等；准备新建办公地点或者建设组网，通过组建“大内网”的方式来让所有的分支机构通过内网访问业务系统。实现效果：成本低：分支无需购买VPN，通过互联网接入总部aTrust就可让新职场的员工访问业务；体验好：无论在哪都与内网访问体验相同，认证更方便；高安全：通过总部配置策略，要求分支员工终端合规才能访问业务；易运维：总部集中管理资源和权限，无需对分支网络进行运维。典型案例：江苏银行的商户们利用原有的访问方式就可以直接访问业务，如果访问过程存在异常，aTrust会增强认证重新明确用户身份，风险高的行为还会直接阻断。中国上市500强企业信达股份的分公司直接利用aTrust访问业务，总部集中发布资源，并且管理所有的访问权限，解决了以前用SSL VPN的时候权限混乱、需要在不同业务间进行切换的问题。

应用场景三：移动APP访问内网办公系统 icon

适用行业：全行业，使用钉钉、企业微信、飞书等作为内部办公软件，并且将企业内应用接入钉钉等应用，实现员工在任何地方都可以安全访问内网业务。实现效果：和钉钉/企业微信单点登录，无任何额外登录即可访问；业务不用开放到互联网；同时免改造为指定业务增加认证；不需要改造业务系统，易部署，无需安装额外APP。典型案例：大央企中国交通建设集团的全球员工直接用企业微信访问业务，在大并发环境下依旧能够快速稳定访问，同时对接企业微信通信录，实现细粒度权限控制。成都产业投资集团的员工们用钉钉就可以安全访问内网的业务，内网业务不仅被aTrust隐藏起来，还实现了水印和异常访问的增强认证，同时用户保持原有的访问体验，丝毫感知不到aTrust的存在。产品清单：aTrust控制中心+aTrust代理网关+aTrust接入授权，或aTrust综合网关+aTrust接入授权，UEM移动版授权（APP自动封装、APP数据安全场景）。

应用场景四：Workspace一体化工作空间 icon

适用行业：全行业，员工远程办公时访问内网敏感业务系统，担心业务数据泄露。实现效果：安全：把敏感数据关起来，既不能发出去，也不会被外面的恶意软件给窃取或破坏；好用：workspace工作台，立刻上手，不需要额外学习，不改变使用习惯，兼容上百款办公软件；典型案例：海尔集团通过零信任UEM沙箱为集团上万名员工提供统一的远程办公接入，同时针对开发、设计场景使用安全工作空间，防止机密文件数据泄密。十堰农商行的员工通过安全工作空间访问内网的泛微OA，安全工作空间的网络与个人桌面的网络隔离，下载的文件自动加密存放，也不能随便拷贝导出，也没法对安全工作桌面进行截屏、录屏，还实现了安全工作空间的水印，保护了行内机密数据的安全。产品清单：aTrust控制中心+aTrust代理网关+aTrust接入授权+UEM标准版授权或aTrust综合网关+aTrust接入授权+UEM标准版授权。

优势总结

实施部署简单
采用标准SDP架构，最多两个组件就可以满足业务系统的多场景远程办公接入，不管是移动APP接入、Web接入、内网员工接入还是第三方接入均可一站式匹配。

优异的兼容性和用户体验
全面兼容各类终端系统及浏览器；接入速度快，支持多种选路和优化机制；使用稳定，支持免密上线、自动重连；提供workspace办公体验，统一工作入口，满足各种场景下的远程办公的便捷性，全面提升用户体验。

完善的远程办公安全保障
丰富的认证手段、基于终端环境的持续检测和认证、融合SDP软件定义边界和终端数据安全沙箱，同时满足接入安全与终端数据安全。

满足大规模安全接入
支持百万规模用户、十万级资源、权限管理的部署应用，支持多网关横向扩容，满足超大规模并发接入。

部署简单易落地

方案轻量，易落地：仅需控制中心+代理网关两个组件就可以实现多种场景的安全接入。认证对接能力强：多种开放的认证接口（比如LDAP、Radius、CAS、OAuth2、HTTPS等等），产品已经在上千家客户使用，与主流的认证平台厂商（比如竹云、派拉、亚信、中电福富、金智、联奕、格尔、吉大正元等等）均有对接案例，具备丰富的对接经验。配置简单：支持配置向导，设备上架时可以引导式进行设备部署配置。

易运维

详尽的日志审计：登录/访问行为完整审计、更详细、更完整，支持同步到第三方安全分析平台（如安全感知、SOC等）进行统一分析、溯源。终端自助资源诊断：用户可通过资源诊断工具自助完成各种环境问题的检测和修复，释放运维压力设备巡检：支持设备巡检或通过深信服acheck工具巡检，可查看当前设备配置、补丁等安全概况，可下载详细巡检报告，可通过acheck巡检工具进行补丁包升级。

开放性强

提供丰富的OpenAPI接口：可以与客户的OA审批、4A系统等对接，实现自动化审批，自动化用户创建和权限管理等。提供开放的多平台SDK：客户的APP可以集成aTrust SDK实现隧道加密、业务收缩内网、UEM沙箱等。

一站式工作台体验-基于零信任的Workspace办公体验 icon

点击图标可直接打开对应业务，不同密级应用一站式访问，体验安全双保障，点击访问的应用如未安装，自动弹出下载界面，支持控制台自定义欢迎语。

安全性高-领先、可感知的安全能力 icon

首创一人一码SPA

基于用户下发SPA安全码，支持设置有效期、远程撤销、爆破检测、仿冒检测等，让SPA真正可落地。

设备自安全

内置主机级入侵防御HIPS、内置WAF、设备文件保护、客户端防注入、防劫持等，确保设备自身安全。

安全可感知

详细的日志记录、配置变更对比、设备资源文件异常对比、设备安全巡检等。

实战验证

外部众测、公司内部红蓝对抗、某银行（ALi渗透团队验证）等多个能源/政府/金融客户21年HW验证。

大并发-超大规模用户/资源管理 icon

采用全新的产品架构设计，进行了性能优化，从而支持数十万级别的应用、百万级别的用户数、上万级别的用户组

可靠性高-超压稳定性设计 icon

新架构实现了智能资源控制，在高压超压时会针对业务限流降级，并做到系统不宕机、业务可用、请求延时而不失败（如2万并发，按3万并发持续压测，请求稍有延迟但是不会发生失败）。针对此项，我司还可以提供现场压测环境，按超压方式进行持续压测，验证设备可靠性。

可靠性高-分布式部署/集群/分布式集群 icon

分布式部署：一套控制中心可以支持多达64台代理网关，实现性能横向扩展。本地集群：控制中心和代理网关均支持本地集群，无需依赖外置负载均衡设备，实现性能扩展和高可用。分布式集群：控制中心支持分布式集群，实现数据中心级别的灾备和性能横向扩展。单机性能提升：新架构支持随CPU核数水平扩容，可支持32/64核甚至更高的硬件型号，单机并行可达10万。

可成长-从远处办公到全面零信任 icon

面向未来架构设计，从远处办公场景向全面零信任逐步落地

阶段一：重点保护核心场景：远程办公场景。场景需求：VPN远程接入的方式越来越不安全，如何保护远程办公用户的安全接入，实现安全的开放业务远程访问。建设思路：身份体系建设优先，构建零信任基石，高风险访问场景优先，收缩互联网暴露面，关注远程办公敏感数据泄露风险。阶段二：场景扩展核心场景：内网办公场景。场景需求：边界被突破后，内网横向渗透防不胜防，如何保护内网用户及业务安全。建设思路：内网升级到零信任架构，基于身份化的ACL实现最小访问权限，保护内网安全。内外网统一准入与访问控制，逐步走向全面零信任。阶段三：持续演进核心场景：数据中心内部访问场景。场景需求：数据中心内部主机/虚拟机/容器/服务之间频繁调用，如何实现内部东西向流量之间的隔离和访问管理，缩减内部攻击面。建设思路：构建数据中心东西向业务访问的零信任安全能力。通过微隔离组件实现业务流学习与精细化策略配。进一步增强安全能力，实现自适应安全、应对未知威胁。

双重零信任-网关+沙箱 icon

NIST标准里面包含有两种零信任部署模型：一种基于网关的零信任，一种基于沙箱的零信任。基于SDP网关的零信任：重建访问安全边界，从终端、身份、权限、行为到业务发布，实现全流程访问安全。基于沙箱的零信任：重建数据安全边界，将传统数据保护从面向终端到面向工作界面，实现防护粒度最小化。深信服零信任在架构上采用模块化设计，集成了网关+沙箱双重零信任，沙箱无需额外设备，也无需额外安装客户端。

全终端UEM沙箱

支持全终端安全沙箱，全面适配国产化操作系统和终端

企业案例-京东集团

项目背景

京东是国内领先的互联网龙头企业，京东认为无缝连接是数据驱动企业生态中一个根本的转变。在充分调研了国内外专业机构、企业对IT未来发展趋势的方法论、实践案例后。计划以“零信任”为理念，打造新一代京东办公网，重新规划人员、事业、应用、数据的无缝连接，助力用户安全、极简的办公体验，提高工作效率，促进业务发展。

需求分析

优异的接入体验：京东在全球有多个数据中心部署了多套办公应用，需要满足为员工提供一致接入方式，优异的访问体验。极致的办公体验：京东有统一的办公APP——海鸥，希望不改变员工使用海鸥办公系统的方式和体验。安全可靠：京东很多业务系统非常重要，员工、第三方人员访问过程中要保护敏感办公数据不泄露。高性能高可靠：京东全球有10万+员工，上千办公应用，需要满足大并发接入、大量业务系统访问的需求。运维体验：京东集团拥有大量员工和业务系统，管理员需要方便的了解应用系统使用情况，员工使用体验，异常的访问行为等，从而进行策略调优。

解决方案

在总部数据中心集群部署了多台高端控制中心，在多个数据中心分部署多套代理网关，各数据中心网关均本地集群部署，为京东全球员工提供稳定可靠的分布式接入方式。提供开放的SDK，由京东海鸥APP集成零信任SDK，并与海鸥的认证平台进行对接，员工无需单独安装零信任客户端，无需改变认证方式，不改变员工办公和登录体验。提供开放的OpenAPI，京东海鸥基于零信任OpenAPI创建用户、应用、以及权限分配，实现个性化集中策略配置。通过零信任UEM沙箱访问重要的业务系统，员工即使采用个人终端也不用担心数据被外发、拷贝，保护敏感数据不泄露。部署了零信任数据分析平台，可以集中查看应用访问情况、员工接入情况、异常访问日志等，及时调整IT策略。当前已实现几万员工，上万并发，600多应用系统的安全访问。

企业案例-携程落地“3+2”办公模式 icon

项目背景

携程是一个知名的在线票务服务公司，创立于1999年，总部设在中国上海。携程旅行网拥有国内外六十余万家会员酒店可供预订，是中国领先的酒店预订服务中心。秉持“以客户为中心”的原则，以团队间紧密无缝的合作机制，以一丝不苟的敬业精神、真实诚信的合作理念，创造"多赢"伙伴式合作体系，从而共同创造最大价值。

需求分析

携程在推行混合办公模式的建设过程中，遇到了一系列的问题：需保障用户体验：产品的版本更新需减少用户影响，如客户端灰度升级；减轻终端压力：当前部署了终端杀毒、准入、桌管等软件，用户PC终端负载过重；海外稳定接入：海外存在多分支机构，业务系统主要在国内，远程接入要求包含海外分支，需保障海外分支接入的稳定性和便捷性；数据防泄密：和高校开展校企合作，对于实习合作时的办公数据保密性要求较高，集团不希望此数据被外传泄漏。

解决方案

携程通过深信服零信任远程接入解决方案，在上海数据中心以集群模式部署两套aTrust，为全公司居家办公提供安全接入，其中海外用户通过与Akamai的CDN加速结合，保障跨国访问的稳定性和速率；同时针对校企合作的第三方实习人员，采用工作空间进行数据保护，与人桌面安全隔离，解决校企合作的数据泄密问题，同时也保障双方的和合作顺利开展。采用的灰度升级解决管理员软件升级造成占用大量带宽的困扰和用户上网体验性差的问题；轻量级客户端，占用本地资源较少，极大减轻终端压力；2022年初上海疫情形势严峻，深信服远程接入方案顺利保障了携程超过7000并发的远程办公使用。

金融案例-银联商务

项目背景

银联商务IT部门想转变工作模式，由被动响应模式转变为主动创新的工作模式，希望通过虚拟化、网络安全等新兴技术，打造数字化办公空间，实现银联商务总部和全国上百个分支的终端云化和服务化安全接入，提高办公人员的工作效率和使用体验，提升企业数字化形象。

需求分析

统一接入：当前接入方式有IPSEC连接、SSL接入、内网网络准入后直接访问等多种接入方式，需要为总部、省、市，第三方人员、内部员工均提供统一接入方式，简化管理难度。安全访问：目前终端类型多样，终端安全状况各不相同，人员身份多样，认证方式不一，存在弱口令、身份冒用风险，需要保障业务访问的终端和身份安全性。数据安全：当前很多员工通过移动终端访问重要应用，存在数据泄露风险，需要保障数据的安全性。业务连续高可靠：银联商务业务系统需要满足高可靠性要求，避免单点故障导致业务宕机。

解决方案

在总部集中部署零信任SDP集群设备，省市公司、内部员工、第三方人员均通过零信任SDP客户端访问业务系统。与派拉统一认证平台对接，实现统一认证，客户调用零信任SDP的OpenAPI实现权限同步，策略集中配置等。通过零信任终端环境检测功能、以及EDR终端安全能力，保障接入终端的安全性。通过零信任UEM沙箱，高敏感应用通过沙箱访问，数据无法被拷贝或外发。

产品推荐查看更多>>

深信服可扩展检测响应系统XDR

深信服可扩展检测响应系统XDR，演示组件、平台、服务的一体化。不再像友商一样，产品和服务非常割裂。通过威胁情报可实时的同步最新的热点漏洞情况，可查询漏洞基本信息和提供修复建议。MDR服务和XDR平台的整体界面对于用户增效的体验。

潜伏型攻击

传统防病毒

无文件攻击

加密流量攻击

立即咨询查看详情

深信服SD-WAN组网解决方案

深信服SD-WAN组网解决方案，分支设备具备安全防护能力，保障分支基础设施安全及核心财产安全。混合灵活组网，实现分支间、分支到总部、分支到云端的智能应用调度及链路优化，提高业务访问体验。引入SD-WAN控制器实现集中管控并简化部署流程，提高部署运维效率。

替换MPLS

业务集约化