联软科技全网零信任安全解决方案_统一身份认证系统

联软科技全网零信任安全解决方案

联软科技全网零信任安全解决方案以“持续验证，永不信任”为原则，围绕接入、身份、设备、应用以及数据五要素打造企业新安全体系。统一身份认证，包含组织架构管理和账号认证，系统自身具备统一身份认证，也可对接LDAP、IAM、4A。覆盖PC端认证、移动端认证、应用认证等。

立即咨询

全网零信任需求分析

移动/远程办公需求旺盛
移动/远程办公成为企业常态化，员工使用BYOD个人设备以及移动设备进行办公需求旺盛，在收敛互联网暴露面的同时，企业也希望可以对PC/移动终端进行统一管理，以及保证接入终端符合要求、保证接入用户权限可控

替换VPN
VPN的安全性、访问权限管控等弊端显著，因此需要对VPN进行替换，以此规避VPN导致的安全漏洞、管控缺失及升级扩展等体验问题

终端安全建设增强
接入企业的终端数量和类型越来越多，企业终端安全建设水平不统一的情况下，如何通过全网零信任保障企业业务系统的安全性，首先需要统一加强接入终端的安全建设水平

数字化转型
企业数字化转型过程中引入云计算、大数据和物联网等新兴技术，同时企业业务架构和网络环境也随之改变，形成多数据中心、多云的“混合访问”模式，减少互联网暴露面以及如何在开放的云环境中保障云上业务访问安全至关重要

一机两用
政务外网安全问题严重，60%终端存在同时链接政务外网和互联网的情况，政务外网80%的安全事件因为终端感染病毒或被控而发生，以及一机两用技术指南要求

敏感数据防泄密
安全合规和敏感数据保护角度，针对移动/远程办公场景下企业内部敏感数据落地的安全闭环管理

全网零信任建设及落地难点分析-技术方面 icon

终端类型多样化
PC、移动端、BYOD与COPE种类多样化

操作系统差异化
Windows、Linux、Android、IOS、信创等，版本差异大

终端安全能力
终端环境的全面感知和动态授权能力，以及复杂场景下的终端数据安全能力

内外网终端管理差异
互联网远程移动办公接入与内网终端安全建设无法统一的问题：客户端无法统一，内外网安全建设场景无法全覆盖。

全网零信任建设及落地难点分析-管理层面 icon

重复建设
端点安全产品不断集成到终端，但功能重叠率高，投入回报低

管理复杂
多个安全产品日志告警多，运维效率降低

数据分散
缺乏统一管理平台，无法了解终端整体安全状况

用户抵触
一个终端安装多个Agent，终端运行速度和用户体验降低

实施层面

整体规划、分步建设
优先在新场景中进行验证；

根据业务重要程度及风险影响进行优先级排序

零信任架构增强
现有的NAC/EPP/AV/EDR/SIEM/威胁情报等安全建设对零信任起到增强的作用

平台开放性
平台要充分考虑集成和融合，建立开放合作机制

联软基于零信任理念，持续打造全网零信任架构 icon

可信接入
802.1x端口级准入+SPA协议+应用级的安全加密隧道结合，全面保证接入安全

可信身份
全面身份化，实行严格的访问权限控制（不论内网或外网）

可信设备
接入资产的整体安全管理，覆盖端点安全建设的全面性

可信应用
基于应用“按需授权”，杜绝违规的应用在企业环境中运行

可信数据
场景化的数据安全防护思路，安全与效率平衡统一

联软零信任平台能力框架示意图 icon

联软全网零信任安全管理系统架构 icon

可信身份：全网统一身份认证及用户管理 icon

可信身份能力

1、统一身份认证，包含组织架构管理和账号认证，系统自身具备统一身份认证，也可对接LDAP、IAM、4A；

2、覆盖PC端认证、移动端认证、应用认证等；

3、可提供双因素认证、手机和PC端联动扫码认证、单点登录、密码代填等功能。

可信接入：SPA网络“隐身” ，信任从零开始 icon

SPA认证

将包含用户身份/设备唯一特征码/证书等信息，向零信任安全网关进行“敲门”，成功后才可进行用户及设备访问认证；基于SPA技术，收敛网络暴露面，让企业业务资源只对授权可信客户端可见；注：TCP方式安全性要低于UDP方式，TCP 方式的 SPA 以牺牲安全性来解决敲门漏洞等问题。

经验能力

真正实现从理论到实践落地，积累了丰富的复杂场景的落地经验，例如NAT环境、UDP 和TCP不同出口IP、多平台下高并发的SPA处理效率等，确保零信任系统及业务系统完全“隐身”有效。

可信接入：动态环境感知，智能化接入认证 icon

可信接入：按需授权，应用级加密链路安全接入 icon

1、终端无需启虚拟网卡，无需获取内网地址，四层代理与七层代理模式发起访问；

2、构建国密加密隧道，可选与现有国密设施对接；

3、基于指定IP/端口和URL进行细粒度的权限管控，避免越权； 4、可基于用户、设备、应用单独开启关闭安全隧道，实现细粒度管控；

5、终端到网关双向全链路加密，避免应用暴露及横向攻击。

可信设备：持续信任评估，动态授权 icon

可信设备：移动、PC端全生命周期统一管理 icon

可信设备:终端补丁管理 icon

可信设备：终端软件管理 icon

可信设备：终端非授权外联管控 icon

对终端外联接口进行安全管控，包括但不限于红外、蓝牙、软盘、光盘、串口、并口、网络接口、智能设备、光驱等以及其他外联设备；对无线以太网卡进行禁用、审计、仅在有线网卡工作时禁用、WiFi白名单、WiFi黑名单控制，支持无线SSID仿冒检测；监控终端非法连接互联网，违规终端外联阻断、断网、重启、告警；移动存储设备注册管理，终端用户可在本机自行注册、申请移动存储设备。

可信设备：终端检测与响应 icon

可信应用：统一门户，应用全生命周期管理 icon

可信应用：API安全管理 icon

可信数据：基于业务访问场景化的数据保护方案 icon

根据终端设备身份及状态、业务访问模式（内网/外网）、接触数据的等级，结合联软数据安全实践经验，进行基于场景化的数据安全策略制定，通过多样化管控功能在兼顾业务的同时，让数据安全地创造价值。

可信数据：多安全沙箱+跨沙箱数据安全交换 icon

可信数据：数字水印及追溯 icon

心理震慑

通过直观的水印效果，对用户强调数据安全目标，并给予心理威慑审计追溯

通过附带个人信息的水印效果，提供数据外泄的追溯手段

可信数据：构建可控的数据安全交换通道 icon

结合安全网闸技术在不改变网络隔离的情况下，实现跨网间文件的快速传输，并提供完善的杀毒、敏感检查及权限控制等功能的系统，为企业建造真正意义上的文件安全传输通道。

零信任平台采用微服务架构提供高扩展性 icon

联软全网零信任系统建设流程 icon

价值优势：更全面的安全-接入安全+端点安全+数据安全 icon

1个客户端实现终端一体化防护，相比业界3个客户端更简单；

终端沙箱隔离保护敏感数据，方案单用户5个沙箱，业界仅1个；

单网通策略禁止同时访问两张网络，阻断跨网攻击；

满足网络隔离安全合规要求基础上且建立跨网文件安全交换通道；满足国家XC要求，安全更有保障。

价值优势：更高效的管理-系统融合，一套系统实现固移终端一体化管控 icon

实现PC终端和移动终端的统一管理，统一零信任管理平台和安全网关；

相比业界2套系统，1套系统部署运维更简单；

覆盖各类操作系统和终端类型；

基于一套平台、一个客户端，可快速扩展，无需重复建设，同时提高运维和管理效率。

价值优势：更便捷的选择-轻量级or全量级方案灵活扩展 icon

轻量级方案

802.1x+SDP，全面实现接入安全；

统一认证入口，一次登录，双重认证；

终端环境持续感知，动态授权应用权限。

全量级方案

统一客户端，集成接入安全、端点安全、数据安全；

统一应用门户，提升用户体验，减少终端性能占用；

终端数据联动，环境检测一键修复，提高运维效率。

价值优势：更丰富的落地经验-各行业零信任安全落地经验助力 icon

联软优势

十八年终端技术的累计

国内首家网络准入、终端平台化解决方案厂商

国内首家全网零信任解决方案供应商

联软优势

具备邮储银行、浦发银行、中国银联、邮储银行、中国银行、光大银行、格力电器、中国移动、中山市政数局等各行业零信任项目丰富落地经验

参与起草电子政务外网“一机两用”标准

价值优势：更丰富的落地经验-各行业零信任安全落地经验助力 icon

理念领先
同一个平台，同一个客户端

多合1的解决方案，减少客户

重复投资，简化运维人员工作

降低客户端重复安装，缩短建设周期，

以及提升终端计算机性能，减少兼容性冲突

技术强硬
面向企业唯一可落地、有效果、

安全和效率统一的方案

业务接入安全可靠，终端环

境持续检测，权限动态下发

终端管控功能全面充分考虑实际应用场景与体验

可落地性强
行业终端管理经验丰富，保障客户

端平稳运行，技术积累深，交付能力强

原厂商创新能力强，本地化服务

能力强，售后服务支撑有保障

案例—某股份制银行

技术路线：基于零信任安全理念设计，选定软件定义边界（SDP）为项目技术路线；零暴露面：网关设备实现自身隐身，非管控机和行外员工无法访问网关；应用隧道：四层应用级加密隧道，只代理指定业务流量而非终端全流量；环境感知：感知终端安全基线，不符合安全基线的终端禁止接入/降低权限接入；  国密改造：传输加密方式改造成国密算法；技术架构：控制平台和数据平台分离，控制器可以统一管理多个网关；扫码认证：对接统一认证平台获取二维码，手机APP扫码认证完成多因素认证；统一门户：行内应用发布到统一门户中，通过门户集中访问行内应用；统一客户端：行内桌管客户端扩容零信任模块，不新增客户端；  自动感知切换：感知位置在行内自动网络准入，感知位置在行外发起远程办公。

案例—通威太阳能

业务需求

实名制接入流程，包括内网和互联网终端；需要具备远程协助等远程运维工具，提高运维效率；对员工电脑上的业务数据进行保护，防止企业机密文件通过各种外发通道方式造成泄漏；针对泄密事件，能够进行事后追溯，准确定位；

方案设计

部署：双机热备架构，管理中心统一管控各基地网关

网络安全：内网实现端口级别的实名制接入、互联网终端通过SDP接入；安全运维：远程运维、资产管理、补丁管理、基础信息展示与消息推送

应用安全：软件仓库、工具箱、软件分发  数据安全：移动存储管理、终端水印管理

案例—广东中山市落地全国首个政务外网一机两用+5G专网样板点 icon

中山政数局：5G二次鉴权部署方案 icon

二次鉴权

1.零信任APP向零信任准入平台触发 SPA认证。 2.零信任准入平台解析SPA报文，获取身份信息，向现网身份认证系统触发用户身份校验。 3.SPA认证通过，通知零信任安全网关放开网络权限；进行SDP认证，获得应用访问权限。 4.建立HTTPS隧道，通过零信任安全网关代理访问政务应用；防止连接共享热点访问5G专网通过零信任架构，将政务应用保护在零信任安全网关后面，终端必须安装零信任 APP/SDK，认证通过后，政务应用

行业用户群体