奇安信零信任身份安全解决方案_统一认证管理系统

申请试用

奇安信零信任身份安全解决方案

奇安信零信任身份安全解决方案，安全能力内嵌入业务体系，构建自适应内生安全机制。通过基于ABAC的动态授权机制，实现权限最小化和动态授权管控，避免在不安全状态下访问业务。多维度展示用户特征，为访问安全策略的制定、审计溯源做基础。

立即咨询

首页 > 产品中心 > 身份安全 > 奇安信零信任身份安全解决方案

数字化转型与新基建时代网络安全边界的变化 icon

内外部威胁的重点发生了变化 icon

大数据安全、内部威胁、业务系统应用安全、有组织高级威胁

从业务视角审视安全架构的关键点 icon

根据业务需求，以资产为中心，穷举访问路径，明确访问预期，并持续在访问过程中验证和评估真实访问上下文和访问预期的偏差。

----“什么部门的什么人，或什么设备，在执行什么任务，通过什么网络，进入什么计算环境，访问什么应用里的什么功能，才获取什么类型的数据里的什么字段”

从安全视角来看安全架构不足 icon

仅仅依靠边界防护难以应对身份、权限、系统漏洞等维度的攻击向量。安全架构亟需升级！

零信任参考模型

零信任的核心能力

终端可信
设备清单库

设备认证

终端环境评估

自身安全
数据面、控制面分离 WAF/RASP/

进程黑白名单

最小权限
应用级授权

功能级授权

数据级授权

业务隐藏网络隐身
业务暴露面收缩

SPA单包授权

持续信任评估
基于身份的信任评估基于环境的风险判定基于行为的异常发现

动态访问控制
基于属性的访问控制基线，基于信任等级的分级访问，基于风险感知的动态权限

奇安信对零信任关键能力的解读 icon

安全能力内嵌入业务体系，构建自适应内生安全机制。

奇安信零信任通用参考架构 icon

能力整体架构图

①终端安全能力

②业务隐藏与保护能力 icon

③动态访问控制能力

④信任评估能力

从工程视角看零信任适用场景 icon

场景选择、乐高式叠加 icon

落地场景一：具备单点登录和统一身份认证 icon

场景：

客户具备统一身份平台和单点登录系统（SSO）

业务系统实现与统一身份和SSO对接

关键点：

一、可信访问控制台对接：

对接SSO系统（OAuth2.0、CAS等标准协议）

对接AD域（同步用户/用户组信息）

注册应用信息

配置用户权限信息

二、应用系统管控

客户侧不用做任何改动

对不纳管的应用，可通过白名单机制放行

落地场景二：具备统一身份认证、无SSO icon

场景：

客户具备统一身份平台

客户未实现单点登录系统（SSO）

业务系统实现与统一身份对接

关键点：

TAC提供SSO能力

TAC对接AD域（同步用户/用户组信息）

业务系统对接访问控制台（提供OIDC标准接口）

TrustAgent提供3层转7层的能力

落地场景二：具备统一身份认证、无SSO icon

场景：

客户具备统一身份平台

客户未实现单点登录系统（SSO）

业务系统实现与统一身份对接

关键点：

TAC对接统一身份认证（同步用户/用户组信息）

完成零信任认证并上线

TrustAgent提供3层转4层的能力

客户侧不应做任何改动

落地场景三：无统一身份认证、无SSO icon

场景：

客户不具备统一身份平台

客户未实现单点登录系统（SSO）

业务系统账号由业务系统建立

业务系统认证由业务系统完成

关键点：

客户侧不应做任何改动

TAC建立零信任账号信息，完成零信任认证

TrustAgent提供3层转4层的能力建立安全连接

典型场景一：数据中心场景 icon

驱动力：业务驱动：资源整合数据融合数据共享数据安全；政策驱动：《国务院关于印发促进大数据发展行动纲要的通知》（国发〔2015〕50 号）《“十三五”国家信息化规划》以及互联网+政务服务等各项工作要求；

痛点【风险】

身份可信问题：业务人员身份管理、资源管控、权限管控问题怎么解决？暴露面大问题：数据中心对外暴露，如何规避一刀切的防护方式，进行动态灵活授权？如何确保先认证，再连接？终端可信问题：多端协同需要加剧，终端环境安全状态感知缺失，如何确保终端安全？访问行为不可控：对异常访问如何检测? 如何动态控制？数据共享交换：跨部门、跨平台信息多云共享、数据交换安全防护如何强化？

数据中心场景解决方案 icon

从应用访问、接口调用两个维度保证终端可信 + 身份可信 + 访问可信+ 动态控制

案例一：某市政务云实践案例及配置 icon

背景需求：市政务系统集中上云，各委办局业务资源整合，统一纳管，接口开放，面临数据安全问题。应用资源暴露面增加，风险加大，终端分散设备安全性、合法性问题，业务访问权限控制不够灵活。

解决方案：在数据域和用户域之间建立安全访问平台，实现统一安全接入、单点登录等：业务集中代理，对外隐藏应用系统，各各委办局访问终端风险情况实时感知，感知结果实时上报，重新评估主体信任，动态调整访问权限，统一认证、单点登录。

用户价值：业务整合上云，资源集中安全防护，提高管理效率，一体化安全访问平台，满足多种类型架构应用，资源防护全覆盖，综合多维度风险信息，基于身份评估的动态访问控制机制，实现各委办局办公安全接入。

产品配置：

一期：可信应用代理TAP 可信访问控制台TAC 可信环境感知TESS

二期：智能身份分析平台IDA 智能可信身份平台TrustID

案例二：某央企数据中心零信任实践案例及配置 icon

背景需求：企业数据中心建成后，响应上级部门要求，数据需按要求进行共享，面临的主要问题：接口开放，面临数据安全问题，跨部门人员调用、应用主体身份安全、设备安全问题难保障，应用接口调用过程中的权限控制问题，调用方业务系统的安全性感知问题。

解决方案：业务集中代理，隐藏后端业务、接口【一期目标】，运维管理安全管理【一期目标】，可信身份统一管理、终端环境安全感知，主体身份持续评估、业务访问动态控制。

用户价值：细粒度访问控制能力，解决应用层跨部门数据安全交换需求。对不同部门用户、运维人员的身份进行持续评估动态授权，提升业务访问、运维访问安全。接口代理安全防护，助力分析域、处理域实现双域互通。

产品配置：

可信应用代理TAP 可信API代理TIP

可信访问控制台TAC 可信环境感知TESS

典型场景二:远程访问场景 icon

驱动力：数字化转型加速，企业需要开放更多业务给各种人员、设备、在任何时间、地点进行远程访问。新冠疫情加剧，远程访问常态：远程运维、远程访问、远程开发、合作伙伴远程访问等，护网期间VPN打穿问题。

痛点【风险】

终端可信问题：远程终端运行环境不合规，恶意软件泛滥，业务接入前终端自身安全性如何保障？ VPN存在问题：自身漏洞、性能低、被“打穿”风险何如防范？身份认证问题：如何化一次性静态认证为动态持续认证？静态认证后，一旦出现风险怎么发现？如何应对？业务权限问题：高低敏感业务访问，如何在发生风险时，动态缩小用户访问权限，保护高敏业务？第三方接入问题：远程人员、接入设备可信度无法识别，人员权限混乱

远程访问场景解决方案 icon

案例一：某银行远程访问实践案例及配置 icon

背景需求：采用远程接入代替现有安全桌面，3000名用户远程需求，缺乏有效权限管控，存在安全风险。访问终端不可信，终端风险不可知，云桌面直接暴露到互联网，存在安全风险，静态认证，业务访问过程中，缺乏动态控制。

解决方案：云桌面穿透，终端设备、环境风险感知，集中代理收缩云桌面暴露面，与行内已有4A系统对接，业务访问持续动态控制。

用户价值：最小权限模型隐藏应用，业务访问全程防护，访问安全。支持多用户并发访问接入，运转高效。收缩互联网边界，内外网域名保留，体验一致，传输加密。平滑对接现有4A，无需多次认证，轻松便捷，平滑对接现有预警系统，风险预警实时同步。

产品配置：

可信应用代理TAP

可信访问控制台TAC

可信环境感知TESS

案例二：某银行远程开发测试实践案例与配置 icon

背景需求：受疫情影响，人员远程办公常态化，部分业务开发测试工作急需对外开放，但缺乏安全防护机制，业务运转效率。VPN接入到云桌面，其自身存在安全漏洞，远程开发、测试人员缺乏灵活的动态访问控制，高敏业务操作情况下，缺乏可信环境感知能力。

解决方案：在DMZ区，构建零信任安全访问平台，对测试开发人员远程提供防护，云桌面穿透，终端环境感知上报，业务集中代理，隐藏应用系统不可见，访问主体信任持续评估，细粒度动态访问控制联动，动态规避、阻断外部攻击威胁，支持二次认证鉴权。

用户价值：办公访问远程开放，企业效率显著提升，开发测试人员办公远程进行，时间、地点不再受限；无缝对接现有云桌面，安全无感内嵌，用户体验不受影响；BYOD、CYOD多类型支持，无需受限于办公终端。

产品配置：

可信应用代理TAP 可信环境感知TESS

可信访问控制台TAC 智能身份分析系统IDA

典型场景三：移动零信任应用场景 icon

驱动力：数字化转型，企业移动化成为趋势，企业业务从多App走向平台化，移动安全从“外挂式”走向内生化。

痛点【风险】

传统的移动安全解决方案不能满足企业数字化转型需要移动终端多元：各厂商系统漏洞防护参差不齐，个人/业务APP混用，如何确定终端可信度、运行环境安全性？移动网络开放：移动网络开放性高，明文传输、数据窃取篡改问题如何应对？应用暴露面增加：业务应用对外暴露，如何确保在访问前先对终端、用户进行全面合法认证？缺乏动态访问控制：如何准确进行访问阻断、二次认证等操作以应对访问中发生的风险行为？无持续认证能力：如何对风险进行实时把控，对访问主体进行持续性认证，进行最小化授权？

移动零信任场景解决方案 icon

从移动终端、用户、应用、网络、业务访问过程等环节确保移动终端可信 + 身份可信 + 收缩业务暴露面+ 动态访问控制

某大型央企移动零信任实践案例及配置 icon

背景需求：构建“一个保障、二个门户、三个中台、四个共享”建设驱动，信创云建设（业务汇聚蓝信、业务架构整改支持H5），将内生安全防护，融入至业务应用，提升安全体验。

解决方案：在DMZ区建设蓝信平台及访问控制平台，移动端访问接入进行防护。移动终端设备认证，加强身份准入。内网业务安全隐藏，减少暴露面。终端环境感知，风险监测、结果上报。动态访问控制，实时阻断风险行为。

用户价值：统一办公门户，应用统一管理，业务集中访问--办公集中高效。应用单点登录，无需多次输入账号口令--用户无感进入。业务安全代理，数据传输加密，风险情况综合评估，动态访问授权--业务访问安全。信息大屏展示，终端状态、风险情况动态展示--风险直观洞悉。

产品配置：可信应用代理TAP 移动环境感知MTESS 可信访问控制台TAC 智能身份分析系统IDA

某部委移动零信任实践案例及配置 icon

背景需求：移动应用种类繁多，一期满足50000终端安全接入需求，人员覆盖广，移动终端种类多。移动端多APP，缺乏统一移动门户。终端多元化，环境安全性参差不齐，缺乏风险感知。移动应用接入跨网络域访问，访问过程中风险事件不可控，持续性认证及动态授权机制待完善。

解决方案：移动应用资源整合，隐藏应用系统暴露面。访问链路安全加密，实现移动应用SSO。移动环境风险感知，感知结果反馈上报。多维风险综合评估，业务访问联动控制，强化内生安全。

用户价值：移动应用整合，统一办公入口，单点登录，便捷高效。终端环境感知，手机型号不限，普适性强。业务访问安全加密，传输数据不再明文展示。一次认证通过，不代表可一直访问，改静态认证为动态业务安全持续防护。

产品配置：

可信应用代理TAP 可信访问控制台TAC

移动环境感知MTESS 蓝信

典型场景四：API接口安全应用场景 icon

可信API接口安全解决方案 icon

某部委API安全访问实践案例及配置 icon

背景需求：部委信息共享平台能力趋近饱和，需进行扩容及升级改造，跨网访问中转过程安全存疑（身份认证安全、访问权限安全、接口负载安全），跨网访问的网络边界安全（外部攻击防护、数据传输安全）

解决方案：

部委信息共享平台能力趋近饱和，需进行扩容及升级改造。跨网访问中转过程安全存疑（身份认证安全、访问权限安全、接口负载安全）。跨网访问的网络边界安全（外部攻击防护、数据传输安全）。

用户价值：

建设跨网交换控制平台，有效缓解用户当前数据访问压力。对外服务平滑升级，不影响现有已有对外服务。服务端风险实时感知，实现应用间的合法访问，发现和阻止不可信应用访问内部接口。

产品配置：

可信API代理TIP 服务器环境感知TESS 可信访问控制台TAC

典型成功案例

构建零信任安全体系价值 icon

收缩暴露面，减少攻击面

最小权限，防止网络攻击横向移动

实时动态风险控制，阻止风险继续发生，减少数字资产的损失

消灭弱密码、口令、账号共享带来的安全风险

网络隐藏，单包授权机制，防止DDOS攻击

控制层面和数据层面分开，避免潜在的网络攻击，防止“一锅端”

实现自动管理降低运维成本，降低事故响应成本

提高工作效率，用户随时随地、无缝式、安全的访问企业业务和数据能力

产品资质

获得客户认可

产品推荐查看更多>>

网易易盾设备指纹识别方案

基于易盾安全实验室大数据算力，智能锁定唯一的设备ID，用于唯一标识设备特征。广泛应用于电商、金融、银行、游戏等行业。作为安全风控的底层核心技术的保障，离开了设备指纹，安全性就无从谈起。

设备标识

智能追回

风险检测

设备信用体系

立即咨询查看详情

易安联EnCASB零信任云应用安全接入平台

易安联EnCASB零信任云应用安全接入平台，无需下载客户端和插件，通过浏览器输入应用访问地址，直接登录进行业务访问。应用安全门户作为应用访问的唯一入口，原有对外接口封闭，降低安全风险。并支持自定义门户样式，不改用户界面及操作习惯。

便捷访问

设备管理

行为分析

应用管理

立即咨询查看详情

昂楷科技运维安全审计系统

昂楷科技运维安全审计系统，采用物理旁路，逻辑串联的部署方式，不必更改现有的网络拓扑结构，B/S管理方式，友好的UI设计，访问过程方便；SSO功能，一次登陆即可访问所有授权对象。支持脚本批量自动处理与主机账号自动改密，帮用户自动化完成重复性工作，减轻运维工作量。

稳定性

工单审批

自动化运维

完善责任认定

立即咨询查看详情

数字化社区查看更多>>