持安科技远望办公安全平台_零信任办公安全平台SASE

持安科技远望办公安全平台

持安科技远望办公安全平台的核心理念是在传统的IT基础设施之上建立零信任体系，以业务身份为中心，贯彻网络、主机、应用、数据层的零信任能力，承载业务。平台采用平台化的方式构建零信任架构，所有组件微服务化，可动态拔插，分布式部署，高效组件调用，支持弹性扩容。

立即咨询

首页 > 产品中心 > 终端安全 > 持安科技远望办公安全平台

持安零信任设计理念

保护业务
传统IT设施之上
构建零信任体系

分层保护
以身份为基础
分层构建能力

多场景覆盖
聚焦办公安全
覆盖各类场景

持安远望办公安全平台 icon

1. 安全模式改变

先访问，再验证 → 先验证，再访问

所有的请求都必须先经过可信代理，可信代理把访问请求转给决策引擎，决策引擎判断数据包可信后，再将访问请求转到访问目标上。

3. 信任关系改变

静态验证，默认信任 → 持续验证，永不信任

基于可信验证，根据访问者的业务身份构建信任链，只有经过验证满足多种元素可信标准的请求，才可以进入到业务系统。

2. 对抗方式改变

基于特征，被动对抗 → 基于身份，可信对抗

零信任可消除隐形信任，隐形信任是指一次验证后，后续的访问动作不再做验证。而零信任会将访问者每一个对业务的访问请求做可信验证，以保证在信任关系发生变化时及时阻断。

4. 防护对象改变

基于边界，隔离风险 → 基于业务，防护风险

将防护边界转移到业务前面，真正的防护对象是业务，不再根据内外网来判定访问者是否安全，而是基于业务身份、行为、可信状态等。

平台化
可插拔组件、分布式、高性能、

弹性扩容等特性

效率有限
用户无感知、业务无改造、

使用成本低、一体化管控

贴合业务
以业务为目标，基于业务身份构建信任链，

持续验证

持安零信任架构-安全分层 icon

持安零信任7大功能支柱 icon

执行落地：风险评估规划实施培训验证运营服务

身份安全防护逻辑

终端层安全防护逻辑

解决问题：终端注册管理、终端行为审计、终端合规评估、终端风险评估、终端外发管控
持安优势：行业最强数据采集能力 | 离线行为审计(Agent被销毁) | 双引擎:本地检测+后端检测引擎 | 组件联动关联能力 | 第三方产品联动

终端层安全能力

网络层安全防护逻辑

应用层安全防护逻辑

应用层安全防护逻辑：动态决策信任链 icon

多维度可信对抗

制采用多层次、多因素的验证手段来对抗可能的威胁。传统的安全防护往往只关注用户身份验证，而零信任信任评估机制会综合考虑用户的身份、设备状态、网络环境等多个因素进行全面的评估。

弹性接入第三方能力

灵活地接入第三方安全能力，例如安全服务提供商、云安全服务等。这样可以充分利用企业已有的第三方专业的安全技术和经验，提升系统的安全性和防护能力。

基于不同应用使用针对性策略

零信任信任评估机制根据不同的应用需求，制定针对性的策略。例如，在高风险的应用场景下，可以采用更加严格和复杂的验证授权方式;而在低风险的场景下，可以采用简单的验证策略以提高用户体验。

应用层安全防护逻辑

数据层安全防护逻辑

决策引擎联动逻辑

典型使用场景 - 01 统一认证管理 icon

一站式账号管理

一个集中的平台或系统，方便用户管理和控制所有的账号和密码。用户可以通过这个平台进行账号注册、登录、密码重置等操作，避免了使用多个账号时的繁琐和混乱。

MFA认证

即需要用户提供验证码、扫码等不同类型的身份验证要素才能获得访问权限。

SSO接入

用户只需提供一次身份认证，之后可以无需再次输入用户名和密码来访问其他应用程序，提高了用户的使用便利性和工作效率。

授权管理

用户可以被赋予特定的权限，限制其对系统或数据的访问和操作。

身份输出和审计

用户通过认证和授权后，系统将用户的身份信息输出给其他系统或应用程序。这样其他系统或应用程序就能根据用户的身份信息提供相应的服务或权限。对系统和用户的操作进行记录和监控，以便事后审查和追踪。

典型使用场景 - 02 用户免密登录、无密访问 icon

典型使用场景 - 03 统一应用暴露面收敛：http、BS、移动端 icon

攻击面全面收敛
针对内部网络和外部网络之间的边界，以及移动办公场景中所有办公业务系统，未知访问人员无法接触到业务系统，且业务人员只可接触到自己权限范围内的业务系统，也可有效减少内鬼窃取企业数据资料。
•  移动端
通过移动设备(如智能手机、平板电脑)访问应用程序的场景。为了保护移动端的数据和系统安全，实施全面的防护措施，包括设备管理、应用程序安全、数据加密等，以减少潜在的攻击面。
•  B\S
应用程序通过浏览器向服务器发送请求和接收响应的方式。通过收敛 BS 架构的暴露面，可以减少攻击者利用浏览器漏洞的机会，提高应用程序的安全性。
  •  未知人员发起攻击时
基于零信任的“先验证，再访问”模型，只有经零信任验证可信的数据包才可以接触到业务系统，未知人员无法接触到业务系统，能够有效防范未知人员发起的未知攻击。

典型使用场景 - 04 应用 1day 热补丁、特权收敛 icon

高敏应用资源管理

指针对敏感资源的管理和控制策略。这种管控可以包括对关键数据的加密、访问控制列表(ACL)的设置、审计追踪等措施，以确保只有经过授权的用户能够访问和操作敏感资源

高风险资源页面管控

高风险资源页面可能包含敏感信息，例如个人身份信息或财务数据。通过对这些页面进行管控，可以确保只有授权用户才能访问和查看这些敏感信息

业务无改造，业务无需下线

不需要对现有业务系统进行修改或更改可以在系统正常运行的情况下实施必要的安全补丁和控制措施

典型使用场景 - 05 自适应网络访问 icon

典型使用场景 - 06 终端行为审计、风险评估 icon

典型使用场景 - 07 数据安全管控-应用敏感数据访问 icon

应用数据安全风险全面识别和管控

数据安全前置

指在数据处理过程中将数据安全作为首要考虑因素。即在数据采集、存储、传输和处理的每个环节都要采取相应的措施来确保数据的安全，而不是将安全问题放在后面进行补救。

满足合规要求

数据安全管理需要符合相关法规、政策和行业标准的要求。这是为了确保组织在数据处理过程中遵守法律法规，保护用户隐私，防止违规行为并承担相应责任。

典型使用场景 - 08 数据安全管控-终端DLP管控 icon

典型使用场景 - 09 数据安全管控-行为分析 icon

员工数据行为的关联分析

强调通过分析员工在终端、网络、应用和数据等环节的数据行为，来判断是否存在相关性和潜在的安全问题。通过将这些行为数据进行关联分析，可以更全面地了解员工的活动轨迹、数据访问权限和潜在的风险行为。

终端到网络到应用到数据

指数据安全管控过程中需要关注的多个环节。终端包括员工使用的计算机、移动设备等;网络指数据传输的通道；应用指员工使用的各种应用程序;而数据则是最核心的信息。终端、网络、应用和数据之间密切相关，而对这些环节的安全进行管控可以全面提升数据安全的水平。

典型使用场景 - 10 老旧业务系统加固防护 icon

弱口令防护

在老旧系统中，可能存在弱口令问题。可以引入多因素身份认证方法，如使用多因素认证（例如密码+短信验证码、二维码等）来增强用户身份验证的安全性。

加密数据传输

老旧系统可能没有对数据传输进行加密，容易被攻击者截取或篡改。可以通过引入MTLS 等来保护数据在网络传输过程中的安全，确保数据的机密性和完整性。

日志审计

老旧系统通常缺少完善的日志审计机制，难以监控和追踪系统的操作活动。使用可信代理的审计功能，记录和分析访问者对系统的完整操作日志，及时发现异常活动和安全事件。

明暗水印

老旧系统可能缺乏数据水印功能，无法追踪并证明数据的来源和完整性。可信代理的水印技术，在数据中嵌入标识符或可追踪的信息，以及时发现数据的非法传播和下载行为。

精细化权限管理

老旧系统可能缺少严格的权限管理机制，导致用户拥有过多或不当的访问权限。可信代理基于业务身份管理和最小权限管理，确保用户只能访问其所需的数据和功能，最小化潜在的安全风险。

使用场景

互联网应用收敛
防止应用被攻击
不影响正常员工使用

移动工作台保护
钉钉、企微等工作台应用防护，

无需拨 VPN，自动隔离第三方攻击

内网应用保护
内部应用系统防护，

防止内网渗透攻击

应用数据安全保护
应用数据安全保护：识别人员对敏感数据获取、管控和跟踪

数据动态水印
免开发形式，应用接入后自
动增加动态水印

老旧系统加固
解决老旧系统弱口令、传输加密、

审计、数据安全问题

护网对抗防护
大幅增强靶标、关键路径系统、

集权系统防护能力

众多行业领导者的选择 icon

产品推荐查看更多>>

深信服终端检测响应平台EDR

深信服终端检测响应平台EDR，通过云网端联动协同、威胁情报共享、多层级响应机制，帮助用户快速处置终端安全问题，构建轻量级、智能化、响应快的下一代终端安全系统。

云网端联动协同

威胁情报共享

多层级响应机制

多维度信息采集

立即咨询查看详情

安天智甲网络接入控制系统IEP NAC

安天智甲网络接入控制系统IEP NAC具备身份认证、用户友好重定向引导、动态访问权限控制、全网安全结构管理等功能；安天智甲网络接入控制系统能够提供更高效、更智能的准入防护体系，基于终端、网络、用户、管理员4个维度实现网内终端的安全防护。终端授权，保证网内终端均为已识别和已认证终端；通过网络检测技术对终端进行定位，复刻网络拓扑；多维度认证机制；可视化与量化的报告工具，便于管理员的日常管理和运维。

设备自动发现

设备安全控

设备运维管理

IoT终端接入

立即咨询查看详情

金盾软件NACP网络接入控制系统

金盾NACP网络接入控制系统基于全面内网安全管理理念和可信计算理论，对终端计算机提供可信认证接入、终端安全管理等安全支撑，系统以身份认证为基础，以准入控制为核心，以行为规范为手段，以监控审计为辅助，将终端作为最小管理单元，解决用户“网络接入不可知、非法外联不可控、违规行为不可管”的IT管理问题，为单位提供全方位、一体化的网络安全管理解决方案。

终端安全

可信认证

入网认证

威胁感知

立即咨询查看详情

数字化社区查看更多>>