盈高ZTP零信任访问控制系统_网络安全边界系统

盈高ZTP零信任访问控制系统

盈高ZTP零信任访问控制系统，是基于零信任网络安全理念和统一接入理念，根据软件定义边界（SDP）架构构建的安全访问控制系统。该系统由盈高小助手、统一安全接入管理平台、网络准入控制（NAC）以及统一接入网关（UAG）等组件构成，共同建立动态虚拟网络安全边界，实现企业员工全网统一信任接入，让接入办公更简单更安全。

立即咨询

首页 > 产品中心 > 网络安全 > 盈高ZTP零信任访问控制系统

需求背景

随着企业数字化转型深入，办公接入环境逐渐混合化。应用和业务从原来私有化部署到公有化、混合化部署；各种业务系统从只有内部员工接入访问，到现在还需要外包人员、供应商、运维人员等接入，企业办公模式逐渐演变成既有在场办公，又有在线办公，网络边界变得更加模糊，在这种混合办公场景下，企业接入办公的安全风险随之升级。

连接安全风险激增

企业业务和边界设备暴露在互联网，容易被恶意扫描、攻击。

终端安全风险激增

用户接入后缺乏终端安全检测，容易造成风险终端接入，并攻击业务或感染其他终端。

身份安全风险激增

企业采用单一认证方式,账号容易被盗用、冒用。

运维安全风险激增

企业运维人员常通过远程软件进行运维，缺乏身份认证、访问控制、操作审计等，不安全无法溯源。

数据泄露风险激增

用户在线办公时访问应用可以随意下载、转发文件，导致数据容易泄露，企业受损风险大。

除了安全风险以外，用户在混合办公场景下的接入体验也至关重要，关系到企业员工能否高效接入、便捷办公。目前企业在混合办公场景下，用户往往需要用到多种应用软件，给用户带来以下困扰。

接入体验较繁琐

用户混合办公场景下，需要使用多个客户端，记忆多个账户，来回切换较麻烦。

操作体验不便利

多个客户端操作方式不一，学习成本高，没有企业业务流程打通，接入后业务资源难申请。

连接体验不稳定

在线办公通过开源VPN、边界设备VPN模块等方式接入，性能低，不稳定，常断连。

管理体验不高效

多个平台，管理多个身份，多个安全策略，管理效率低，体验一般。

因此，盈高科技推出专为企业混合办公场景研发的「盈高零信任访问控制系统」，致力于建立「全面安全」「极致体验」「可落地」的统一安全接入体系，帮助企业收缩互联网暴露面，加强身份、终端、运维、数据等方面的安全防护能力，提升用户接入体验，实现全网统一信任接入，让混合办公更简单更安全。

产品概述

盈高零信任访问控制系统(ZTP)，是基于零信任网络安全理念和统一接入理念，根据软件定义边界(SDP)架构构建的安全访问控制系统。该系统由盈高小助手、统一安全接入管理平台、网络准入控制(NAC)以及统一接入网关(UAG)等组件构成，共同建立动态虚拟网络安全边界，实现企业员工全网统一信任接入，让接入办公更简单更安全。

亮点功能 - 全面安全 icon

全面收缩暴露面，业务安全连接

• 资源无需发布至互联网，都由接入网关代理访问，接入网关对业务资源进行保护，全面减少攻击暴露面
• 平台服务端口隐身，非授权终端无法连接，从源头上防范黑客攻击前的扫描侦测和DDoS攻击
• 合法终端用户则通过SPA单包敲门技术，与网关建立更安全可靠的一对一加密连接

超百项安检策略，风险持续检测

• 系统内置100+终端安全检测策略，确保安全合规的终端接入网络
• 终端接入后持续检测终端环境，确保终端接入后安全访问业务资源
• 当发现终端风险动作时可秒级处置，时刻保障接入终端及整体网络安全

身份与访问管理，用户可信接入

•支持账户密码复杂度设置和有效期设置,杜绝弱口令账户,支持爆破登录检测和锁定,提高登录安全
•可以对接多种身份源，支持短信、令牌等方式进行双因素认证，确认真实用户接入
•账号认证通过需授信终端,支持“账号-终端”双向绑定,陌生终端接入需审批,拒绝非授信终端接入
• 登录后,当登录时间、地点、发生IP频繁变动,访问重要资源时需进行二次认证,确保资源访问安全

接入运维一体化，轻量安全投入

• 可将主机服务器作为零信任保护的资源，无需额外部署其他代理运维软件，用户通过WV/eb即可远程登录访问PC电脑、工作站、Linux服务器等，方便快捷
• 支持RDP、VNC、SSH、TELNET协议代理，可有效防止直接远程登录服务器进行数据文件的拷贝与下载
• 支持应用虚拟化远程访问，用户在浏览器或客户端远程访问服务器发布的应用，保障企业员工在远程访问应用时，数据访问的隔离性和安全性

网端联合防泄密，数据安全防护

• Wed应用代理可配置水印，起到敏感文件泄密的警示震慑、溯源以及提示作用
• 支持在终端上启用安全工作空间，安全工作空间内的网络、内存、数据与宿主机隔离
• 工作空间只能访问特定网络域和应用，对工作空间内文件进行USB、邮件、截屏、拍照和各种数据变形的行为进行阻断，工作空间数据落地加密，解密外发需审批
• 安全工作空间支持Windows、linux、Mac和国产化操作系统，可稳定运行各种大型应用系统，适配源代码开发、图纸设计、文档、嵌入式开发源代码各种数据类型的保护场景

接入行为可视化，事后审计湖源

•全面采集终端设备、网络设备、用户登录、访问操作行为数据,可对用户接入全链条行为进行审计
•通过盈高虚拟IP技术，可将网关地址转换为虚拟IP访问业务系统，第三方监控设备可审计、溯源

极致体验

全天候无感知切换，接入体验好

可信状态，无需重新认证；内外切换，无需重新连接；分支接入，无感自动连接。

统一入口打通流程，操作体验好

支持统一业务资源访问入口，系统可打通业务权限操作等环节，不改变用户操作习惯，提高使用体验。

链路多重算法优化，连接体验好

安全隧道采用盈高自研连接技术，支持智能选路传输更快速，即使在弱网络环境下，也能保障优异的连接体验。

统一平台无需跳转，管理体验好

混合办公场景下，全网身份、终端、接入网关、接入策略只需一个平台即可管理，可视化操作大幅提升管理员运维效率。

应用场景 - 场景一:混合接入办公 icon

许多企业既有研发人员、行政、财务人员等在场办公，又有领导层、管理人员、营销人员在线办公，需在外访问公司内网业务系统，处理审批、合同、报价等事项。企业为实现不同场景用户的接入办公需求，往往会采用不同方式接入：用户在边界明确的内部网络(如生产网研发网、测试网)使用802.1X或者NAC网络准入后接入访问业务；用户在公司外办公时，则通过互联网直接访问业务或通过VPN设备接入内网访问业务。

运维管理不便利

企业网络架构冗杂，内外网资源管理手段割裂，导致运维不便利、效率低。

接入安全风险高

外部访问导致业务暴露，容易被扫描或攻击，对接入身份、终端缺乏安全检测能力，接入安全风险高。

混合办公体验差

互联网接入连接不稳定、易断连，用户在多个客户端间来回切换，需多次输入账号密码，使用不便利，办公体验差。

场景二:远程运维

企业运维人员一般会通过Todesk、向日葵等工具远程访问内部电脑，并将该电脑作为跳板机对交换机、服务器等进行运维；或者先通过VPN认证接入，再通过堡垒机对交换机、服务器进行远程运维。

通过远程软件进行运维

缺乏身份认证、访问控制、操作审计等一系列安全措施，不仅安全风险高，且无法定向追责。

通过VPN搭配堡垒机进行运维

投入成本高，需要为运维人员单独设置VPN中的权限控制，由于配置管理复杂，临时运维访问需求多难以做到最小化权限控制，导致安全风险高。

场景三:使用专业VPN设备进行远程办公 icon

外地办公人员、研发人员、出差人员在互联网使用专业VPN接入，访问OA系统、知识库、代码仓库等业务系统实现远程办公

设备暴露，恶意入侵难抵御

VPN网关直接暴露在互联网，存在被恶意扫描、攻击、入侵的风险。VPN自身安全功能难以应对不断变化的安全形势，急需升级。

静态权限，风险行为难识别

用户接入内网后，访问行为不可控，难以及时发现可疑、异常的访问行为。

接入终端，安全管控难统一

远程办公的终端脱离企业网络后无法统一管控，未更新补丁、未安装杀毒的设备也能访问业务资源，带来安全风险。

场景四:使用非专业VPN设备进行远程办公 icon

用户使用防火墙上开通的SSL VPN模块，开源SSL VPN产品等非专业VPN设备远程接入企业内网

非专业VPN设备不安全

账号易被冒用，或终端感染木马/病毒继而对内网业务系统进行攻击、扫描，带来巨大风险。

满足不了多数据中心/云平台的统一接入和管理

当终端用户要远程访问多个数据中心或者云平台时，需切换不同VPN接入点，非专业VPN设备无法实现多个数据中心/云平台的统一安全接入和权限管理。

满足的业务需求很有限

比如性能受限、支持的用户数低、支持的终端类型少、不支持细粒度权限控制、不支持对接现有认证系统、不支持所需的认证方式等。

使用体验不好，影响办公效率

非专业VPN设备经常存在客户端安装不上、卡顿、连接断开、隧道建立后无法访问资源等情况，影响工作效率。

场景五:移动办公

企业员工需要通过手机随时随地访问业务系统。
当企业使用阿里钉钉/企业微信/飞书等移动APP办公时，可以将业务服务端口直接映射在互联网上，以H5轻应用发布到APP的工作台上，员工会通过APP上的工作台访问办公应用。
当企业使用泛微/致远/帆软/蓝凌等或自建APP移动办公时，也需要将服务端口映射至互联网，员工需要通过手机安装APP直接访问业务系统。

端口暴露，招致恶意攻击

端口暴露在互联网，很容易被黑客嗅探攻击,即使有登录保护,也难以避免被端口扫码、撞库、暴力破解攻击。

H5接入，用户权限难管理

由于H5本质上是Web访问，用户通过访问链接,也可随意访问移动办公APP中发布的应用。

明文传输，数据易被窃取

很多内部业务系统自身并未进行SSL加密，在互联网传输时容易被监听窃密甚至篡改。

场景六:数据安全保护 icon

数据主动泄密风险

员工从业务系统上下载数据落地后因个人安全意识薄弱，可能会进行数据拷贝、分享、截屏、云盘备份、设备更换甚至恶意泄密等操作，从而导致数据泄密。

数据被动泄密风险

员工从业务系统上下载数据落地后，因员工终端网络环境复杂、安全防护不足等原因终端极易感染恶意程序，从而导致企业敏感数据被窃取或加密勒索。

远程接入无法管控

个人电脑无法安装数据保护软件或进行离线数据管控,VPN客户端不具备针对数据安全防护能力。

高效落地:三大方案选择，全网统一接入标准部署 icon

一台设备即可实现零信任接入，适用于并发1000以下规模，集中式数据中心的场景

一台ZTP接入平台，可搭配多台网关，支持多分支多级部署、网关集群部署

一台统一接入平台(NAC+ZTP)，可搭配准入控制器ASC、零信任接入网关GW，实现全网统一接入安全。

盈高准入用户:支持ASM自动升级为全网统一接入 icon

利旧建设，避免重复投资

零信任控制中心可复用已有准入设备。只需新增零信任网关旁路部署，承载代理访问的数据流量。不改变网络，不影响原有业务。

使用简单，操作习惯不变

终端用户体验无变化，用户无需改变使用习惯，界面友好，上手即用。

推广容易，客户端自升级

客户端无需重复安装，准入客户端自动升级为零信任统一接入客户端，终端用户无感知。

策略复用，上手高效快速

沿用当前系统认证源与策略,不需要额外建立认证体系与策略。

产品优势

VPN

网关暴露，容易受到攻击；

以网络为中心，用户往往获得更广泛的访问权限，容易造成越权访问；

用户访问行为不可控，企业难以及时发现可疑、异常的访问行为；

用户常面临常断连、手动切换网关体验差等问题；

盈高零信任访问控制系统（ZTP）

业务收缩零暴露：业务资源都通过网关代理访问，同时网关自身具备服务隐身能力，拒绝非法用户连接，实现暴露面收缩，极大减少网络攻击。
最小化访问权限：以资源为中心，容易实现最小化权限，用户只能访问权限内的业务系统。
风险检测持续化：对用户接入前、中、后进行动态、持续的安全检测，发现异常行为及时进行处置。
连接速度快又稳：连接速度快、卡顿少，无需手动输地址，断线能立即重连，支持智能选路无感切换，稳定又好用。

除了比传统VPN更安全更好用，盈高零信任访问控制系统在同类产品中，

也同样拥有竞争力，能更好地满足用户的需求与期待

一个平台：接入更便捷管理更高效

盈高零信任访问控制系统的统一安全接入架构，可以让用户随时随地都只需要通过一个平台接入，记忆一种认证方式，无需来回切换，界面操作简单，用户接入体验好；管理员可在一个平台统一管理全网接入安全策略，管理效率高。

减少专业运维设备的投入

盈高零信任访问控制系统创新地融合堡垒运维能力,将主机服务器、网络设备资产运维纳入零信任访问控制保护,实现接入运维一体化,运维人员使用同一个平台接入后即可运维主机资源。

百项终端检测，适应复杂接入场景

基于盈高在终端安全十多年的积累,盈高零信任访问控制系统具备100+终端检测项,持续安全检测、风险秒级处置、兼容全操作系统,可轻松满足混合办公中各种接入场景的安全管理要求。

平滑升级全网接入安全

盈高准入老客户只需新增零信任网关，再升级已有准入设备即可实现全网用户无边界安全接入，无需新购零信任控制中心，避免重复投资。

场景六:数据安全保护 icon

内外兼修，全面安全

内、外网安全接入，全面强健自身安全，抵御外部未知风险。

同步建设，高效落地

内网接入与外网接入同步建设，两个项目一次实施，落地更高效。

无界守护，极致体验

用户统一无边界体验，无论身处何地都能安全便捷入网。

企业案例 - 某大型上市企业 icon

客户简介：某大型上市企业曾获国家科学技术进步奖一等奖、中国质量奖提名奖，入选创建世界一流专业领军示范企业。国家级科改示范企业。

需求分析：随着该企业的信息化建设逐渐成熟，网络基础设施日益复杂，安全边界逐渐模糊。为了推动集团业务发展，内部应用直接发布到互联网，内外网用户可以通过互联网直接访问应用，使得内部数据对外暴露面更广，安全问题越来越多样，信息安全的管理成本越来越高。
该企业希望实现全网统一接入的安全管控，管控通过所有方式访问业务系统的人员、网络和终端，保障企业核心数据安全。无论什么员工、什么地点、什么时间通过什么设备都能够接入进行办公，管理员都能够进行安全管控。具体需求如下：

实现全网接入安全

目前内部网络接线即可入网，业务暴露在互联网，容易被扫描、攻击安全风险高。因此在内部需要实现NAC准入控制，外部需要收窄互联网业务暴露端口，统一接入访问的入口。

提高接入办公体验

目前该企业使用泛微OA、钉钉、企业微信等OA 软件，各个端认证方式不一，权限难集中管控。因此需要打通各入口，实现统一的登录体验，同时管理员能够在一个平台进行访问权限管理。

降低终端安全风险

目前该企业全网终端没有数据安全防护手段，存在数据泄露的风险。因此需要根据不同场景配置不同的终端安全策略，实现办公人员接入及访问应用时的实时检测和处置，研发人员操作行为审计记录可溯源。

解决方案

该企业是盈高准入老客户，故而直接升级已有准入系统，新增1台桌管系统和1台零信任网关，各分支无需部署任何设备，8000+终端安装盈高小助手，从而实现全网统一信任接入和终端安全防护。