一、方案概述

芯盾时代零信任业务安全解决方案，致力于为广大政府、企业客户解决在内外网连接、多数据中心远程访问、移动办公等场景下的安全接入需求，解决企业数字化办公场景下的安全风险。芯盾时代零信任业务安全解决方案提供泛端点安全客户端、零信任安全网关、动态访问控制平台、智能安全大脑、安全运营中心五大核心组件，利用融合软件定义边界SDP、增强型IAM和微隔离三大技术构建零信任业务安全解决方案。
 

芯盾时代零信任业务安全解决方案能够将服务资源进行隐藏，通过SPA预认证后，基于人（身份）、物（设备）、事（行为）的认证和授权重构访问控制的信任基础上，建立双向TLS加密隧道。通过全面感知端点设备、身份、应用、服务、网络和人员行为等风险态势对业务和数据等资源的访问授予细粒度的最小权限，并进行动态访问控制和风险处置，实时保护服务资源、数据传输安全。
 

从经济学视角（降低欺诈ROI-投入产出比）和生态学视角（平衡ROT-风险信任比）做顶层设计，以零信任重塑信任，为数字经济发展构建智能、自适应、异构规模化、弹性交付的安全新基座。

二、解决方案特性

       芯盾时代零信任业务安全解决方案，提出在不可信网络中构建安全框架，在不可信的环境中，以兼顾安全和体验的方式，实现资源的可信任访问。默认情况下不应该信任网络内部、外部的任何人/设备/系统，需要基于认证和授权重构访问控制的信任基础。通过实时监控身份、设备、行为进行动态授权，构建可信、安全的网络框架，保证业务动态安全。

n 资源隐藏：基于“先认证，后连接”理念，将所有资源隐藏，通过SPA协议进行预认证，认证通过后建立加密隧道，并与动态访问控制平台协同，实现应用预授权列表下发。
 

n 高强度设备指纹：结合主、被动式数据采集技术，通过提取设备的硬件、操作系统、协议栈和网络状态相关的特征，结合机器学习算法，生成全球唯一的设备ID。同时支持对设备颁发证书，防止设备被篡改或仿冒。
 

n 全终端环境适配：目前零信任业务安全解决方案客户端已支持Windows/Mac OS/Linux/Android/iOS终端设备。
 

n 全域风险感知：融合端点风险、用户行为风险、身份风险、东西向访问风险，结合威胁情报，进行多维度的风险信息采集、清洗、分类、预处理和聚合，为持续信任计算引擎提供丰富的风险数据。
 

n 持续风险分析：基于全域风险感知平台及其他外部风险数据源输入的信息，利用场景化的专家策略集和AI模型，从设备、身份、行为、环境、资源、网络等多个维度进行持续的风险和信任计算，为动态访问控制引擎提供风险等级评估信息，实现自适应动态授权。
 

n 动态访问控制：提供细粒度访问控制，按需配置所需权限，支持应用级/功能级/数据级/API级的访问控制，授予访问主体访问相关资源的最小权限。
 

n 多因素认证：支持扫描、动态口令、指纹、人脸等10+认证方式，同时可支持微信、钉钉等第三方认证。
 

n 国产化适配：适配麒麟、统信、深度等国产化操作系统；适配龙芯、海光、飞腾等国产化芯片；适配武汉达梦、人大金仓等国产化数据库。

三、适用场景
 

l 远程办公：不再区分内外网，对于不同用户使用角色实现一体化的动态访问控制体系，不仅可以减少攻击暴露面，增强对企业应用和数据的保护，还可针对特殊角色的用户进行有效的权限管控，安全审计和可控的访问通道，确保业务和数据安全。降低零信任潜在建设成本，满足不同角色、不同身份的人员在任意时间、任意地点、任意设备安全可控的访问。
 

l 安全增强认证：在数字化经济背景下，员工随时随地均可登录企业内部系统进行办公，通过零信任业务安全风险监测平台，可感知当前用户是否为“本人”行为操作，通过风险评估结果，零信任安全网关将会对当前人员进行身份确认，确保人员身份安全。对于访问重要业务数据行为时，再次发起认证，避免因身份盗用导致的数据信息泄露。
 

l 多云/多分支环境：企业使用本地服务、云计算等技术架构，构建多分支跨地域访问，导致企业服务环境越来越复杂，通过零信任访问代理网关将访问流量统一管控，基于动态的虚拟身份边界，并通过计算身份感知等风险信息，建立最小访问权限动态访问控制体系，这样可以极大的减少企业内部资产被非法授权访问的行为，实现在任意分支机构网络环境下的内部资源访问。
 

l 监管合规：随着大数据、物联网、云计算的快速发展，监管部门对企业合规要求越趋严格，同时国家对于网络攻击层面的防护也愈加重视，零信任业务安全解决方案从多个维度满足合规要求，利用“网络隐身”技术，对外隐藏业务系统，防止攻击方对业务系统资产的收集和攻击，进而确保业务系统的安全。