伴隨著(zhù)云計算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G等新技術(shù)的崛起，業(yè)務(wù)上云、數據互聯(lián)互通等變革，使得企業(yè)與政府處理業(yè)務(wù)的方式發(fā)生了顛覆性的轉變。越來(lái)越多的企業(yè)用戶(hù)不在企業(yè)內網(wǎng)進(jìn)行工作，供應商、合作伙伴等也需要從世界各地接入到企業(yè)內網(wǎng)中辦公。除此之外，數據中心云化，將系統與網(wǎng)絡(luò )之間的連接打通，使得網(wǎng)絡(luò )邊界變得越來(lái)越模糊，業(yè)務(wù)場(chǎng)景越來(lái)越復雜。

互聯(lián)網(wǎng)帶來(lái)便利的同時(shí)，也帶來(lái)了許多風(fēng)險。在互聯(lián)網(wǎng)下，任何漏洞都會(huì )被黑客捕獲并無(wú)限放大，網(wǎng)絡(luò )安全威脅態(tài)勢愈演愈烈。各行各業(yè)的安全團隊都面臨著(zhù)比以往更加嚴峻的挑戰，大家意識到從前堅固的城堡，已經(jīng)成“危房”了。

●項目介紹●

某證券股份有限公司是一家擁有證券市場(chǎng)業(yè)務(wù)全牌照的一流券商，在全國60個(gè)城市開(kāi)設了90多家營(yíng)業(yè)網(wǎng)點(diǎn)。由于營(yíng)業(yè)部數量多，每個(gè)營(yíng)業(yè)部間距離分散，網(wǎng)絡(luò )連接復雜，想要查看公司內部消息，提交報銷(xiāo)等只能通過(guò)VPN遠程到公司本部。

●業(yè)務(wù)痛點(diǎn)與需求●

（1）VPN遠程訪(fǎng)問(wèn)時(shí)如何分辨合規用戶(hù)與可疑用戶(hù)？

傳統VPN驗證模式基于用戶(hù)賬戶(hù)，然而VPN僅僅通過(guò)賬戶(hù)信息并不能分辨網(wǎng)絡(luò )另一端的用戶(hù)真實(shí)身份。由于VPN的策略過(guò)于“粗獷”，一旦用戶(hù)的賬號泄露，黑客便可以通過(guò)三層隧道直接連接公司內網(wǎng)，如果內網(wǎng)一臺服務(wù)器受到攻擊，黑客可以對該區域內的其他數據庫服務(wù)器發(fā)起橫向攻擊，并且不會(huì )受到防火墻的干擾或檢測，這種攻擊對公司造成的影響是不可預估的。

（2）VPN暴露固定端口，給攻擊者留下“靶心”

攻擊的第一步是偵查，攻擊者通過(guò)偵查來(lái)確認目標位置。VPN對互聯(lián)網(wǎng)暴露固定端口，豈不是給攻擊者留下“靶心”？

（3）公網(wǎng)訪(fǎng)問(wèn)如何保障安全，抵抗攻擊？

將企業(yè)系統放到互聯(lián)網(wǎng)、云上，如何保障企業(yè)數據安全，抵御黑客掃描攻擊？

（4）內網(wǎng)就是絕對安全的嗎？

據Forrester Research Survey的研究報告顯示，超過(guò)60%的安全問(wèn)題是由內部引起；FortScale的調查報告則顯示，85%的數據泄露是來(lái)于內部威脅。所以不能僅從防火墻側嚴防死守，而忽略了內部本身的威脅。

（5）如何解決VPN操作復雜，體驗性差問(wèn)題？

1.配置復雜，每次變更需要大量的修改配置，通常要配置成百上千條規則，導致不敢做任何變更。

2.體驗性差，頻繁掉線(xiàn)、重連，嚴重影響工作效率。

3.可擴展性差，不支持橫向擴展，價(jià)格昂貴。

●聯(lián)軟UniSDP助力安全加固●

2009年“極光行動(dòng)”席卷全球，而正是由于A(yíng)PT攻擊，使得Google意識到，傳統的VPN技術(shù)無(wú)法解決未來(lái)萬(wàn)物上云，互聯(lián)互通的問(wèn)題，他們拋棄對本地內網(wǎng)的絕對信任，開(kāi)啟了全新的“零信任”概念，從而誕生了BeyondCorp項目。Google將BeyondCorp項目的目標設定為“讓所有Google員工從不受信任的網(wǎng)絡(luò )中不接入VPN就能順利工作”。

聯(lián)軟UniSDP解決方案就是基于零信任網(wǎng)絡(luò )安全理念和軟件定義邊界（SDP）安全模型，實(shí)現控制平面和數據平面分離。以零信任理念為基礎、認證授權體系為基石、業(yè)務(wù)安全為核心，實(shí)現安全和業(yè)務(wù)的統一。聯(lián)軟UniSDP通過(guò)細粒度的安全訪(fǎng)問(wèn)控制手段、可視化的策略管理能力與輕量級安全沙箱技術(shù)，提供按需、動(dòng)態(tài)的可信訪(fǎng)問(wèn)。在實(shí)現網(wǎng)絡(luò )隱身、最小授權的基礎上，保證企業(yè)數據安全可控。

通過(guò)聯(lián)軟UniSDP軟件定義邊界解決方案，可實(shí)現大中小型機構遠程辦公、遠程運維、跨安全域辦公、互聯(lián)網(wǎng)隨時(shí)隨地辦公等應用場(chǎng)景。能夠幫助用戶(hù)在多云環(huán)境下，建設統一的安全接入平臺，統一管理，達到真正的安全、高效易用、高擴展。

（1）網(wǎng)絡(luò )隱身

聯(lián)軟UniSDP從傳統的先訪(fǎng)問(wèn)后認證模式，改為先認證后訪(fǎng)問(wèn)。身份驗證未通過(guò)前，網(wǎng)關(guān)及網(wǎng)關(guān)后的服務(wù)對外隱身，不畏懼端口掃描等操作。

（2）按需授權

權限細粒度最小化，通過(guò)身份、設備、環(huán)境、應用進(jìn)行身份驗證，基于應用授權，訪(fǎng)問(wèn)所有資源必須要認證、授權、加密。

（3）數據不落地

聯(lián)軟UniSDP通過(guò)安全沙箱與水印追蹤相結合，將個(gè)人數據與企業(yè)數據相分離，對企業(yè)數據采用高強度加密手段防護。

（4）快速穩定，體驗感極佳

操作簡(jiǎn)單，無(wú)需用戶(hù)手冊，無(wú)需操作經(jīng)驗。

訪(fǎng)問(wèn)B/S、C/S應用流暢，不改變用戶(hù)操作習慣，應用單點(diǎn)登錄無(wú)需多次輸入密碼。

（5）支持用戶(hù)行為審計

支持用戶(hù)操作審計，審計用戶(hù)每次認證與訪(fǎng)問(wèn)操作，做到一切可追溯。

聯(lián)軟UniSDP部署架構圖如下：

●聯(lián)軟方案實(shí)現效果●

（1）安全視角

隱藏業(yè)務(wù)服務(wù)器，實(shí)現漏洞屏蔽，防掃描、防攻擊入侵；

實(shí)現數據加密傳輸，防止數據在傳輸過(guò)程被非法監聽(tīng)；

實(shí)現數據傳輸雙向證書(shū)校驗，防止中間人攻擊。

（2）管理視角

統一發(fā)布平臺，將移動(dòng)端與PC端應用快捷發(fā)布，無(wú)需改造客戶(hù)系統；

統一安全接入，兼容安卓與IOS移動(dòng)終端、兼容Windows終端；

兼容現有新版OA以及舊版OA，兼容H5以及原生應用，實(shí)現應用深度整合。

（3）用戶(hù)視角

以SDK形式與現有應用深度整合，安全隱藏在業(yè)務(wù)背后，不改變用戶(hù)使用習慣；

為保持良好的用戶(hù)體驗，不需要切換或安裝多個(gè)軟件，不需要多次登錄，最終實(shí)現用戶(hù)無(wú)感知。

●客戶(hù)價(jià)值●

聯(lián)軟UniSDP基于零信任網(wǎng)絡(luò )安全理念和軟件定義邊界（SDP）安全模型，實(shí)現控制平面和數據平面分類(lèi)，能夠幫助證券行業(yè)客戶(hù)帶來(lái)以下價(jià)值。

（1）統一入口

統一入口降低運維成本，對證券營(yíng)業(yè)廳人員來(lái)說(shuō)，可操作性強，一鍵訪(fǎng)問(wèn)應用，無(wú)需記住密碼，解決了營(yíng)業(yè)廳計算機支撐能力不足的問(wèn)題。

（2）服務(wù)隱藏

將服務(wù)隱藏到SDP安全網(wǎng)關(guān)后，不在暴露IP、端口，減少攻擊面，增強企業(yè)安全性、合規性。

（3）數據防泄密

數據防泄密，數據不落地，解決了移動(dòng)辦公人員文件泄密的問(wèn)題。通過(guò)SDP安全沙箱，實(shí)現個(gè)人文件與企業(yè)資料相分離，沙箱內數據禁止被非法復制、打印、截屏、外傳，防止各種數據被違規泄露使用；同時(shí)，O盤(pán)不改變業(yè)務(wù)流程、不改造應用系統，不影響內部員工間的數據交換。

（4）統一管理

聯(lián)軟UniSDP軟件定義邊界解決方案致力于在移動(dòng)化大潮中，為企業(yè)提供統一的移動(dòng)辦公入口和靈活的應用發(fā)布平臺，在 “端、管、云”三點(diǎn)構筑核心能力，通過(guò)對網(wǎng)絡(luò )、設備、應用、數據的統一管控，為企業(yè)移動(dòng)業(yè)務(wù)創(chuàng )新提供強勁的動(dòng)力和堅實(shí)的保護。