伴隨著云計(jì)算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G等新技術(shù)的崛起，業(yè)務(wù)上云、數(shù)據(jù)互聯(lián)互通等變革，使得企業(yè)與政府處理業(yè)務(wù)的方式發(fā)生了顛覆性的轉(zhuǎn)變。越來越多的企業(yè)用戶不在企業(yè)內(nèi)網(wǎng)進(jìn)行工作，供應(yīng)商、合作伙伴等也需要從世界各地接入到企業(yè)內(nèi)網(wǎng)中辦公。除此之外，數(shù)據(jù)中心云化，將系統(tǒng)與網(wǎng)絡(luò)之間的連接打通，使得網(wǎng)絡(luò)邊界變得越來越模糊，業(yè)務(wù)場景越來越復(fù)雜。

互聯(lián)網(wǎng)帶來便利的同時(shí)，也帶來了許多風(fēng)險(xiǎn)。在互聯(lián)網(wǎng)下，任何漏洞都會被黑客捕獲并無限放大，網(wǎng)絡(luò)安全威脅態(tài)勢愈演愈烈。各行各業(yè)的安全團(tuán)隊(duì)都面臨著比以往更加嚴(yán)峻的挑戰(zhàn)，大家意識到從前堅(jiān)固的城堡，已經(jīng)成“危房”了。

●項(xiàng)目介紹●

某證券股份有限公司是一家擁有證券市場業(yè)務(wù)全牌照的一流券商，在全國60個(gè)城市開設(shè)了90多家營業(yè)網(wǎng)點(diǎn)。由于營業(yè)部數(shù)量多，每個(gè)營業(yè)部間距離分散，網(wǎng)絡(luò)連接復(fù)雜，想要查看公司內(nèi)部消息，提交報(bào)銷等只能通過VPN遠(yuǎn)程到公司本部。

●業(yè)務(wù)痛點(diǎn)與需求●

（1）VPN遠(yuǎn)程訪問時(shí)如何分辨合規(guī)用戶與可疑用戶？

傳統(tǒng)VPN驗(yàn)證模式基于用戶賬戶，然而VPN僅僅通過賬戶信息并不能分辨網(wǎng)絡(luò)另一端的用戶真實(shí)身份。由于VPN的策略過于“粗獷”，一旦用戶的賬號泄露，黑客便可以通過三層隧道直接連接公司內(nèi)網(wǎng)，如果內(nèi)網(wǎng)一臺服務(wù)器受到攻擊，黑客可以對該區(qū)域內(nèi)的其他數(shù)據(jù)庫服務(wù)器發(fā)起橫向攻擊，并且不會受到防火墻的干擾或檢測，這種攻擊對公司造成的影響是不可預(yù)估的。

（2）VPN暴露固定端口，給攻擊者留下“靶心”

攻擊的第一步是偵查，攻擊者通過偵查來確認(rèn)目標(biāo)位置。VPN對互聯(lián)網(wǎng)暴露固定端口，豈不是給攻擊者留下“靶心”？

（3）公網(wǎng)訪問如何保障安全，抵抗攻擊？

將企業(yè)系統(tǒng)放到互聯(lián)網(wǎng)、云上，如何保障企業(yè)數(shù)據(jù)安全，抵御黑客掃描攻擊？

（4）內(nèi)網(wǎng)就是絕對安全的嗎？

據(jù)Forrester Research Survey的研究報(bào)告顯示，超過60%的安全問題是由內(nèi)部引起；FortScale的調(diào)查報(bào)告則顯示，85%的數(shù)據(jù)泄露是來于內(nèi)部威脅。所以不能僅從防火墻側(cè)嚴(yán)防死守，而忽略了內(nèi)部本身的威脅。

（5）如何解決VPN操作復(fù)雜，體驗(yàn)性差問題？

1.配置復(fù)雜，每次變更需要大量的修改配置，通常要配置成百上千條規(guī)則，導(dǎo)致不敢做任何變更。

2.體驗(yàn)性差，頻繁掉線、重連，嚴(yán)重影響工作效率。

3.可擴(kuò)展性差，不支持橫向擴(kuò)展，價(jià)格昂貴。

●聯(lián)軟UniSDP助力安全加固●

2009年“極光行動”席卷全球，而正是由于APT攻擊，使得Google意識到，傳統(tǒng)的VPN技術(shù)無法解決未來萬物上云，互聯(lián)互通的問題，他們拋棄對本地內(nèi)網(wǎng)的絕對信任，開啟了全新的“零信任”概念，從而誕生了BeyondCorp項(xiàng)目。Google將BeyondCorp項(xiàng)目的目標(biāo)設(shè)定為“讓所有Google員工從不受信任的網(wǎng)絡(luò)中不接入VPN就能順利工作”。

聯(lián)軟UniSDP解決方案就是基于零信任網(wǎng)絡(luò)安全理念和軟件定義邊界（SDP）安全模型，實(shí)現(xiàn)控制平面和數(shù)據(jù)平面分離。以零信任理念為基礎(chǔ)、認(rèn)證授權(quán)體系為基石、業(yè)務(wù)安全為核心，實(shí)現(xiàn)安全和業(yè)務(wù)的統(tǒng)一。聯(lián)軟UniSDP通過細(xì)粒度的安全訪問控制手段、可視化的策略管理能力與輕量級安全沙箱技術(shù)，提供按需、動態(tài)的可信訪問。在實(shí)現(xiàn)網(wǎng)絡(luò)隱身、最小授權(quán)的基礎(chǔ)上，保證企業(yè)數(shù)據(jù)安全可控。

通過聯(lián)軟UniSDP軟件定義邊界解決方案，可實(shí)現(xiàn)大中小型機(jī)構(gòu)遠(yuǎn)程辦公、遠(yuǎn)程運(yùn)維、跨安全域辦公、互聯(lián)網(wǎng)隨時(shí)隨地辦公等應(yīng)用場景。能夠幫助用戶在多云環(huán)境下，建設(shè)統(tǒng)一的安全接入平臺，統(tǒng)一管理，達(dá)到真正的安全、高效易用、高擴(kuò)展。

（1）網(wǎng)絡(luò)隱身

聯(lián)軟UniSDP從傳統(tǒng)的先訪問后認(rèn)證模式，改為先認(rèn)證后訪問。身份驗(yàn)證未通過前，網(wǎng)關(guān)及網(wǎng)關(guān)后的服務(wù)對外隱身，不畏懼端口掃描等操作。

（2）按需授權(quán)

權(quán)限細(xì)粒度最小化，通過身份、設(shè)備、環(huán)境、應(yīng)用進(jìn)行身份驗(yàn)證，基于應(yīng)用授權(quán)，訪問所有資源必須要認(rèn)證、授權(quán)、加密。

（3）數(shù)據(jù)不落地

聯(lián)軟UniSDP通過安全沙箱與水印追蹤相結(jié)合，將個(gè)人數(shù)據(jù)與企業(yè)數(shù)據(jù)相分離，對企業(yè)數(shù)據(jù)采用高強(qiáng)度加密手段防護(hù)。

（4）快速穩(wěn)定，體驗(yàn)感極佳

操作簡單，無需用戶手冊，無需操作經(jīng)驗(yàn)。

訪問B/S、C/S應(yīng)用流暢，不改變用戶操作習(xí)慣，應(yīng)用單點(diǎn)登錄無需多次輸入密碼。

（5）支持用戶行為審計(jì)

支持用戶操作審計(jì)，審計(jì)用戶每次認(rèn)證與訪問操作，做到一切可追溯。

聯(lián)軟UniSDP部署架構(gòu)圖如下：

●聯(lián)軟方案實(shí)現(xiàn)效果●

（1）安全視角

隱藏業(yè)務(wù)服務(wù)器，實(shí)現(xiàn)漏洞屏蔽，防掃描、防攻擊入侵；

實(shí)現(xiàn)數(shù)據(jù)加密傳輸，防止數(shù)據(jù)在傳輸過程被非法監(jiān)聽；

實(shí)現(xiàn)數(shù)據(jù)傳輸雙向證書校驗(yàn)，防止中間人攻擊。

（2）管理視角

統(tǒng)一發(fā)布平臺，將移動端與PC端應(yīng)用快捷發(fā)布，無需改造客戶系統(tǒng)；

統(tǒng)一安全接入，兼容安卓與IOS移動終端、兼容Windows終端；

兼容現(xiàn)有新版OA以及舊版OA，兼容H5以及原生應(yīng)用，實(shí)現(xiàn)應(yīng)用深度整合。

（3）用戶視角

以SDK形式與現(xiàn)有應(yīng)用深度整合，安全隱藏在業(yè)務(wù)背后，不改變用戶使用習(xí)慣；

為保持良好的用戶體驗(yàn)，不需要切換或安裝多個(gè)軟件，不需要多次登錄，最終實(shí)現(xiàn)用戶無感知。

●客戶價(jià)值●

聯(lián)軟UniSDP基于零信任網(wǎng)絡(luò)安全理念和軟件定義邊界（SDP）安全模型，實(shí)現(xiàn)控制平面和數(shù)據(jù)平面分類，能夠幫助證券行業(yè)客戶帶來以下價(jià)值。

（1）統(tǒng)一入口

統(tǒng)一入口降低運(yùn)維成本，對證券營業(yè)廳人員來說，可操作性強(qiáng)，一鍵訪問應(yīng)用，無需記住密碼，解決了營業(yè)廳計(jì)算機(jī)支撐能力不足的問題。

（2）服務(wù)隱藏

將服務(wù)隱藏到SDP安全網(wǎng)關(guān)后，不在暴露IP、端口，減少攻擊面，增強(qiáng)企業(yè)安全性、合規(guī)性。

（3）數(shù)據(jù)防泄密

數(shù)據(jù)防泄密，數(shù)據(jù)不落地，解決了移動辦公人員文件泄密的問題。通過SDP安全沙箱，實(shí)現(xiàn)個(gè)人文件與企業(yè)資料相分離，沙箱內(nèi)數(shù)據(jù)禁止被非法復(fù)制、打印、截屏、外傳，防止各種數(shù)據(jù)被違規(guī)泄露使用；同時(shí)，O盤不改變業(yè)務(wù)流程、不改造應(yīng)用系統(tǒng)，不影響內(nèi)部員工間的數(shù)據(jù)交換。

（4）統(tǒng)一管理

聯(lián)軟UniSDP軟件定義邊界解決方案致力于在移動化大潮中，為企業(yè)提供統(tǒng)一的移動辦公入口和靈活的應(yīng)用發(fā)布平臺，在 “端、管、云”三點(diǎn)構(gòu)筑核心能力，通過對網(wǎng)絡(luò)、設(shè)備、應(yīng)用、數(shù)據(jù)的統(tǒng)一管控，為企業(yè)移動業(yè)務(wù)創(chuàng)新提供強(qiáng)勁的動力和堅(jiān)實(shí)的保護(hù)。