伴隨著云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G等新技術(shù)的崛起，業(yè)務(wù)上云、數(shù)據(jù)互聯(lián)互通等變革，使得企業(yè)與政府處理業(yè)務(wù)的方式發(fā)生了顛覆性的轉(zhuǎn)變。越來越多的企業(yè)用戶不在企業(yè)內(nèi)網(wǎng)進行工作，供應(yīng)商、合作伙伴等也需要從世界各地接入到企業(yè)內(nèi)網(wǎng)中辦公。除此之外，數(shù)據(jù)中心云化，將系統(tǒng)與網(wǎng)絡(luò)之間的連接打通，使得網(wǎng)絡(luò)邊界變得越來越模糊，業(yè)務(wù)場景越來越復(fù)雜。

互聯(lián)網(wǎng)帶來便利的同時，也帶來了許多風(fēng)險。在互聯(lián)網(wǎng)下，任何漏洞都會被黑客捕獲并無限放大，網(wǎng)絡(luò)安全威脅態(tài)勢愈演愈烈。各行各業(yè)的安全團隊都面臨著比以往更加嚴峻的挑戰(zhàn)，大家意識到從前堅固的城堡，已經(jīng)成“危房”了。

●項目介紹●

某證券股份有限公司是一家擁有證券市場業(yè)務(wù)全牌照的一流券商，在全國60個城市開設(shè)了90多家營業(yè)網(wǎng)點。由于營業(yè)部數(shù)量多，每個營業(yè)部間距離分散，網(wǎng)絡(luò)連接復(fù)雜，想要查看公司內(nèi)部消息，提交報銷等只能通過VPN遠程到公司本部。

●業(yè)務(wù)痛點與需求●

（1）VPN遠程訪問時如何分辨合規(guī)用戶與可疑用戶？

傳統(tǒng)VPN驗證模式基于用戶賬戶，然而VPN僅僅通過賬戶信息并不能分辨網(wǎng)絡(luò)另一端的用戶真實身份。由于VPN的策略過于“粗獷”，一旦用戶的賬號泄露，黑客便可以通過三層隧道直接連接公司內(nèi)網(wǎng)，如果內(nèi)網(wǎng)一臺服務(wù)器受到攻擊，黑客可以對該區(qū)域內(nèi)的其他數(shù)據(jù)庫服務(wù)器發(fā)起橫向攻擊，并且不會受到防火墻的干擾或檢測，這種攻擊對公司造成的影響是不可預(yù)估的。

（2）VPN暴露固定端口，給攻擊者留下“靶心”

攻擊的第一步是偵查，攻擊者通過偵查來確認目標(biāo)位置。VPN對互聯(lián)網(wǎng)暴露固定端口，豈不是給攻擊者留下“靶心”？

（3）公網(wǎng)訪問如何保障安全，抵抗攻擊？

將企業(yè)系統(tǒng)放到互聯(lián)網(wǎng)、云上，如何保障企業(yè)數(shù)據(jù)安全，抵御黑客掃描攻擊？

（4）內(nèi)網(wǎng)就是絕對安全的嗎？

據(jù)Forrester Research Survey的研究報告顯示，超過60%的安全問題是由內(nèi)部引起；FortScale的調(diào)查報告則顯示，85%的數(shù)據(jù)泄露是來于內(nèi)部威脅。所以不能僅從防火墻側(cè)嚴防死守，而忽略了內(nèi)部本身的威脅。

（5）如何解決VPN操作復(fù)雜，體驗性差問題？

1.配置復(fù)雜，每次變更需要大量的修改配置，通常要配置成百上千條規(guī)則，導(dǎo)致不敢做任何變更。

2.體驗性差，頻繁掉線、重連，嚴重影響工作效率。

3.可擴展性差，不支持橫向擴展，價格昂貴。

●聯(lián)軟UniSDP助力安全加固●

2009年“極光行動”席卷全球，而正是由于APT攻擊，使得Google意識到，傳統(tǒng)的VPN技術(shù)無法解決未來萬物上云，互聯(lián)互通的問題，他們拋棄對本地內(nèi)網(wǎng)的絕對信任，開啟了全新的“零信任”概念，從而誕生了BeyondCorp項目。Google將BeyondCorp項目的目標(biāo)設(shè)定為“讓所有Google員工從不受信任的網(wǎng)絡(luò)中不接入VPN就能順利工作”。

聯(lián)軟UniSDP解決方案就是基于零信任網(wǎng)絡(luò)安全理念和軟件定義邊界（SDP）安全模型，實現(xiàn)控制平面和數(shù)據(jù)平面分離。以零信任理念為基礎(chǔ)、認證授權(quán)體系為基石、業(yè)務(wù)安全為核心，實現(xiàn)安全和業(yè)務(wù)的統(tǒng)一。聯(lián)軟UniSDP通過細粒度的安全訪問控制手段、可視化的策略管理能力與輕量級安全沙箱技術(shù)，提供按需、動態(tài)的可信訪問。在實現(xiàn)網(wǎng)絡(luò)隱身、最小授權(quán)的基礎(chǔ)上，保證企業(yè)數(shù)據(jù)安全可控。

通過聯(lián)軟UniSDP軟件定義邊界解決方案，可實現(xiàn)大中小型機構(gòu)遠程辦公、遠程運維、跨安全域辦公、互聯(lián)網(wǎng)隨時隨地辦公等應(yīng)用場景。能夠幫助用戶在多云環(huán)境下，建設(shè)統(tǒng)一的安全接入平臺，統(tǒng)一管理，達到真正的安全、高效易用、高擴展。

（1）網(wǎng)絡(luò)隱身

聯(lián)軟UniSDP從傳統(tǒng)的先訪問后認證模式，改為先認證后訪問。身份驗證未通過前，網(wǎng)關(guān)及網(wǎng)關(guān)后的服務(wù)對外隱身，不畏懼端口掃描等操作。

（2）按需授權(quán)

權(quán)限細粒度最小化，通過身份、設(shè)備、環(huán)境、應(yīng)用進行身份驗證，基于應(yīng)用授權(quán)，訪問所有資源必須要認證、授權(quán)、加密。

（3）數(shù)據(jù)不落地

聯(lián)軟UniSDP通過安全沙箱與水印追蹤相結(jié)合，將個人數(shù)據(jù)與企業(yè)數(shù)據(jù)相分離，對企業(yè)數(shù)據(jù)采用高強度加密手段防護。

（4）快速穩(wěn)定，體驗感極佳

操作簡單，無需用戶手冊，無需操作經(jīng)驗。

訪問B/S、C/S應(yīng)用流暢，不改變用戶操作習(xí)慣，應(yīng)用單點登錄無需多次輸入密碼。

（5）支持用戶行為審計

支持用戶操作審計，審計用戶每次認證與訪問操作，做到一切可追溯。

聯(lián)軟UniSDP部署架構(gòu)圖如下：

●聯(lián)軟方案實現(xiàn)效果●

（1）安全視角

隱藏業(yè)務(wù)服務(wù)器，實現(xiàn)漏洞屏蔽，防掃描、防攻擊入侵；

實現(xiàn)數(shù)據(jù)加密傳輸，防止數(shù)據(jù)在傳輸過程被非法監(jiān)聽；

實現(xiàn)數(shù)據(jù)傳輸雙向證書校驗，防止中間人攻擊。

（2）管理視角

統(tǒng)一發(fā)布平臺，將移動端與PC端應(yīng)用快捷發(fā)布，無需改造客戶系統(tǒng)；

統(tǒng)一安全接入，兼容安卓與IOS移動終端、兼容Windows終端；

兼容現(xiàn)有新版OA以及舊版OA，兼容H5以及原生應(yīng)用，實現(xiàn)應(yīng)用深度整合。

（3）用戶視角

以SDK形式與現(xiàn)有應(yīng)用深度整合，安全隱藏在業(yè)務(wù)背后，不改變用戶使用習(xí)慣；

為保持良好的用戶體驗，不需要切換或安裝多個軟件，不需要多次登錄，最終實現(xiàn)用戶無感知。

●客戶價值●

聯(lián)軟UniSDP基于零信任網(wǎng)絡(luò)安全理念和軟件定義邊界（SDP）安全模型，實現(xiàn)控制平面和數(shù)據(jù)平面分類，能夠幫助證券行業(yè)客戶帶來以下價值。

（1）統(tǒng)一入口

統(tǒng)一入口降低運維成本，對證券營業(yè)廳人員來說，可操作性強，一鍵訪問應(yīng)用，無需記住密碼，解決了營業(yè)廳計算機支撐能力不足的問題。

（2）服務(wù)隱藏

將服務(wù)隱藏到SDP安全網(wǎng)關(guān)后，不在暴露IP、端口，減少攻擊面，增強企業(yè)安全性、合規(guī)性。

（3）數(shù)據(jù)防泄密

數(shù)據(jù)防泄密，數(shù)據(jù)不落地，解決了移動辦公人員文件泄密的問題。通過SDP安全沙箱，實現(xiàn)個人文件與企業(yè)資料相分離，沙箱內(nèi)數(shù)據(jù)禁止被非法復(fù)制、打印、截屏、外傳，防止各種數(shù)據(jù)被違規(guī)泄露使用；同時，O盤不改變業(yè)務(wù)流程、不改造應(yīng)用系統(tǒng)，不影響內(nèi)部員工間的數(shù)據(jù)交換。

（4）統(tǒng)一管理

聯(lián)軟UniSDP軟件定義邊界解決方案致力于在移動化大潮中，為企業(yè)提供統(tǒng)一的移動辦公入口和靈活的應(yīng)用發(fā)布平臺，在 “端、管、云”三點構(gòu)筑核心能力，通過對網(wǎng)絡(luò)、設(shè)備、應(yīng)用、數(shù)據(jù)的統(tǒng)一管控，為企業(yè)移動業(yè)務(wù)創(chuàng)新提供強勁的動力和堅實的保護。