伴隨著云計算、移動互聯網、物聯網、5G等新技術的崛起，業(yè)務上云、數據互聯互通等變革，使得企業(yè)與政府處理業(yè)務的方式發(fā)生了顛覆性的轉變。越來越多的企業(yè)用戶不在企業(yè)內網進行工作，供應商、合作伙伴等也需要從世界各地接入到企業(yè)內網中辦公。除此之外，數據中心云化，將系統(tǒng)與網絡之間的連接打通，使得網絡邊界變得越來越模糊，業(yè)務場景越來越復雜。

互聯網帶來便利的同時，也帶來了許多風險。在互聯網下，任何漏洞都會被黑客捕獲并無限放大，網絡安全威脅態(tài)勢愈演愈烈。各行各業(yè)的安全團隊都面臨著比以往更加嚴峻的挑戰(zhàn)，大家意識到從前堅固的城堡，已經成“危房”了。

●項目介紹●

某證券股份有限公司是一家擁有證券市場業(yè)務全牌照的一流券商，在全國60個城市開設了90多家營業(yè)網點。由于營業(yè)部數量多，每個營業(yè)部間距離分散，網絡連接復雜，想要查看公司內部消息，提交報銷等只能通過VPN遠程到公司本部。

●業(yè)務痛點與需求●

（1）VPN遠程訪問時如何分辨合規(guī)用戶與可疑用戶？

傳統(tǒng)VPN驗證模式基于用戶賬戶，然而VPN僅僅通過賬戶信息并不能分辨網絡另一端的用戶真實身份。由于VPN的策略過于“粗獷”，一旦用戶的賬號泄露，黑客便可以通過三層隧道直接連接公司內網，如果內網一臺服務器受到攻擊，黑客可以對該區(qū)域內的其他數據庫服務器發(fā)起橫向攻擊，并且不會受到防火墻的干擾或檢測，這種攻擊對公司造成的影響是不可預估的。

（2）VPN暴露固定端口，給攻擊者留下“靶心”

攻擊的第一步是偵查，攻擊者通過偵查來確認目標位置。VPN對互聯網暴露固定端口，豈不是給攻擊者留下“靶心”？

（3）公網訪問如何保障安全，抵抗攻擊？

將企業(yè)系統(tǒng)放到互聯網、云上，如何保障企業(yè)數據安全，抵御黑客掃描攻擊？

（4）內網就是絕對安全的嗎？

據Forrester Research Survey的研究報告顯示，超過60%的安全問題是由內部引起；FortScale的調查報告則顯示，85%的數據泄露是來于內部威脅。所以不能僅從防火墻側嚴防死守，而忽略了內部本身的威脅。

（5）如何解決VPN操作復雜，體驗性差問題？

1.配置復雜，每次變更需要大量的修改配置，通常要配置成百上千條規(guī)則，導致不敢做任何變更。

2.體驗性差，頻繁掉線、重連，嚴重影響工作效率。

3.可擴展性差，不支持橫向擴展，價格昂貴。

●聯軟UniSDP助力安全加固●

2009年“極光行動”席卷全球，而正是由于APT攻擊，使得Google意識到，傳統(tǒng)的VPN技術無法解決未來萬物上云，互聯互通的問題，他們拋棄對本地內網的絕對信任，開啟了全新的“零信任”概念，從而誕生了BeyondCorp項目。Google將BeyondCorp項目的目標設定為“讓所有Google員工從不受信任的網絡中不接入VPN就能順利工作”。

聯軟UniSDP解決方案就是基于零信任網絡安全理念和軟件定義邊界（SDP）安全模型，實現控制平面和數據平面分離。以零信任理念為基礎、認證授權體系為基石、業(yè)務安全為核心，實現安全和業(yè)務的統(tǒng)一。聯軟UniSDP通過細粒度的安全訪問控制手段、可視化的策略管理能力與輕量級安全沙箱技術，提供按需、動態(tài)的可信訪問。在實現網絡隱身、最小授權的基礎上，保證企業(yè)數據安全可控。

通過聯軟UniSDP軟件定義邊界解決方案，可實現大中小型機構遠程辦公、遠程運維、跨安全域辦公、互聯網隨時隨地辦公等應用場景。能夠幫助用戶在多云環(huán)境下，建設統(tǒng)一的安全接入平臺，統(tǒng)一管理，達到真正的安全、高效易用、高擴展。

（1）網絡隱身

聯軟UniSDP從傳統(tǒng)的先訪問后認證模式，改為先認證后訪問。身份驗證未通過前，網關及網關后的服務對外隱身，不畏懼端口掃描等操作。

（2）按需授權

權限細粒度最小化，通過身份、設備、環(huán)境、應用進行身份驗證，基于應用授權，訪問所有資源必須要認證、授權、加密。

（3）數據不落地

聯軟UniSDP通過安全沙箱與水印追蹤相結合，將個人數據與企業(yè)數據相分離，對企業(yè)數據采用高強度加密手段防護。

（4）快速穩(wěn)定，體驗感極佳

操作簡單，無需用戶手冊，無需操作經驗。

訪問B/S、C/S應用流暢，不改變用戶操作習慣，應用單點登錄無需多次輸入密碼。

（5）支持用戶行為審計

支持用戶操作審計，審計用戶每次認證與訪問操作，做到一切可追溯。

聯軟UniSDP部署架構圖如下：

●聯軟方案實現效果●

（1）安全視角

隱藏業(yè)務服務器，實現漏洞屏蔽，防掃描、防攻擊入侵；

實現數據加密傳輸，防止數據在傳輸過程被非法監(jiān)聽；

實現數據傳輸雙向證書校驗，防止中間人攻擊。

（2）管理視角

統(tǒng)一發(fā)布平臺，將移動端與PC端應用快捷發(fā)布，無需改造客戶系統(tǒng)；

統(tǒng)一安全接入，兼容安卓與IOS移動終端、兼容Windows終端；

兼容現有新版OA以及舊版OA，兼容H5以及原生應用，實現應用深度整合。

（3）用戶視角

以SDK形式與現有應用深度整合，安全隱藏在業(yè)務背后，不改變用戶使用習慣；

為保持良好的用戶體驗，不需要切換或安裝多個軟件，不需要多次登錄，最終實現用戶無感知。

●客戶價值●

聯軟UniSDP基于零信任網絡安全理念和軟件定義邊界（SDP）安全模型，實現控制平面和數據平面分類，能夠幫助證券行業(yè)客戶帶來以下價值。

（1）統(tǒng)一入口

統(tǒng)一入口降低運維成本，對證券營業(yè)廳人員來說，可操作性強，一鍵訪問應用，無需記住密碼，解決了營業(yè)廳計算機支撐能力不足的問題。

（2）服務隱藏

將服務隱藏到SDP安全網關后，不在暴露IP、端口，減少攻擊面，增強企業(yè)安全性、合規(guī)性。

（3）數據防泄密

數據防泄密，數據不落地，解決了移動辦公人員文件泄密的問題。通過SDP安全沙箱，實現個人文件與企業(yè)資料相分離，沙箱內數據禁止被非法復制、打印、截屏、外傳，防止各種數據被違規(guī)泄露使用；同時，O盤不改變業(yè)務流程、不改造應用系統(tǒng)，不影響內部員工間的數據交換。

（4）統(tǒng)一管理

聯軟UniSDP軟件定義邊界解決方案致力于在移動化大潮中，為企業(yè)提供統(tǒng)一的移動辦公入口和靈活的應用發(fā)布平臺，在 “端、管、云”三點構筑核心能力，通過對網絡、設備、應用、數據的統(tǒng)一管控，為企業(yè)移動業(yè)務創(chuàng)新提供強勁的動力和堅實的保護。