一、案例背景：

阳光保险于2005年7月成立，历经十余年的发展，已成为中国金融业的新锐力量。公司成立5年便跻身中国500强企业、中国服务业100强企业。集团目前拥有财产保险、人寿保险、信用保证保险、资产管理、医疗健康等多家专业子公司，国内前十大保险公司。
 

阳光保险自成立以来，累计承担社会风险1290万亿元，开启“四五”发展新征程之际，阳光保险启动了“一聚三强”的发展新战略，即以阳光文化为引领，以价值发展为主线，聚焦保险主业核心能力及核心优势提升，持续强化大健康产业布局，强化大资管战略落地,强化科技引领和创新驱动，有效推动集团的高质量可持续发展。
 

面向未来大健康战略挑战，集团养老与不动产中心，立足康养业务云化、智能化的发展需求，亟需新一代安全理念的解决方案支持未来数字化建设过程的安全建设。经多方评估与技术论证，优先选择基于零信任（ZTNA）理念，打造基于新一代SDP的云网一体化平台，实现企业内网、公有云、SaaS方式的系统安全域防护域管理的需求：

1、解决错综复杂云+网环境下的信息安全防护

2、互联网暴露面收敛：暴露在互联网上的明源ERP、康养运营平台、康养智联云平台、商业租赁系统等企业应用访问通道安全

3、数据安全： 业务系统一直有端口暴露，存在IT资产暴露，被扫描、探测的风险
 

二、案例概述：

• 深云SDP解决方案

      深云SDP整体解决方案如下
 

图1：深云SDP整体解决方案

• 深云SDP方案说明

1. 深云SDP方案支持通过客户端跟浏览器【无端】接入云端的SDP网关，然后通过网关访问企业内部应用及企业私有云服务器，打造云网一体化部署。
2. 在SDP大脑配置私有DNS，加速了DNS解析，防止DNS劫持，默认所有云端网关所有的端口都是Deny,只有云深客户端（带身份认证、数字签名）进行SPA端口敲门，网关验证身份后，才会针对合法用户的IP暂时放行tcp端口，保证了企业数据“隐身”于互联网，避免端口暴露，防止被攻击。
3. 用户认证通过后会建议https加密隧道，保障数据传输安全，进行应用的访问。这里的应用需要在大脑提前配置，只有在白名单的应用才可以被访问。
4. 无端模式，深云浏览器强大的兼容模式支持企业使用统一入口登录，减少运维成本，且通过单点登录，一次登录后可以访问被授权的所有应用，在安全基础上实现快速办公。

• 阳光保险应用场景
  1.场景一、浏览器登录入口—统一门户（单点登录及待办集成）

阳光保险采用融合版深云浏览器进行无端访问，既可以统一入口快速访问，又可以保证客户端安全。

三、安全技术应用情况：

云深互联的SDP安全设计理念是基于新一代SDP技术，采用SPA 单包认证的安全网络隧道的组网方式，工作于第三层网络，为服务器提供网络隐身。
 

1. 基于密码学的安全设计理念

国际上的安全普遍理念是，安全并不是靠一个秘密的架构或者算法来达到最高的安全性，

而是靠密码学中的秘钥来实现。比特币、区块链就是很好的例子，即使代码是开源的，即使服务器全部部署在公网上，黑客仍然无法攻破。因为所有的秘密总有被盗取的哪一天，但是密码学是数学理论，从数学上证明无法攻破。云深互联的安全设计理念也是从密码学角度出发，完全自研的”一机一钥“技术，类似比特币钱包（即非对称算法的私钥），达到高级的安全性。
 

2. 一机一钥，动态密钥

云深互联的SDP安全设计理念是基于密码学，完全自研的”一机一钥“技术，类似比特币钱包（即非对称算法的私钥），达到高级的安全性。短信验证的过程其实就是非对称秘钥的生成过程，而且是在客户端上动态直接生成私钥，好处是：

1）没有经过网络传输，避免被黑客劫持攻击。

2）动态秘钥，不会因为客户端代码被破解而被黑客伪装攻击。
 

3. 私有KPI服务体系-DeepKMS

为了实现“一机一钥”，深云SDP产品支持私有KPI体系，客户端&linker连接器的证书是自签的，只有深云SDP网关跟安全大脑可以识别。因此，客户端证书在下发时候可自定义过期时间，过期后则无法使用该客户端连接网关，便于管理。针对离职人员或者异常访问人员可直接在安全大脑管控平台删除其设备，则无法继续使用深云客户端访问数据中心或者内网业务。
 

4. 私有DNS-DeepDNS

深云SDP产品提供私有 DNS 功能，可以帮助隐藏业务系统的 DNS、IP信息，用户可以不在外网做 DNS 地址解析，只需在深云 SDP 安全大脑设置业务系统的域名与 IP 的对应关系。用户在登录深云 SDP客户端时，从深云 SDP 安全大脑获取业务系统的 IP，进而访问业务系统。因为业务系统DNS、IP 没有暴露在互联网上，所以黑客无从发起网络攻击。
 

5. linker建立反向隧道流程及技术

在用户安装深云 SDP 客户端后，公司的内网或者公有云上需要安装与之相对应的连接器，以保证客户端的访问请求可以传达到内网并进行合理的访问控制和身份验证。linker跟网关之间建立的是反向安全隧道，因此无需暴露数据中心的出口IP地址以及对外开放端口，收敛暴露面，避免被攻击。只需要企业防火墙受信深云网关ip即可。
 

四、客户反馈效果：

• 产品优势：

阳光保险集团主要采用了深云的融合版浏览器+SaaS模式接入深云SDP网关，进行统一认证、远程安全访问、数据隐身技术及最小粒度应用授权来保障企业数据在互联网上高效安全地交互。

• 应用价值：

整体安全风险降低、办公效率提升、数据可视化、认证系统等级提升、网络访问安全级别提升。