持安零信任办公安全解决方案
  • 2023.04.18
  • 4244
  • 北京持安科技有限公司

 

 

需求分析

随着数字化转型的推进,企业代码、程序、用户数据、系统权限、后台权限等都可以变为实际的现金资产,黑客入侵、内部舞弊等风险逐步增加。

 

实际的工作中,安全管理人员通常人手不足,安全防护压力大,管理能力跟不上公司发展速度等问题,经整理发现,现代企业主要存在以下问题:
 

 

● 数据资产不清晰自带设备、过期资产、设备信息篡改等等,会导致管理人员难以知道企业数据资产真实情况,甚至可能在被攻击后持续得不到响应,以致其可能成为攻击者长期的渗透入口;

 

● 业务暴露:如失效的防火墙策略、内部系统对全公司开放、违规申请规则、规则过期等,均可导致系统暴露在外,进而被黑客攻击渗透;

 

● 账号权限管理混乱:成百上千个系统,由于系统的权限分散,账号不统一。还有部分员工离后账号没有及时回收,同时存在弱口令等问题,导致这些账号成为攻击跳板;

 

●多数据中心办公接入:分散的数据中心、分公司等,在满足互访等办公需求同时,可能导致权限管控失效,出现安全问题,黑客可以通过分支机构渗透至核心区域;

 

● 时刻存在的未知风险:对于攻击挑战最大的是往往很难得知,攻击会从什么地方发起,以什么方式发起,进而难以防御。


 

解决方案介绍

 

本案例由平台化零信任理念、可拔插的零信任组件、持安零信任运营服务专家团队组成。

 

核心产品为持安远望办公安全平台,是持安科技为了解决企业复杂网络环境下的办公安全难题,提高组织效率,结合自身8年甲方零信任实践落地、运营经验,自主研发打造产品。

 

持安远望办公安全平台将零信任架构融入企业信息化基础设施当中,在传统网络之上,构建一个基于身份的零信任网络。让零信任平台承载业务,所有的安全能力均为平台化的零信任产品提供,而业务无需关注安全,无需做二次开发,普通员工不用关心自己所处位置,实现无感知安全办公,兼顾安全与效率。

 

 

 

平台使用独立部署模式,可以支持本地化部署,也可以支持云端部署,或是与企业的K8S,容器环境融合,实现全场景的部署和使用。持安自处研发高可用架构,可收敛所有访问入口,分布式就近访问,低延时,高传输性能。

 

 

主要能力模块

 

1)持安智信统一身份认证系统

融合企业SSO,同步多个源身份数据,接入多种认证方式,授信企业资产,对不同应用设定分层、分级认证,通过整个企业内外所有的身份体系,形成完整的企业级零信任身份安全中心。

 

2)持安智连应用安全系统

通过零信任“先验证、再访问”原则,将企业业务在互联网端隐身,将零信任能力深入至应用层,基于零信任可信认证,以身份为中心,持续动态的细粒度访问控制。

 

3)持安智通SDP访问系统

业务互联网隐身,用户通过可信终端授权访问业务资源,具备高性能、多网关分布式访问能力,不仅仅是远程VPN替代,具备大型企业内部零信任网络访问能力。

 

4)持安智御终端管理系统

可适用PC端、手机端等,通过嵌入甲方各类办公软件,实现用户到企业办公资源的加密连接,一次登录,全天安全。终端会持续对设备进行安全监测,发生异常事件时,断用户的危险行为,同时保证敏感数据存储、使用与传输安全。

 

5)持安烽火决策中心

决策中心负责对用户身份、权限、终端设备等可视化集中管理,对接和集成企业原有的安全系统,使其与零信任平台无缝融合,实现安全一体化,实时收集用户访问过程中的各类数据,确保用户行为合理、合法、合规。

 

 

用户价值

通过多年实践,通过对零信任的研发、部署和实施,实现了零信任变为企业基础架构承载业务的目的,兼顾了效率和安全,实现了将全员、终端、应用全部接入零信任的目标,实现所有的业务访问均通过零信任的方式,不区分内外网,总体而言,达成了以下目的:

 

● 暴露面收敛:web应用、C/S应用等,业务访问均不在对外暴露,所有的访问入口均通过网关。经验证扫描不可达,可抵御未知攻击;

 

● 资产可见、可控:对企业设备上的所有软硬件资产进行全量采集,只有合规和可信的设备才可以访问企业应用,对每一台设备的使用者身份确认,设备状态可见,安全可控;

 

● 终端风险评估:通过部署到设备的终端管理系统,实现对所有设备的安全基线覆盖,实现强制杀毒、补丁更新、安全加固等控制以及动态风险评估;

 

● 权限智能管控:对业务系统、办公系统的集中化权限控制,以及权限申请自动化,实现了可控、可审;

 

● 账号集中化:实现了全网业务应用统一账号、统一认证、统一鉴权,集中的身份管理可快速实现员工权限回收,通过扫码、OTP、短信验证等多因素认证方式,消除弱口令风险;

 

● 动态访问策略:根据系统敏感程度,实施不同的动态策略,满足策略情况下才可以访问;

 

● 全链路审计:基于用户的身份,实现全链路溯源审计,精准跟踪到每个人的行为,大幅提升应急响应速度;


 

 

本网站使用Cookies以使您获得最佳的体验。为了继续浏览本网站,您需同意我们对Cookies的使用。想要了解更多有关于Cookies的信息,或不希望当您使用网站时出现cookies,请阅读我们的Cookies声明隐私声明
全 部 接 受
拒 绝