零信任访问控制系统

产品特性

可信身份认证

零信任访问控制系统为网络中的人、设备、应用都赋予逻辑身份，并基于身份进行细粒度的权限设置和判定。

安全控制

平台支持统一身份管理和统一授权管理。安全客户端支持账密、短信、二维码、UKey等多因素身份认证。

可信设备准入

所有的设备接入基于零信任的虚拟安全网络，都进行准入控制。安全控制台集成PKI/CA系统，也可以对接企业的CA系统，动态签发CA证书，一机一钥。PC端和移动端设备通过安装安全客户端的方式，结合CA证书和设备唯一编码，准入控制。物联网设备通过边缘安全网关硬件准入，支持IP、MAC、协议、厂商和设备指纹的多元组准入机制。

可信链路传输

所有的访问请求（应用、API接口等）都需要被认证、授权和加密。安全网关支持通信全程加密、双向身份认证和最小权限开放。此外，安全网关支持国密算法，且满足国家商用密码二级认证。

可信资源权限

基于角色访问控制（RBAC）及策略访问控制（PBAC）的权限模型，遵循“最小权限”原则，按需授权。安全控制平台支持统一授权、统一应用门户及单点登录，同时支持三权分立，实现用户和资源权限分离。

全向防攻击

零信任访问控制系统基于网络隐身技术，打造虚拟边界专网，支持防扫描探测、防恶意攻击、防DDoS攻击、阻断黑客非法入侵。安全控制平台和安全网关均支持SPA单包授权认证，隐藏服务端口。安全网关集成入侵检测引擎，可以识别恶意攻击的流量。

数据防泄密

基于加密技术，建立数据通信虚拟加密隧道，防止数据通信过程中的泄密；基于加密技术，建立虚拟加密磁盘，防止数据在终端泄密。安全客户端集成轻量级终端安全沙箱，对下载的数据文件进行加密，带离安全环境后无法打开；同时对数据外发进行管控，提供给外单位的数据文件需提交审批申请，安全共享文件支持权限控制。

持续信任评估

通过对事件风险全面评估和持久化检查，实现风险事前自动预警。安全控制台支持对用户行为和设备行为建模分析，识别出高风险的用户和设备。系统通过安全客户端感知PC端和移动端风险；通过零信任边缘安全网关感知物联网设备端的风险；通过安全网关感知网络威胁风险；通过安全控制台对接第三方的威胁情报，实现对主客体的持续信任评估。

动态访问控制

零信任访问控制系统对主客体属性、安全状态进行持续的信任评估，根据评估结果动态调整访问授权。安全控制台支持将用户行为、设备行为、终端环境、网络环境及威胁情报等风险数据汇聚，支持基于风险评估结果联动智能决策引擎，并动态调整访问控制策略，对恶意攻击进行阻断，对可疑用户访问进行二次认证。

日志采集检索

零信任访问控制系统可采集用户行为日志、设备运行日志等多维异构数据，支持日志的海量存储、检索与查询，为风险检测及持续信评估提供了全面丰富的数据支撑，同时也为人工研判及溯源分析提供依据。控制系统支持通过syslog的南北向接口，与第三方安全单元实现日志交互。

客户价值

革新安全架构，保障数据安全

采用零信任安全架构重构企业信息安全边界，从根源上解决数据访问的安全性问题，具备已实践的标准化落地方案，可实现企业快速升级部署。

提升安全能力，应对实时风险

• 采用统一的数字化身份信息，实现访问用户及设备身份的全面认证。

• 实现业务系统的网络隐身及动态按需最小授权功能，极大地减小攻击暴露面。

• 集中业务代理，提供通道加密及攻击防护功能，有效保护传输数据安全。

• 使用国家商用密码算法，满足等级保护和密码应用安全性测评的合规要求。

• 获取实时的环境安全状态、访问行为数据，智能分析风险并动态调整访问控制策略。

实现自动管理，降低运维成本

• 一站式身份、认证、授权、审计及应用管理平台，快速构建统一身份管理平台。

• 提供全面的身份协议、丰富的应用模板实现无改造快速上线。

• 从安全架构层面解决安全的源头问题，投入低，可靠性高，避免重复建设。

提高工作效率，提升用户体验

• 消除物理逻辑边界，提供随时随地的企业数据访问。

• 自动获取用户身份安全状态进行访问授权，安全用户无感接入。

• 单点登录和多因素认证结合，用户一次认证便可访问授权内所有业务系统。