EN
首页
产品

软件与信息技术服务-ICT运营管理

数智化新IT运营

数字化转型

业务应用系统综合分析平台 智能日志分析平台

智能中台

流程引擎能力中心 全栈智能监控中心 AI能力中心 能力编排中心 机器人能力中心 用户服务中心 RPA能力中心 自动化能力中心 统一采集操作中心 配置资源管理中心 数据共享中心 猎豹智维平台

信息安全管理

身份与访问安全

身份与访问安全管理系统 Ultra-SecFort集中运维审计堡垒机系统 Ultra-ZTIAM 零信任身份服务系统

计算环境安全

Ultra-AMR资产安全核查系统 Ultra-BMS安全基线管理系统 Ultra-DeepScanner 深度漏洞全量核查系统 Ultra-PWAnalyser 资源弱口令核查系统

网络与通讯安全

Ultra-APT Detector高级网络威胁识别 Ultra-SmartSensor全流量数据采集探针 Ultra-FWAnalyser 神州泰岳防火墙策略核查系统

安全管理与运营

Ultra-SOMC安全运行管理中心 Ultra-SecSight信息安全大数据态势感知系统 Ultra-ESA企业综合安全审计系统 SecSight-SOAR安全编排自动化与响应平台

数据安全

Ultra-DSM数据安全管控产品 Ultra-SmartDLP Detector数据防泄漏系统 Ultra-MSFolder个人安全文件夹系统

云增值服务

云安全与安全云

Ultra-SmartLxCShield容器安全防护系统 Ultra-SmartGrid网络资产智能微隔离系统 Ultra-SecCloud安全云服务平台 Ultra-SmartShield云主机安全防护系统

软件与信息技术服务-物联网与通信

专网通信

5G专网通信产品 EVA泛融合通信平台 高精度定位系统 宽带接入微基站 物联网传感器 EVA会议宝私有云一体机

安防+管廊

智慧线 综合接入控制器

智慧电力

接入节点设备 汇聚节点设备 智能温控除湿机 特高频局放传感器 超声波局放传感器 暂态地电压局放传感器 SF6气体微水与密度监测传感器 暂态地电压(TEV)超声波局放传感器

智慧显示

泰岳UltraHub AI全景会议平板 望远鲸护眼家庭平板

软件与信息技术服务-人工智能与大数据

智慧语义

数据共享交换平台

智能客服

智能导航机器人 智能外呼机器人 智能对话机器人

手机游戏

手游原创

战火与秩序 旭日之城 无尽苍穹

解决方案

软件与信息技术服务-ICT运营管理

数智化新IT运营

数字化转型

全业务可观测平台 Ultra-AIOps 企业知识共享平台 敏捷ITSM管理 数智化运营管理 数字化研发效能平台 电信业务端到端监控

自智网络

混合多云管理 IDC运营管理 集约化综合网管 算网大脑 核心网运维工作台 IP运维工作台 家客业务运营支撑 政企业务运维支撑系统解决方案 CDN运维工作台 SDN控制器 电子运维管理平台

AI大模型应用

大模型MaaS平台 智能数据分析 IP网运维智能体 核心网运维智能体 知识增强 智能办公助手 智能研发

融合通信

消息中台 5G消息CSP平台 渠道运营服务解决方案 一体化营销服务 短信网关

信息安全管理

运营商

身份与访问控制解决方案 安全合规解决方案 安全威胁分析与预警解决方案 安全资产管理解决方案

金融

特权帐号管理解决方案 一体化信息安全风险感知解决方案 安全基线管理解决方案 安全审计解决方案

交通

运维身份统一管理解决方案 网络安全监测与预警解决方案

政府

安全运营管理解决方案 安全运行保障解决方案 网信办安全态势感知解决方案

医疗

IT服务运维管理解决方案

航空航天

网络安全体系设计服务方案

能源

安全服务整体解决方案

公安

公安视频专网安全控制解决方案

全行业

泰岳安全中台解决方案 零信任安全解决方案 泰岳数据安全解决方案

云增值服务

AWS SMB上云服务 AWS DevOps服务 AWS架构优化服务 云原生应用开发服务 AWS账单服务 AWS上云迁移服务 AWS云上代维服务

软件与信息技术服务-物联网与通信

专网通信

5G通信解决方案 Nu-Comm融合通信系统 智慧园区解决方案

智慧电力

变电在线监测系统解决方案 变电站远程智能巡视系统解决方案 变电数字孪生站智能一体化解决方案 数字主变健康多元状态评估解决方案

工业互联网

综合管廊安防通信一体化系统 电缆隧道智能监控解决方案

智慧安防

智慧墙入侵探测系统

软件与信息技术服务-人工智能与大数据

智慧政务

社区警务便民小助手解决方案 智脑案情分析系统解决方案 警情数据分析平台解决方案

智能催收

智能催收解决方案

智能客服

通用场景智能客服解决方案 政务场景智能客服解决方案

新闻动态 投资者关系 加入我们
关于泰岳

神州泰岳零信任解决方案筑数字化时代的安全堡垒

2021-11-04

11月1日-3日,2021中国移动全球合作伙伴大会在广州召开,神州泰岳零信任安全解决方案受到广泛关注,什么是零信任安全?它是怎么出现的呢?往下看给你答案!

1 神州泰岳零信任解决方案研发背景

随着云大物移技术的发展和数字化转型,网络安全边界逐渐瓦解,传统城堡式防御模型面临巨大挑战,甚至不再奏效。另一方面内部人员的威胁和APT攻击让内网和互联网一样充满风险,基于边界的网络安全架构难以应对如今的网络威胁,需要全新的网络安全架构应对现代复杂的企业网络基础设施,为应对日益严峻的网络威胁形势,神州泰岳基于零信任的安全架构应运而生。

2 神州泰岳零信任解决方案核心能力

神州泰岳零信任安全架构由SDP、微隔离、IAM三部分组成,其中IAM是实践零信任安全战略愿景的技术根基,提供身份验证与访问控制的关键能力。为了实施零信任架构提出的“永不信任、持续验证”的安全理念,泰岳安全提出了基于IAM的增强性身份安全演进思路,通过更灵活的技术手段应对动态变化的人、终端、系统,采用基于数字身份化的新逻辑边界,实现对人/终端/系统的识别、智能的动态访问控制,筑造基于零信任的IAM增强产品-零信任风控中心(以下统称为零信任身份服务系统),对解决当下及未来异构网络环境下企业的业务安全管控需求具有重要且必要的意义。

神州泰岳零信任身份服务系统

01 以身份为核心

零信任的本质是以身份为核心进行动态访问控制,零信任身份服务系统实现对所有人、接入设备的数字身份真实性的验证以及对访问行为的动态授权和控制。

在零信任理念下,网络位置不再决定访问权限,在访问被允许之前,所有访问主体都需要经过身份认证和授权。

身份认证不再仅仅针对用户,还将对终端设备、应用软件等多种身份进行识别和认证。

授权决策不再仅仅基于传统静态访问控制模型,而是通过持续的安全监测和信任评估,进行动态、细粒度的授权。

02 持续信任评估能力

零信任架构认为一次性的身份认证无法确保身份的持续合法性,即便是采用了强度较高的多因子认证,也需要通过度量访问主体的风险,持续进行信任评估,零信任身份服务系统提供两种评估方式:

访问主体信任评估:通过构建访问主体信任评估模型,建立适配访问行为的访问主体风险和信任评估机制,对影响信任的关键风险进行有限枚举,并从风险评估角度建立度量依据,设立度量子项内容与对应的信任分,分别评估访问主体的身份信任分和当前访问上下文的信任分,综合得到访问主体的信任评估结果,即访问主体信任。

访问客体信任评估:通过构建访问客体安全等级评估模型,建立适配访问客体的业务价值和安全级别的评估机制,从客体的等保级别、业务重要性、影响度等维度综合度量出客体的业务价值分,并设定对应的安全等级。

03 动态决策能力

零信任身份服务系统提供动态访问控制决策能力,对经过“持续信任评估”的用户访问行为生成访问控制决策,决定用户访问行为的阻断、授权干预与放行。确保所有访问都必须被认证、授权。

动态访问控制决策能力通过构建动态决策模型,建立基于访问控制策略的访问主客体信任与决策动作的关系,达成适用客体安全等级的客体分级访问决策依据。动态决策模型使用“持续信任评估”能力输出的<访问主体信任分>与<访问客体安全等级>作为动态决策模型的输入条件,与动态控制策略管理模块进行关联,平台自动分析访问请求的信任相当性,输出自适应用户访问行为的动态访问控制决策。

3 神州泰岳零信任解决方案优势特点

01 消除隐含信任-基于身份的可信认证

可信认证

零信任身份服务系统提供以身份为中心的可信认证能力,对每一次访问连接的参与者,包括人、设备、网关等都进行身份认证,精准识别访问连接相关参与方、目标访问方、网络是否可被信任,阻断不可信接入,防止非法人员以非法方式接入企业业务服务资源。

身份管理

零信任身份服务系统以身份为中心,将用户访问业务过程的各种因素都身份化,构建可信用户、可信设备、可信网络、可信业务资源、可信网关等可信身份,显式管理可信身份,建立安全身份边界,隔离不合法接入。

02 网络访问最小授权-动态按需授权访问

细粒度授权

零信任身份服务系统基于最小授权原则,建立访问用户与权限范围内业务资源访问关系、零信任客户端与可信零信任隐身网关授权访问准入、及零信任隐身网关与业务资源授权连接控制,实现基于最小授权的安全访问边界的定义。

应用级别访问控制

零信任身份服务系统提供对用户端至业务服务端访问接入的准入放行、行为阻断的控制能力,从应用级别审查控制所有业务访问连接,保护业务安全访问。

动态权限调整

零信任身份服务系统可按业务需要随时调整授权连接,即时生成访问授权策略,下发至零信任隐身网关执行,实现对用户业务访问接入的自适应控制。

03 便捷访问-跨设备统一访问入口

统一访问入口

零信任身份服务系统构建基于零信任客户端的统一访问入口,用户持终端设备上通过零信任客户端入口,不区分内外网访问环境,随时随地访问企业业务资源,系统支持的终端设备类型包括包括PC端、Android端、IOS端,实现跨终端设备的用户访问。

统一访问门户

零信任身份服务系统提供基于用户的资源访问门户,汇聚用户权限业务资源,呈现统一访问视图,同时兼容各类浏览器,支持默认浏览器访问,方便用户便捷访问业务资源。

资源单点登录

零信任身份服务系统集成资源SSO单点登录能力,用户直接点击业务资源即可访问,实现业务一键访问。

4 神州泰岳零信任解决方案应用场景

01 替代VPN实现远程办公

基于VPN的用户远程安全访问方式,其范围和功能有限,VPN仅能对用户进行认证,访问控制强度低粒度粗,通常仅提供粗粒度访问控制(访问整个网段或子网),不能有效使用目前企业对远程访问安全管控和身价要求。

基于零信任的远程安全访问,可以保护远程用户便捷业务访问,专为细粒度访问控制而设计。用户无法访问所有未经授权的资源,符合最小权限原则。

02 云上业务安全访问

零信任隐身网关屏蔽基于网络向内网业务系统、云上服务资源发起的攻击,保证业务服务不在互联网暴露。有效避免来自非授权用户侧的网络攻击。所有业务访问流量数据从用户端至业务端全程加密传输,缓解恶意威胁攻击,防止数据窃听或篡改,保护企业业务数据安全。

神州泰岳零信任身份服务系统对网络安全进行了重构,无边界的网络、基于可信的身份、动态的授权和持续的信任评估成为新的理念,身份认证范围更为全面,不光有用户的身份,还有设备和应用、系统身份。访问授权更为精准,不再基于角色的静态授权,而是基于信任评估的结果进行动态授权,最终形成一整套适用企业数字化转型的新型安全机制。