山石网科零信任访问解决方案

---

方案背景

随着云计算、移动互联、IoT等新技术的普及应用，用户办公不再局限于传统的企业网络边界内。可随时随地在任何终端快速、安全地访问企业数据的需求愈发迫切，企业的网络边界正逐渐模糊。

无界办公提升了便捷性，但网络安全风险随之提升。现阶段无界办公带来的安全风险主要有三个方面：一是接入的终端用户类别复杂化；二是服务与提供服务的基础设施之间关系复杂化；三是内网应用和数据难以管控。在此背景下，零信任理念技术成为企业网络安全建设关注的重点。

方案介绍

山石网科推出零信任访问解决方案，由零信任客户端、零信任网关、零信任管理平台作为核心组件构成，基于“持续校验，动态授权，永不信任”理念，为客户构建全新安全访问体系。其中零信任客户端实现全面的用户身份和终端状态持续检测，零信任网关实现可信终端的接入以及可控的动态访问授权，零信任管理平台实现全局策略编排和网关统一纳管。

方案价值

山石网科零信任访问解决方案通过以身份为中心的动态授权方法，依据用户身份和终端环境，持续进行信任评估，来实现用户、终端、应用的精细化管理，达成精准安全的业务访问管控。

• 可信身份：不局限于账号、密码认证，融入更多身份元素，为企业提供细粒度的用户访问控制，深度防范访问安全
• 可信终端：终端状态校验通过后，不再等于永久访问授权。将持续评估终端状态环境，并动态调整其授权，确保接入终端实时安全可控；
• 可信访问：打破内网可信的旧安全理念，移除任何隐含信任。仅在用户和终端满足特定要求时，应用资源访问权限才开放给特定授权用户，有效降低内网安全风险。

方案优势

终端标签，身份状态持续检测

• 基于账号密码和终端状态信息的终端标签，终端接入即刻匹配标签，快速判断授权访问范围
• 支持windows终端，支持全面的终端状态信息识别，确保终端接入状态可控
• 终端标签支持基于各类信息元素的“与”“或”配置，精细化管理授权，实现最精准范围的应用访问授权
• 支持终端状态信息持续识别，动态调整终端标签及其授权访问范围

零信任策略，动态授权访问范围

• 零信任策略独立于普通策略，基于用户身份、终端标签和应用资源等元素灵活配置，较普通策略可读性更强
• 支持当用户/用户组终端标签发生变化，实时重新匹配对应的零信任策略，并调整终端的应用授权范围
• 支持多个时间表的零信任策略，灵活控制授权终端的访问时间
• 支持零信任策略命中分析，并记录资源访问日志，便于零信任用户行为分析

应用发布，授权范围清晰明确

• 支持向客户端推送被授权的应用和数据访问入口，并支持一键跳转，自助登录
• 支持应用受限访问提示，提示信息支持自定义
• 支持提供终端关键系统版本、软件版本升级方式

兼容SSL VPN，客户端一致性体验

• 零信任客户端同时支持SSL VPN和ZTNA用户接入，用户无差异化接入感知
• 支持SSL VPN用户平滑升级为ZTNA用户，管理员可根据业务演进，逐步将SSL VPN终端过渡到ZTNA终端
• 支持SSL VPN老用户低成本升级ZTNA用户，保护Capex投资

应用场景

应用行业：

政府、金融、运营商、互联网、医疗、交通、能源等企业

应用场景：

远程办公接入场景

远程运维场景

第三方协作接入场景

云租户零信任接入访问场景