企業(yè)零信任安全體系建設(shè)方案

企業(yè)零信任安全體系建設(shè)方案企業(yè)的安全建設(shè)困境信息安全全景圖--安全牛2019.1安全的全景視圖理論體系P2DR模型木桶理論立體防御模型云管端模型自適應(yīng)安全模型安全滑動(dòng)標(biāo)尺標(biāo)準(zhǔn)體系ISO:27001等級(jí)保護(hù)分級(jí)保護(hù)網(wǎng)絡(luò)安全法360阿里騰訊百度京東網(wǎng)易……經(jīng)過(guò)30年發(fā)展，安全已經(jīng)發(fā)展成了一個(gè)集數(shù)十種理論和標(biāo)準(zhǔn)、數(shù)百個(gè)廠商，數(shù)千種安全產(chǎn)品的復(fù)雜產(chǎn)業(yè)做為安全的從業(yè)者，總是希望安全能夠回歸本源安全合規(guī)模式單點(diǎn)防御模式管理體系模式自我建設(shè)模式我有病，你有藥嗎你不能說(shuō)我有病我能證明我沒(méi)病你有什么藥，看看我得了什么病為什么該上的產(chǎn)品都上了，還是不安全？為什么我已經(jīng)符合等保要求，還是不安全？為什么我過(guò)了ISO27001，還是不安全？我知道我肯定有問(wèn)題，但是我不知道哪兒有問(wèn)題企業(yè)的安全建設(shè)困境威脅對(duì)抗數(shù)據(jù)安全業(yè)務(wù)訪問(wèn)資產(chǎn)維度數(shù)據(jù)加解密EDLP/NDLPUEBA業(yè)務(wù)維度身份認(rèn)證零信任環(huán)境維度終端安全網(wǎng)關(guān)安全云安全企業(yè)安全建設(shè)邏輯共筑網(wǎng)絡(luò)安全世界ISC2013互聯(lián)世界,安全第一ISC2014數(shù)據(jù)驅(qū)動(dòng)安全I(xiàn)SC2015協(xié)同聯(lián)動(dòng):共建安全+命運(yùn)共同體ISC2016萬(wàn)物皆變，人是安全的尺度ISC2017安全從0開(kāi)始ISC2018從ISC/BCS7年看國(guó)內(nèi)安全思想變化聚合應(yīng)變,內(nèi)生安全BSC2019內(nèi)生安全,從安全框架開(kāi)始BSC2020內(nèi)生安全，從安全框架開(kāi)始終端應(yīng)用單點(diǎn)對(duì)抗（數(shù)據(jù)驅(qū)動(dòng)）協(xié)同對(duì)抗（協(xié)同聯(lián)動(dòng)）人機(jī)對(duì)抗（人是安全的尺度）威脅安全訪問(wèn)（安全從0開(kāi)始）內(nèi)生安全內(nèi)生安全安全思想的演化邏輯零信任網(wǎng)絡(luò)解決的是什么問(wèn)題？環(huán)境感知解決的是什么問(wèn)題？谷歌為什么要搞零信任網(wǎng)絡(luò)？零信任網(wǎng)絡(luò)離我們有多遠(yuǎn)？開(kāi)篇的幾個(gè)問(wèn)題GOOGLE的零信任實(shí)踐Google極光行動(dòng)的反思SSL2009年12月，Google遭遇了著名的APT攻擊-極光行動(dòng)（OperationAurora）進(jìn)一步獲得郵件服務(wù)器用戶名、密碼等信息利用該員工的憑證進(jìn)入郵件服務(wù)器利用加密隧道將獲得的數(shù)據(jù)壓縮傳出員工點(diǎn)擊該惡意鏈接后，導(dǎo)致IE瀏覽器溢出繼而執(zhí)行FTP程序，從遠(yuǎn)程下載遠(yuǎn)控木馬遠(yuǎn)控木馬跟黑客電腦建立SSL加密隧道黑客通過(guò)社交網(wǎng)絡(luò)獲得員工信息仿冒信任人員給該員工發(fā)送含有0-day漏洞的惡意鏈接企業(yè)內(nèi)部的特權(quán)網(wǎng)絡(luò)的存在，導(dǎo)致一旦網(wǎng)絡(luò)被攻破，則網(wǎng)絡(luò)內(nèi)部沒(méi)有安全的控制點(diǎn)設(shè)備不可信，會(huì)使威脅直接穿透VPN移動(dòng)辦公、遠(yuǎn)程訪問(wèn)、云服務(wù)形式突破了物理網(wǎng)絡(luò)邊界無(wú)特權(quán)網(wǎng)絡(luò)受控設(shè)備受控設(shè)備公共網(wǎng)絡(luò)訪問(wèn)代理單點(diǎn)登錄訪問(wèn)控制引擎管道證書(shū)頒發(fā)信任推斷用戶/組數(shù)據(jù)庫(kù)設(shè)備資產(chǎn)數(shù)據(jù)庫(kù)設(shè)備證書(shū)驗(yàn)證訪問(wèn)代理重定向雙因子認(rèn)證（Token）設(shè)備證書(shū)+單點(diǎn)登錄令牌確定用戶可信確定設(shè)備可信代碼服務(wù)（）請(qǐng)求轉(zhuǎn)發(fā)一、安全識(shí)別設(shè)備（Device）設(shè)備資產(chǎn)數(shù)據(jù)庫(kù)設(shè)備標(biāo)識(shí)（設(shè)備證書(shū)）二、安全識(shí)別用戶(User)用戶/組數(shù)據(jù)庫(kù)（HR）單點(diǎn)登錄系統(tǒng)（雙因子）三、從網(wǎng)絡(luò)中移除信任(Trust)部署無(wú)特權(quán)網(wǎng)絡(luò)（ACL）有線/無(wú)線網(wǎng)絡(luò)的802.1x認(rèn)證四、外部應(yīng)用和工作流(Applications)面向互聯(lián)網(wǎng)的訪問(wèn)代理公共DNS記錄（CNAME）五、實(shí)施基于資產(chǎn)的訪問(wèn)控制對(duì)設(shè)備和用戶的信任推斷（信任等級(jí)）訪問(wèn)控制引擎訪問(wèn)控制引擎的消息管道GoogleBeyondCorp123456零信任網(wǎng)絡(luò)各類高級(jí)威脅的危害：竊密機(jī)密、隱私泄露、關(guān)鍵設(shè)施破壞、敲詐勒索……APT攻擊事件：摩訶草事件、蔓靈花行動(dòng)……僵尸網(wǎng)絡(luò)類、后門(mén)、間諜軟件……竊密木馬、勒索病毒……服務(wù)器高級(jí)漏洞攻擊類……““APT攻擊會(huì)成為新常態(tài)用戶多樣化設(shè)備多樣化業(yè)務(wù)多樣化平臺(tái)多樣化數(shù)據(jù)分散在不同的業(yè)務(wù)應(yīng)用中并持續(xù)流動(dòng)，流動(dòng)加劇了大數(shù)據(jù)的風(fēng)險(xiǎn)，信任成為核心要素邊界消失會(huì)成為必然序號(hào)廠商國(guó)家核心業(yè)務(wù)基本情況1Akamai美國(guó)零信任成立時(shí)間：1998年

規(guī)模：5,001-10,0005Centrify美國(guó)IDaaS，零信任成立時(shí)間：04年6CertesNetworks

零信任設(shè)備管理、加密

13Duo美國(guó)零信任、多因子、SSO成立時(shí)間：2010

規(guī)模：700+員工

地點(diǎn)：AnnArbor,MI;SanMateo,CA;Austin,TXandLondon,UK等

狀態(tài)：2018年被cisco收購(gòu)14F5美國(guó)ADC、負(fù)載均衡、零信任成立時(shí)間：1,001-5,000

規(guī)模：199622Luminate美國(guó)IAM

24PingIdentity美國(guó)零信任成立時(shí)間：2002年

地點(diǎn)：Denver

規(guī)模：501-1,00025Okta美國(guó)IDaaS，零信任年份：2009年

創(chuàng)始人為云計(jì)算先驅(qū)S的兩位早期高管31PaloAltoNetwork美國(guó)微隔離成立時(shí)間：2005

規(guī)模：5,001-10,00033Remediant美國(guó)PAM成立時(shí)間：2013

規(guī)模：2-10

SanFrancisco,California42Symantec美國(guó)

成立時(shí)間：1982

規(guī)模：17,500零信任競(jìng)爭(zhēng)版圖IDG的2018安全重點(diǎn)調(diào)查顯示，71%專注安全的IT決策者都注意到了零信任模型，已經(jīng)有8%在自己的企業(yè)中積極采用這種模型，10%正在試用。隱藏DNS信息、關(guān)閉端口，掃描無(wú)法發(fā)現(xiàn)目標(biāo)系統(tǒng)在訪問(wèn)鏈接請(qǐng)求之前先認(rèn)證用戶及設(shè)備的身份信息用戶只能訪問(wèn)對(duì)其授權(quán)的業(yè)務(wù)應(yīng)用范圍只提供用戶-業(yè)務(wù)的連接，只允許用戶通過(guò)應(yīng)用層（非網(wǎng)絡(luò)層）訪問(wèn)傳統(tǒng)交互邏輯：先連接，后驗(yàn)證；業(yè)務(wù)系統(tǒng)暴露連接業(yè)務(wù)系統(tǒng)驗(yàn)證用戶身份連接業(yè)務(wù)系統(tǒng)驗(yàn)證用戶和設(shè)備身份零信任邏輯：先驗(yàn)證，后連接；業(yè)務(wù)系統(tǒng)隱身信息隱藏預(yù)認(rèn)證預(yù)授權(quán)應(yīng)用層準(zhǔn)入零信任核心理念零信任架構(gòu)分析授權(quán)認(rèn)證治理應(yīng)用訪問(wèn)代理360ID可信應(yīng)用代理360ID可信API代理零信任安全控制平面應(yīng)用訪問(wèn)主體360ID可信環(huán)境感知360ID智能手機(jī)令牌360ID智能身份平臺(tái)360ID可信訪問(wèn)控制臺(tái)以身份為中心全面身份化，完成身份治理用戶-設(shè)備綁定作為主體“身份”設(shè)備/用戶的持續(xù)認(rèn)證基于環(huán)境數(shù)據(jù)的度量評(píng)估信任業(yè)務(wù)安全訪問(wèn)業(yè)務(wù)隱藏，強(qiáng)制訪問(wèn)控制業(yè)務(wù)訪問(wèn)數(shù)據(jù)流的加密全量業(yè)務(wù)訪問(wèn)日志動(dòng)態(tài)訪問(wèn)控制細(xì)粒度、最小授權(quán)原則RBAC和ABAC基于風(fēng)險(xiǎn)的度量和評(píng)估動(dòng)態(tài)調(diào)整授權(quán)智能身份分析支撐自適應(yīng)訪問(wèn)控制和身份治理自動(dòng)化賦能降低管理開(kāi)銷基于機(jī)器學(xué)習(xí)的高級(jí)分析設(shè)備和用戶持續(xù)認(rèn)證動(dòng)態(tài)訪問(wèn)控制業(yè)務(wù)安全訪問(wèn)零信任架構(gòu)的基本要素建設(shè)統(tǒng)一身份源，實(shí)現(xiàn)全網(wǎng)用戶、設(shè)備、應(yīng)用、API接口的統(tǒng)一身份化，實(shí)現(xiàn)統(tǒng)一權(quán)限梳理。訪問(wèn)控制進(jìn)行細(xì)粒度授權(quán)，基于風(fēng)險(xiǎn)的度量和信任評(píng)估，動(dòng)態(tài)調(diào)整授權(quán)，實(shí)現(xiàn)自適應(yīng)訪問(wèn)控制。采用大數(shù)據(jù)分析和人工智能技術(shù)，對(duì)風(fēng)險(xiǎn)進(jìn)行分析，支撐風(fēng)險(xiǎn)度量化；對(duì)策略進(jìn)行分析，支撐管理自動(dòng)化。采用機(jī)器學(xué)習(xí)算法，基于高級(jí)身份分析技術(shù)和工作流引擎，實(shí)現(xiàn)身份與訪問(wèn)管理的自動(dòng)化。4.分析智能化6.管理自動(dòng)化1.全面身份化3.授權(quán)動(dòng)態(tài)化一次性認(rèn)證無(wú)法確保用戶身份的持續(xù)合法，需要通過(guò)持續(xù)認(rèn)證手段進(jìn)行信任評(píng)估。2.認(rèn)證持續(xù)化基于人和設(shè)備的環(huán)境數(shù)據(jù)、訪問(wèn)行為數(shù)據(jù)，進(jìn)行風(fēng)險(xiǎn)建模，度量潛在的安全風(fēng)險(xiǎn)和信任等級(jí)。5.風(fēng)險(xiǎn)度量化零信任安全的“六化”架構(gòu)人、設(shè)備、應(yīng)用身份生命周期管理賬號(hào)梳理與監(jiān)控權(quán)限管理與分派身份賬號(hào)權(quán)限業(yè)務(wù)訪問(wèn)主體完整不可分割支撐設(shè)備認(rèn)證和用戶認(rèn)證身份是物理世界的人、設(shè)備、應(yīng)用等實(shí)體在數(shù)字世界中的對(duì)等物。全面身份化注銷持續(xù)認(rèn)證二次認(rèn)證根據(jù)安全等級(jí)或持續(xù)認(rèn)證風(fēng)險(xiǎn)評(píng)估，強(qiáng)行要求二次認(rèn)證、多因子認(rèn)證初始認(rèn)證初次登錄系統(tǒng)需要認(rèn)證。從易用性考慮，認(rèn)證強(qiáng)度考慮最低安全要求即可。XXYXXZ訪問(wèn)過(guò)程中，持續(xù)進(jìn)行分析評(píng)估，確認(rèn)身份有效性認(rèn)證的灰度：

一次性認(rèn)證無(wú)法確保用戶身份的持續(xù)合法，需要通過(guò)持續(xù)認(rèn)證手段進(jìn)行信任評(píng)估，這也是一種灰度哲學(xué)。登錄認(rèn)證持續(xù)化當(dāng)主體信任程度與客體安全等級(jí)是平衡狀態(tài)時(shí)，數(shù)據(jù)可以雙向流動(dòng)

人

設(shè)備

應(yīng)用

環(huán)境信任度量因子安全等級(jí)度量因子數(shù)據(jù)信道風(fēng)險(xiǎn)度量因子

環(huán)境

數(shù)據(jù)

業(yè)務(wù)環(huán)境信任程度主體環(huán)境安全等級(jí)客體風(fēng)險(xiǎn)度量化動(dòng)態(tài)授權(quán)權(quán)限管理分析環(huán)境身份動(dòng)態(tài)權(quán)限

感知采集分析認(rèn)證身份分析身份濫用高風(fēng)險(xiǎn)終端爬取數(shù)據(jù)越權(quán)訪問(wèn)合法用戶合規(guī)終端授權(quán)訪問(wèn)持續(xù)用戶認(rèn)證用戶行為分析動(dòng)態(tài)授權(quán)流量異常分析

數(shù)據(jù)非法流出非授權(quán)訪問(wèn)持續(xù)設(shè)備認(rèn)證環(huán)境風(fēng)險(xiǎn)感知應(yīng)用&數(shù)據(jù)授權(quán)動(dòng)態(tài)化自適應(yīng)訪問(wèn)控制身份治理身份信息策略信息屬性信息策略調(diào)整風(fēng)險(xiǎn)評(píng)分訪問(wèn)日志環(huán)境屬性外部分析結(jié)果輸入動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估對(duì)等組分析用戶行為分析訪問(wèn)策略優(yōu)化自動(dòng)權(quán)限評(píng)估工作流分析智能化策略基線策略執(zhí)行策略分析觸發(fā)工作流自動(dòng)偏差調(diào)整制定初始策略基線編排工作流少量的變更審批其余全部交給系統(tǒng)…管理員職責(zé)主體客體訪問(wèn)控制管理自動(dòng)化認(rèn)證是通過(guò)各種信息驗(yàn)證手段，確認(rèn)人和數(shù)字身份的對(duì)應(yīng)關(guān)系認(rèn)證概念多因子認(rèn)證引擎證書(shū)認(rèn)證聲紋認(rèn)證人臉認(rèn)證認(rèn)證策略認(rèn)證請(qǐng)求簽發(fā)令牌組合各種認(rèn)證因子完成身份驗(yàn)證基于你所知道的（Whatyouknow）

知識(shí)、口令、密碼基于你所持的（Whatyouhave）

身份證、信用卡、鑰匙、智能卡、令牌等基于你所有的固有特征（Whatyouare）

指紋，筆跡，聲音，手型，臉型，視網(wǎng)膜，虹膜多因子認(rèn)證授權(quán)決定誰(shuí)（主體）能對(duì)哪些資源（客體）進(jìn)行什么樣的操作。授權(quán)決策主體客體權(quán)限策略授權(quán)模型RBACABACMAC授權(quán)概念環(huán)境感知&身份分析應(yīng)用資源策略執(zhí)行點(diǎn)PEP策略執(zhí)行點(diǎn)PEP策略判定點(diǎn)PDP策略管理點(diǎn)PAP受保護(hù)資源身份憑證源憑證服務(wù)環(huán)境感知風(fēng)險(xiǎn)分析資源請(qǐng)求者認(rèn)證服務(wù)策略信息點(diǎn)PIP可信應(yīng)用代理TAP

|

可信API代理TIP可信訪問(wèn)控制臺(tái)TAC身份管理權(quán)限管理可信環(huán)境感知授權(quán)的訪問(wèn)控制架構(gòu)模型環(huán)境屬性：IP、時(shí)間、地理位置...終端可信評(píng)分用戶行為風(fēng)險(xiǎn)分用戶認(rèn)證強(qiáng)度允許拒絕限制需要二次認(rèn)證才能訪問(wèn)可信環(huán)境感知用戶行為分析策略執(zhí)行點(diǎn)（可信代理）身份認(rèn)證業(yè)務(wù)流量鑒權(quán)請(qǐng)求身份庫(kù)策略庫(kù)第三方數(shù)據(jù)動(dòng)態(tài)訪問(wèn)控制動(dòng)態(tài)授權(quán)可信應(yīng)用代理TAP可信API代理TIP應(yīng)用服務(wù)接口應(yīng)用前置DNS導(dǎo)流主動(dòng)連接轉(zhuǎn)發(fā)及令牌傳遞轉(zhuǎn)發(fā)及令牌傳遞流量安全代理轉(zhuǎn)發(fā)訪問(wèn)控制策略執(zhí)行信息傳遞日志導(dǎo)出可信訪問(wèn)控制臺(tái)集中配置管理集中會(huì)話管理集中訪問(wèn)控制風(fēng)險(xiǎn)感知和身份、權(quán)限管理系統(tǒng)聯(lián)動(dòng)可信代理控制平面應(yīng)用/服務(wù)應(yīng)用/服務(wù)ID_TOKENID_TOKEN身份、權(quán)限、環(huán)境信息說(shuō)明TAP攔截訪問(wèn)請(qǐng)求，并到TAC認(rèn)證授權(quán)，獲取ID_TOKEN并傳遞。應(yīng)用/服務(wù)基于ID_TOKEN實(shí)現(xiàn)功能級(jí)授權(quán)和單點(diǎn)登錄。TIP繼續(xù)傳遞TD_TOKEN，和應(yīng)用級(jí)的APP_TOKEN一起，基于雙層令牌實(shí)現(xiàn)接口授權(quán)。TAPTIPTIPAPP_TOKENTAC可信代理令牌傳遞技術(shù)零信任方案客戶端應(yīng)用網(wǎng)關(guān)云業(yè)務(wù)企業(yè)內(nèi)部業(yè)務(wù)環(huán)境感知（TESS）企業(yè)瀏覽器TrustSpace設(shè)備接入鑒定DNS解析服務(wù)端口控制訪問(wèn)范圍控制1.設(shè)備認(rèn)證2.用戶認(rèn)證3.動(dòng)態(tài)連接3.動(dòng)態(tài)連接4.轉(zhuǎn)發(fā)4.轉(zhuǎn)發(fā)應(yīng)用網(wǎng)關(guān)用戶管理設(shè)備管理權(quán)限管理策略管理報(bào)表管理控制中心零信任訪問(wèn)示意圖外部生態(tài)系統(tǒng)：生物識(shí)別、手機(jī)軟key、PKI/CA、第三方IAMTESSAgent360IDAgentPC端身份安全基礎(chǔ)設(shè)施外部身份基礎(chǔ)設(shè)施適配層生物識(shí)別適配層移動(dòng)端360ID智能手機(jī)令牌360ID智能身份平臺(tái)身份管理權(quán)限管理可信訪問(wèn)控制臺(tái)TAC可信應(yīng)用代理TAPTrustSpace代理零信任動(dòng)態(tài)可信訪問(wèn)控制可信API代理TIP零信任身份安全產(chǎn)品體系業(yè)務(wù)應(yīng)用TLS安全傳輸通道傳輸加密專業(yè)的TLS傳輸技術(shù)支持國(guó)密算法套件防中間人攻擊訪問(wèn)代理業(yè)務(wù)默認(rèn)隱藏，強(qiáng)制授權(quán)令牌傳遞，實(shí)現(xiàn)單點(diǎn)登錄支持HTTP/RDP/SSH/Email/…全量日志訪問(wèn)日志輸出到身份分析平臺(tái)進(jìn)行風(fēng)險(xiǎn)評(píng)估流量可視化將業(yè)務(wù)隱藏在TAP之后，默認(rèn)不可見(jiàn)可信終端TAP用于用戶/終端和業(yè)務(wù)應(yīng)用之間的安全訪問(wèn)（AAG是TAP的簡(jiǎn)化版）可信應(yīng)用代理TAPTLS安全傳輸通道傳輸加密專業(yè)的TLS傳輸技術(shù)支持國(guó)密算法套件防中間人攻擊API代理對(duì)所有API調(diào)用進(jìn)行強(qiáng)制授權(quán)雙層令牌，使用用戶級(jí)控制支持標(biāo)準(zhǔn)Restful接口全量日志訪問(wèn)日志輸出到身份分析平臺(tái)進(jìn)行風(fēng)險(xiǎn)評(píng)估流量可視化將API接口隱藏在TIP之后，默認(rèn)不可見(jiàn)TIP用于應(yīng)用（前置）和應(yīng)用之間的安全API調(diào)用業(yè)務(wù)應(yīng)用前置應(yīng)用前置業(yè)務(wù)應(yīng)用前置應(yīng)用后端應(yīng)用API可信API代理TIP可信代理管理集中配置集群管理狀態(tài)監(jiān)控動(dòng)態(tài)授權(quán)訪問(wèn)授權(quán)風(fēng)險(xiǎn)感知違規(guī)業(yè)務(wù)阻斷認(rèn)證&會(huì)話管理動(dòng)態(tài)多因子認(rèn)證集中會(huì)話管理訪問(wèn)日志導(dǎo)出為T(mén)AP、TIP提供動(dòng)態(tài)訪問(wèn)控制和集中管理，是零信任的控制平面?？尚艖?yīng)用代理可信API代理業(yè)務(wù)應(yīng)用前置數(shù)據(jù)功能接口可信訪問(wèn)控制臺(tái)TAC可信訪問(wèn)控制可信訪問(wèn)控制可信終端環(huán)境感知可信終端環(huán)境感知身份基礎(chǔ)設(shè)施可信訪問(wèn)控制臺(tái)TAC身份管理統(tǒng)一身份庫(kù)身份生命周期管理身份同步與聚合權(quán)限管理授權(quán)策略管理權(quán)限申請(qǐng)與審批策略分析鑒權(quán)接口服務(wù)身份安全基礎(chǔ)設(shè)施，提供身份、權(quán)限管理服務(wù)，為T(mén)AC提供支撐。可信應(yīng)用代理可信API代理業(yè)務(wù)應(yīng)用前置數(shù)據(jù)功能接口可信訪問(wèn)控制臺(tái)TAC可信訪問(wèn)控制可信訪問(wèn)控制可信終端環(huán)境感知可信終端環(huán)境感知360ID智能身份平臺(tái)身份管理權(quán)限管理身份信息、權(quán)限信息智能身份平臺(tái)安全業(yè)務(wù)跨域訪問(wèn)安全終端AAG訪問(wèn)代理SSO可信應(yīng)用代理TAP可信API代理TIP運(yùn)維代理郵件代理……代理可信訪問(wèn)控制臺(tái)TAC身份及訪問(wèn)控制IAMServer外部認(rèn)證1、設(shè)備認(rèn)證2、用戶認(rèn)證2、認(rèn)證轉(zhuǎn)發(fā)3、訪問(wèn)請(qǐng)求(Token)4、權(quán)限判定5、業(yè)務(wù)訪問(wèn)5、業(yè)務(wù)訪問(wèn)5、業(yè)務(wù)訪問(wèn)移動(dòng)終端可信工作空間APPMTDPC終端可信環(huán)境感知云桌面瀏覽器私有云本地應(yīng)用2、用戶認(rèn)證3、訪問(wèn)請(qǐng)求5、業(yè)務(wù)訪問(wèn)NACOIOT終端IOT可環(huán)境感知設(shè)備可信標(biāo)識(shí)IOT接入器零信任基本架構(gòu)終端環(huán)境感知業(yè)務(wù)域跨域安全訪問(wèn)區(qū)用戶域PC終端可信環(huán)境感知終端安全安全狀態(tài)感知客戶端通信360ID插件終端標(biāo)識(shí)獲取VMTools插件終端殺毒終端管控可信環(huán)境感知360ID插件安全狀態(tài)感知終端標(biāo)識(shí)獲取客戶端通信WebbrowerVMTools插件ITS控制臺(tái)云桌面TESS控制臺(tái)CRMERPAD/LDAPCARadiusOA終端安全終端殺毒終端管控可信環(huán)境感知的云桌面訪問(wèn)架構(gòu)?設(shè)備識(shí)別?多環(huán)境感知?感知穿透?自我保護(hù)?安全狀態(tài)感知安全業(yè)務(wù)跨域訪問(wèn)安全終端AAG訪問(wèn)代理SSO可信應(yīng)用代理TAP可信API代理TIP運(yùn)維代理郵件代理……代理可信訪問(wèn)控制臺(tái)TAC身份及訪問(wèn)控制多IDPTESSServer外部認(rèn)證1、設(shè)備認(rèn)證2、認(rèn)證轉(zhuǎn)發(fā)4、權(quán)限判定5、業(yè)務(wù)訪問(wèn)5、業(yè)務(wù)訪問(wèn)PC終端可信環(huán)境感知云桌面瀏覽器云端應(yīng)用（混云）本地應(yīng)用2、用戶認(rèn)證3、訪問(wèn)請(qǐng)求5、業(yè)務(wù)訪問(wèn)OIDC終端安全防護(hù)狀態(tài)感知移動(dòng)終端可信工作空間APPMTD零信任基本架構(gòu)可信認(rèn)證環(huán)境感知環(huán)境感知訪問(wèn)控制身份認(rèn)證病毒查殺漏洞修復(fù)終端管控脆弱性管理安全審計(jì)數(shù)據(jù)防泄露軟件管理認(rèn)證不通過(guò)進(jìn)入修復(fù)模塊執(zhí)行修復(fù)動(dòng)態(tài)策略調(diào)度認(rèn)證通過(guò)進(jìn)入安全域可信環(huán)境感知工作原理環(huán)境感知序號(hào)可信分類可信項(xiàng)描述自定義(1-100)1安全防護(hù)可信網(wǎng)頁(yè)安全防護(hù)阻止訪問(wèn)掛馬釣魚(yú)網(wǎng)站嚴(yán)重危險(xiǎn)2看片安全防護(hù)阻止網(wǎng)絡(luò)視頻中的惡意代碼嚴(yán)重危險(xiǎn)3瀏覽器設(shè)置防護(hù)防止病毒木馬入侵瀏覽器嚴(yán)重危險(xiǎn)4搜索安全防護(hù)防止通過(guò)搜索進(jìn)入惡意網(wǎng)站一般故障5郵件安全防護(hù)防止通過(guò)郵件中的鏈接進(jìn)入惡意網(wǎng)站嚴(yán)重危險(xiǎn)6文件系統(tǒng)防護(hù)攔截對(duì)文件系統(tǒng)的攻擊嚴(yán)重危險(xiǎn)7驅(qū)動(dòng)防護(hù)攔截木馬從系統(tǒng)底層的攻擊嚴(yán)重危險(xiǎn)8進(jìn)程防護(hù)攔截系統(tǒng)進(jìn)程的危險(xiǎn)行為嚴(yán)重危險(xiǎn)9注冊(cè)表防護(hù)攔截木馬對(duì)核心設(shè)置造成破壞嚴(yán)重危險(xiǎn)10網(wǎng)絡(luò)安全防護(hù)攔截木馬下載器和惡意程序嚴(yán)重危險(xiǎn)11鍵盤(pán)記錄防護(hù)攔截木馬截獲輸入信息的行為一般故障12自我保護(hù)防止木馬和病毒破壞防護(hù)程序一般故障13輸入法防護(hù)防止通過(guò)輸入法執(zhí)行惡意代碼一般故障14聊天安全防護(hù)攔截聊天工具傳送的木馬一般故障15下載安全防護(hù)攔截下載文件中存在的木馬一般故障16U盤(pán)安全防護(hù)攔截U盤(pán)中的木馬嚴(yán)重危險(xiǎn)17黑客入侵防護(hù)攔截黑客入侵嚴(yán)重危險(xiǎn)18瀏覽器主頁(yè)鎖定防止被惡意程序篡改潛在風(fēng)險(xiǎn)19安全檢測(cè)主動(dòng)防御服務(wù)主動(dòng)檢測(cè)和阻止病毒木馬行為嚴(yán)重危險(xiǎn)20反釣魚(yú)安全保護(hù)防止釣魚(yú)網(wǎng)站導(dǎo)致的用戶損失嚴(yán)重危險(xiǎn)21系統(tǒng)關(guān)鍵位置木馬檢測(cè)關(guān)鍵位置的惡意木馬嚴(yán)重危險(xiǎn)22系統(tǒng)關(guān)鍵位置文件檢測(cè)關(guān)鍵位置的惡意文件嚴(yán)重危險(xiǎn)23本地DNS安全檢測(cè)檢測(cè)DNS的解析信息是否被惡意劫持一般故障24高危漏洞檢測(cè)終端的高危漏洞嚴(yán)重危險(xiǎn)25軟件更新漏洞檢測(cè)終端的更新漏洞嚴(yán)重危險(xiǎn)26可選高危漏洞檢測(cè)終端的可選高危漏洞嚴(yán)重危險(xiǎn)27其他及功能性更新漏洞檢測(cè)終端的其他及功能性更新漏洞一般故障28垃圾檢測(cè)常用軟件垃圾例如辦公軟件產(chǎn)生的垃圾文件潛在風(fēng)險(xiǎn)29娛樂(lè)軟件垃圾例如視頻類軟件、音樂(lè)播放類軟件產(chǎn)生的垃圾文件潛在風(fēng)險(xiǎn)30系統(tǒng)垃圾例如系統(tǒng)日志文件、系統(tǒng)補(bǔ)丁、系統(tǒng)緩存、臨時(shí)文件等信息潛在風(fēng)險(xiǎn)31安裝文件垃圾包含已經(jīng)支持的常見(jiàn)軟件產(chǎn)生的垃圾清理潛在風(fēng)險(xiǎn)32使用痕跡信息例如一些軟件在系統(tǒng)是運(yùn)行過(guò)的信息，以及訪問(wèn)過(guò)的文檔潛在風(fēng)險(xiǎn)33注冊(cè)表痕跡信息包含無(wú)效的注冊(cè)表項(xiàng)，注冊(cè)信息，以及錯(cuò)誤的注冊(cè)信息潛在風(fēng)險(xiǎn)34cookies信息包含各類瀏覽器的cookies信息潛在風(fēng)險(xiǎn)35速度優(yōu)化恢復(fù)區(qū)占用的硬盤(pán)空間通過(guò)清理磁盤(pán)空間，進(jìn)行優(yōu)化加速潛在風(fēng)險(xiǎn)36開(kāi)機(jī)啟動(dòng)項(xiàng)通過(guò)清理操作系統(tǒng)啟動(dòng)項(xiàng)，進(jìn)行優(yōu)化加速潛在風(fēng)險(xiǎn)37電腦中需要更新的軟件檢查電腦中軟件的軟件更新，獲得最好軟件體驗(yàn)潛在風(fēng)險(xiǎn)38插件檢測(cè)需清理的插件或圖標(biāo)清理有未知風(fēng)險(xiǎn)，以及惡意的插件。一般故障39需清理的輸入法插件清理輸入法插件。潛在風(fēng)險(xiǎn)40ActiveX控件清理有未知風(fēng)險(xiǎn)，以及惡意的插件。一般故障41Chrome插件清理有未知風(fēng)險(xiǎn)，以及惡意的插件。一般故障42故障檢測(cè)IE主頁(yè)相關(guān)項(xiàng)目可能導(dǎo)致網(wǎng)頁(yè)顯示不正常潛在風(fēng)險(xiǎn)43IE菜單項(xiàng)可能會(huì)影響IE的使用潛在風(fēng)險(xiǎn)44IE核心配置可能導(dǎo)致主頁(yè)被篡改現(xiàn)象潛在風(fēng)險(xiǎn)45IE外觀配置可能導(dǎo)致無(wú)法使用IE快捷功能潛在風(fēng)險(xiǎn)46IE常規(guī)設(shè)置可能導(dǎo)致IE的基本功能無(wú)法使用潛在風(fēng)險(xiǎn)47IE瀏覽器圖標(biāo)配置可能導(dǎo)致圖標(biāo)顯示異?；驘o(wú)法刪除潛在風(fēng)險(xiǎn)48Internet選項(xiàng)可能導(dǎo)致IE的個(gè)性化功能無(wú)法使用潛在風(fēng)險(xiǎn)49用戶樣式表可能會(huì)拖慢IE的運(yùn)行速度潛在風(fēng)險(xiǎn)50重置web設(shè)置可能導(dǎo)致重置Web設(shè)置不徹底潛在風(fēng)險(xiǎn)51About協(xié)議可能導(dǎo)致IE的提示頁(yè)面顯示不正常潛在風(fēng)險(xiǎn)52常用文件關(guān)聯(lián)項(xiàng)可能導(dǎo)致一些文件存在異常潛在風(fēng)險(xiǎn)53磁盤(pán)及文件夾配置可能導(dǎo)致磁盤(pán)或文件夾無(wú)法打開(kāi)潛在風(fēng)險(xiǎn)54系統(tǒng)常用組件可能導(dǎo)致一些系統(tǒng)功能無(wú)法使用潛在風(fēng)險(xiǎn)55系統(tǒng)啟動(dòng)配置可能在開(kāi)機(jī)時(shí)存在風(fēng)險(xiǎn)潛在風(fēng)險(xiǎn)56系統(tǒng)圖標(biāo)配置可能導(dǎo)致圖標(biāo)顯示異常或無(wú)法刪除潛在風(fēng)險(xiǎn)57任務(wù)欄及開(kāi)始菜單可能會(huì)影響對(duì)系統(tǒng)的操作潛在風(fēng)險(xiǎn)58系統(tǒng)重要服務(wù)組件可能影響系統(tǒng)功能的使用潛在風(fēng)險(xiǎn)59組策略可能會(huì)限制部分系統(tǒng)功能潛在風(fēng)險(xiǎn)60顯示屬性可能導(dǎo)致無(wú)法調(diào)整系統(tǒng)外觀潛在風(fēng)險(xiǎn)61Web桌面可能導(dǎo)致安全隱患潛在風(fēng)險(xiǎn)62網(wǎng)絡(luò)驅(qū)動(dòng)器可能導(dǎo)致網(wǎng)絡(luò)驅(qū)動(dòng)器無(wú)法正常使用潛在風(fēng)險(xiǎn)63打印機(jī)設(shè)置可能導(dǎo)致打印機(jī)無(wú)法正常使用潛在風(fēng)險(xiǎn)64域名解析文件Hosts可能導(dǎo)致網(wǎng)頁(yè)顯示異常潛在風(fēng)險(xiǎn)65收藏夾快捷方式可能存在惡意的收藏夾快捷方式潛在風(fēng)險(xiǎn)66桌面圖標(biāo)快捷方式可能存在惡意的桌面圖標(biāo)快捷方式潛在風(fēng)險(xiǎn)67開(kāi)始菜單快捷方式可能存在惡意的開(kāi)始菜單快捷方式潛在風(fēng)險(xiǎn)68桌面及資源管理器可能影響對(duì)系統(tǒng)的操作潛在風(fēng)險(xiǎn)69快速啟動(dòng)欄快捷方式可能存在惡意的快速啟動(dòng)欄快捷方式潛在風(fēng)險(xiǎn)風(fēng)險(xiǎn)感知指標(biāo)移動(dòng)可信工作空間可信移動(dòng)終端系統(tǒng)環(huán)境：通過(guò)移動(dòng)威脅防御（MTD）持續(xù)動(dòng)態(tài)檢查移動(dòng)終端系統(tǒng)、網(wǎng)絡(luò)以及APP安全狀態(tài)，讓終端系統(tǒng)環(huán)境變得可信?？尚乓苿?dòng)應(yīng)用身份邊界：通過(guò)新一代沙箱與身份認(rèn)證深度技術(shù)整合，重新定義企業(yè)移動(dòng)應(yīng)用邊界，讓企業(yè)應(yīng)用邊界更可信?？尚牌髽I(yè)移動(dòng)應(yīng)用/數(shù)據(jù)：以密鑰沙箱為基礎(chǔ)，通過(guò)構(gòu)建數(shù)據(jù)全生命周期（存儲(chǔ)、傳輸、使用、共享）保護(hù)方案讓企業(yè)應(yīng)用/數(shù)據(jù)變得可信?？尚沤K端系統(tǒng)環(huán)境可信應(yīng)用身份邊界可信企業(yè)應(yīng)用/數(shù)據(jù)TrustSpace的零信任體系通過(guò)MTD檢查感知手機(jī)系統(tǒng)風(fēng)險(xiǎn)，APP風(fēng)險(xiǎn)以及網(wǎng)絡(luò)連接風(fēng)險(xiǎn)，確保TrustSpace移動(dòng)工作空間在一個(gè)安全可信的移動(dòng)終端環(huán)境中運(yùn)行。MTDagentTrustSpace網(wǎng)絡(luò)級(jí)風(fēng)險(xiǎn)防御能力應(yīng)用級(jí)風(fēng)險(xiǎn)檢測(cè)能力惡意應(yīng)用程序檢測(cè)應(yīng)用異常行為檢測(cè)惡意Wi-Fi檢測(cè)中間人攻擊檢測(cè)系統(tǒng)級(jí)風(fēng)險(xiǎn)檢測(cè)能力Root/越獄檢測(cè)系統(tǒng)脆弱性檢測(cè)移動(dòng)威脅檢測(cè)（MTD）-手機(jī)運(yùn)行環(huán)境可信身份是企業(yè)應(yīng)用邊界的入口。TrustSpace是企業(yè)/個(gè)人應(yīng)用的基本邊界。以應(yīng)用的敏感度區(qū)分認(rèn)證強(qiáng)度和應(yīng)用邊界*通過(guò)新一代沙箱與身份認(rèn)證深度技術(shù)整合，重新定義企業(yè)移動(dòng)應(yīng)用邊界，讓企業(yè)應(yīng)用邊界更可信。授權(quán)用戶非授權(quán)用戶授權(quán)用戶X基本認(rèn)證增強(qiáng)認(rèn)證TrustSpace說(shuō)明*：代表即將推出的功能特性新一代沙箱和智能身份認(rèn)證-