1、目录前言.1持安科技.12从云科技.22吉大正元.28九州云腾.37联通数科.50慢吉科技.55帕拉迪.59派拉软件.65时代亿信.73数安行.78天威诚信.83芯盾时代.90信安世纪.98星阑科技.116亿格云.120易安联.126云山雾隐.132指掌易.142中电安科.150竹云科技.1661前言零信任：一场改变安全规则的沙盒游戏在一个外部和内部威胁快速增长，全球经济政治危机四伏的后新冠时代，零信任的兴起，无疑给濒临崩溃的企业网络安全部门注入了一剂强心针。零信任已经成为全球企业、政府和网络安全产业公认的应对已知和未知威胁，对抗不确定性的最有效的“下一代安全防御”。零信任的价值：为何企业与政

2、府纷纷“全押”？根据 IBM 的 2022 年度数据泄露成本报告，与没有部署零信任的企业相比，部署零信任的企业可将攻击的平均损失降低 95 万美元。对于没有实施零信任框架的企业而言，数据泄露的平均成本为 510 万美元，而拥有零信任框架的企业则为 415 万美元。随着企业的零信任计划日趋成熟，数据泄露成本可大幅降低20.5%。企业零信任框架越成熟，就越能更好地保护可被攻击者利用的潜在破坏性威胁面，从而降低安全事件的平均成本。根据报告，早期采用零信任的企业平均数据泄露成本为 496 万美元，而零信任实施成熟期的企业可将数据泄露成本进一步降至345 万美元，平均数据泄露成本降低多达 151 万美元

3、。2除了降低数据泄露经济成本外，零信任还将给企业带来业务敏捷性和竞争力的显著收益。根据 Forrester 2021 年发布的零信任报告，企业安全决策者认为，成功的零信任方案可以为企业带来的三大战略性价值：提高组织敏捷性（面向业务需求的安全）(52%)更安全的云迁移(50%)更好地支持他们的数字化转型战略(48%)零信任给企业带来的其他价值还包括：更准确地盘点基础设施资产改进安全运营中心的监控和警报改善终端用户体验简化安全策略的创建防止数据丢失或泄露零信任对中美两国政府积极推动的关键基础设施安全战略和法规也有着重大意义。2021 年 5 月拜登政府发布第 14028 号总统行政命令，启动了美国

4、国家零信任安全战略，提高联邦政府系统的安全性。白宫还发布了联邦零信任架构实施战略，并提供了预算指导，以确保联邦机构将资源与国家的网络安全目标保持一致。32022 年 7 月，白宫发布的2024 财年网络安全预算备忘录强调优先为关键基础设施安全相关技术（尤其是零信任）支持项目审查和评估提供资金，以应对网络安全威胁，并在现有标准不足的情况下为基础设施投资制定网络安全性能标准。零信任市场趋势：增速最快的网络安全细分市场零信任将是未来几年增长最快的网络安全市场。根据 Gartner 的预测，零信任网络接入（ZTNA）将成为全球增长最快的网络安全细分市场。预计 2022 年将增长 36%，2023 年将

5、增长 31%。美国的零信任软件和服务收入的增长反映了这一强劲的市场势头，从 2021 年的3.189 亿美元增加到 2026 年的 10.4 亿美元。Markets and Markets 的另一项预测显示，全球在基于零信任的软件和服务上的支出将从 2022 年的 274 亿美元增长到 2027 年的 607 亿美元，复合年增长率为 17.3%。根据 IDC 预测，2024 年中国网络安全市场总体支出将达 167.2 亿美元，其中零信任安全市场占比将达到 10%，约为百亿人民币规模。4Okta 的报告显示，97%的公司要么已经实施了零信任计划，要么将在未来 12到 18 个月内实施零信任计划。

6、该调查基于对 700 名主管级及以上级别的安全决策者的采访，结果远高于四年前的 16%和 2020 年的 41%。Gartner 认为远程办公和“去 VPN 化”趋势是零信任市场增长的主要动力。Gartner 预测，到 2025 年，至少有 70%的新远程访问部署将主要由 ZTNA 而不是 VPN 服务提供服务，而 2021 年底这一比例还不到 10%。2022 年，尽管安全领导者普遍表示他们在获得资金方面面临挑战，但 67%的接受调查的安全领导者表示，他们的企业将在 2022 年增加零信任预算，将三分之一(36%)安全预算分配给零信任计划。根据麦肯锡的调查，市场中已有的产品服务仅能满足 25

7、%的企业身份和访问管理（IAM）网络安全要求，但调查结果同时也表明“许多首席信息安全官（CISO）的预算资金不足。零信任网络安全厂商必须通过安全技术堆栈/能力的现代化和重新思考营销战略来把握和应对“市场渗透率较低与安全预算不足”的机遇和挑战。零信任的路径与方法：条条大道通罗马的“沙盒游戏”5CISO 们必须意识到，在充斥不确定性的后新冠时代，零信任更多是一项业务决策而不是技术决策，CISO 需要重新定义安全团队交付的核心价值是：通过降低风险和威胁来交付业务价值。零信任也是企业在后新冠时代数字化转型时，一次生死攸关的安全方法重大升级从基于边界的安全防御到基于零信任的主动纵深防御。零信任也是一场没

8、有统一路径，“条条大路通罗马”的沙盒游戏。正如贝恩公司则指出的，NIST 和 ISO 27002 等行业框架是网络安全的重要组成部分。但是，为了在全球不稳定期建立生存能力优势，企业不能满足于“本手”，而是跳出框架与合规的局限，更加聚焦于零信任战略的推进和未来的挑战。在具体实施零信任的技术路径上，大多数企业采取“小步快走”的策略，选择投入少、见效快、风险低的项目切入，逐步替换、升级原有基于边界的安全防御方法的单点方案，打造以零信任方法为核心的全新安全管理平台和可信计算环境。根据 Statista 的 2022 年网络威胁防御报告，大多数企业都在通过实施零信任方案改进安全技术堆栈，以尽可能减少设备

9、、身份和端点之间的隐式信任，从而实现与无密码身份验证和 SASE 系统的更多集成。最小权限访问是零信任框架的核心设计目标，也是当下零信任市场的热点和焦点。因为数字化转型意味着企业将会有越来越多的 API 集成到各种 IT 网络技术中。6此外，如果新兴 IT 安全技术平台随着业务增长而扩展，也必须针对安全 API 集成进行设计。虽然零信任的实施路径可谓“条条大道通罗马”，并无统一起点，但是强身份访问管理、端点安全和安全运营自动化集成是初始阶段的主要投资热点。根据 Okta的报告，云基础架构的特权访问（PAM）、API 安全访问和基于上下文的访问策略是 2023 年福布斯全球 2000 强企业零信

10、任方案的最高优先级项目，2023年全球身份访问管理（IAM）软件和解决方案支出规模将达到 207.5 亿美元。财富2000强企业CISO们已经部署以及未来12-18个月即将部署的零信任项目如下（数据来自 Okta）：7根据 OKTA 的 2021 年零信任安全状态报告，保护端点是企业实施零信任的重中之重，77%的安全领导者表示其零信任方案已与其端点保护和管理平台(EMM)集成，其次是 CASB 集成(69%)。超过 40%的安全领导者表示，与 SOAR 和 SIEM的集成是他们最优先考虑的集成计划。零信任的十大选型基准在这个“言必称零信任”的时代，甲方企业的零信任选型道路上布满了暗坑，很多网络

11、安全厂商的零信任方案和路线与甲方需求脱节，并不能解决企业面临的现实问题。这种产品与需求的脱节始于最初的销售周期，厂商热衷宣传和承诺自己的零信任方案具备易用性、简化的 API 集成和响应式服务，但企业购买部署后却发现“现实很骨感”，不但方案达不到预期效果，还产生了很多意料之外的新问题。我们建议企业选型时关注以下十大选型基准来提高决策质量：1.性能与可扩展性。虽然技术路径不同，但大多数国内（SDP）零信任厂商都实现了分布式部署，可以通过增加网关来实现零信任接入规模的扩展，但并非所有产品都支持分布式访问，后者可实现业务就近访问，网络性能优于类 VPN 的传统方案。2.与企业技术堆栈以及安全运营自动化

12、功能的集成能力。防止“零敲碎打”的零信任试水项目（例如 IAM、MFA）导致零信任策略的碎片化不成体系，或者出现短板和真空地带。但这并不意味着企业一定要选择综合性安全厂商作为零信任的主要合作伙伴，企业可以更加关注零信任安全方案的8标准化、可集成性和隐性成本控制问题，例如关注厂商是否与主流 SIEM、SOAR 方案预集成或提供 API 支持。因为集成和防护零信任方案往往比预期的要复杂得多，成本也更高。3.不存在一体化零信任产品方案。市场上并不存在万能的、开箱即用的零信任产品。事实上，零信任不是单一的产品，也不是单一的方法或技术。它是一种策略、技术和人员的理念和框架，需要应用于零信任的七大支柱：劳

13、动力安全、设备安全、工作负载安全、网络安全、数据安全、可见性和分析、以及自动化和编排。4.重点评估遗留系统的零信任改造可行性。零信任适用于数据安全、工控安全、云安全和企业办公网络等多个场景，对于工控网络来说，尤其需要关注遗留资产与零信任模型的兼容性。5.零信任方案的持续管理维护与隐含成本。切换到零信任网络安全模型的一个经常被忽视的挑战是需要持续管理。在某些情况下，零信任意味着需要额外的人员或购买托管服务。6.零信任方案的潜在“业务摩擦”。零信任的口号是“用不信任、始终验证”。因此，实施零信任的核心挑战是在不给工作流程制造过多摩擦的前提下控制访问。如果不能在安全和用户体验/业务效率之间找到最佳平

14、衡，任何安全方案都很难取得真正的成功。基于风险（动态风险模型）的零信任方法（方案）更有助于降低业务摩擦。7.零信任方案自身的安全风险评估。EDR 等网络安全产品或者安全工具漏洞被黑客用来作为攻击工具已经不是新鲜事。Gartner 认为零信任方案存在四大潜在安全风险：1.信任代理（连接应用程序和用户的服务）是潜在9的故障点，可能成为攻击的目标；2.本地物理设备可能会受到攻击并从中窃取数据；3.用户凭据仍然可能被泄露；4.零信任管理员帐户凭据是有吸引力的目标。8.重视零信任的“人的因素”。零信任是一项团队运动。安全、网络、数据和应用开发团队需要与人力资源、财务、最高管理层和其他团队合作，才能取得零

15、信任的成功部署。零信任方案必须适应上海品茶，人员的沟通和协作很重要。厂商的培训和认证有助于提升零信任认知和接受度。9.IAM 和 PAM 要兼顾人员和机器身份。IAM 和 PAM 是企业提高零信任实施成功率的首选入门产品，因为二者实施快，见效快。评估厂商宣传真实性最好的办法就是调查该厂商是否有客户运行同时覆盖机器和人员身份的 IAM 和 PAM 方案。10.对 DevOps 和 SDLC 软件开发生命周期的支持和覆盖。安全需要左移，零信任也需要左移。对于将应用开发作为关键场景的企业来说，零信任需要从一开始就植入流程，而不是作为 Devops 项目的“后缀”。零信任平台对 Devops 和 SD

16、LC 的人员和机器身份保护至关重要。声称能覆盖SDLC 和 CI/CD 的零信任厂商需要展示其 API 如何扩展和适应快速变化的配置、Devops 和 SDLC 要求。正如前文所述，零信任不是单一的产品，也不是单一的方法或技术。它是一种全新的策略、技术和人员的理念和框架，是企业应对全球进入高不确定性的后新冠时代，安全边界消失，数字化转型提速，安全态势恶化等诸多挑战的一次重大安全方法和安全战略的升级。因此，虽然零信任技术路径“条条大道通罗马”，但10企业选择零信任厂商时仍需要格外谨慎，因为零信任是企业安全战略的核心，是一项持续发展和不断完善的工作，因此企业面临选择的不仅仅是某个零信任产品和技术，

17、更是一个合格的战略合作伙伴。为了帮助企业拨开零信任营销迷雾，提高市场能见度，全面了解潜在零信任战略合作伙伴。GoUpSec 深入调研了 20 家知名国内零信任专业提供商和综合安全厂商，从产品功能、应用行业、成功案例、安全策略等维度对各厂商零信任产品及服务进行调研了解，整理形成了 2022 年中国网络安全行业零信任产品及服务购买决策参考。11本次报告共收录 20 家国内网络安全厂商，共计 31 个零信任产品及服务，具体成功实施案例 29 例，分别来自金融、政府、运营商、能源、物联网、互联网、智能制造、交通、建筑、地产、汽车、零售、医疗、制造、教育、烟草等重点行业。以下为 20 家网络安全厂商零信

18、任产品及服务详情，排名按照公司简称首字母顺序。12持安科技一、公司名称：北京持安科技有限公司二、公司 logo：三、零信任产品名称：持安远望办公安全平台四、产品特点及优势：特点：1.与业务深度融合。根据不同企业、不同的业务场景，制定零信任策略。2.用户无感知访问。零信任产品的接入，可以使日常办公变得更加简单、流畅。3.业务 0 开发接入，一键部署，无负担随时可扩容与更新。安全能力深入至企业应用、数据层，形成以身份为中心的信任链，保障应用安全，敏感数据防泄漏。13优势：1.彻底防范未知人员发起的未知攻击。2.防护企业业务存在的未知应用漏洞。传统的安全产品只作用于网络层，忽视应用层，离企业业务较远

19、，无法对业务进行防护，持安零信任可以防护应用未知漏洞，对已知漏洞进行虚拟热补丁修复。3.基于企业业务视角的数据安全能力。实现业务敏感数据识别，基于可信人员身份信息而非传统的 IP 信息，记录审计访问行为的全链路，实现精准溯源和访问控制。4.基于身份的溯源应急响应能力，精准还原攻击者的每一个步骤，将原本无身份属性的业务流量“贴上”身份标识，大幅提升安全团队的应急响应能力。5.兼顾安全与效率。低学习成本，用户快速上手，对业务系统无侵入、无打扰、零改造，业务无感知，帮助企业使用更低的成本，带来更高的安全性。6.稳定高效承载业务。毫秒级延迟用户无感知，分布式业务就近访问，可保证企业内网数十万活跃用户大

20、规模、高并发稳定使用。五、成功案例：核心产品为持安远望办公安全平台，是持安科技为了解决企业复杂网络环境下的办公安全难题，提高组织效率，结合自身 7 年甲方零信任实践落地、运营经验，自主研发打造产品。14持安远望办公安全平台将零信任架构融入企业信息化基础设施当中，在传统网络之上，构建一个基于身份的零信任网络。让零信任平台承载业务，所有的安全能力均为平台化的零信任产品提供，而业务无需关注安全，无需做二次开发，普通员工不用关心自己所处位置，实现无感知安全办公，兼顾安全与效率。案例：完美世界零信任解决方案完美世界股份有限公司简称“完美世界”，业务涵盖完美世界影视、完美世界游戏和完美世界电竞三大板块，是

21、我国最大的影游综合体。成立于 2004 年，2007年在纽交所上市。作为一家上市影游企业，其所有虚拟资产都存在变现的可能，游戏代码、装备、虚拟货币等，都是黑灰产牟取暴利的目标，所以完美世界一直处在外部防 APT攻击、内部防舞弊、防商业间谍、防内鬼的前线，集团内对网络安全工作的要求和重视几乎与业务并重。该企业零信任项目自 2015 年开始研究，2016 年正式研发落地，2019 年全场景部署，2021 年，完美世界安全负责人何艺创业并成立持安科技，将完美世界集团的零信任能力产品化，为更多甲方提供真实的安全价值。15需求分析互联网游戏行业中，由于游戏行业的代码、程序、用户数据、系统权限、后台权限等

22、都可以变为实际的现金资产，因此游戏行业内的黑客入侵、内部舞弊等风险，远大于其他公司。实际的工作中，公司内的安全管理人员通常人手不足，安全防护压力大，管理能力跟不上公司发展速度等问题，经整理发现，该集团目前主要存在以下问题：数据资产不清晰：自带设备、过期资产、设备信息篡改等等，会导致管理人员难以知道企业数据资产真实情况，甚至可能在被攻击后持续得不到响应，以致其可能成为攻击者长期的渗透入口；业务暴露：如失效的防火墙策略、内部系统对全公司开放、违规申请规则、规则过期等，均可导致系统暴露在外，进而被黑客攻击渗透；账号权限管理混乱：公司包含成百上千个系统，由于系统的权限分散，账号不统一。还有部分员工离后

23、账号没有及时回收，同时存在弱口令等问题，导致这些16账号成为攻击跳板；多数据中心办公接入：分散的数据中心、分公司等，在满足互访等办公需求同时，可能导致权限管控失效，出现安全问题，黑客可以通过分支机构渗透至核心区域；时刻存在的未知风险：对于攻击挑战最大的是往往很难得知，攻击会从什么地方发起，以什么方式发起，进而难以防御。平台使用独立部署模式，可以支持本地化部署，也可以支持云端部署，或是与企业的 K8S，容器环境融合，实现全场景的部署和使用。持安自处研发高可用架构，17可收敛所有访问入口，分布式就近访问，低延时，高传输性能。主要能力模块1)持安智信统一身份认证系统融合企业 SSO，同步多个源身份数

24、据，接入多种认证方式，授信企业资产，对不同应用设定分层、分级认证，通过整个企业内外所有的身份体系，形成完整的企业级零信任身份安全中心。2)持安智连应用安全系统通过零信任“先验证、再访问”原则，将企业业务在互联网端隐身，将零信任能力深入至应用层，基于零信任可信认证，以身份为中心，持续动态的细粒度访问控制。3)持安智通 SDP 访问系统业务互联网隐身，用户通过可信终端授权访问业务资源，具备高性能、多网关分布式访问能力，不仅仅是远程 VPN 替代，具备大型企业内部零信任网络访问能力。184)持安智御终端管理系统可适用 PC 端、手机端等，通过嵌入甲方各类办公软件，实现用户到企业办公资源的加密连接，一

25、次登录，全天安全。终端会持续对设备进行安全监测，发生异常事件时，断用户的危险行为，同时保证敏感数据存储、使用与传输安全。5)持安烽火决策中心决策中心负责对用户身份、权限、终端设备等可视化集中管理，对接和集成企业原有的安全系统，使其与零信任平台无缝融合，实现安全一体化，实时收集用户访问过程中的各类数据，确保用户行为合理、合法、合规。用户价值通过多年实践，通过对零信任的研发、部署和实施，实现了零信任变为企业基础架构承载业务的目的，兼顾了效率和安全，实现了将全员、终端、应用全部接入零信任的目标，实现所有的业务访问均通过零信任的方式，不区分内外网，总体而言，达成了以下目的：暴露面收敛：web 应用、C

26、/S 应用等，业务访问均不在对外暴露，所有的访问入口均通过网关。经验证扫描不可达，可抵御未知攻击；19 资产可见、可控：对企业设备上的所有软硬件资产进行全量采集，只有合规和可信的设备才可以访问企业应用，对每一台设备的使用者身份确认，设备状态可见，安全可控；终端风险评估：通过部署到设备的终端管理系统，实现对所有设备的安全基线覆盖，实现强制杀毒、补丁更新、安全加固等控制以及动态风险评估；权限智能管控：对业务系统、办公系统的集中化权限控制，以及权限申请自动化，实现了可控、可审；账号集中化：实现了全网业务应用统一账号、统一认证、统一鉴权，集中的身份管理可快速实现员工权限回收，通过扫码、OTP、短信验证

27、等多因素认证方式，消除弱口令风险；动态访问策略：根据系统敏感程度，实施不同的动态策略，满足策略情况下才可以访问；全链路审计：基于用户的身份，实现全链路溯源审计，精准跟踪到每个人的行20为，大幅提升应急响应速度；六、适用行业：产品适用于全场景、全行业，目前已在互联网、金融、能源、科技、高端制造、新零售领域落地。七、联系人姓名及职位姓名：张聪职位：市场运营经理联系方式：八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：零信任策略需要作用在 OSI 网络模型 7 层，才可以真正的以身份为基础，基于业务，对企业的应用、数据进行防护，零信任才会发挥其真正的价值。

28、持安科技创始人兼 CEO 何艺22从云科技一、公司名称：北京从云科技有限公司二、公司 logo：三、零信任产品名称：DAS 数字方舟系统。包含 DAS 智能接入系统、DAS 终端微隔离系统、DAS API访问控制系统、DAS 物联接入安全系统等系列产品。四、产品特点及优势：特点：从云科技 DAS 数字方舟系统，帮助客户解决场景中业务直接暴露在互联网、数据在电脑终端主动或被动泄露带来的数据安全问题，实现从终端、网络到业务系统及数据的全流程防护。确保终端上数据的安全、通过安全的网络访问业务系统和数据；业务系统的数据通过安全的网络环境传输终端且在终端不被泄露，做到23数据安全的去，安全的回。优势：优

29、势 1：智能安全接入：基于 AI 智能化决策引擎对业务访问生命周期进行动态访问控制及持续信任评估；实现对业务资源和数据的安全、稳定、高效的访问，何时何地享受本地上网的体验。优势 2：安全上网空间：在员工公司内部办公终端上提供虚拟化安全上网空间，实现自由上网，资料单向流转到工作区域，对重要资料贴身防护。优势 3：安全工作空间：在企业员工的电脑上提供高安全级别的隔离工作空间，满足办公需求的同时保护企业数据安全。优势 4：自定义脱敏算法：多种多样的脱敏算法，轻松定义访问权限和数据脱敏具体字段；智能适配脱敏算法，实现脱敏工作自动化、动态化。优势 5：细粒度数据保护：打破传统的只能基于 IP 和服务为维

30、度的数据保护，自适应细粒度动态权限策略引擎，实现细粒度字段级管控。五、成功案例：客户：某生物医疗企业，专注于二尖瓣疾病治疗的技术创新和产品开发。客户需求：241.部分业务系统暴露在互联网上，导致攻击目标明确，采用 VPN 远程接入存在漏洞和连接终端使用不稳定，不流畅等问题；2.医药行业属于高投入、高产出的技术密集型行业，数据具有较高的价值，有较多来自于互联网的恶意攻击；3.用户在互联网上注册时使用简单好记密码或多个业务使用统一密码，导致访问主体的身份安全无法保障。解决问题：针对远程访问内部服务资源的全业务流程及多业务互联互通需求，提供基于设备侧环境信息和网络侧行为信息，覆盖网络层、登录层、访问

31、层的一体化零信任防御体系，助力企业数字化转型。应用效果：1.提升企业安全接入管控能力，所有业务系统都通过 DAS SA 进行安全访问，实现真正意义上的唯一入口，方便管控。2.员工通过 DAS SA 统一安全访问入口，使用统一身份认证账号，无需记住多套账号密码。3.替换传统 VPN 在企业的使用，远程高效、稳定接入，拥有本地化的工作网络，工作事半功倍。25六、适用行业：高端制造、生物医药、教育、政府、金融、运营商、医疗等多个行业七、联系人姓名及职位姓名：秦忠鹏职位：市场部经理联系方式：八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：261、云化的 IT

32、 架构下，业务端口不得不发布在互联网上，业务暴露面越来越大，更容易被黑客攻击；2、云计算和移动办公的广泛使用，员工能轻易拿到数据，甚至越来越多的数据向终端蔓延；3、攻击手段不断升级，能够轻易渗透内网终端。传统的边界防护理念出现了明显的弊端。全球数字化和万物互联的加速，将物理空间的边界彻底打破，以“零信任”理念重构防御体系势在必行。零信任虽然还是一个新兴的技术，但在大量企业典型的业务场景表现得非常突出。零信任的互联互通特征，取代了传统彼此隔离的物理空间，是产业数字化和万物互联健壮发展必须要面对的技术路径。COO 联合创始人 贾保元28吉大正元一、公司名称：长春吉大正元信息技术股份有限公司二、公司

33、 logo：三、零信任产品名称：吉大正元零信任数字身份访问控制解决方案四、产品特点及优势：特点：全面身份管控能力密码身份：构建数字证书应用层能效，发挥 PKI 体系价值、挖掘数字证书使用场景，构建基于密码的身份与认证模式29智能单点：提供 WEB 端、桌面端、移动端、定制化客户端产品，适应各类场景使用。一次认证，全网漫游灵活组合：弹性组合型产品，身份、认证、授权、行为、PC 端、移动端等灵活适应不同规模的项目与客户环境。CIAM 能力：解决平台产品用户自助与运维困难特点。全面释放身份、认证、权限、运维、审计自助能力。构建全体用户、运维人员、后台管理员分级管理模式。身份治理能力：聚合自建、统建的

34、身份信息，形成全网标准、标准化与定制化聚合方式兼容性更强身份真实性：国内实名、实人校验与对接能力。满足海外合规性的身份管理与认证服务。边界防护重塑密码边界：拥有自主研发的基础密码服务，零信任方案可以与基础密码服务无缝结合边界终端安全：设备数字证书身份、设备安全准入控制、安全沙箱能力终端场景支撑：一机两用、一机多网、一机多域场景安全与应用。单包安全：多模态访问协议支持，充分发挥 SPA 协议与 SDP 模型的优势能力，轻量化单包支持隔离与控制：构建轻量级微隔离能力，满足网与网间、应用与应用间、终端30与终端间的逻辑隔离，并进行动态安全控制。智脑动态策略精简策略：产品方案具备任意组合能力，用户可以

35、根据自己的企业自身情况进行阶段性建设，每个阶段可以选择不同安全产品。轻松接入：在零信任方案建设过程中原有的业务系统和安全防护系统都可以进行方案联动，无需重新采购新产品，通过 IAM 联动实现体系内安全组件联动，利用现有安全产品，减低用户实施成本。AI 智能：通过自动化的身份管理、AI 智能认证及授权能力，有效减少企业IT 人员工作量及人为出错。灵活的策略控制：安全风险评估过程中可根据类型和类别设置不同的比重，在进行风险处理时也可以根据实际需求进行调整。安全合规：方案从安全角度进行考虑设计从业务数据的采集、传输、存储等多维度均采用密码的方案进行防护，全面的满足合规性要求。优势：1、拥有自主研发的

36、 PKI，零信任方案与数字身份与 PKI/CA 体系无缝结合。2、身份管理与访问控制落地经验丰富、技术先进，支持多实体管理，多因子认证、一体化登录、分类分级权限管理。3、支持多情报源持续评估，包括：终端环境感知、用户实体行为感知、网络流量感知，支持模块式集成。314、动态访问控制细腻，策略执行点包括：身份管理系统、认证服务、权限管理系统、可信访问网关、终端。5、SDP 安全网关成熟稳定，性能优异。五、成功案例：某能源行业客户已经建立了内部业务访问平台，通过部署边界安全等实现了一定程度的安全访问。但随着 业务访问场景的多样化和攻击手段的升级，当前的安全机制存在很大的局限性，需要进行升级改造。其中

37、的主要问题如下：（1）企业内部信息化已不再是传统 PC 端，各种设备可随时随地进行企业数据访问提高了企业运行效率，同时也带来更多安全风险，传统安全边界被瓦解；（2）随着云计算、大数据的发展，企业数据不再仅限于内部自有使用或存储，数据信息云化存储、数据 流转愈加普遍，数据暴露面不断增加；（3）访问人员的身份和权限管理混乱，弱密码屡禁不止，接入设备的安全性参差不齐，接入程序漏洞无法避免等，带来极大风险；（4）远程办公过程中，企业的业务数据在不同的人员、设备、系统之间频繁流动，原本只能存放于企业数据中心的数据也不得不面临在员工个人终端留存的问题。增加了数据泄露的风险；（5）内部员工获取管理员权限，非

38、法访问特定的业务和数据资源，给企业制造安全灾难。32设计方案说明基于客户现有安全访问能力以及其面临的安全挑战，为用户提供了零信任建设方案，总体架构如图所示，包括动态访问控制体系、策略执行点和基础密码服务三部分。总体框架（1）动态访问控制体系 负责管理参与访问实体的身份管理、风险威胁的采集，以及动态访问控制策略的定义及计算，包括：IAM、安全控制中心、用户实体行为感知、终端环境感知、网络流量感知 5 个组件。安全控制中心作为关键技术，基于访问发起者的身份及终端环境、实体行为、网络态势等多源数据，实时计算信任等级，并将信任等级与安全策略自动匹配，决定最终访问方式。33安全控制中心（2）策略执行点

39、负责执行由安全控制中心下发的动态访问控制策略，当用户信任等级降低时，需要使用更加安全的方式进行认证，确保是本人操作。其中，代理网关作为业务访问安全的关口，为零信任提供国密 SSL 安全链路，并基于动态安全控制的会话连接状态，具体包括：限制访问、会话熔断、身份失效、终端隔离。（3）密码支撑服务 为零信任提供底层的密码能力，负责保障所有访问的机密性和完整性。实践经验分享项目从需求分析、确定方案、实施方案，系统集成测试共经历 400 多自然日，然后转入运维阶段。落地过程中，充分协商沟通集团、与各专业处、各应用厂商之间的问题，减少分歧，解决矛盾，统一意见，共同促使项目的顺利实施。在内部例会与协调会中，

40、开展项目组成员之间的协商讨论，统一意见，作好统一部署。34 在外部专项、专题会议召开之前，项目经理要与业主、项目组、各专业处、应用系统厂商的有关负责人做好协商、协调工作，提高会议质量，减少无效争议。对于重大问题的协商与决策，召开由集团、项目组、应用系统厂商，公司领导层参加高一级的协商会。为确保整个项目能够高质量地如期完工，在施工中还要明确划分施工阶段，针对项目的各个具体的实施环节，事先制定详细的项目实施计划和测试计划。对系统的整体调试和各专业处相关负责系统之间的联调必须严格按照各方确定的协作方式进行。价值及影响首先，在该项目中企业不仅获得了保护其资源所需的安全性，还实现了可观的业务效益。其次，

41、改进了在整个企业范围内的可视性和缩短发现漏洞的时间，降低企业自身的安全堆栈，减少安全技 能人才短缺的影响，同时保护客户数据避免了声誉受损及重大经济损失。案例总结该方案紧密结合用户应用场景，完善零信任动态访问控制策略，在数字认证和传输私密性方面与基础密码服务体系进行深度融合，最大程度上兼顾了安全与易用性。35六、适用行业：GA、财政、政府、能源、军工、JD、金融七、联系人姓名及职位姓名：吕姗姗职位：市场经理联系方式：八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：零信任是以身份为中心，以数据为核心保护对象，融合多种安全技术并持续优化的能力体系。优秀的零

42、信任安全体系需要在合规的基础上，针对不同客户的场景和现状，有效的进行重构，才能从根源上解决企业数据访问的安全问题。吉大正元公司副总裁 张宝欣37九州云腾一、公司名称：北京九州云腾科技有限公司二、公司 logo：三、零信任产品名称：1、九州云腾统一身份认证平台 IDP2、九州云腾零信任身份定义边界 SDP四、产品特点及优势：九州云腾统一身份认证平台 IDP九州云腾统一身份认证平台 IDP，是集中式的身份管理服务，为政企客户提供统一的应用门户、用户目录、多因子认证、单点登录、集中授权、以及行为审计等38丰富的身份管理能力。通过将复杂的企业身份管理流程统一化、标准化，实现一个账户打通所有应用系统，构

43、建满足企业数字化转型需求的身份中台。同时，通过对用户行为的持续验证，实现动态认证及授权，通过身份构建符合零信任理念的安全边界，提升办公效率，保障信息安全。特点：1、统一应用管理提供业务系统集中管控的能力，基于标准的应用集成接口，用户通过简单的系统引导配置便可轻松实现标准业务应用的集成。并为所有业务应用按照不同的维度分类呈现，直观地为用户展示出各个领域下的业务应用信息。2、统一账户管理搭建统一账户管理中心，实现对账户的全生命周期管理，支持导入外部业务系统（例如 HR 系统、AD/LDAP）用户数据到账户中心；同时提供标准 SCIM 接口，支持应用系统标准化对接，以此打通上下游应用，实现账户的一处

44、生效，处处生效，消除身份孤岛。3、统一认证管理提供单点登录能力，用户只需登录一次即可单点登录所有业务系统；提供外部认39证源接入能力，例如 AD/LDAP、钉钉等，不改变原有认证方式；同时还提供多因素强认证能力，支持 OTP、APP 扫码、指纹 ID、面容 ID 等多种认证因子，允许按照不同业务场景灵活开通多因素认证，适应不同安全级别的业务系统的认证要求。4、统一授权管理企业可根据用户、组织机构、角色、分类进行灵活授权，并可对下属机构建立的管理员分配该机构所有管理权限，真正实现分级授权管理能力。针对身份的变动，支持权限的自动发放与及时自动回收。同时遵循最小授权原则，支持从应用、到菜单、到数据的

45、三级授权。5、统一审计管理支持详细的用户行为审计，如认证、访问应用、登录时间、登录地、登录 IP、登录设备等，便于事后分析，满足合规需求。支持管理员操作审计，如权限分配、应用变更、认证配置等，管理员所有操作行为皆有据可查，方便时候溯源。同时基于用户建模，提供 UEBA 用户实行行为分析能力，对用户实体行为进行安全评分，智能分析高危行为，主动做出防御动作，构建零信任身份底座。优势：1、安全性更高1）基于三权分离理念实现管理员角色管理，支持根据不同的安全需求对认证等40级、口令强度、授权粒度等实行安全策略配置。2）基于 PKI 技术实现对重要数据的加密或数字签名，保证敏感信息的存储和传输安全3）提

46、供基于 UEBA 的千人千面的动态强认证能力，确保登录者身份可信。4）提供弱密码检测能力。同时，可利用 APP 可以实现刷脸，指纹等免密码登录的能力。还提供了数字证书，FIDO，IFAA 等硬件存储密钥的能力，给予企业金融级的安全保护等级。2、更便捷易用1）提供插件式的认证开发能力，对于全新的认证方式，只需要开发一个插件包，上传即可完成适配，产品不需要做任何改动，方便且快捷；2）提供了详细的文档和指引方案，开发者可快速实现应用对接。3、政策合规支持国密算法，提供完善的身份安全能力，满足等保、密评等各类合规需求。九州云腾零信任身份定义边界 SDP九州云腾零信任身份定义边界 SDP，基于零信任理念

47、，以泛身份认证为核心，41提供网络隐身、跨网联通、终端基线管理等诸多功能。通过实现人和应用一一对应认证授权，把流量收束在指定的隧道中，更好的减少南北向对外暴露面和东西向内网横向移动的问题，实现应用和应用之间的微隔离，确保用户在访问应用和数据的时候更加安全。特点：1、一个用户中心以用户身份为中心。提供了包含账户、认证、权限、应用和审计的 5A 身份管理能力。可快速与企业各类业务系统或既有 4A 系统对接，实现对各类系统身份权限的统一管理。同时，基于泛身份的理念，将用户访问业务过程中的多种因素身份化，基于对各类身份的持续验证、动态授权，帮助企业构建能够易于长期演进的零信任体系。2、两层应用支持支持

48、在 7 层和 4 层上进行应用的代理。用户可根据业务情况灵活选择，满足各类场景需求。无论是 4 层还是 7 层，都包含着泛身份的各种用户 ID、设备 ID 和应用 ID，可根据企业业务需要提供灵活的身份的安全访问边界。3、三重隐身身份定义边界 SDP 提供三重网络隐身能力，实现暴露面的最小化。421）网关隐身：网关默认关闭所有端口，客户端通过单包敲门与网关建立连接。2）应用隐身：授权用户仅能看到授权应用，无法看到非授权应用。3）内网隐身：通过应用连接器，实现物理单向，逻辑双向。内网防火墙上不需要开放任何入方向端口，不暴露任何内网服务4、四类终端支持支持 Windows、macOS、Androi

49、d、iOS 四类终端，在各类设备上都可以顺畅使用。同时，提供 SDK，无需改变企业现有业务访问体验的前提下，简单几步即可与企业现有的业务应用无缝集成，提供安全高效的访问能力。5、五个可信身份以泛身份的理念，将用户访问业务过程中的各种因素都身份化，包括用户身份、设备身份、通道身份、应用身份、连接器身份，通过一个 TraceID 将这类身份串联起来，既可以满足日志审计全链路溯源的需求，同时也为访问提供了细粒度的策略控制能力。再通过报表可以对所有应用隧道进行可视化管理，对正在访问的设备 ID、用户 ID、通道 ID 以及目标应用 ID 一目了然。优势：1、强大的身份核心43身份定义边界 SDP 提供

50、身份认证中台基础服务能力，支持完整的身份生命周期管理，泛身份管理，多种认证方式，包括与现有 4A 开发对接能力，以及多种公开 API 能力。2、强化的边界安全身份定义边界 SDP 对整个访问链路和过程都进行了风险分析和安全设计，包括：通过客户端安全加固，防止从端上的破解；通过可信的交换协议和 PKI 机制确保各种身份传递过程的可信性，包括防篡改、防重放；通过三重隐身保护组织 IT边界不被非法身份访问，同时在整个访问过程中，进行策略控制，并审计用户的完整访问行为。3、支持混合云部署身份定义边界 SDP 不依赖任何云底座资源或者云服务，支持在公有云、私有云、混合云上进行灵活部署。在多分支机构场景下

51、，支持一个控制中心连接多个多网关集群的部署方式。也支持在分中心通过部署轻量级的连接器，将所有数据请求都汇聚到总部来，集中进行管理和控制。4、易集成体验好提供私有化部署及 SaaS 化交付服务，支持以 SDK 形式嵌入客户既有门户应用中，并使用应用身份登录，确保用户体验不受影响445、扩展灵活支持接入客户既有终端安全系统，安全管控中心，连接既有组件，构建统一的零信任策略执行环节。五、成功案例：实践案例：案例背景：某金融行业头部客户，在国内多个省份城市都有办公点，现有员工 5000 余人。为提高协同效率，采用了钉钉作为企业协同办公门户平台，并全员推广使用。但随着疫情带来的大规模远程办公的需求，企业

52、需要将传统仅能在内网访问的业务开放到公网，供员工远程办公访问，为此，需要一套更加安全可靠的方案。主要诉求包括：（1）原来仅有部分员工通过 VPN 访问内网业务，现在要对全员开放，访问安全是第一要求；（2）内部有多种业务系统，远程访问需能够支持 B/S、C/S、邮件、FTP 等不同类型的应用；（3）不能改变现有员工的使用体验，最好不要员工再额外安装客户端。45设计方案说明：针对客户的需求，九州云腾基于钉钉办公软件为用户构建了身份安全边界。安装了钉钉客户端的用户，通过登录钉钉系统就能访问授权的业务系统。为了适应用户的现场环境，设计方案在落地部署时对多类终端进行了适配。设计方案设计方案如图所示，包括

53、 SDP 客户端、SDP 网关、统一身份认证平台 IDP、应用连接器 4 个核心组件。（1）SDP 客户端，以 SDK 的形式整合在钉钉客户端中。实现设备安全检测、用户信任设备绑定，与 SDP 网关建立安全隧道。（2）SDP 网关，部署在业务系统前，代理业务系统，提供网络隐身能力；同时，在终端敲门并认证后，接收客户端的请求，进行鉴权及动态访问控制，只转发合法请求到业务应用。46（3）统一身份认证平台 IDP，是 SDP 的“大脑”，收集用户、终端、网络、应用的信息，基于 AI 和大数据，进行风险识别和处置，进一步控制访问中的安全风险，并自动与钉钉身份同步。（4）应用连接器，部署在应用前，通过反

54、向连接拉通客户内网资源与 SDP 服务器，实现内网隐身，对外不暴露任何端口。实施经验分享：项目采用了私有化部署，部署方案如下图所示：实施部署互联网接入区部署了 SDP 网关集群，采用多活集群模式，以应对大量用户高并发办公场景，同时支持在线扩容，动态适应企业规模扩张；SDP 控制器与钉钉进行对接，同步用户信息；SDP SDK 集成到钉钉客户端上，提供了 Android、47iOS、Windows、macOS 的适配，用户安装钉钉客户端（iOS 通过 ABM 分发），正常登录后，即可完成敲门，建立安全连接；通过钉钉，可访问已授权的各类业务系统。无需二次验证身份，安全高效体验好；应用连接器部署在业务

55、系统前，适配客户对网络分区隔离，单向通信的安全规范要求。项目采用分步实施方案，分部门分区域，逐步切换到使用场景。在未切换前，仍保持原有的访问方式（通过 VPN，或在公网无法访问），员工升级钉钉客户端后（集成了 SDP SDK 的客户端），重新登录认证（同时绑定用户设备）即可切换到新的连接模式，对用户来说，只是升级了钉钉客户端，其他并没有影响。价值或影响：整体方案，基于零信任“永不信任、始终校验”的理念，通过 SDP 建立了新的身份安全边界，并通过与钉钉的结合，在不改变用户的使用习惯的基础上，实现安全的远程办公。价值主要体现在以下三点：（1）安全性方面，通过三重隐身能力，动态身份验证，以及信任设

56、备绑定等一些列安全能力，提高系统安全性。（2）用户体验上，通过可信设备+钉钉，即可安全访问业务系统，对用户的使用无任何影响，无需拨号，访问速度快，用户体验好。（3）易用性方面，SDP 采用了多种优化协议，可承载 http，https，SSH，SMTP，FTP，C/S 架构等所有 TCP/IP 业务数据。基于 QUIC 协议，实现了低延迟连接建立，改进拥堵控制策，多路复用，前向纠错，连接迁移等多项优化，提供了低48延迟、高吞吐的效果，即使在弱网络或网络切换的环境下，仍能提供较好的连接体验。案例总结：随着远程办公的常态化，企业级远程办公平台已经成为企业员工协同和业务对外交付的重要出口。本方案通过零

57、信任安全改造提升了远程办公协作平台自身的安全性，这可以让企业进一步将更多业务访问整合到远程办公的统一门户中，不仅有效减少员工远程办公复杂度，也提升了员工的协同效率和访问体验。六、适用行业：政务、制造、烟草、教育、能源、零售、交通、医疗、互联网等。七、联系人姓名及职位姓名：王建军职位：GTM 运营推广专家联系方式：49八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：零信任的概念因为疫情下的远程办公而火热，目前正处于概念落地的过程，除了替代传统的 VPN 外，企业还在寻找更多的实践价值，尤其是持续安全运营价值，比如员工账号的全生命周期管理，终端安全准入等

58、等。基于在政务、金融、制造、烟草、教育、交通、互联网等多个行业的实践，九州云腾零信任产品和解决方案一直在持续迭代，力求为行业发展带来更多的价值，为企业的数字化安全提供更好的服务。九州云腾创始人 尚红林50联通数科一、公司名称：联通数字科技有限公司二、公司 logo：三、零信任产品名称：智零盾零信任接入平台四、产品特点及优势：特点：1.网络隐身，SPA 单包授权2.多因素身份认证，用户可信3.终端环境感知，设备可信4.数据加密传输，支持国密算法515.最小授权，多种授权策略6.用户行为分析，动态访问控制7.信创适配，国产化替代8.全面审计，精准溯源优势：一、保障安全：网络隐身，不对外暴露 IP

59、和端口，对用户做细粒度访问控制，分层授权，分层防御。二、体验流畅：身份验证过程无感知，个性化门户展示授权应用，网关采用短链接模式，提高并发访问量。三、部署灵活：支持本地数据中心私有化部署，也支持云上部署通过连接器代理企业内网业务系统。五、成功案例：1.零信任在某差旅企业的远程办公实践背景：某企业员工经常在外地出差，在云上有部署一些业务系统，本地数据中心也有部署一些办公应用，例如：OA、CRM 系统等。公司研发人员需要使用客户端工具访问云上业务中台，需要对云上业务中台做安全防护，业务暴露在互联网风险较大，需要收敛暴露面。另外员工出差在外，有远程办公的需求，需要远程访52问原只可内网访问的应用系统

60、，同时不能将这些内网应用暴露在互联网上。由于合规要求，客户对安全访问和防止数据泄露要求非常高。技术方案：由客户在云上提供一台 ECS 主机，通过在云上部署用“智零盾”零信任管控平台和网关，将云上业务应用端口隐藏，并在本地数据中心部署反向连接器组件，确保本地数据中心应用不需要公网 IP 即可反向连接到云上网关，实现内网应用的网络隐身。用户在终端电脑上安装“智零盾”客户端，通过客户端 SPA 敲门建立访问链路，实现通过互联网访问的安全远程办公。应用效果：快速构建零信任安全网络，摒弃过时的 VPN 隧道技术，采用逐包验证、逐包加密 SDP 技术，支持长时间、大流量的加密业务访问。通过先认证、后授权、

61、再连接的 SPA 认证技术，收敛网络暴露面，减少 0day、勒索软件、扫描探测、DDoS、暴力破解的攻击，更贴合等保 2.0 要求。2.某医药企业基于零信任的远程办公案例背景：新疆某医药企业内网部署了金蝶 K3-ERP 系统，在日常办公中，存在工作人员通过互联网接入内网 ERP 系统进行客户信息维护、项目进度流程等操作需求，客户对 SSL-VPN 设备近年来频繁爆发 0day 漏洞的问题非常重视，希望有更安全的远程接入方案。53技术方案：联通省分公司本地搭建“智零盾”零信任 SaaS 服务平台，该医药企业采用SaaS 服务方式进行接入，企业内网金蝶 K3-ERP 系统通过“智零盾”的反向连接器

62、组件与 SaaS 服务平台建立安全访问通道，企业员工使用“智零盾”客户端通过互联网访问到 SaaS 服务平台，由部署在 SaaS 服务平台的安全网关代理转发至内网的金蝶 K3-ERP 系统。应用效果：通过 SaaS 服务的接入方式，该企业内网无需部署专用 SSL-VPN 硬件，无需部署“智零盾”管理平台，只需安装“智零盾”反向连接器组件进行简单的网络策略映射，即可快速上线远程安全接入服务，同时基于零信任技术，内网的金蝶 K3-ERP 系统无需开放外网 IP 和端口，实现了业务应用隐身，最大程度的减小了企业内网业务系统在公网的暴露。六、适用行业：政府、央国企、中小企业七、联系人姓名及职位姓名：李

63、先生职位：市场经理54联系方式：八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：在国内外的冲突加剧，网络安全形势日益严峻的情况下，传统的安全防护解决方案已无法解决政企客户面临的接入与防护挑战，零信任解决方案通过体系化、场景化、自动化、云服务化等手段解决客户面临的风险和挑战，在深入理解客户网络和业务的基础上，真正赋能客户实现安全访问体系建设。联通数字科技有限公司高级副总裁兼安全事业部总经理 张建荣55慢吉科技一、公司名称：北京慢吉科技有限公司二、公司 logo：三、零信任产品名称：慢吉零信任安全网关四、产品特点及优势：特点：应用级加密隧道、轻量化解决方

64、案、访问便捷、满足多场景多应用安全、实现端到端加密、支持多因素认证机制优势：访问精准、普适性强、安全高效、性价比高、应用广泛、部署便捷56五、成功案例：客户：某省财政厅所属行业：属于党政机关客户需求：满足该单位员工自带设备进行办公的需要，接入方式需要便捷安全，满足员工随时随地访问单位内网需要，并实现在接入内网过程中的接入安全，避免因复杂网络环境下导致内网遭袭击或数据泄密。并且需要对单位数据进行安全保护，系统的安全性需要满足等保及国家相关法律法规。同时建设的平台需要具备极强的适配性满足单位不同型号不同系统移动终端跨网跨域办公需求，并与单位内现有的系统与应用进行适配。解决方案：依据国家有关网络安全

65、相关法律法规及等保标准，根据用户需求，构建一体化移动安全办公平台，支撑现有办公应用及后续建设的各种办公和业务应用的内部分发和管理，支撑各类移动终端的安全接入。采用设置应用级零信任安全网关的形式，所有的移动终端接入必须通过零信任安全网关，待网关验证安全合规后才能接入办公内网，零信任安全网关具备部署轻便的特点，通过随用随接入的方式满足单位员工随时随地办公需求。在满足接入安全的同时，慢吉零信任安全网关与慢吉移动安全平台构成全方位安全解决方案，通过灵活配置的安全策略，实现应用数据安全保护、数据防泄漏、通过动态水印添加实现对泄密的追溯。单位文件通过后台统一分发，到达终端后通过安全沙箱技术进行文件加密、隔

66、离存储、禁止截屏、禁止拷贝、禁止分享、57添加水印显示，退出应用时进行擦除，数据不在终端保留，从而杜绝机密文件外泄。通过双因子认证，保证登录更安全，符合等保安全要求。方案价值：全方位安全：零信任安全网关与移动安全协作平台构成的解决方案涵盖终端安全、传输安全、接入安全、管理安全、安全审计等环节，对每一个环节均进行了相应的安全加固，实现用户的移动信息安全。高效便捷：慢吉零信任安全网关轻便部署，经济高效，满足单位高效办公需求，数据传输性能较高，极大提升用户体验。合规方面：系统整体按照信息安全技术安全标准依据进行设计，达到等级保护安全要求，符合国家法规法律与行业规范标准。六、适用行业：金融、政企、医疗

67、、制造业七、联系人姓名及职位姓名：薛巍职位：市场总监联系方式：58八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：以安全高效的移动安全解决方案赋能政企单位数字化转型。慢吉科技副总裁 李玉学59帕拉迪一、公司名称：杭州帕拉迪网络科技有限公司二、公司 logo：三、零信任产品名称：帕拉迪特权身份访问安全管理系统 PAM四、产品特点及优势：特点：1.专用 C/S 安全客户端，访问通道国密技术加密；2.RDP、FTP/SFTP、SCP、数据库全通道文件传输控制；3.特权账号安全风险自动化评估，账号、密码自动安全巡检；4.Windows 服务器、Linux 服

68、务器、数据库服务器、web 应用的自动改密全60面支持；5.数据库运维帐号的自然人身份绑定，数据库增删改查权限治理以及非法操作的快速阻断；6.可编程环境通道，实现对自动化运维平台、工具调用资产的通道、权限、行为及审计的全访问管理。优势：1.基于零信任理念的全访问可信校验；2.数据通道的双向传输独立控制；3.全面的特权帐号获取、密码风险检查；4.全面可靠的特权帐号自动改密；5.数据库访问实现一次一密的单向连接和可视化的权限和命令控制；6.采用伪账号代理技术进行机器密码指纹授权，保障自动化运维的帐号安全和可控性。五、成功案例：湖北银行项目案例（特权身份访问安全管理系统解决方案）客户背景湖北银行作为

69、一家省级商业银行，近年来信息技术及业务规模的发展，网络规模和资产数量迅速扩大，已部署帕拉迪堡垒机，通过建立统一的安全运维平台，满足监管要求及日常运维使用，帕拉迪堡垒机安全运行使用已有五年。61近年来，湖北银行数据中心建设重点已逐步从网络信息化发展到信息安全、高效运维与安全管理融合的过程，目前部署的堡垒机已不能完全适应新需求。如何对数据中心资产账号有效管理，区别异常账号、幽灵账号，对长期未改密及未登陆的账号知晓；传统运维存在的数据库运维死角；降低数据库安全运维操作风险，对运维数据库 SQL 命令权限控制，都已成为数据库安全运维迫切需要解决的问题。项目规模：涵盖各种小型机、中间件、网络及安全设备、

70、应用平台，资产数量 2000+。运维状态：运维人员（DBA、网络管理员、系统管理员、代维厂商、第三方开发人员等），统一运维入口。客户需求既要满足金融监管单运维审计的要求，又要符合账号安全管理需求，完成账号发现-巡检-分析-展示闭环管理，对数据库运维权限进行梳理，关键命令和关键表的 SQL 控制，确保数据库运维过程中高危命令事中阻断、事后审计。完成ITSM、自动化平台与特权身份访问安全管理系统对接打通，形成安全闭环管理点为核心点。方案示意图62客户收益部署特权身份访问安全管理系统，生产环境 2 台实现 HA 双活，灾备环境 1台实时同步备份。有效防止了资产帐号及密码泄漏，数据库违规操作及恶意操作

71、控制、实现平台整合对接，实现高效运维与安全管理融合的目标。1、账号安全管理实现资产特权账号可视化的展示，方便管理者直观掌握数据中心资产特权账号状态，对账号进行一键收集，并对问题账号包括弱密码账号、异常账号、三个月未改密，三个月未登陆、幽灵账号进行分类，使管理员对账号状态一目了然，为资产系统账号风险提供周期性安全评估。2、数据库权限整理针对不同的数据库运维自然人，通过梳理数据库运维账号权限。实现个运维人员的 SQL 命令都实现有效控制，重新定义特定表权限，策略细粒到可访问的不同的表及关键字，同时对 DBA 自然人身份绑定，防止越权登录他人特权账号/63或业务的数据库账号,有效遏制数据库特权身份下

72、的 SQL 误操作及恶意操作，数据库运维特权账号自动改密，满足合规及使用要求。3、安全运维闭环管理通过与 ITSM 系统对接，流程上实现对 PAM 资产、账号及流程的联动，自动化平台按需获取相关指定资产的密码，打通运维自动化打通账号权限的的按需分配使用问题。并对资产进行密码批量验证，加强了授权流程机制，满足了银保监和人行的双人操作安全模式，实现运维安全闭环管理。4、便捷性运维H5 WEB 便捷性运维，无需安装任何插件和证书，具备安全指纹水印，有效提升运维效率。六、适用行业：金融、政府、教育、医疗、能源、大企业、运营商。七、联系人姓名及职位姓名：王女士职位：市场总监联系方式：400-905-80

73、8864八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：随着网络安全法和数据安全法的颁布，数据中心的安全问题越来越引起国家、社会以及企业的重视。而作为数据中心的特权账号，拥有着通往核心资产的钥匙。随着数据中心规模的不断发展，特权账号的数量将会越来越多，种类也越来越复杂，所以针对特权账号的管理必将成为重点方向。帕拉迪副总经理 李亚楠65派拉软件一、公司名称：上海派拉软件股份有限公司二、公司 logo：三、零信任产品名称：一体化零信任解决方案零信任安全访问控制系统（SDP）四、产品特点及优势：特点：1.最小化原则：以身份为核心实现最小化原则2.动态授权机制：支持基于风险因子的

74、动态授权机制663.业务场景适配：多云复杂业务场景适配提升安全管理效率4.轻量级终端 Agent：轻量级终端 Agent 占用资源少5.单点登录：快速接入应用系统实现单点登录6.隧道技术：轻量级隧道技术，适应复杂网络环境7.智能认证方式：基于访问上下文的智能认证方式8.安全基线核查：终端安全基线核查灵活配置9.业务访问过程视频回放：B/S 应用无改造视频回放审计。优势：派拉一体化零信任解决方案以身份安全管理中心（IAM）为基础进行场景扩展，不断深入企业的身份安全、数据安全、网络安全，建立了 IAM、SDP、终端管理、API 网关等产品为一体的零信任安全解决方案。派拉零信任建立“无边界”网络安全

75、解决方案，对接入进来访问企业资源的用户进行身份认证、设备认证，并通过行为分析持续认证用户身份，动态授权用户访问资源，确保企业资源“零端口”暴露。派拉零信任基于最小权限原则，划分用户访问身份、角色权限、系统开放 API权限，保护企业云端业务资源和开放 API。67派拉以单数据包认证、动态授权访问等设计思路，搭建零信任整体解决方案，重新审视传统的安全架构，解决行业的网络安全业务问题，可完美覆盖企业遇到的外网攻击、内部数据泄露等安全场景。派拉从 2018 年将零信任技术引入身份安全体系，并逐渐构建了整体的零信任解决方案，产品方案成熟，同时持续攻克网络底层技术，优化产品方案。五、成功案例：某证券企业、

76、某制造业集团以“零信任基于风险的动态访问控制”为核心，以全面身份化为基础，通过 SDP网关、Web/API/运维网关及细粒度数据访问控制等，有效解决数字化建设过程中的暴露面大、过度信任、权限管控难，搭建端到端的一体化零信任安全体系。场景解决方案68远程办公安全：派拉软件远程办公方案基于零信任架构进行创新与实践，通过SDP、IAM、可信网关、动态授权等技术将内网隐藏，遵循先认证后链接的访问原则，并持续验证每一个连向系统的访问请求，保障端到端的访问安全。数字化员工门户：派拉数字化员工门户以 IAM 平台为支撑，通过业务系统的高效集成整合，帮助企业用户建立统一的应用单点登录入口，整合业务资源，并实现

77、以“身份”为核心的信息个性化推送，助力企业告别低效协同的信息孤岛，打造一站式、安全可信、高效协同的数字化办公平台。69数字化转型：利用数字化技术加速企业数字化客户、数字化运营等业务场景的落地，提升业财管一体化和业务安全性、敏捷性、创新性。企业数字化转型通常包含数字化客户、数字化员工、数字化运营和数字化制造，分别对应营销、人力资源管理、运营和生产制造。云原生业务访问：派拉云身份管理平台提供云端集中式身份管理服务，可以安全保护政企员工、合作方等内部身份，构建身份管理系统；也可针对会员构建安全、便捷的身份认证、身份管理系统。70六、适用行业：金融、制造、医药、教育、零售、政府、地产、科研院所等各大行

78、业七、联系人姓名及职位姓名：郭梦奂职位：市场联系方式：八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：目前国内市场对 ZTNA 的解决方案认可度已逐渐成熟，伴随着各种国标、行标、团标的制定和发布，以及个人信息保护法和数据安全法的落地，企业网络环境需71要提升安全性并满足政策法规的要求。未来，企业服务云端化不可避免，并长期存在云上云下多种混合的网络区域，从各种形态的终端设备，到无边界的网络接入，再到混合云多云服务区域，零信任需要在更复杂环境下，面对”从零建立信任“所带来的更高的技术和业务挑战，而如何结合信创要求对整体网络环境进行运维/运营，将是面临的问

79、题之一。派拉软件作为国内一体化零信任安全领导厂商，拥有目前国内完整的零信任安全产品体系，从以身份为中心的动态访问控制，逐步延伸到联动终端安全、SDP、细粒度授权、API 网关、行为分析、数据访问安全等为一体的端到端零信任安全解决方案，并围绕零信任身份治理的新需求，重塑数字身份的新形态，轻量化、低成本、弹性的身份管理需求，通过零信任体系保障数字化转型的安全管理，ESB服务治理集成企业管理应用，数据治理&安全平台确保数据价值的发挥，API 赋能数字化创新，打通数字化客户、数字化员工、数字化运营和数字化制造业务链，为企业构建体系化的端到端安全防护能力，推进行业上下游企业一起携手并进，从标准、方案、生

80、态各个方面积极推广零信任。派拉软件 CEO 谭翔73时代亿信一、公司名称：北京时代亿信科技股份有限公司二、公司 logo：三、零信任产品名称：时代亿信零信任整体解决方案四、产品特点及优势：特点：时代亿信基于“零信任”的网络安全概念，在公司应用访问控制、密码产品和身份治理技术积累的基础上，遵循“持续验证，永不信任”的安全理念，通过安全隧道和单包认证技术、动态访问控制、统一权限管理、风险引擎、策略分析等服务，达到用户最小权限和安全访问控制的目的，为用户构建零信任安全访问体系。741、零信任体系架构以安全隧道、单包认证技术为基础，以用户身份为核心，坚持权限最小化原则，通过风险预警、动态权限等服务进行

81、身份访问控制，重构访问控制的信任基础。业务资源隐身，重塑安全边界：企业资源隐藏在 ET-SDP 网关后面，暴露面为“0”。多种认证方式满足复杂业务场景：时代亿信零信任解决方案支持用户名口令认证、UKey 认证、短信认证、扫码认证和人脸、指纹等生物特征认证方式，同时可根据用户环境进行动态认证。风险预警、动态权限等服务为安全保驾护航：终端动态感知识别环境安全状况，根据用户行为和环境安全评估进行风险预警，实现权限动态处理和动态认证，降低安全风险。2、智能化身份治理时代亿信经过多年的创新实践与经验积累，实现了用户电子身份的全生命周期管理，在用户入职、兼职、借调、离职等生命周期的关键节点，均可实现智能化

82、、自动化处理。身份治理经验丰富：对大型企业的信息化系统建设拥有丰富实践经验，多年身份治理经验获得运营商行业龙头用户认可。用户数据中台：业务系统对接，避免组织机构重复建设，解决信息孤岛、僵尸账号等问题，降低信息泄露风险，保护数据安全，赋能数字化建设。数据稽查和自动化运维：数据治理更加方便快捷的同时，通过风险识别和自动75化处理，进一步保护数据安全。3、密码技术基座时代亿信零信任解决方案以多年密码技术积累为基础，结合密码服务平台，提供加解密服务、签名验签服务和数字证书等服务，打造企业数据安全的坚实底座。通过集成时代亿信密码服务平台，确保被保护资源的身份鉴别安全、数据完整性、数据机密性和操作的不可否

83、认性。既可以通过数字证书的应用，结合多种认证方式，增加零信任解决方案的易用性，有效提升零信任体系实施效率，还可以为零信任方案提供安全底座和信任基础，保证企业运行的安全，赋能零信任解决方案。优势：1、丰富认证方式满足多种场景用户名口令认证、UKey 认证、短信认证、移动认证、扫码认证、人脸和指纹等多种认证方式。2、组织数据统一治理满足集团应用用户电子身份全生命周期管理；虚拟组织满足下游各种业务场景；数据稽核保证数据一致性；全流程自动化处理。3、预设工作流贴合企业业务预设多种工作流处理，支持相关工作流业务咨询和调研定制。4、风险引擎为安全保驾护航提供实时风险预警、并进行风险自动化处理，降低用户风险

84、，扫除潜在威胁。765、动态权限实现运维自动化ABAC 和 RBAC 授权方式；用户组和组织机构授权；动态权限；统一权限视图；权限互斥策略预警。6、员工自服务提高运维效率支持员工在账号、信息、权限、密码等方面的自助服务，有效提高用户整体使用流程的效率。五、成功案例：某大型运营商集团、某股份制银行六、适用行业：服务于政府机构、金融、制造业、教育、医疗和地产等行业的数字化转型。七、联系人姓名及职位姓名：魏女士职位：品牌生态经理联系方式：77八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：时代亿信，致力于守护国家秘密和商业秘密。时代亿信零信任体系，提供多种

85、认证方式、满足不同用户需求；实现风险感知预警，助力动态权限管控；辅助业务资源隐身，协同用户重塑安全边界！时代亿信副总裁 杨学静78数安行一、公司名称：北京数安行科技有限公司二、公司 logo：三、零信任产品名称：数安行零信任数据运营安全平台四、产品特点及优势：特点：融合数据运营安全(DataSecOps)理念，以零信任数据安全架构为基础，以人工智能技术为核心驱动，对数据业务全流程进行无改造映射，安全防护与数据业务独立运行，互不影响79优势：1、创新性：数据侧的零信任，基于零信任数据安全发挥零信任理念的优势2、平衡性：有效平衡数据开发利用与数据安全保障3、轻量化：轻量化部署，业务架构无改造五、成

86、功案例：某地方电力公司，属于能源行业。公司随着规模的壮大，人员组成越来越复杂，需要对外合作的项目越来越多，接触数据的人员越来越多，通过数据处理来推动流程的业务越来越普遍，这些数据的安全问题影响公司长远发展。在这个背景下，公司启动了数安行电力开发系统零信任数据安全防护项目，期望通过基于零信任数据安全的防护，在保证业务无改造，用户使用无影响的前提下，达到数据安全防护的目标。在数安行电力开发系统零信任数据安全防护项目中，主要采取以下安全技术应对数字化转型的安全防护问题：80数安行电力开发系统零信任数据安全防护项目在实施以后，能够对开发中的数据进行安全保护，比如内部的研发、外面的合作开发人员分别进行数

87、据安全的防护，不同的人员防护措施不同，相同人员在不同的项目组中控制不同的数据使用权限，基本上达到了人员最小使用权限的控制目标，同时本项目对关键的数据的保护很严格，能最大限度的保护数据的安全，同时极大降低网络安全管理团队策略配置成本，避免安全防护对业务产生任何影响，保证开发项目的安全推进。六、适用行业：金融，运营商，软件与技术服务，高端制造，工业互联网，能源等各行业81七、联系人姓名及职位姓名：郭灵职位：总监联系方式：八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：零信任的理念已经对网络安全产生了重大影响，同时给数据安全领域带来巨大的技术变革和发展机遇

88、。在数字化转型背景下，数据从边界清晰的使用转向使用边界越来越模糊，传统的以边界为主的数据安全技术和手段，其有效性正在衰减。零信任数据安全，在数据运行、开放共享与安全防护之间获得平衡，是数字化转型的关键保障。零信任数据安全，在护航数字时代的同时，将进一步促进整个数据安全市场的增长。数安行 CTO 苑海彬83天威诚信一、公司名称：北京天威诚信电子服务商务有限公司二、公司 logo：三、零信任产品名称：1、可信身份认证2、电子签名服务四、产品特点及优势：特点：84可信身份认证：只有数字身份安全数字化业务才能安全，天威诚信通过国家权威机构信息源、权威 CA 资质及多项专业技术手段，为各类数字化业务场景

89、中的人、企业等主体提供可靠的数字身份识别、认证、标识、权限管理等服务，保障数字业务空间各主体身份真实可信，避免因身份不明造成的风险。电子签名服务：数字化业务场景中，各环节操作数据的真实不可篡改直接决定了业务结果是否可靠，天威诚信依托电子签名服务助力企业在线协议/单据安全，快速实现线上签字、盖章，通过意愿认证、密码技术、可信时间戳、证据固化、区块链等多种技术保证签名过程真实有效、防篡改。优势：可信身份认证：天威诚信是国内首批获得工业和信息化部电子认证服务许可证、国家密码管理局电子认证服务使用密码许可证的机构之一，是国内率先引入 PKI/CA 体系并进行本土化改造应用的企业，拥有超百项产品著作权，

90、积极响应政策号召推动国内数字化经济发展，20 余年来为支付宝、京东及超 200家中国 500 强企业提供可信身份认证服务，保障其线上化业务安全开展，覆盖超 10 亿用户。电子签名服务：天威诚信曾参与国家级电子签名行业法规中人民共和国电子签名法的起草工作，早在 18 年前就率先将电子签名应用到线上化业务中，前瞻性提出线上业务证据及司法服务并得到广泛应用，打通电子签名后续结果认定、责权判定、司法纠纷解决通道，在保障数字业务安全合规开展的同时，提供强大的结果鉴定及司法处置支撑。85五、成功案例：联想集团人力资源场景解决方案应用产品：电子合同系统客户诉求：联想集团业务遍布全国，HR 部门需与 30 多

91、家分公司的数万员工签订包括劳动合同、保密协议、社保公积金代缴协议等在内的一系列文件，且涉及到入职、在职、离职、转岗等多个环节，人力和时间成本耗费极大，签约及审批流程繁琐复杂。此外，在各类人力业务文件签署、流转审批过程中，文件代签、冒签、文件篡改、丢失等问题难以把控，为 HR 业务埋下了诸多安全隐患。解决方案：在线签约，推动 HR 业务便捷、高效开展天威诚信针对人力资源场景签约的核心需求，为之定制开发了联想 HR 签约业务管理系统，满足联想 HR 部门在线签约的各类个性化需求。电子合同突破了地域和时空的限制，支持批量导入、批量生成、批量发送合同及在线缔约，极大提升了签约体验。信息加密+司法存证，

92、助力 HR 业务安全合规为保障信息安全，天威诚信采用密码技术对电子合同信息进行加密处理，防止被篡改，防止他人随意查看和传递合同，降低信息泄漏的风险。同时，为快速解决劳动合同纠纷问题，天威诚信电子合同系统提供司法存取证服务，按照人力资源签约司法逻辑链条，实现自证自查，保障企业人资业务信息安全，助力 HR业务安全、合规开展。86方案价值：电子合同系统的应用，改变了联想集团人力资源部门原有的工作方式，强化了联想集团的信息化系统建设，降低了运输、存储、人员等环节的成本，每年为联想集团约节省近百万的运营费用。相比传统线下签约审批的方式，电子合同突破了地域和时空的限制，每一次电子合同的签署约节省 95%的

93、审批时间，直接为联想集团节约了 80%的签约成本，提升了 96%的签约效率。同时提升了人力资源部门及员工的使用体验和提审批效率及办公效能。联想集团供应链采购场景解决方案应用产品：电子订单+电子取证客户诉求：为满足业务增长的需求，联想集团启动了国内首个线上采购平台，实现了业务的线上化。由于供应商、采购商、分销商、采购和租赁用户分布全国各地，各自的需求互不相同，对方的身份、意愿真实性难以确定。并且在业务线上化发展过程中，由于缺乏有效的认证手段，订单中电子数据的完整性难以保证，导致供应商、分销商抵赖事件频发。最后，因业务链条长，长期存在存证难、鉴证难、出证难的弊端，容易给企业及涉及的多方造成难以估量

94、的经济损失。解决方案：身份认证，让线上化业务信息真实可信为保障业务线上化的安全合规和自身合法权益，联想集团依托天威诚信提供的可信身份认证服务，实现线上用户与线下身份的唯一对应，从而确保线上业务87中的操作者身份真实、意愿真实，为业务线上化安全合规及后续追责提供了有力保障。电子签名，消除订单篡改、抵赖隐患天威诚信通过电子签名技术深度赋能联想集团线上化业务，通过法律认可的电子签名证明操作者的身份，明确操作者对文件内容的认可。当出现纠纷时，天威诚信以第三方电子认证服务机构名义出示数字签名验证意见书，以证明电子版式文件资料的完整性和未被篡改，从而为联想集团线上化业务的安全、合规、合法保驾护航。全流程存

95、证、出证，快速解决业务纠纷天威诚信通过在线对接各地仲裁委、法院等司法机构，为联想集团建立了在线仲裁、在线公证、在线诉讼等司法绿色通道，大大减少了线上化业务中纠纷、抵赖等事件的发生，保障了联想集团的合法权益。方案价值：依托天威诚信为联想集团建立的电子认证服务体系，保证了业务平台用户身份的真实性，保障了业务电子单据的合法有效，确保了业务应用的操作安全和业务内容抗抵赖，进一步有效降低运营成本及法律纠纷风险，有力推动了联想集团供应链采购平台健康有序地发展。六、适用行业：人力资源、供应链、物流运输、互联网金融、银行、招投标、教育培训、电子商务、智慧旅游、电子政务等。88七、联系人姓名及职位姓名：李雅琦职

96、位：市场合作经理联系方式：八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：在国家政策和数字经济的双向驱动下，零信任的网络安全范式已经得到广泛认可，正在向大规模商业应用阶段迈进，零信任的本质诉求是以身份为中心进行访问控制，引导安全体系架构从“网络中心化”走向“身份中心化”。而基于密码技术应用的数字身份和行为可信无疑成为保障数字经济稳健发展的基石。依托密码技术和电子认证服务，天威诚信紧贴行业规范和市场需求，致力于通过建立统一数字身份、一证多用等方式助力共性应用支撑体系建设，同时与诸多生态合作伙伴在技术层面的融合创新，进一步简化零信任的落地，提升其应用效率

97、。顺势而为方能行稳致远，天威诚信通过自主研发、共创等方式建立密码综合服务平台、电子合同、智能存取证等场景体验，推进数字化工具全场景覆盖，促进密码技术的深入发展和零信任安全落地实践应用，积极响应政策号召，助力各行业数字化转型发展。北京天威诚信电子商务服务有限公司 总经理 王利国90芯盾时代一、公司名称：北京芯盾时代科技有限公司二、公司 logo：三、零信任产品名称：零信任业务安全平台（SDP）企业身份管理平台（EnIAM)四、产品特点及优势：零信任业务安全平台（SDP）特点：全资源隐藏：基于 SPA 协议对可信客户端进行连接授权，通过资源隐藏和访问控制策略执行，有效避免应用系统及设备本身被现有扫

98、描技术探测，达到减少企业资源暴露面的防护目的。91无改造接入：原系统无需改造便可实现接入，统一应用代理及访问控制，实现应用单点登录，降低安全开支，提升运营效率和使用体验。多协议支持：支持 TCP、HTTP、SSH、邮件（exchange、POP3、IMAP、SMTP）等 47 层协议，支持客户定制化应用协议。国产化适配：可兼容国产化芯片、操作系统及数据库，已完成与龙芯/飞腾等国产芯片、深度/中标麒麟等国产化操作系统、武汉达梦/人大金仓等国产化数据库的适配。优势：安全检测：对 BYOD 设备、受控设备均进行安全基线检查，保证终端安全性。移动免密认证：自研移动 APP 作为载体，提供一键确认、扫码

99、、动态口令等认证方式。细粒度访问控制：针对不同的应用、页面配置不同的安全策略。动态访问控制：从设备、IP、时间、行为等维度全方位进行风险评估和动态访问控制。数据安全：支持数据脱敏、水印能力，防止敏感信息泄露，快速精准溯源。企业身份管理平台（EnIAM)特点：92统一身份治理：对用户、身份、账号（应用）进行统一管理，通过映射、关联等方式，实现用户到应用账号自动化流转的全生命周期管理模型，简化账号管理工作，建立身份安全基础。安全身份认证：支持密码、短信、扫码、动态口令、推送、人脸识别、微信、钉钉、CA 等多种认证方式，提供单点登录、双因素认证、免密认证等多种业务形态，满足不同场景下的业务需求。统一

100、权限管理：通过 DAC、RBAC、ABAC 授权模型，支持岗位授权、用户组授权、部门授权、用户授权、应用授权及基于风险行为的动态授权。部署简单高效：采用 SpringBoot 微服务构建，兼容 SpringCloud 微服务框架与 K8S/Docker 容器平台，支持横向扩展、高可用、高并发。优势：完整的身份安全解决方案：提供覆盖内部+外部、业务+运维的企业身份安全解决方案。强大身份治理能力：具备标准、自动化的身份治理能力，实现用户账号全生命周期管理。权限模型与自动化授权：支持用户应用访问权限管理和应用细粒度权限管理，支持各种权限模型与自动化授权。权限合规与审计：支持用户应用访问权限管理和应用

101、细粒度权限管理。93动态访问控制：持续进行用户行为分析，提供实时风险识别以及风险处置策略。五、成功案例：某银行：增强型 IAM 业务安全平台芯盾时代增强型 IAM 解决方案提供用户身份治理、权限管理、安全认证、单点登录、行为审计，应用资源动态访问控制功能，即打造增强型 IAM 业务安全平台，实时管控银行各机构员工、全行各网点柜员所有业务行为，包括身份认证、应用访问、应用资源操作等行为，通过连续自适应风险与信任评估，实现企业内部零信任业务安全访问。身份管理：进行身份信息聚合，每个员工在平台中只有 1 个账号，通过用户全生命周期管理方案实现用户、权限、应用账号自动化流转机制，形成管理规范、减少人工

102、操作，建立身份安全基线。认证管理：为各业务系统提供短信认证、密码认证、指纹认证、扫码认证、动态口令、人脸认证 6 种认证方式。可以按照用户、用户组、应用等维度进行灵活的认证策略设置，包括双因素认证以及分级认证策略等。权限管理：提供身份权限管理、应用资源管理、静态策略管理以及动态策略管理能力。融合粗粒度、细粒度、静态权限以及动态权限的统一权限控制体系。审计管理：对管理行为、用户操作行为、用户认证行为进行审计，通过权限94合规策略及时发现员工拥有哪些合理的权限，通过账号合规审计及时发现行内存在的僵尸账号和孤儿账号。应用门户：作为各业务系统的统一访问入口，行内员工、外包人员可以通过应用门户实现一次登

103、录，可单点登录至多个业务系统。门户提供用户自助服务，包括用户权限申请、用户账号委托、用户自助找回密码等。网点柜员也可登录柜面系统后通过下拉列表的方式单点登录相关交易系统。用户行为分析：提供实时风险识别以及风险处置策略，不仅包括用户登录与访问行为，还支持应用资源级别的动态访问控制，所有访问都应基于身份并且具有适应性，通过连续自适应风险与信任评估，可根据不同的风险等级给出对应的处置策略，如放行、阻断等。某央企：零信任远程访问解决方案芯盾时代为某央企客户提供的零信任远程访问解决方案遵循松耦合、模块化的原则，保证与传统的纵深体系没冲突，而是互补和增强；同样的安全模型可以在云上进行构建，项目落地后除了安

104、全性能提升以外也兼顾了用户体验。为用户提供的核心能力如下：泛端点安全 Agent：适应多样化的端点环境、安全等级和接入集成要求，提供终端设备标识和认证、环境和风险实时感知、安全合规评估和风险联动处置，支持 SDP 协议，实现 SPA 预认证及双向加密隧道建立和维护，在端点95设备上提供容器级隔离空间，用于隔离企业数据与个人数据、办公环境与互联网环境，实现对敏感数据的精确访问控制及有效隔离管控。安全微网关：基于 SDP 网关能力及应用代理技术，实现企业资源隐藏，提供资源访问主体多维认证、应用访问代理、API 代理、数据安全传输、访问控制策略执行、统一应用门户及单点登录、增强认证、日志审计、数据动

105、态清洗及主动防御等能力，与动态访问控制平台联动，对资源访问执行多维度的持续动态控制策略。控制器：负责控制平面数据交互，确定哪些安全终端可以与安全微网关进行通信。控制器可以将信息传递到可信身份管理平台。可信身份管理平台：作为零信任方案的基石组件，对用户采取“零信任”的态度，在用户登录、操作、登出系统的全周期内，持续性和周期性的通过规则引擎对前端采集的信息进行风险评估，根据风险值自动匹配认证方式，为用户和设备提供验证其身份的机制，最大化确保用户身份的可信度。动态访问控制引擎：可针对应用/API/数据等企业资源的访问请求,基于访问主体（设备/用户/应用）的身份、角色、属性、风险等级和安全策略，与持续

106、信任计算引擎、零信任可信身份管理平台联动，实时和动态地生成访问控制决策，并下发至安全微网关执行。持续信任计算引擎：基于风险感知平台及其他外部风险数据源输入的信息，利用场景化的专家策略集和 AI 模型，从设备、身份、行为、环境、资源、网络等多个维度进行持续的风险和信任计算，为动态访问控制引擎提供风险等级评估信息，实现自适应动态授权。96全域风险感知平台：融合端点风险、用户行为风险、身份风险、东西向访问风险，结合威胁情报，进行多维度的风险信息采集、清洗、分类、预处理和聚合，为持续信任计算引擎提供丰富的风险数据。六、适用行业：金融、政企、运营商、制造、能源、电力、交通、水利、军工、互联网等七、联系人

107、姓名及职位姓名：王雪职位：市场主管联系方式：八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：“十四五”规划及 2035 年远景目标明确提出加快数字化发展的要求，激活数据要素潜能，建设数字中国。随着企业数字化转型加快，企业的各类业务系统愈发处于开放的网络环境中，容易受到网络攻击的影响，信息安全重要性日益突出，业务安全问题愈发严重，影响国计民生。而不断变革的 IT 技术架构驱动安全架构随之而变，企业亟需新的网络安全模型为数字业务提供有效的防护，零信任安全是安全思维和安全架构进化的必然结果。芯盾时代作为国内领先的零信任业务97安全产品方案提供商，以保护企业

108、资源安全为目标，助力客户打造安全、智能、可信的业务体系，为国家的数字经济保驾护航。芯盾时代创始人、CEO郭晓鹏98信安世纪一、公司名称：北京信安世纪科技股份有限公司二、公司 logo：三、零信任产品名称：NetIAG 安全认证网关四、产品特点及优势：特点：自适应身份鉴别提供数字证书认证、协同签名、动态密码认证、设备认证、人脸识别、指纹识别、手势识别、扫码登录、SMS 等丰富的身份认证方式，同时支持多因素认证满足不同场景不同安全级别的身份认证需求；配合零信任客户端（iSecSP）和99零信任控制中心（NetAuth）进行终端物理环境变化感知、网络环境威胁检测、用户操作行为的安全等级评估，自适应动

109、态地提供不同安全等级的身份认证方式，完成对接入主体的身份鉴别。端到端链路加密支持用户终端到网关的端到端通信链路加密。产品采用 TLCP 国家标准协议（即国密 SSL 协议），提供商用密码算法与国际密码算法 SM2、SM3、SM4、ECC、RSA、AES、3DES 等实现通信加密能力，充分保障数据传输过程中的机密性和完整性。细粒度访问控制基于角色的访问控制策略引擎，可以为不同的用户角色定制授予不同的应用权限，同时在用户访问期间通过对其安全状态进行持续评估，实现动态、精细化的安全防护。SPA 网络隐身通过 SPA 网络隐身技术，使得企业应用只对合法主体可见，不为潜在攻击者提供任何端口的监听信息，有

110、效防范恶意攻击，为企业应用和服务披上了“隐身衣”。安全的应用发布根据不同的用户业务场景需求，支持通过 7 层、4 层和 3 层的技术进行企业服务发布，仅允许授权用户可见及访问。强大的单点登录100支持用户只需要通过一次强身份认证，即可免登录访问授权范围内的所有系统应用，帮助企业打通各个业务系统之间的身份信息孤岛，提高了登录访问效率。优势：易用：多种安全接入，访问高效便捷产品支持跨平台、多种操作系统的浏览器、移动客户端、桌面客户端接入，满足灵活访问需求；同时支持单点登录功能，大幅提升用户体验。可靠：健壮架构，实现大吞吐和高并发产品采用 64 位 SpeedCoreTM 平台的多核并行架构，为系统

111、强大的性能提供保障。产品提供业内领先的大吞吐和高并发能力，满足海量用户接入需求，给用户体验和办公效率带来了变革和提升。灵活：云端部署，强大集成除了硬件部署外，NetIAG 还支持私有云、公有云、混合云的云端部署方式。同时，可扩展的应用程序接口(API)可与企业现有安全架构无缝集成。合规：安全合规，稳健运行产品通过了基于 GM/T 0026安全认证网关产品规范的安全认证检测，并达到 GM/T 0028密码模块安全技术要求中第二级安全要求，能够有效满足等级保护、密码应用安全评估中相关安全要求。101五、成功案例案例一：某基金公司远程办公全程监控案例客户名称：某大型基金管理公司行业：金融(一)项目背

112、景2020 年 2 月 20 日，北京市证监局根据五部委关于进一步强化金融支持防控新型冠状病毒感染肺炎疫情的通知（银发2020】29 号）及李超副主席答记者问、关于做好新型冠状病毒感染的肺炎疫情防控工作的通知（证监办发【2020】9 号）等文件要求，发布“关于做好疫情期间基金监管和服务工作的通知”。其通知中在“一、各基金管理人可以根据疫情影响程度，在远程办公等方面作出适当灵活安排”中提到“各基金管理人、基金公司子公司在采取有效措施防范风险和利益冲突、保证信息安全前提下，经事先报告我局后（正式公文，邮件形式发送扫描件），可以利用远程办公(VPN)等信息技术手段访问办公场所的信息系统开展注册登记、

113、基金估值、投资交易等业务”。并在第 3 点中提到“3.为员工开展远程办公业务提供必要的、安全可靠的设备设施，并采取访问控制、双因素身份认证、全程监控等措施，加强远程办公的信息安全管理;遵循最少功能以及最小权限等原则分配信息系统远程管理、操作和访问权限，并履行内部审批流程。”(二)客户需求102快速上线所提供的解决方案应保证最终用户能够快速上线，上线后能够进行逐步的改造和业务需求迭代，业务需求迭代的升级过程能够进行回归性功能测试。使用便利所提供的解决方案应保证最终用户使用过程中操作过程便利，不繁琐。传输安全所提供的解决方案应保证最终用户通过互联网传输数据时保证其身份认证、机密性、完整性的要求。员

114、工在进行远程办公时，登录的身份进行双因素（签名或一次性密码）身份认证；员工在进行远程办公时，接入的摄像头与录像系统身份互相认证；员工在进行远程办公时，将摄像头的录像数据进行互联网传输时，应进行加密传输；员工在进行远程办公时，将摄像头的录像数据进行互联网传输时，传输的数据应进行完整性保护；摄像头检测所提供的解决方案应保证最终用户在进行远程办公的过程中摄像头处于开启状态：员工在进行远程办公时，远程客户端的摄像头不能是关闭状态；103（非必需）员工在进行远程办公时，远程客户端的摄像头不能是遮挡状态；（非必需）员工在进行远程办公时，远程客户端的摄像头定时进行人形检测或人脸识别；商用密码使用所提供的解决

115、方案应保证最终用户的安全设计符合中华人民共和国密码法、GB/T39786-2021 信息安全技术信息系统密码应用基本要求。(三)解决方案本项目按照三个阶段进行完成，第一阶段主要为快速上线，第二阶段主要为安全传输，第三阶段主要为使用便利性。第一阶段：快速上线该阶段的主要工作是快速上线，能够在疫情影响下，快速开展远程办公业务需求。该阶段远程接入客户端与专用摄像头之间松耦合，无任何关联。不进行摄像头开启检测、摄像头与录像系统不进行强制身份互验证。录像系统的管理员定时进行远程办公人员身份核查。如下图所示，专用摄像头与录像系统的数据流与远程客户端远程拨入安全认证网关的数据流隔离，无任何关系。专用摄像头与

116、录像系统的数据流的安全性符合 GB35114（C 级）标准。104第二阶段：安全传输该阶段的主要工作是在开展远程办公业务需求的基础上，完成传输安全、摄像头检测、商用密码的使用需求。该阶段远程接入客户端与专用摄像头之间紧耦合，强关联。进行摄像头开启检测、摄像头与录像系统进行强制身份互验证。如下图所示，安全认证网关需要给远程接入客户端以及专用摄像头发放数字证书进行身份互相认证，专用摄像头与录像系统的数据流符合 GB35114（C 级），以保证其传输安全。在此基础上，远程接入客户端还需要完成摄像头开启检测功能、人形检测（非必需）、人脸识别（非必需）。第三阶段：使用便利性105该阶段的主要工作是在安全

117、远程办公业务需求的基础上，完成便利性的需求。该阶段远程接入客户端可使用非专用摄像头，仅使用笔记本自带摄像头即可。进行摄像头开启检测、摄像头与录像系统进行强制身份互验证。如下图所示，安全认证网关需要给远程接入客户端以及通用摄像头发放数字证书进行身份互相认证，通用摄像头与录像系统的数据流需要通过远程客户端远程拨入安全认证网关的数据流进行发送，以保证其传输安全。(四)方案优势总结必要性根据北京市证监局“关于做好疫情期间基金监管和服务工作的通知”，在疫情远程办公期间“为员工开展远程办公业务提供必要的、安全可靠的设备设施，并采取访问控制、双因素身份认证、全程监控等措施，加强远程办公的信息安全管理;遵循最

118、少功能以及最小权限等原则分配信息系统远程管理、操作和访问权限，并履行内部审批流程。”可行性解决方案按照三个阶段进行，最终使用用户可根据实际需求，选择分步进行，106或者选择一次到位均可。方案前期（第一阶段），无需任何开发，仅需采购市场上通用设备即可完成上线，上线可行性高。使用便利性解决方案与传统的 VPN 方案相同，使用用户名、口令、PIN 登录服务端 VPN即可，使用便利。后期（第三阶段）解决方案可使用用户名、口令、人脸识别的方式进行零信任远程进行登录，比传统的解决方案更加便利。商用密码使用合规性远程接入客户端程序具有商用密码产品认证证书，符合软件密码模块一级或二级的相关要求。安全认证网关设

119、备具有商用密码产品认证证书，符合商用密码 SSL VPN网关的检测规范，具有零信任网关的相关功能。解决方案可满足身份认证、机密性和完整性的密码使用要求。接入客户端与摄像头的紧耦合性接入客户端与摄像头的紧耦合性能够保证：摄像头在线状态检测，一旦发现摄像头不在线，则远程接入客户端立即登出；摄像头与录像系统进行双向互认；人脸识别用户信息与远程接入客户端信息一致性检测；（非必需）107功能扩展性该解决方案可扩展功能支持人形检测和人脸识别功能，完成接入客户端与服务端的互认的功能外，还可完成登录人脸识别功能。安全扩展性该解决方案可扩展对接 SSO（单点登录系统）和 IAM（身份识别与访问管理系统），完成零

120、信任接入安全解决方案。案例二：某大型央企集团零信任可信接入案例客户名称：某大型央企集团行业：通用设备制造业(一)项目背景随着集团规模的提升，企业安全风险逐渐上升，仅通过简单认证用户身份、静态和粗粒度的访问控制，已经不足以满足现状，即便随着边界安全模型产品的升级，依然无法有效阻止安全攻击。目前集团在网络层面存在风险隐患，诸如网银系统等通过互联网发布，面临着新型网络安全攻击，如 0day、勒索病毒、供应链安全等。传统的网络安全构建在“信任”基础上，认为位于边界内部的网络是“可依赖”的，不存在身份欺骗和资源滥用等安全威胁。近年来，因内网主机被控制后通过内部的横向流量攻击或由被控主机由内向外发起的纵向

121、流量攻击导致的安全事件层出不穷，甚至愈演愈烈，足以说明传统的边界安全失去了防御功能。从历年 HW 经验中看，集团在黑白名单+双因子认证登录的边界防护策略存在不足，108成员单位的互联网源 IP 的安全性无法验证并保证安全，另外 VPN 等设备也存在0day 漏洞和风险，相关安全性存在隐患。终端用户的环境安全无法保证，对使用者的真实身份校验缺少可信认证模型，仅通过 U 盾及数字证书方式，无法解决 U 盾丢失或被盗用的那题。运维工作量较大，重复性工作较多，亟需数字化智能化运维方案，提升安全保障工作效率。(二)解决方案全面身份化来构建访问控制体系以身份安全为核心，实现对集团用户、设备、应用等主体的全

122、面身份化，从零开始构建基于身份的信任关系，为所有对象赋予数字身份，基于身份而非网络位置来构建访问控制体系，可帮助集团有效解决传统边界安全架构带来的安全隐患。最小权限隐藏内部资源仅授予集团业务主体完成任务的最小权限，避免因业务资源面暴露过大而增加恶意扫描、远程控制、数据大规模窃取等安全风险。通过 SPA 单包授权机制隐藏内部资源，减少资源暴露面，只有经过认证授权的访问才可以建立到资源的连接，使网络上的黑客无法看不到企业资源而无法进行恶意攻击，有效缓解漏洞利用、DDoS 等攻击行为。永不信任，持续验证的访问权限控制“永不信任，持续验证”，针对集团用户的身份、终端、应用等做持续的检测，实现集团数据访

123、问的权限控制。109a）基于集团员工、用户的身份信息库，实现多因子身份认证；b）基于对终端用户的访问环境的实时检测，动态控制用户的访问策略；c）基于多源上下文信息对风险/信任进行持续评估，持续验证用户身份、访问行为合法性，循环不断进行反馈和控制，例如访问行为风险增大时，对访问者的信任应该进行相应的调整，有效弱化企业内部数据泄露的风险。安全闭环的防御手段策略中心的控制过程包含了防御-检测-响应的闭环，设备的实时防护日志、病毒查杀日志、认证日志、操作日志等，都可以作为信任等级计算的信任因子来用于扩展多源上下文信息。根据不同的信任等级对访问权限进行动态、近乎实时的、自动的调整，实现防御-检测-响应的

124、安全闭环，保证集团内部数据和业务系统的安全性。(三)方案效果改善集团传统安全架构 重构集团网络安全边界架构，从根本提升数据安全防护水平；兼容信创操作系统，共同促进信创产业发展；根据多路径战略，满足了某集团多场景需求；后期可灵活扩容，随着用户并发的扩大可对产品资源进行横向扩容。增强集团安全能力110 基于密评要求策划完成，在满足现有需求的基础上可协助集团完成国密合规检测；以商用密码技术为基础，实现通信双方的可信鉴别和安全（加密）通讯，保障数据传输安全；以身份管理技术为核心，实现全面的用户身份、组织、账号管理；以安全网关技术为支撑，实现大规模、复杂场景的灵活部署和应用交付；持续的信任评估，实现了智

125、能化、近乎实时的风险分析与策略处置。提升集团用户访问体验 打破传统物理逻辑边界思想，为集团用户提供安全、高效的数据访问；基于身份的动态访问授权，为集团用户构建无感的安全接入；提供一站式的虚拟门户和单点登录，为集团用户带来更好的访问体验。(四)具体用例描述零信任客户端零信任客户端是面向用户的安全代理窗口，是确保业务安全访问的第一道关口。111a)业务网络隐身：只有安装零信任客户端的终端设备才能访问业务系统，保障业务系统无需暴露公网，极大减少被攻击机会。b)持续终端环境安全检测：只有通过终端环境安全评估的终端设备才被允许访问业务系统；同时在业务系统 APP 进行业务访问过程中，零信任客户端持续对终

126、端环境进行检测，上报零信任控制中心检测结果，执行检测中心下发的指令:继续访问，二次认证，或阻断访问等。c)预认证：实现静态密码、动态口令、USBKEY、指纹、人脸、扫码、企业微信、QQ 等社会账号认证方式以及各种组合的(MFA)双因素认证。只有认证通过，才能正常访问业务系统。d)安全通信加固：在客户终端与安全接入网关之间构建专有传输层加密通道，保证业务数据在传输中的绝对安全性。零信任安全接入网关信安世纪安全接入网关提供安全的远程登陆和用户授权访问，确保某集团核心系统用户访问业务的安全可信，零信任安全接入网关根据持续自适应安全平台定义的策略，实现对终端是否可以接入进行控制。对于不满足安全策略的终

127、端的访问，直接拒绝访问。对于满足安全策略的可信终端，接入后由零信任安全网关进行进一步的管控，其功能包含：a)安全信道：安全接入网关使用国家标准 TLCP 协议进行传输的加密处理，在零信任客户端与安全接入网关之间构建一条旁人无法破译的专有传输层加密通道，保证数据在传输中的绝对安全性。112b)访问请求转发：安全接入网关将会把来自客户端请求转发到策略控制中心进行统一的身份认证和访问控制管理。c)访问请求拦截：当策略中心检测到用户访问环境、访问请求、操作行为等存在风险时，将会通知安全接入网关进行访问请求的拦截，终止连接或收缩用户资源访问权限。d)资源权限授予：当访问请求通过统一身份认证系统进行统一认

128、证后，如果认证成功，则将下发给安全接入网关，建立 SDP 网关到应用程序之间的会话连接的消息，因此资源的访问权限被给请求主体。网络隐身零信任安全接入网关通过实现单包授权(SPA)技术实现对业务系统网络隐身，在允许访问零信任安全接入网关所在的网络之前先验证设备和用户身份，实现零信任“先认证，再连接”的安全模型理念，以此实现集团核心业务的网络隐身，从网络层面上实现无法连接、无法扫描。单包授权功能，从技术上来说就是服务器接收正式服务请求前，先接收一个UDP 报文。服务器对 UDP 报文进行解析校验，为通过验证的敲门客户端开放服务端口。客户端在规定时间内可以通过授权的客户端地址访问规定的服务端口建立连

129、接。超过一定时间，服务端将关闭开放的端口，从而达到某集团资源影藏的目的。安全访问代理113零信任安全接入网关负责某集团粗粒度的访问控制，零信任 Agent 安全访问代理则负责实现细粒度的访问控制。零信任 Agent 安全访问代理在应用登录会话层对应用进行安全保护，提供应用单点登录、应用审计、URL 级权限控制等能力。根据需求，零信任 Agent 安全访问代理还可对 API 接入进行安全防护。IAM 平台IAM 平台是零身任体系中的安全基石，是新一代的身份认证平台，满足零信任安全的需求。统一身份认证与管理平台通过多因素认证、统一身份管理（包括用户身份、设备身份、应用系统身份等）、统一帐号授权、集

130、中安全审计、单点登录等技术手段，为客户提供安全有效的身份基础核心数据，安全的认证服务体系及帐号全生命周期管理，为业务系统和其他需要身份、认证、授权的场景提供身份及权限基础服务。统一身份认证与管理平台通过与持续自适应安全平台联动，实现动态自适应的认证策略、权限策略。如在实时策略评估为安全等级较高的情况下，用户可采用较为简便的登录认证方式、在评估安全等级较低的情况下，提供认证安全等级较高的认证手段如 UKEY 结合口令的双因素认证方式。(五)方案示意图114六、适用行业：金融、政府、企业七、联系人姓名及职位姓名：李丹丹职位：市场经理联系方式：八、CEO/创始人/总裁/副总裁/

131、联合创始人等对行业发展和甲方的寄语：在零信任的核心理念中，构建“持续评估、动态鉴权”的网络安全运营理念是其核心要义。相较于种类繁多的网络安全产品而言，网络运营者唯有结合自身特点、做大做强“零信任安全运营理念”这一“分母”，方能将安全风险持续“降低”。“信安世纪”作为身份和数字信任领域的头部企业，可帮助不同规模的网络运营115者快速部署“零信任”核心组件，帮助您加速“零信任安全运营理念”的落地与转型。信安世纪副总裁 刘峥116星阑科技一、公司名称：北京星阑科技有限公司二、公司 logo：三、零信任产品名称：零信任网络访问 API 安全平台四、产品特点及优势：特点：可以实现对 API 使用情况的实

132、时监控，异常访问的可视化。对流量中的 API 自动聚合、分类、自定义标签化管理；并以树状图的方式便于管理员进行探索和调查，针对限流、脱敏、威胁防御、账号身份管控等场景实现 API 统一安全管控。优势：多维度分析，一体化防护：既汇集一线红队与 StarCross Portal 实验室的漏洞研究成果，可以全方位发现 API 的 Web 漏洞、应用漏洞、协议漏洞以及数据风险，117又基于企业级大数据分析平台以及机器学习数据实体识别算法，针对 API 通信异常、攻击事件、数据泄露事件、越权攻击进行实时监控告警。多场景应用，一站式解决：拥有包括企业通用 API 安全防护方案、容器集群 API安全防护方案

133、、微服务架构 API 安全防护方案等不同应用场景的解决方案。可以基于企业级大数据分析平台以及机器学习数据实体识别算法，提供符合 ISO PIPII 标准以及金融、政府、通信行业细分标准的敏感数据实体识别与分类分级能力。五、成功案例：客户所属行业：金融行业客户需求：在金融数字化快速发展的背景下，传统的金融服务模式已经不能匹配最新的数字化需求，在 线化、智能化、场景化等数字金融生态变得随处可见；金融科技的创新发展也给金融行业的 数据安全带来了不可想象的压力。从金融生态开放的角度看，金融数据的交互、传输、共享 等往往有多方参与，涉及到品牌方、渠道商、供应商等多个主体，由此使得数据泄露风险点 激增，风

134、险环境愈发复杂。解决问题：针对该银行客户的需求，经过业务深入理解和调研讨论，星阑科技建立了 API安全管理体系，形成 API 全生命周期模型，在各个位点植入安全能力，从而全面提升整体 API 安全水位，围绕 API 的“设计、开发、运行、下线”等不同阶段建立 API 全生命周期安全技术能力，同时建立 API 安全生产管理制度与流程加以管控。六、适用行业：政府、金融、互联网、教育、医疗118七、联系人姓名及职位姓名：郝明职位：市场总监联系方式：八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：在企业数字化转型过程中，随着 API 资产增加与数据安全合规要

135、求的日趋成熟，企业安全建设的难点已经由关注资产、漏洞转为关注应用、业务。星阑科技作为国内首批专注于 API 安全领域的厂商，依托深入的攻防能力和数据智能，为企业提供 API 资产管理、API 威胁监测、API 数据安全的一体化解决方案。该方案已在金融、运营商、互联网、政府等数十个大型企业得到验证。未来我们将持续深耕安全技术，赋能更多企业完成数字化安全建设。星阑科技 CTO 徐越120亿格云一、公司名称：杭州亿格云科技有限公司二、公司 logo：三、零信任产品名称：亿格云枢四、产品特点及优势：特点：亿格云自主研发的零信任 SASE 产品亿格云枢，通过构建一朵集中管控安全的“云”、一张全球办公加速

136、的“网”和一个安全能力合一的“端”，形成云网端融合的云原生安全体系，以 SaaS 化的服务提供零信任安全访问121（ZTNA）、数据防泄漏（XDLP）、威胁检测响应（XDR）、防病毒、上网行为管理、桌面管理等安全能力，从而为企业提供办公安全一体化解决方案。优势：基于阿里云、腾讯云、AWS、GCP 构建全球多云多活的亿格云枢平台，通过SASE(Secure Access Service Edge)的全新架构，以身份为中心将原本不安全的广域网和碎片化的安全能力融合，打破了企业需要部署 10 多个办公安全 产品且安全产品间烟囱化的现状，为企业带来如下收益：1)对企业网络架构 0 入侵和现有应用 0

137、改造，即可收敛互联网暴露面，快 速落地零信任安全访问，用基于身份、持续验证的动态访问控制能力建立企业安全新边界；2)让企业客户能够统一管控办公网的网络和安全策略；3)无论在总部、分支，还是居家、移动办公，都具备全场景一致的高安全水位；4)SaaS 化部署带来的 15 分钟完成启用的极致高效；5)借助全球加速网络改善移动和远程办公的网络质量，通过轻量化、稳定、安全功能合一的客户端，以少量的资源占用实现极佳的网络和终端用户体验。五、成功案例：客户介绍122浙江吉利控股集团，现资产总值超 5100 亿元，员工总数超过 12 万人，连续十一年进入财富世界 500 强（2022 年排名 229 位），是

138、全球汽车品牌组合价值排名前十中唯一的中国汽车集团。旗下吉利、领克、极氪、几何、沃尔沃、极星、路特斯、英伦电动汽车、远程新能源商用车、雷达新能源汽车、曹操出行等围绕各自品牌定位，积极参与市场竞争。客户需求-总部和分支（基地）安全水位不一致，各分支访问总部安全风险高。-安全产品碎片化，多端防护体验差-远程办公数据安全风险高-自行落地零信任体系难度高落地实践效果/亿格云方案-混合部署架构实现全球一张网，全场景一致的高安全水位分支使用私有化 POP 节点，出差场景租用亿格云 POP 节点，不改变吉利原有网络架构，快速构建覆盖全球的应用访问网络，解决原先传统办公安全体系无法覆盖小型分支（直营门店）的问题

139、，使得各分支及远程办公场景都能保持和总部一样的高安全水位。-多端融合，一体化安全防护员工体验提升集零信任安全访问、数据防泄漏、威胁检测响应、防病毒、基线合规检查等终端123安全功能于一体，轻量运行占用资源少，提升员工办公体验。-零信任访问模式，助力随时随地安全办公可根据员工所在网络环境、身份、设备归属（公司设备还是 BYOD）、设备安全性、访问时间等维度实时动态调整访问控制策略。结合敏感数据的发现、阻断、审计、追溯的一体化方案，降低数据安全风险。-SDK 集成用户无感知，帮助企业快速落地零信任架构将亿格云枢 Agent 的能力以 SDK 方式集成到吉利自身的软件易连，实现用户无感知的能力集成，

140、帮助管理员减少推端的阻力和工作量，快速落地零信任安全架构。六、适用行业：泛互联网、智能制造、汽车、游戏、零售、金融七、联系人姓名及职位姓名：王璐瑶职位：市场品牌124联系方式：八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：零信任作为发展十余年的网络安全理念，能够帮助企业更好搭建内部的办公安全体系，借助 SASE 的安全架构，将改变目前网络安全产品中以软硬件结合来进行销售的模式，解决安全碎片化的问题。真正实现安全融合。伴随着云化在我国企业的普及，云化阶段的不断演进，以零信任理念为中心的 SASE 架构在我国的接受度也会越来越高，而它所带来的多级容灾负

141、载、弹性扩容等优势，实现降本增效的同时，也会实现极简轻量、高效便捷的一体化的安全部署。亿格云 CEO 葛岱斌126易安联一、公司名称：江苏易安联网络技术有限公司二、公司 logo：三、零信任产品名称：EnSDP 零信任安界防护平台EnBox 零信任安全工作空间四、产品特点及优势：127EnSDP 零信任安界防护平台：特点：基于零信任安全基本理论，依据软件定义边界(SDP)标准规范，通过安枢(EnsBrain)，安界(EnsGateWay)，安众(EnsClient)三大功能组件，实现云-管-端一体化应用访问安全保护，保障组织账户、应用、数据传输的安全。128优势：1）可信设备注册-用户只能通过

142、注册过的设备访问系统和资源。2）灵活的策略编排-强大的 ABAC 可以基于数据各个维度快速定制出策略。3）全流量管控-能管控客户端的全流量，并针对这些不同特征的流量进行不同的策略配置。4）智能网关选择-依据算法选择最合适的网关代理流量。5）应用访问信用等级配置-设置对不同应用的访问需要的信用等级。6）第三方安全能力集成-开放接口对接第三方，提供更多的端管控能力。7）端到端数据安全-安全沙箱。8）异常行为智能检测-异常行为智能检测，并能和第三方做联动。129EnBox 零信任安全工作空间：特点：EnBox 为安全工作空间、实体物理终端、应用业务系统之间的交互提供统一的安全访问策略控制和生命周期管

143、理，打造集终端环境安全、数据防控安全、数据交互安全于一体的安全办公新模式。优势：1）权限管控：与 SDP 深度融合，针对不同身份划分不同颗粒度的空间。2）安全隔离：个人空间和工作空间做到文件加密隔离，网络隔离，合法流量的加密传输，事后审计。3）多桌面形态：不同空间映射不同操作桌面，方便用户更清晰划分办公域和私人域。130五、成功案例：某省级运营商零信任应用实践案例：为了增强运营商网络安全能力，有效识别各类安全威胁风险，减少信息安全事件，基于 DCN 网的零信任信息安全转型迫在眉睫。该案例项目中，通过引入移动现网中的 4A、智能分析系统和大数据平台，一方面强化了零信任体系和现有网络安全业务的结合

144、；另一方面也为零信任访问控制未来的自适应策略优化奠定了基础，让更多的业务部门参与进来，有助于构建闭环运营管理。某汽车企业零信任应用实践案例：某车企原有 VPN 并发数量不足，无法弹性升级，需要更换高性能设备，且复杂的员工远程办公场所环境，存在不可控的安全风险，缺乏基于用户行为的风险评估和联动，不能动态调整访问权限。易安联为其基于零信任 SDP 架构，提供统一接入入口，构建端到端的安全访问新模式。提供了高强度的身份标识，满足了身份真实性需求，即通过标识和鉴别主体的身份，防止身份的冒用和伪造；收敛互联网暴露面，实现了“业务隐藏”，满足了远程业务开展的安全需求；实现应用“零信任化”，简单运维，降低移

145、动远程办公安全成本；稳定畅联，有效规避公司安全风险。六、适用行业：教育、运营商、金融、制造、政府、互联网、能源、物联网等行业七、联系人姓名及职位姓名：邱平南职位：销售总监131联系方式：八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：零信任未来会成为各行各业在数字化道路上的一个基础安全设施，传统访问控制类（网关类）安全产品都需要用零信任理念重新做一遍。所有的甲方在选择零信任时，要从过去的概念、理论升级到关注服务商实施过多少零信任项目，要从过去关注控制器、网关，到更多的关注端的能力、稳定性和端提供的动态权限管控的基本要素，因为零信任会从身份、设备（端）

146、走向应用，最终实现应用的零信任化。易安联创始人、董事长兼总经理 杨正权132云山雾隐一、公司名称：成都云山雾隐科技有限公司二、公司 logo：三、零信任产品名称：端隐零信任安全产品：端隐终端安全准入系统端隐统一身份认证系统端隐运维安全管理系统端隐可信应用网关系统四、产品特点及优势：特点：133端隐零信任以“5+4+N”为理念，形成以零信任智能安全引擎为核心的可感知安全终端、全流程通信加密、可信任持续认证、零信任动态授权、无边界资源访问 5 大安全能力，为企业访问核心资源的客户终端层、网络链路层、存储计算层、资源应用层提供 4 层立体化、全流程持续 N 重验证的安全体系。实现安全大脑的异常自动感

147、知、策略自主生成以及秒级安全响应，全方位提升企业网络安全能力及安全管理效率。优势：1）自主研发网络协议智能选择最大路由路径，提供个性化加速策略，大幅改善延迟、丢包等情况；通过对 OSI 模型的四层优化，有效提升跨国场景的网络传输速度。2）完全知识产权的零信任智能安全引擎对用户身份及行为的多维度持续监测，根据多年全球网络行为数据回归的自适应安全模型，自动下发安全策略，进行持续动态的智能安全验证。3）自主研发多层加密算法可根据需求配置国密 SM1-SM4 加密算法，同时通过协议拟态技术避免流量分析破解、多层加密，为数据传输叠加多层保护。4）项目核心不依赖第三方库项目内核心无第三方开源代码，规避潜在

148、安全风险，确保核心部分安全可控。134五、成功案例：客户一：成都时域半导体有限公司1.客户简介：成都时域半导体有限公司成立于 2021 年，总部位于四川省成都市高新技术产业开发区，并在上海、荷兰设立公司分部。公司专注于模拟前端芯片解决方案，致力于研发国产替代难度较大的高性能模拟芯片产品，并持续为工业级客户提供创新的芯片解决方案。2.所属行业：科技行业3.客户需求：由于企业产品及业务的特殊性，成都时域半导体有限公司对成都-上海-荷兰三个分部业务应用之间的访问连续性、安全性、稳定性有着极高的要求，具体表现为：跨地域/跨国远程访问需求，目前延迟大且稳定性差，导致办公效率低；大频率跨国 RDP 的连接

149、方式，导致安全威胁及网络攻击面大幅增加；企业内部复杂的产品开发环境，导致安全管理与运维工作难度较大。4.解决方案：135（部署示意图）成都时域半导体有限公司采用端隐零信任远程办公解决方案，通过部署端隐访问端、端隐可信应用网关系统、端隐零信任智能安全引擎，为跨地域企业员工构建起统一访问中心，利用自研 UNP 网络加速及 SPA 单包授权协议，降低远程访问时延、提高远程访问安全及稳定性的同时，为企业应用和服务提供隐身保护，有效保护企业的数据安全。1）部署专线网络加密传输，降低远程访问时延、提高稳定性136通过采用国际专用网络+端隐自研 UNP 网络加速协议的方式，降低了时域跨区/跨国远程访问时延，

150、成功将访问时延从278 毫秒降低到168 毫秒，成功提速 60%，极大提升了办公效率；同时采用了自研多层加密算法，将主流 mTLS 作为第一层防御，自研算法作为第二层，为数据传输叠加多层保护，提高传输稳定性及安全性。2）采用 SPA 单包授权技术，隐藏应用端口、降低安全风险原有的 RDP 远程连接方式，使业务端口长期暴露在网络上，极易受到网络攻击。通过采用端隐可信应用网关代理技术，隐藏资源/应用原始的 IP 地址及端口，减少时域内部资源/应用在网络上的暴露面，最大程度上缩减被扫描攻击的风险。因业务要求不得已暴露的端口，则通过执行 SPA 单包授权协议，在建立连接前直接丢弃所有不属于系统的访问请

151、求及数据包；从而实现端口隐藏、降低安全风险。3）集中管理内部系统资源，提供统一访问入口通过部署端隐访问端，集成时域内部已被授权系统、应用资源、服务器等进行统一集中管理；员工无需四处记录访问地址或重复输入应用账密，即可一站式无感访问企业内部资源。极大地优化了访问体验、提升办公效率，并降低了员工多个137应用系统使用重复弱密码而造成的泄漏风险。4）全面审计员工上网行为，减轻运维管理负担由于时域业务分布成都/上海/荷兰三地的特点，IT 管理员运维管理难度较大。因此采用端隐零信任智能安全引擎全流程记录员工访问行为，以确保精准审计与风险溯源；并以全流程感知为原则，对访问设备进行持续不间断的风险评估分析。

152、一旦发现网络链路、终端环境、敏感操作、异常访问等风险行为，端隐安全控制中心将立即阻断并告警。提升了时域内部安全响应速度，为 IT 管理员减轻了负担。5.方案效果：1）部署快、操作简单：兼容时域已有网络架构，软件部署无硬件依赖，仅耗 3小时即完成部署；系统操作简单，无需培训即可上手。且高兼容性及扩展性强的特点也为时域后续接入更多系统及应用提供了基础的保障；2）办公效率大幅提升：集成内部所有资源应用，提供统一访问入口的同时，解决远程访问时延问题，将访问时延从 278 毫秒降低到 168 毫秒，成功提速 60%；契合时域跨境访问及多方协作场景，极大提升办公及管理效率；3）安全、稳定、快速：端隐内置

153、UNP 协议与 SPA 单包授权技术，为时域提供更安全、更稳定、更快速的网络传输与远程访问服务。138客户二：某市公安局1.所属行业：警务公安2.客户需求：PC 机、移动终端、哑终端、打印机、摄像头、物联网设备等接入终端设备复杂、无法有效管控；信息网、视频专网、互联网多套网络协同办公，网络环境复杂，无法有效防止非法外联，“一机两用”存在巨大的安全隐患；驻外自助终端、社区警务室直连公安网信息网，部分终端无人值守，存在非常大的安全风险。3.解决方案：该案例中通过部署端隐终端安全准入系统，采用外联防护、DPI、终端环境感知、流量感知、准入控制等技术，自动识别接入网络的各类设备资产，以终端身份为验证核

154、心、风险评估为辅助手段，实现终端设备的细粒度网络准入控制，为某市公安局解决了“终端接入不可视、网络权限不可控、安全状态不可知、外联行为不可控”的终端安全问题。1）外联防护：在本案例中，公安信息网存在大量复杂且敏感的数据，若数据泄露将造成重大隐患，并且部分场所需要同时接入公安信息网和互联网；而公安部139明确要求禁止“一机两用”行为，但依旧无法从根源避免此类事件发生。普通外联防护产品仅能做到“先监测，再告警”，但实际外联行为已经发生。端隐终端安全准入系统以“事前阻止”为防范原则，将“事中监控”“事后处置”作为辅助手段，从最底层网络协议上阻断了违规外联行为的发生。2）资产管理：公安信息网承载业务繁

155、杂，需要接入大量终端设备，并且由于终端整体呈现品牌杂、分布广、安全标准不统一、管理难度高等特点，端隐终端安全准入系统通过DPI自动识别、终端环境感知、终端流量感知等技术，实现了全网设备资产管理、网络拓扑可视化、IP资源可视化、细分网域隔离等功能，达到了网络安全状态可知、违规行为可控的效果。4.方案效果：在本案例中，端隐终端安全准入系统在从最底层网络协议阻断违规行为的基础上，做到了将阻断关口最前置，避免误触上报，有效保障了某市公安局专网专机专用的要求，实现了提前阻断非法外联。系统内置实时异常风险告警系统，通过实时异常检查、全网告警通知等帮助机构识别内网安全风险，保障风险处理及时性。同时采用双机热

156、备技术，避免业务因软硬件故障引起的长时间服务中断，保障可提供系统长期、可靠的服务，从而保障了相关部门服务连续性。六、适用行业：140政务警务、金融、医疗、教育、互联网七、联系人姓名及职位姓名：雷洁雅职位：市场经理联系方式：八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语零信任作为目前正在演进中的网络安全最佳实践，现已成为安全圈炙手可热的赛道。未来，我坚信零信任将持续精进、引领下一代网络安全技术的发展。始于零信任、归于企业安，云山雾隐将始终带着这份愿景，与国内外安全厂商携手、共促零信任在国内的蓬勃发展。云山雾隐 CEO 王玮142指掌易一、公司名称：北京

157、指掌易科技有限公司二、公司 logo：三、零信任产品名称：指掌易灵犀SDP 产品四、产品特点及优势：特点：可信认证:对包括用户、设备、网络、时间、位置等多因素的身份信息进行验证，确认身份的可信度和可靠性;动态信任评估:SDP进行持续的自适应风险与信任评估，根据安全等级的要求、网络环境等因素，达到信任和风险的平衡;143最小授权：通过用户身份、终端类型、设备属性、接入方式、接入位置、接入时间来感知用户的访问上下文行为，并动态调整用户信任级别；私有DNS：用户在登录SDP客户端后，通过私有域名访问内网业务系统将从私有DNS中获取业务系统的IP，进而实现业务系统的访问；服务隐藏：接入终端和网关之间建

158、立基于UDP协议的加密隧道，有效减少互联网暴露面；WEB安全防护：针对来自Web应用程序客户端的各类请求进行内容检测和验证，有效防御应用层的XSS攻击、PHP攻击等7层网络攻击；隧道通信安全：高强度的密匙安全、防中间人攻击、防重放攻击；安全可视化：实现对用户访问业务全程的流量可视化，将企业安全策略的执行效果直观表达出来。优势：1、网络完全隐身：无需开放任何 TCP 端口，让企业服务从互联网上“隐身”，不为潜在攻击者提供任何端口扫描和攻击的机会。2、传输性能更高：即用即连，不用不连，SDP 网关不会消耗额外的服务器和网络资源，传输性能比传统 ssl VPN 更高，用户体验更佳。3、快速实施部署：

159、144不对企业现有网络架构产生影响，兼容所有类型的业务应用，支持所有主流类型终端，可快速实施部署。4、一体化的办公安全方案：灵犀 SDP 安全网关可与 MBS 移动业务智能安全平台、灵犀 PC 安全浏览器无缝对接，形成端、管、云一体化的、闭环的办公安全方案。五、成功案例：运营商行业客户零信任 SDP 落地案例案例背景随着数字化转型的推进和疫情的加持，远程办公因其灵活、高效、人性化的办公模式，愈发受到企业青睐。该运营商作为高度信息化建设单位，正积极推进远程办公的开展，以期建设后疫情时代的高效办公模式。目前已通过移动终端协同办公，实现了提高管理效率、节省运营成本等目的，并大幅增加了企业竞争力。然而

160、，在安全与效率兼顾的前提下，要满足如此大的远程办公需求并非易事。远程办公不同于传统的 PC 内网模式，员工使用 BYOD 设备随时随地进行业务访问，不受控的终端设备发起的连接访问等相关过程产生的数据，都是脱离企业管控范围，易发生数据流失或者泄露；同时远程访问短时间大流量的网络接入，传统联网方案既不能稳定承载，也无法安全把关；且随着“网络安全实战攻防演练”行145动的要求，该运营商需将暴露在互联网侧的应用端口进行收敛，以期减少互联网暴露面及提升安全防护能力，从而保障移动应用与核心数据资产的安全。痛点&需求&挑战01 PC/移动终端数据易泄露：远程办公的开展，致使 BYOD（自带设备办公）成为主流

161、，原有安全策略应对乏力，众多移动端和 PC 端的设备及系统、应用无法有效的统一管理，致使运行在各类终端里的企业数据得不到有效防护，易产生数据泄露情况。02 传 VPN 方案无法满足高并发、大流量的网络安全访问需求：传统建设方案中，用户远程访问内网资源多是通过 VPN 技术实现的，VPN设备存在签名验证、弱口令爆破、接口注入等高危漏洞，在日常使用过程中也存在用户体验差、综合成本高、运维复杂、效率不高等问题。并且 VPN采用了开放式的资源访问模式，即“先连接，后认证”，这种模式最大化的将内网资源暴露给攻击者，为攻击者提供了攻击内网资源的路径。03 互联网暴露面过多：移动应用 APP 服务端本身存在

162、天然的互联网暴露面风险。当服务器对移动终端 APP 提供服务的过程中，相应的 IP 和端口，即随时面对来自网络上的嗅探扫描或者渗透爆破攻击等风险。此外，提供互联网服务的服务端，无法满足护网行动、等保 2.0 等相应规范安全要求，需要对此部分弱项进行有效防护。146指掌易方案部署效果针对该运营商客户的安全需求，指掌易团队基于在移动安全和零信任安全领域扎实的技术积累，为该运营商客户制定如下解决方案，针对终端侧的安全需求，可通过数字化安全工作空间平台实现包括数据隔离、数据防泄露等能力；对于远程接入安全需求，则通过指掌易零信任方案，实现接入安全和缩减互联网暴露面等目的。01 建设数字化安全工作空间平台

163、通过建设数字化安全工作空间，在 BYOD 设备上将企业数据和个人数据分离，在无需获取应用源代码，无需改变操作系统底层应用和不侵犯个人数据的情况下，对应用形成一个虚拟安全域。并将域中的数据进行数据防泄露能力，通过策略实现细粒度控制数据访问权限。02 远程访问提供 VPN147使用软件定义边界技术，基于零信任理念，建立安全接入网关，替代传统SSL VPN。对访问主体的身份可信度进行持续评估和动态访问控制，同时实现业务应用服务隐藏和数据安全传输。03 缩减互联网暴露面采用业界领先的零信任安全架构，实现整体安全防护方案。关闭对外业务TCP 端口，将服务器的 IP、端口，包括 API 对外提供的服务等，

164、全部实现网络隐身，不为潜在的攻击者提供任何端口扫描和攻击的机会，让企业服务从互联网上“隐身”。客户收益解决远程办公过程中的安全问题对该运营商员工 BYOD 智能终端及办公应用进行安全赋能，采用合理的安全技术和手段，妥善处理企业信息化与个人隐私的关系，在确保员工个人隐私不受侵犯的前提下，解决了终端数据泄露、互联网暴露面广等安全问题，让远程办公放心进行。降本增效 提升员工使用体验将不同的应用与系统进行统一管理，实现便捷高效的统一应用门户。在不改变员工操作习惯的基础上，实现安全赋能。同时平台还具备强大的拓展148能力，满足远程运维、日志审计等需求，降低企业安全投入成本，简化运维成本，提升业务效率助力

165、客户业务数字化转型。六、适用行业：政府、金融、运营商、高端制造、大型企业、教育、能源、医疗七、联系人姓名及职位姓名：许鹏飞职位：品牌传播经理联系方式：八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：数字经济是一场伟大的社会变革，业务移动化是支撑企业数字化转型的重要手段，指掌易专心致力于针对行业客户的移动业务场景，提供平衡好安全性、易用性、合规性等多重因素的安全技术和服务解决方案，协助行业客户解决好业务推广过程中伴生的应用和数据安全、业务推广效率、监管合规等关键问题，并与终端、应用、安全等领域的伙伴建立和维护良好的生态合作，与伙伴、客户一起成长和发展。

166、北京指掌易科技有限公司副总裁 庞南150中电安科一、公司名称：杭州中电安科现代科技有限公司二、公司 logo：三、零信任产品名称：基于资源测绘和流量图谱的零信任安全平台四、产品特点及优势：特点：“三化六防，挂图作战”；海量数据融合技术；多层次智能安全分析技术优势：结合零信任技术，通过完整收集环境中的安全要素，进行充分及时的动态分析，并与工控防火墙或网络准入设备实现联动，做到软件定义边界和网络环境的完全可信。1、数据可信：实现深度流量协议解析与异常检测1512、基于流量分析的动态资产识别3、面向多类型的网络安全威胁评估4、可信安全评估与决策支撑5、网络安全态势可视化6、多层验证和设备可信五、成功

167、案例：（一）用户名称：某知名汽车制造企业（二）客户需求：随着网络安全边界的消失，传统基于边界的防御模型无法有效应对日益增多的安全风险，零信任理念顺势而生，逐渐成为企业网络安全建设中关注的焦点。网络资产不清、资产管理困难以及可信问题意识不强导致的安全防御无根基等痛点问题是安全行业的“共性顽疾”，工控网络存在着以下几个主要问题：1、数据来源分类：从资产的数据来源来看，工业企业传统的资产台账多以Excel 表格的形式存在，且台账的数据基础来源主要是网络部门/运维部门。资产的种类以网络、运维部门为基础视角，这对于工业控制网络来说，有天然的局限性。2、资产更新自动化：从资产的变更频率来看，传统工控网络管

168、理过程中的资产台账无论是 Excel 形式还是资产管理系统，都需要依靠“人”的主观能动性推动更新，这种更新没有统一标准，周期性难以保证，随着工业互联网、智慧工厂、智能制造等新技术的发展，这个问题会更加突出。1523、设备不可信：从缩小被暴露的攻击面角度来看，传统信息场景管理的资产范畴以主机资产、网络设备为主，工业企业更关注网络内的 PLC、DCS、RTU等资产，资产的范畴不断外延，暴露在潜在攻击者面前的选择越来越多。而这些资产在传统台账中恰恰是完全缺失的，如果仅依靠安全管理员使用传统方式手动发现、完善、补充，必然会有遗漏。因此，面对工控安全环境普遍存在较多安全性问题，结合网络空间资源测绘技术和

169、安全图谱技术，开发基于资源测绘和流量图谱的工业互联网安全平台是构建网络安全体系的重要支撑，是落实“三化六防，挂图作战”的核心要点。在此基础上结合零信任技术，通过完整收集环境中的安全要素，进行充分及时的动态分析，并与工控防火墙或网络准入设备实现联动，做到软件定义边界和网络环境的完全可信。（三）解决方案介绍：平台框架概述：工业互联网重要资源与安全数据资源池是测绘平台和安全分析平台的数据支撑的重中之重，主要包括工控数据的采集、汇聚、集成、预处理、存储、计算、分析等。基于该资源池的海量工控安全数据采集、汇聚、分析的数据服务体系结构，构建工业领域支撑资源泛在连接、在线拓扑、弹性供给、预警预测等的工业安全

170、大数据平台。该平台包括数据采集、数据集成、数据存储、数据分析、算法服务等功能层级，还包括关于数据安全类的管理策略，以及系统维护管理方面的功能结构。整个工业安全大数据平台通过构建精准、实时、高效、全面的数据采集体系，建设存储、集成、访问、分析、安全、管理、联动防护功能的使能平台，153基于零信任理念借助动态验证策略，实时检测网络资产的可信状态，基于资产可信度进行安全防护联动，维护网络环境的安全可信。工业安全大数据平台框架如图所示。技术特点：海量数据融合技术数据安全可信按信息抽象程度的高低，可将数据融合从低到高分为三个层次：数据级融合、特征级融合与决策级融合。数据级融合是对采集的、未经处理的数据进

171、行综合分析；特征级融合是对采集到的原始数据进行预处理，然后对预处理后的数据提取特征信息的一种综合分析和处理过程；决策级融合是对不同类型的传感器进行本地化处理，包括预处理、特征抽取、识别或判决，以建立对所观察目标是否安全的初步结论，然后通过关联过程做出决策层融合，最终获得联合推断结果。决策级融合相比其它两种融合方法，是基于一定的准则和决策可信度做最优决策，具有良好的实时性和容错性。154目前，在大规模网络中，网络安全数据和日志数据由多种类、大量设备或应用系统产生，且这些安全数据和日志数据缺乏统一标准与关联；另外异构安全设备输出的告警事件往往存在很大的冗余，表现在同一安全设备对同一事件的重复告警，

172、不同安全设备对同一事件的告警。因此网络安全管理平台综合分析所有安全要素数据时，要打破传统的单一模式，打破表与表、行与行之间的孤立特性，把数据融合成一个整体，从整体上进行全局的关联分析，对数据整体进行高性能的处理，以互动的形式对数据进行多维度的裁剪和可视化。动态验证多层次智能安全分析技术随着信息化的发展，网络安全形势越来越严峻，网络攻击的形式多样，有显式的破坏性行为，如 DDoS 攻击、暴力破解等；也有针对特定政府或企业的高级持续性威胁（Advanced Persistent Threat,APT），发动 APT 攻击的黑客或组织不为短时间获利，而是把被控主机或系统当成跳板，持续隐蔽攻击，攻击周

173、期可以持续长达数年。不断演化的攻击手段也使得传统防御系统效果越来越差。针对复杂的网络安全环境，重要网络资源拓扑复现与安全分析系统应提供多层次的安全事件分析技术。对于已知安全风险，通过对安全事件的分析，在系统内置多种安全分析场景规则，也可以通过可视化方法编辑关联规则，关联分析引擎实时分析采集的安全日志和流量元数据，结合各类情境数据，动态验证，及时发现已知的攻击和威胁；针对未知威胁，平台采用基于机器学习的异常行为检测方法，从海量日志和流量元数据中选择属性特征进行学习，构建实体的行为基线模型，通过实际值与预测值的偏差分析识别异常行为，并通过对置信度的进一步计算，超出置信度阈值的将被判断为安全事件；针

174、对攻击链行为，采取深度分析技术，探索整个攻击链过程中的不同阶段的攻击，构建攻击行为链和影响性分析，155进行访问控制管理。主要能力：1、数据可信：实现深度流量协议解析与异常检测传统的实时检测与防御不能胜任工控系统中威胁或异常行为的甄别。深度流量协议解析与关键事件识别技术是在传统数据包检测技术之上增加了对应用层数据的应用协议识别，数据包内容检测与深度解码。另外，因保密等原因，工控系统采用私有协议进行设备间通信是常见现象，基于开放协议的协议解析技术无法满足需求，这种情况下，通过对协议签名、字段、数据位的自定义，采用快速包获取与匹配，可实现对私有协议的解析。基于深度流量解析技术实现工业环境的安全基线

175、建模，再通过安全基线标识一切非法的、异常的数据传输，进而联动安全防护设备及时进行数据拦截和防护，实现数据可信。2、基于流量分析的动态资产识别工控资产是工控系统的核心关键设备，是工控网络安全的基础。对于绝大部分企业的安全团队而言，全面掌握工控资产的安全截面，因工控系统的特殊性，几乎是一项不可能完美完成的工作。为实现对工控设备的信息收集，可通过主动探测和被动流量分析两种方法。主动扫描探测通过自动化扫描的方式对资产进行快速检索获取，综合运用多种手段（主机存活探测、智能端口检测、操作系统指纹识别等）全面、快速、准确的发现被扫描网络中的存活主机，准确识别其属性，包括主机名称、设备类型、端口情况、操作系统

176、以及开放的服务等等。被动流量监测通过流量镜像及多端口镜像流量汇聚，通过深度包检测技术实现 OSI 模型中链路、网络、传输、应用层的流量分析，识别 OSI 27 层协议，实现资产的156自动化发现；通过资产指纹与指纹库自动比对，可自动识别设备制造商、设备型号、软件版本等。3、面向多类型的网络安全威胁评估从流量、域名、报文和恶意代码等多元数据入手，有效处理来自探针、终端的威胁数据，分解不同类型数据中潜藏的异常行为，对流量、域名、报文和恶意代码等安全元素进行多层次的检测。通过结合聚类分析、关联分析和序列模式分析等大数据分析方法对发现的恶意代码、域名信息等威胁项进行跟踪分析。利用相关图等相关性方法检测

177、并扩建威胁列表，对网络异常行为、已知攻击手段、组合攻击手段、未知漏洞攻击和未知代码攻击等多种类型的网络安全威胁数据进行统计建模与评估。只有通过网络安全威胁评估完成从数据到信息、从信息到网络安全威胁情报的完整转化过程，网络安全态势感知平台才能做到对攻击行为、网络系统异常等的及时发现与检测,实现全貌还原攻击事件、攻击者意图，客观评估攻击投入和防护效能，为威胁溯源提供必要的线索支撑。4、可信安全评估与决策支撑网络安全评估与决策支撑技术需要以网络安全事件监测为驱动，以安全威胁线索为牵引，对网络空间安全相关信息进行汇聚融合，将多个安全事件联系在一起进行综合评估与决策支撑,实现对整体网络安全状况的判定。对

178、安全事件尤其是对网络空间安全相关信息进行汇聚融合后所形成针对人、物、地、事和关系的多维安全事件知识图谱，是网络安全态势评估分析的关键。网络安全态势评估与决策支撑技术从“人”的角度评估攻击者的身份、团伙关系、行为和动机意图；从“物”的角度评估其工具手段、网络要素、虚拟资157产和保护目标；从“地”的角度评估其地域、关键部位、活动场所和途径轨迹；从“事”的角度评估攻击事件的相似关系、同源关系。5、网络安全态势可视化网络安全态势可视化的目的是生成网络安全综合态势图,使网络安全态势感知平台的分析处理数据可视化、态势可视化。网络安全态势可视化是一个层层递进的过程,包括数据转化、图像映射、视图变换 3 个

179、部分。数据转化是把分析处理后的数据映射为数据表,将数据的相关性以关系表的形式存储；图像映射是把数据表转换为对应图像的结构和图像属性；视图变换是通过坐标位置、缩放比例、图形着色等方面来创建视图，并可通过调控参数,完成对视图变换的控制。6、多层验证和设备可信通过安全平台对流量数据的深度分析，结合从各类安全设备、网络设备、业务系统等资产中收集到的安全信息，对网络资产进行多维度多层次的安全验证和度量，实现入网设备的动态可信识别，通过软件方式标识网络可信边界。通过与安全防护设备的联动，动态、及时阻止不可信设备的入网，从而维护网络环境的绝对安全。创新点：中电安科自主研发的基于零信任的资源测绘和流量图谱的工

180、业互联网安全平台，在工控安全场景下首次创新性采用基于通讯行为的网络资源测绘和流量图谱技术、软件定义边界技术，实现基于行业特点以及应用特点的可信安全防护，具备先进性，并可在功能界面显示建模情况（模型成熟度）、可调参数，模型透视、模型升级方式等功能指标，可灵活应用于各类工业安全环境。工业协议深度158解析能力目前处于国际领先水平。主要创新点表现在：一是通过分析网内流量数据，凭借资产指纹库以及机器学习实现网内资产测绘；二是通过图形化方式将网络流量行为以画像的方式直观展示，实现可视化管理模式；三是通过对网络流量数据的分析，实现自动分析出网络中的通信节点以及节点之间的通信协议；四是通过对网络全流量数据的

181、分析，绘制通设备间的通信拓扑关系，实现重要资源的通信拓扑复现，行程网络的流量图谱；五是基于网络流量分析绘制的通信拓扑图，实现自动拓扑更新，当通信关系调整时，自动拓扑也会自动调整，无须人工干预。六是在网络中对重要设备间的通信流量进行记录，并对通信协议进行深度解析，至少支持 IEC60870-5-101/104、Modbus TCP/RTU、IEC61850、GOOSE、MMS、SV、S7、Profinet、DNP3、EtherNet/IP、CIP、OPC、OMRON-FINS、DDE 等协议，实现事故追溯与取证。七是基于大数据分析技术实现多重验证，动态度量网络资产和网络数据，实现网络环境的动态可

182、信。（四）用户落地价值：1.项目的先进性：一是身份权限管理：平台的用户行为分析功能，检测恶意内部人员，动态授权，从而识别来自组织内部的威胁，国内领先。159当前企业组织安全管理和运维对外部威胁的问题较为重视，通过边界隔离网关和网络威胁检测设备已预防了大部分已知的攻击和威胁。而往往忽略来自内部的威胁被忽略。针对中国大部分行业客户都是专网和内网的现状，外部威胁和攻击已不是这类组织所面临的主要威胁。根据国外机构调查，85%的数据泄露来自于内部威胁，75%的内部威胁时间没有对外报告出来，53%的企业认为内部威胁的危害要远大于外部威胁。针对以上情况：平台提供了用户行为分析功能，分析用户活动以检测恶意内部

183、人员，通过访问全程的风险评估和行为分析 不断调整用户的访问权限，帮助安全管理人员识别来自组织内部的威胁。平台基于大数据的安全分析技术，通过搜集来自多种数据源的信息安全数据，将用户上下文添加到网络、日志、漏洞和威胁数据中，以更快和更准确地检测攻击。平台用户行为分析和细粒度机器学习算法，为用户创建了正常活动的基线，检测明显的偏差，以发现恶意内部人员和其凭据被网络攻击者破坏的用户。平台应用机器学习来生成用户的风险分数，识别高风险用户，并且对最危险的活动产生告警，从而在不显著增加安全分析人员工作量的情况下提供威胁的早期预警。二是访问控制管理：平台利用安全图谱分析技术来检测识别网络中的异常和攻击，实现图

184、形化的展示，国际先进。工业企业长期面临的问题主要有仿冒身份访问、提权访问、否认访问、窃取数据信息、破坏数据信息或系统完整性、网络攻击等。这些安全问题都涉及到网160络节点之间的关系，都需要先建立网络连接再实施网络入侵或网络攻击。给予上述问题：平台利用知识图谱来检测识别网络中的异常和攻击，并以图形化的方式展示出来。除了异常和攻击检测，结合安全专家的业务知识，把漏洞、攻击、规避方案融入知识图谱，可以为安全问题提供可靠的安全指导，或者直接实施规避方案来阻止攻击或入侵行为。应用效果示意图如下所示：三是协议识别：基于工控协议解析和工控通信特征库，实现协议识别及深度解析，国际先进。平台支持百余种工业协议的

185、深度报文解析，如 IEC60870-5-101/104、Modbus TCP/RTU、IEC61850、S7Comm、S7Comm-Plus、Profinet、DNP3、MMS、EtherNet/IP、CIP、OPC-DA、OPC-UA、OMRON-FINS、DDE 等协议。基于工控协议解析和工控通信特征库，可实现对组态变更、异常操控指令、PLC 程序下装等关键事件进行识别和告警。例如，可通过对 IEC61850 协议簇、161IEC 104 协议等进行深度解析，分析对应场景下的关键操作行为（遥控操作、改定值操作）等。四是动态可信认证：基于多维度多层次的安全大数据分析，实现网络环境中的资产、数

186、据的动态可信验证，并及时联动安全防护设备，积极维护网络的动态可信度，打造零信任网络。2.项目可推广性：网络资产不可信、资产管理困难以及可信意识不强导致的安全防御无根基等痛点问题是安全行业的“共性顽疾”，因此网络空间资源测绘是构建网络安全体系的底层支撑这一理念已经成为业界的共识。落实“三化六防，挂图作战”的核心要点之一就是要做好网络空间资产的测绘工作。某汽车制造企业完成基于零信任的安全平台的建设，针对工业控制现场主机、服务器、网络设备、安全设备等工业资产，通过平台进行多维度的分析。针对被防护资产，综合全部安全要素信息，通过多种数据、分析方法构建动态的多层次、全天候网络安全管理，结合等级保护管理，

187、为构建动态防御模型形成对安全威胁、风险隐患的动态持续管理。在安全管理区进行信息收集和分析，同时对所有安全设备进行集中的管理，实现测绘与监控、远程运维、安全态势感知、统一监管、知识库、安全信息统一维护、工控设备资产安全管理、工控安全监控拓扑等功能。从企业侧获取的网络安全相关告警、资产等信息推送至国家平台，用于实现国家工业互联网安全平台的数据分析。同时，企业侧接收来自国家安全平台的风险预警信息，用于给企业侧提供最新的工业互联网网络安全预警及资讯，在车联网攻防演习过程中取得良好成绩。162平台成功经验已经广泛应用于电力、石油、石化、轨道交通、烟草、煤炭、钢铁及先进制造等行业。已超过 50 家企业成功

188、应用并在网络安全防护方面发挥了重要作用。六、适用行业：电力、石油、石化、轨道交通、烟草、煤炭、钢铁及先进制造等行业七、联系人姓名及职位姓名：赵萌职位：市场经理联系方式：八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：中国式现代化指引着工业互联网的发展之路，要坚持自主可控，明确主攻方向和核心技术突破口，解决中国工业领域“卡脖子”问题。与此同时，伴随数字化、智能化的不断发展，工业领域正在面临新的风险挑战，作为制造业高质量发展的关键支撑，工业互联网安全早已成为产业安全和国家安全的重要基础和保障。近年来，党中央、国务院高度重视“工业互联网安全”问题，多次就工

189、业互联网安全作出重要指示，政策相关部门更是出台相关政策文件。要实现工业高质163量发展，就必须把安全生产问题放在首要位置。“安全生产”是工业高质量发展的重要保障，虽然我国生产安全总体局势持续向好，但近年来，各类事故隐患和网络安全风险依然交织叠加、易发多发，国内外黑客的攻击手段、入侵方式层出不穷，这给整个行业带来了不可估量的损失和影响，使得我们更需要重视工业发展和网络安全的有机结合。特别是工业控制系统，它是工业生产的核心大脑，更是能源、制造、军工等国家命脉行业的重要基础设施，因此工业控制系统的网络安全保障问题至关重要。面对各类网络攻击手段，工业控制网络的安全建设有别于传统信息网络，需要尽可能保证

190、对工业控制系统的最小干扰，做到适度防护，将风险控制在可接受范围内。“零干扰”识别工业网络安全风险，构建“可知可管”工业流量行为图谱，提升可信通讯行为“挂图作战”能力，跟踪于业务实现“深度融合”，才能最大化发挥工控安全防护的能力。工业企业还需不断完善纵深防御体系的建设，配合有效的安全管理制度、安全运维体系、员工安全意识培训，保障企业的工控网络安全。中电安科在工控网络安全领域的拥有丰富的技术积累和实践经验，以“专注工控安全，护航关基民生”为企业使命，作为国内领先的工控网络安全厂商，聚焦工控网络安全产品的自主研发，将安全技术和产品与工业互联网平台、工业自动化系统深度融合，产品涵盖安全审计、边界防护、

191、安全管理、终端防护、云安全五大类二十多条产品线，在电力、军工、轨道交通、石油石化、智能制造等各行业积累了大量经验，行业解决方案获得用户高度认可。并在工控协议深度解析、164工控资产识别、工控流量分析等方面积累了丰富经验和专利技术，与工信部、行业头部企业、自动化企业都有深度合作。与此同时，中电安科拥有工控安全技术研发中心和信创技术研发中心，技术团队人员占比超过 70%，取得相关知识产权 100 余项，其中包括数十项发明专利，承担了工业互联网重要资源测绘及安全分析平台、企业侧安全监测审计平台等国家重大专项，不断迭代新型安全威胁识别模型、新型通信技术，推动公司核心技术不断快速发展。中电安科自成立以来

192、，始终将国家战略作为目标导向，以技术为先、以产品立身、以服务致胜、以产业报国为己任，引领行业方向。未来将继续以“打造国内领先的工业互联网安全企业”为愿景，持续深耕重点行业，提升数据运营能力，不断完善工业互联网“大安全”解决方案。以更加专业的技术实力，更加卓越的产品体系、更加优质的服务能力为用户的工控网络安全保驾护航。共同加快国家网络强国建设的战略目标，为实现中华民族的网络安全之梦而努力奋斗。杭州中电安科现代科技有限公司总经理 赵峰166竹云科技一、公司名称：深圳竹云科技股份有限公司二、公司 logo：三、零信任产品名称：竹云零信任安全服务平台四、产品特点及优势：特点：与竹云统一身份紧密集成，以

193、身份认证为基石为设备赋予数字身份，通过单包授权机制保证终端可信；以 IAM 为基础，构建零信任环境下用户身份认证策略，覆盖单因素、多因素、证书等多种认证方式；同时，通过环境感知、风险检测和信任评估体系，对用户和设备持续验证。167对应用系统安全加固，实现业务安全访问应用安全隐藏，实现应用访问域名和应用主机安全隐身，使得攻击无从下手；流量加密代理，应用流量数据安全加密；业务强制授权，以应用级别建立安全访问连接，只能访问到已授权的业务系统。不暴露企业应用的访问地址和端口，完全隐藏应用服务器，实现应用主机与外网的网络隔离。安全接入网关作为企业应用访问的唯一门户，隐藏应用的真实主机地址和访问域名地址，

194、实现零接触访问，杜绝应用暴露带来的所有安全风险。关键技术单包授权（SPA）杜绝非法用户和终端接入，有效防止各类攻击行为应用级 SDP 通道，保证应用访问数据安全168最小授权和动态授权，实现应用访问的按需授权设置应用虚拟域名，隐藏应用真实访问地址，实现应用隐身通过网络隔离，确保应用只接受安全网关发送的请求，也只向安全网关响应请求增强企业持续安全防护能力用户认证成功并不代表对于该用户的绝对信任和长期信任，对于用户的每一次访问甚至其终端环境都需要实时的检测和评估，并根据评估结果实时调整该用户的信任等级。当用户信任等级下降时，对该用户的权限进行动态的调整，甚至关闭该用户的应用访问权限，以保障应用系统

195、的安全。通过安全接入网关建立设备信任、用户信任、流量信任、应用信任的端到端完整信任链，基于先鉴权（认证&授权）、后连接、再访问的安全防护流程，实现端到端可信访问企业资源。169关键技术软件定义边界（SDP），通过编排技术实现端到端信任链条的建立和持续的信任评估，协同联动不同安全控制系统完成从连接到释放连接全生命周期的安全访问。动态访问控制系统提供基于 IP 和用户黑、白名单策略、基于 WAF 规则和 CC 防护规则的流量防护策略以及基于 ABAC 模型设计的动态授权策略。关键技术建立 WAF 基线规则库，不断丰富 WAF 防护能力基于 ABAC 策略模型，实现可集成的应用访问策略控制，实现多源

196、策略接入优势：符合 SDP（软件定义边界）模型要求：170通过 SAG 产品，应用系统得到隐藏和保护，免受外来安全威胁：SPA 单包授权建立与 SAG 的信任连接实现对用户和设备的身份验证和授权双向加密通信，确保数据传输安全SAG 控制和管理应用访问者与应用系统之间的连接，并隐藏保护保护投资，低成本升级企业安全架构：通过 SDP 控制器可编排能力，实现企业已有安全控制系统的集成和协同工作，包括企业原有 IAM 系统、EPP/EDR 系统、权限控制系统等企业安全架构由传统以网络边界安全升级为零信任安全架构，实现应用级安全防护无应用改造成本：SAG 集群与应用系统网络可达，不影响现有应用系统的部署

197、，无须做任何定制或升级通过统一管理平台完成对受保护应用的定义和访问策略，即可纳入竹云 SAG 的有效保护无网络改造成本：不影响现有网络结构，无需做额外改造，有效降低企业 IT 成本：SAG 集群服务采用旁挂模式，不影响现有网络结构171可信安全控制中心服务与安全接入网关通信可达，部署在数据中心隔离区，不影响现有网络结构能和 VPN 融合支持公有云和私有云混合部署，内外网的应用统一防护，不留安全死角、不改变用户使用习惯。五、成功案例：1、某大型能源集团竹云为集团建立一套以统一身份 IAM 平台为核心基石，融合零信任的持续信任评估和动态访问控制体系。面向能源行业信息化访问安全的应用场景，通过零信任

198、安全防护体系核心组件与零信任体系安全防护生态系统结合，为全集团用户、基础设施和业务应用提供可信接入、持续认证、信任评估及动态访问控制。基于业务应用进行信任评估及访问控制业务场景验证，依托零信任安全代理网关，统一应用服务发布入口，实现资产隐藏，减小资源暴露面；对业务访问进行持续身份校验，最小化访问授权；对访问行为进行可信评估，动态生成控制策略，执行细粒度访问控制。172案例特点：零集成基于集团 IAM 平台进行扩展实现，集团范围内系统已与 IAM 平台完成集成工作，支持应用配置化接入，网关集群与应用系统网络可达，不影响现有应用系统的部署，无须做任何定制或升级，便于快速推广。无网络改造成本可信控制

199、中心（决策引擎、信任评估引擎）与安全接入网关通信可达，支持云化部署，不影响现有网络结构，无需做额外改造，有效降低企业 IT 建设成本。基于 ABAC 的可配置策略规则模型沉淀了基于 ABAC 的策略规则模型，支持“主体、环境、客体、行为”多维度规则属性，支持内外网多因素认证、阻断、放行、IP 黑白名单、用户黑白名单以及消息提醒多种规则，可根据安全和业务需求自由组合配置，实现基于用户、IP、应用、菜单、行为、信任等级等多场景访问控制。173以信任的持续评估驱动动态访问控制通过信任等级的持续评估驱动决策引擎动态调整访问控制策略，实现针对业务访问的动态控制；信任评估涉及的风险计算因子支持风险规则自定

200、义和组合关联评估，可接入多源数据实现风险规则模型和信任评估模型的灵活扩展。2、某建工集团部署情况174图 1 某建工零信任应用案例总体架构设计图集成流程图：图 1 某建工零信任应用案例总体架构设计图175六、适用行业：政府、能源、建筑、地产、汽车等。七、联系人姓名及职位姓名：史晓婧职位：品牌部负责人联系方式：八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：基于现代数字身份的零信任安全，全面覆盖人员、IoT 设备、API 调用、数据等各类对象，建立身份、设备、链路以及应用均可信的动态访问控制体系，为政府、企业等客户数字化转型保驾护航。我们也会再接再厉，持续创新，预祝零信任产业蓬勃发展，行业伙伴好景无限，共创辉煌。深圳竹云科技股份有限公司副总裁兼首席运营官 戴立伟