1、 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 1 1 / 3737 http:/ 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 2 2 / 3737 http:/ 版权声明版权声明 联软科技股份有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其它相关权利均属于联软科技股份有限公司。未经联软科技股份 有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、 备份、修改、传播、翻译成其他语言

2、、将其全部或部分用于商业用途。 免责条款免责条款 本文档仅用于为最终用户提供信息，其内容如有更改，恕不另行通知。 联软科技股份有限公司在编写本文档的时候已尽最大努力保证其内容准确可靠，但深 信服科技股份有限公司不对本文档中的遗漏、不准确或错误导致的损失和损害承担责任。 联系我们联系我们 全国服务热线：400-6288-116 公司电话： 公司传真： 客服 QQ：10028360 / 30090628 客服/意见/反馈/技术支持： 您也可以访问联软科技官方网站： 获得最新技术和产品信息 深圳市联软科技股份有限公司 Leagsoft Techno

3、logies Inc. 3 3 / 3737 http:/ 目录 1 概述 . 5 1.1 零信任产生背景 . 5 1.2 零信任定义 . 6 1.3 零信任设计原则 . 7 1.4 传统安全架构的困境 . 8 1.4.1 传统 VPN 和零信任对比 .10 1.5 产品简介 .11 2 产品架构 .11 3 产品功能 .13 3.1 核心功能介绍 .13 3.1.1 SPA 单包授权 .13 3.1.2 可信接入 .16 3.1.3 接入安全检查 .17 3.1.4 统一登录门户 .18 3.2 特色功能介绍 .19 3.2.1 单网通 .19 3.2.2 多门户 .19 3.2.3 数字水

4、印 .20 4 应用场景 .23 4.1 随时随地安全办公 .23 4.1.1 需求来源 .23 4.1.2 解决方案及价值 .24 4.2 随时随地远程运维 .24 4.2.1 需求来源 .24 4.2.2 解决方案及价值 .25 4.3 分支机构安全访问总部业务 .25 4.3.1 需求来源 .25 4.3.2 解决方案及价值 .26 4.4 安全域间业务访问隔离 .26 4.4.1 需求来源 .26 4.4.2 解决方案及价值 .27 4.5 上级部门访问下级数据中心 .27 4.5.1 需求来源 .27 4.5.2 解决方案及价值 .28 4.6 移动 H5 远程接入 .28 4.6.

5、1 需求来源 .28 4.6.2 解决方案及价值 .29 5 部署实施 .29 5.1 部署实施拓扑 .29 5.1.1 单机部署 .29 5.1.2 负载部署 .30 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 4 4 / 3737 http:/ 6 产品价值 .31 7 公司简介 .31 7.1 从网络准入控制的王者，到零信任安全的领航者 .32 7.2 提供云、边、端一体化全方位网络安全防护.32 7.3 服务网络遍布全国，服务响应迅速高效 .33 7.4 网络安全行业领军地位 .33 7.5 品牌影响力持续攀升，行业生态圈持续构建.33 7.6 荣

6、誉资质 .34 8 零信任未来展望 .35 8.1.1 云计算如何赋能零信任 .35 8.1.2 国产化必要性 .36 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 5 5 / 3737 http:/ 1 概述概述 1.1 零信任产生零信任产生背景背景 对于资源的访问保护，传统方式是划分安全区域，不同的安全区域有不同的安全要求。 在安全区域之间就形成了网络边界， 在网络边界处部署边界安全设备，包括防火墙、IPS、防毒墙、WAF 等，对来自边界外部的各种攻击进行防范，以此构建企业网络安全体系，这种传统方式可称为边界安全理念。在边界安全理念中网络位置决定了信任程

7、度， 在安全区域边界外的用户默认是不可信的 （不安全的） ，没有较多访问权限，边界外用户想要接入边界内的网络需要通过防火墙、VPN 等安全机制；安全区域内的用户默认都是可信的（安全的） ，对边界内用户的操作不再做过多的行为监测，但是这就在每个安全区域内部存在过度信任（认为是安全的，给予的权限过大）的问题。同时由于边界安全设备部署在网络边界上，缺少来自终端侧、资源侧的数据，且相互之间缺乏联动，对威胁的安全分析是不够全面的，因此内部威胁检测和防护能力不足、安全分析覆盖度不够全面成为了边界安全理念固有的软肋。 甚至很多企业只是非常粗粒度的划分了企业内网和外网（互联网） ，这种风险就更为明显。 另外，

8、随着云计算、物联网以及移动办公等新技术新应用的兴起，企业的业务架构和网络环境也随之发生了重大的变化， 这给传统边界安全理念带来了新的挑战。比如云计算技术的普及带来了物理安全边界模糊的挑战，远程办公、多方协同办公等成为常态带来了访问需求复杂性变高和内部资源暴露面扩大的风险，各种设备（BYOD、合作伙伴设备） 、各种人员接入带来了对设备、人员的管理难度和不可控安全因素增加的风险，高级威胁攻击（钓鱼攻击、水坑攻击、0day 漏洞利用等）带来了边界安全防护机制被突破的风险，这些都对传统的边界安全理念和防护手段，如部署边界安全设备、仅简单认证用户身份、静态和粗粒度的访问控制等提出了挑战，亟需有更好的安全

9、防护理念和解决思路。 传统边界安全理念先天能力存在不足， 新技术新应用又带来了全新的安全挑战， 在这样的背景下， 零信任的最早雏形源于 2004 年成立的耶利哥论坛 （Jericho Forum ） ，其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 6 6 / 3737 http:/ 方案，提出要限制基于网络位置的隐式信任；美国国防信息系统局（DISA）为了解决 GIG （全球信息栅格， 是美军信息化作战规划中极其重要且宏大的基础设施）中，如何实时、动态地对网络进行规划和重构的问题，发起了 Blac

10、kCore 项目，将基于边界的安全模型转换为基于单个事物安全性的模型，并提出了 SDP（Software Defined Perimeter）的概念，该概念后来被云安全联盟（Cloud Security Alliance）采纳。2010 年，由著名研究机构 Forrester 的首席分析师John Kindervag 最早提出了零信任（Zero Trust）的概念，并由 Google 在BeyondCorp 项目中率先得到了应用，很好的解决了边界安全理念难以应对的安全问题。 1.2 零信任零信任定义定义 根据 NIST零信任架构标准中的定义：零信任（Zero Trust，ZT）提供了一系列概念

11、和思想，在假定网络环境已经被攻陷的前提下，当执行信息系统和服务中的每次访问请求时，降低其决策准确度的不确定性。零信任架构（ZTA）是一种企业网络安全的规划，它基于零信任理念，围绕其组件关系、工作流规划与访问策略构建而成。 零信任代表了新一代的网络安全防护理念， 并非指某种单一的安全技术或产品， 其目标是为了降低资源访问过程中的安全风险，防止在未经授权情况下的资源访问，其关键是打破信任和网络位置的默认绑定关系。 在零信任理念下，网络位置不再决定访问权限，在访问被允许之前，所有访问主体都需要经过身份认证和授权。身份认证不再仅仅针对用户，还将对终端设备、应用软件等多种身份进行多维度、关联性的识别和认

12、证，并且在访问过程中可以根据需要多次发起身份认证。授权决策不再仅仅基于网络位置、用户角色或属性等传统静态访问控制模型， 而是通过持续的安全监测和信任评估， 进行动态、细粒度的授权。安全监测和信任评估结论是基于尽可能多的数据源计算出来的。 零信任理念的基本假设、基本原则如下： 1、零信任理念的基本假设 内部威胁不可避免； 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 7 7 / 3737 http:/ 从空间上，资源访问的过程中涉及到的所有对象（用户、终端设备、应用、网络、资源等）默认都不信任，其安全不再由网络位置决定； 从时间上，每个对象的安全性是动态变化的

13、（非全时段不变的） 。 2、零信任的基本原则 任何访问主体 （人/设备/应用等） ， 在访问被允许之前， 都必须要经过身份认证和授权，避免过度的信任； 访问主体对资源的访问权限是动态的（非静止不变的） ； 分配访问权限时应遵循最小权限原则； 尽可能减少资源非必要的网络暴露，以减少攻击面； 尽可能确保所有的访问主体、资源、通信链路处于最安全状态； 尽可能多的和及时的获取可能影响授权的所有信息，并根据这些信息进行持续的信任评估和安全响应。 零信任在所有需要对资源访问进行安全防护的场景都可以使用， 但是否采用，应根据企业可接受的安全风险水平和投入综合考虑决定。 1.3 零信任设计原则零信任设计原则

14、零信任网络的设计原则： “零信任架构 “提供了旨在消除在信息系统和服务中实施准确访问决策时的不确定性的一系列概念、思想和组件关系（体系结构） 。为了减少不确定性， “零信任” 在网络认证机制中减少时间延迟的同时更加关注认证、 授权、 以及可信域。访问规则被限制为最小权限。 在 Evan Gilman零信任网络一书中，根据“零信任网络”的创建理念在合理的推测下被描述为建立在以下五个基本断言上： 应该始终假设网络充满威胁。 外部和内部威胁每时每刻都充斥着网络。 不能仅仅依靠网络位置来建立信任关系。 所有设备、用户和网络流量都应该被认证和授权。 访问控制策略应该是动态的基于尽量多的数据源进行计算和评

15、估。 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 8 8 / 3737 http:/ 五个断言简单易懂但又直击要害，由此可以看出， “零信任”的理念已经从边界模型“信任但验证”转换到“从不信任，始终验证”的模式。所以我们在此基础上进一步推理可以总结出在 “零信任架构” 的设计下要遵循的六点基本原则： 所有的数据源和计算服务都被认为是资源。 所有的通信都是安全的，而且安全与网络位置无关。 对单个企业资源的访问的授权是对每次连接的授权。 对资源的访问是通过策略决定的，包括用户身份的状态和要求的系统，可能还包括其他行为属性。 企业要确保所有所属的和相关的系统都在

16、尽可能最安全的状态，并对系统进行监控来确保系统仍然在最安全的状态。 用户认证是动态的，并且在允许访问前严格执行。 1.4 传统传统安全架构的困境安全架构的困境 在传统的 IT 组网中，网络安全需求的落地往往把重心放在以下工作： 1 1，精心设计的网络架构精心设计的网络架构：如：带外管理网段/带内生产网段的严格划分、不同网段之间的严格隔离，严格划分网络区域，不同区域执行不同的安全策略等； 2 2，网络边界处部署专门的边界安全设备网络边界处部署专门的边界安全设备：如 F5、IPS/IDS、防火墙、WAF、DDOS 等， 这些经典的网络安全部署方案， 长期以来起到了较好的安全防护作用。但随着企业网络

17、规模的日益扩大、网络攻击技术的不断发展、云技术/容器化的不断发展，传统安全方案的缺点越来越明显； 3 3，整体防御能力重边界、轻纵深整体防御能力重边界、轻纵深：这种理念通过“边界”来区分“可信”与“不可信” 。但是复杂的网络部署环境造成过长的网络边界，同时云计算、大数据、移动互联、物联网等技术的混搭也导致网络边界越来越模糊，所以边界的界定也越来越困难。黑客一旦突破边界防御，就如同进入无人之境，而在过于强调边界防护的传统安全方案下， 网络边界越来越容易成为实际上的 “马奇诺防线”攻击者往往第一步会利用通过应用薄弱点（0day 或 nday） 、水坑攻击、钓鱼邮件等手段绕过企业重兵部署的防御边界，

18、找到突破点后，通过端口扫描探测更大的 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 9 9 / 3737 http:/ 攻击目标。 4 4，检测能力的局限性检测能力的局限性：传统的类似 IPS、WAF、DDOS 和防病毒这样的防护工具， 基本上都属于对已知固定恶意代码进行特征识别的一种静态分析方法，无法有效应对恶意代码变形、加壳等隐蔽手段，特别是对于针对性很强 APT 攻击更是无能为力。一般情况攻击者可以通过以下两种方法逃逸： 通过编码、异形报文进行逃逸； 通过大流量的攻击报文，超出设备检测能力逃逸。 5 5，审计、权限控制的缺失审计、权限控制的缺失：当攻击

19、者或内部人员以正常业务操作途径，尝试恶意登录、越权下载数据、破坏数据完整性时，现有的“盒子”设备欠缺防护能力。往往 APT 组织会利用社会工程系进行网络攻击，获取“合法权限” ，就可以轻松绕过边界的“盒子” 。对于上述恶意操作，一般采用以下方式进行管控： 确保业务系统对人员的最小授权； 能够通过审计能力，在事中或事后发现侵害行为； 通过动态风控手段，结合一定规则、用户行为特征，实现侵害行为的事前阻断。 6 6，无法满足企业服务上云后的安全需求无法满足企业服务上云后的安全需求：服务上云已经成为越来越多企业的必然选择，公有云、混合云部署场景下，云上服务存在网络界面扁平、攻击面大、服务动态伸缩等特点

20、，传统的防护手段已无法适用。而现有云上的安全组、防火墙策略，则存在配置不灵活等问题。 基于边界的网络安全模型一直是信息安全的主要模型。 它假设用户在企业网络边界内的用户是“受信任的” ，而外部的任何人都是“不受信任的” 。 几十年来，这种观点一直是确定用户/设备可以访问哪些资源的准则。 一旦进入边界内部，用户通常可以广泛访问许多企业资源，这意味着 恶意行为者可以来自网络内部或外部。此外，云计算和远程员工的增加使组织数字资源的保护工作更加复杂，因为存在比以往更多的出入口和数据访问点。在这种情况下，安全人员不得不寻求更加安全的方法以保障企业的网络安全。 深圳市联软科技股份有限公司 Leagsoft

21、 Technologies Inc. 1010 / 3737 http:/ 1.4.1 传统传统 VPN 和零信任对比和零信任对比 1，传统 VPN 安全问题 企业数据安全无法得到保障 对于终端安全状况没有评估，如果终端存在风险，可能影响连接设备 对于安全状况不能做持续性安全评估，SDP 根据持续性安全评估情况决策是否中断连接 2，SDP 访问体验较好 VPN 采用长链接方式，VPN 网关相比 SDP 网关负载较重 VPN 通道本身稳定性影响，存在掉线重连等问题，远程办公体验差 3，SDP 部署灵活 如果用户有多个数据中心，需要每个数据中心（或云平台）部署 VPN，管理员可将每个网络资源部署到

22、一套 SDP 系统中， 在一套系统集中管理所有策略 对比项对比项 VPNVPN SDPSDP 网络安全 1、在网络层将用户的设备连入内网，令企业内网 IT 资源暴露在 VPN 用户和攻击者面前 2、网关暴露，容易受到攻击 1、先认证，再授权的实现方式，对非法用户完全屏蔽，能够阻止所有类型的网络攻击 2、支持 SPA 单包预认证和预授权实现网关隐藏 3、支持文件沙箱，保障个人数据与企业数据隔离 4、基于用户和应用端对端的访问Need-To-Know，确保最小授权控制 态势感知 不支持 支持 访问控制 粗粒度的控制策略 1、基于应用层 IP、端口、访问方式、用户动作等细粒度的控制策略 2、根据用户

23、特征、行为建立信用评分机制，实现动态授权 终端接入检查 不支持 1、支持复杂的接入安全基线检查机制，包括系统补丁、软件应用、操作系统等等 水印 不支持 支持 运维管理 1、人工维护复杂且工作量极重 1、更多的动态策略下发，人工维护工作量少 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 1111 / 3737 http:/ 办公体验 跨网关需要重新认证，使用体验较差 统一工作入口、支持单点登录 1.5 产品产品简介简介 联软软件定义边界系统-P 系列产品（以下简称“P 系列产品” ）是一款基于零信任安全理念，采用最新的软件定义边界架构重塑安全接入的一体机。它致

24、力于为广大政企客户提供一套安全、高效、易用的安全接入解决方案，满足客户简单的远程办公、远程运维、跨安全域访问、分支机构安全访问总部业务、跨安全域访问、上级部门访问下级数据中心等多种业务场景的安全接入需求。 图 1 P 系列产品理念 2 产品架构产品架构 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 1212 / 3737 http:/ 图 2 P 系列产品架构 联软 P 系列是基于零信任安全理念采用 SDP 安全架构实现的一款产品，由 P系列客户端（可选） 、P 系列一体机（包括控制中心与安全网关）组成，其各自职责如下： （1 1）P P 系列系列客户端客户

25、端 P 系列产品支持无客户端纯浏览器接入场景（包括 PC 端和移动端 H5） ； 启用 SPA 服务隐藏后，未经过授权的终端无法与控制中心与网关建立连接； P 系列仅 PC 端支持客户端代理并提供安全接入检查能力， 只有符合安全基线的终端才可通过安全代理访问业务。 为 C/S 型客户端应用、B/S 型 web 应用提供统一的应用访问入口，支持应用级的访问控制； （2 2）P P 系列一体机系列一体机 控制中心 负责身份认证与管理、策略管理、应用发布与授权、信任评估等； 负责通过给网关下发控制命令，控制用户与应用之间的通讯连接； 启用 SPA 服务隐藏后，只有授权的终端才可访问认证界面； 安全网

26、关 负责接收控制中心下发的指令，并控制用户与应用之间的通讯连接； 启用 SPA 服务隐藏后，对业务系统进行隐藏保护，只有授权终端才可通过安全网关代理访问业务。 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 1313 / 3737 http:/ 3 产品功能产品功能 图 3 P 系列产品功能模块 3.1 核心功能介绍核心功能介绍 3.1.1 SPA 单包授权单包授权 SDP 技术最关键的组成部分之一是要求并强制实施“先认证后连接”模型，该模型弥补了 TCP/IP 开放且不安全性质的不足， SDP 通过单包授权 （SPA： Single Packet Autho

27、rization）实现这一点。开启 SPA 后，所有接入到 P 系列服务器的流量，都需经过 SPA 单包授权，只有授权终端才可通过鉴权认证并成功与 P 系列服务器建立通讯，从而实现企业服务隐身。 3.1.1.1 功能价值功能价值 服务隐身： 采用 “先认证后连接” 的技术， 使得 SDP 架构的应用被隐藏在 SDP网关后面，支持被授权的用户才能访问；另外，SDP 组件（控制器、网关）自身也被 SPA 保护，这允许它们被安全地面向互联网部署，确保合法用户可以高效可靠地访问，而未授权用户则看不到这些服务。 缓解 DDoS 攻击： 如果一个 HTTPS 服务暴露在公共互联网而能被攻击， 很少 深圳市

28、联软科技股份有限公司 Leagsoft Technologies Inc. 1414 / 3737 http:/ 的流量就可能使其死机。SPA 使服务只对认证的用户可见，因而所有 DDoS攻击都默认由防火墙丢弃而不是由被保护的服务自己处理。 零日（Zero-day）保护：当一个漏洞被发现时，只有被认证的用户才能够访问受影响的服务，使该漏洞的破坏性显著减小。 缓解对核心资产的扫描探测及非法爬取； 3.1.1.2 技术原理技术原理 联软 P 系列产品采用 CSA 发布SDP 安全架构技术指南中的最优推荐：SPA 通过将所有必要信息集成在单个 UDP 数据包发送。 保活spa包/62202首次认证包

29、/62201客户端内核Net_Filterudp:62201/62202DBSPAudp数据包/62201下发iptables规则(tcp,$client_ip,443)tcp数据包/443(经过AppController转发)登陆成功认证成功UniSSO将设备ID写入数据库用户认证轮询443端口是否打通成功：访问门户失败：重发首次认证包门户登陆/443登陆成功下发策略下发iptables策略(tcp,$controller_ip,62201)通过http下发策略/62201(一体机时下发给本机)策略下发iptables规则(tcp,$client_ip,443)SPA首次认证浏览器登陆门户u

30、dp数据包/62202将客户端IP写入内存内存中查找客户端IP客户端ip存在下发iptables规则(tcp,$client_ip,443)保活机制保活spa包/62201udp数据包/62201查询设备ID是否存在查询结果设备ID存在下发iptables规则(tcp,$client_ip,443)图 4 数据流示意图 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 1515 / 3737 http:/ 3.1.1.3 技术优势技术优势 采用 TCP 方式，会使得 SDP 组件将向所有远程（以及潜在的恶意）用户公开开放 TCP 端口，且 TCP-SPA 的验证

31、是在建立 TCP 连接后、TLS（SSL）隧道连接前，因此任何远程的 IP 地址均可以扫描到该开放的端口，并且与其建立 TCP连接。恶意攻击者可以利用该特点发起 DDOS 攻击，消耗服务器资源，导致正常用户无法访问，且这个漏洞是无法避免的。 相比 TCP 的实现方式，基于 UDP 的 SPA 具备以下优缺点： 优点优点 缺点缺点 1. 系统资源消耗小： UDP 报文头组成小，且面向无连接，对系统资源消耗也更低，更能提高服务器可用性； 2. 通信效率高： UDP 没有状态维护和网络拥塞控制，在现代高速稳定的网络环境，因此通信效率更高，也更具有实时性； 3. 可利用漏洞少： 由于协议本质上的不同，

32、UDP 较 TCP 被攻击者利用的漏洞相对较少； 4. 端口隔离： 将敲门端口和业务端口分开，并利用UDP 缩小服务器对外暴露面，减少开放不必要的 TCP 对外端口，能够有效避免DOS、DDoS、CC 等攻击； 1. 通信不稳定： UDP 面向无连接，在弱网环境下，容易出现丢包，且有些网络防火墙设备对不知名 UDP 端口有限制，无法正常通信； 2. 敲门放大漏洞： 在 SNAT 环境下，只要有一个客户端通过认证，其他机器无需认证即可访问服务器； 在 DNAT 环境下，服务器前有负载设备时，存在同样的敲门放大漏洞； 3. 性能损耗大： 利 用 UDP 敲 门 方 式 ， 需 配 合 iptabl

33、es 进行源地址过滤，高并发情况下，增删防火墙规则对服务器性能消耗大，容易造成性能瓶颈； 针对以上 UDP 方式存在的缺点，联软在涉及 UDP-SPA 场景的真实项目落地过程中已全部解决并调优。通过增加扩展字段，在内核级进行设备标识校验和过滤，很好的解决了 NAT 环境下敲门放大问题、运营商 IP 地址变化问题以及性能优化，并且在多个项目中稳定运行。解决方案如下： 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 1616 / 3737 http:/ 缺点缺点 联软联软解决方案解决方案 1.通信不稳定 针对防火墙设备端口限制问题，在 P 系列服务器部署前，需申请

34、相关设备开放对应端口。 2.敲门放大漏洞 客户端发送自定义 tcp 数据包，服务端直接在内核级进行校验拦截，拒绝未认证和非法访问。 3.iptables 性能损耗大 利用自定义 tcp 数据包，服务器直接在内核级过滤，无需对客户端进行插入/删除 iptables 规则。 3.1.2 可信接入可信接入 在外网访问企业内部应用的过程中，从应用到操作系统协议栈，再到网络传输都需要确保数据传输的安全性。只有经过严格的身份认证，才可在客户端与安全网关之间通过安全隧道进行连接。 安全隧道采用 SSL 加密协议， 对传输中的数据进行加密处理，每个应用都可独享一个安全隧道。从而保证了隧道使用者的合法性以及数据

35、传输过程安全。 3.1.2.1 功能价值功能价值 提供加密隧道，保障数据传输过程中的安全。 3.1.2.2 技术原理技术原理 联软隧道技术采用 L4VPN 四层代理模式，当发起应用访问时，通过 HOOK方式截取应用访问流量，客户端通过可信网关与应用服务器临时建立数据通道，基于指定 IP/端口和 URL 进行细粒度的权限管控， 确保用户在权限范围内访问指定的资源服务。 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 1717 / 3737 http:/ 图 5 隧道技术原理示意图 3.1.2.3 技术优势技术优势 采用传统 L3VPN 技术，在确保数据安全传输过

36、程中，使用长连接导致在复杂网络环境下重传过多，从而影响传输效率。相比传统 L3VPN 及深信服隧道技术，联软具备以下优点： 适应复杂网络环境，传输速度快：采用短连接技术； 管控粒度高，避免越权访问； 除此之外， 深信服隧道连接技术采用 4 层代理模式， 通过终端本地建立终端虚拟网卡方式截取应用访问流量， 客户端通过可信网关与应用服务器临时建立数据通道。采用虚拟网卡截取应用访问流量具有以下缺点： 虚拟网卡安装性问题； 虚拟网卡兼容性问题； 3.1.3 接入安全检查接入安全检查 在客户端发起 SPA 单包认证并与网关建立安全隧道， 身份认证通过后， 若开启接入安全检查，则进行终端安全检查，若不符合

37、接入安全基线，则业务门户登录失败，提示登陆失败原因并提供修复指南，期间所有业务系统不可见。 P 系列产品当前支持如下终端安全检查项： 防病毒软件检查（至少安装任意一款指定的防病毒软件） ； 病毒库更新时间检查； 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 1818 / 3737 http:/ 终端防火墙状态检查； 主机名检查； Guest 来兵账号检查； 弱口令检查； 屏保等待时间及锁屏结束后必须输入密码检查； 共享目标检查； 终端高危端口扫描； 软件配置检查（包括指定非法软件、必须安装软件） ； 对注册表、文件、系统、进程、服务、软件等进行接入安全检查；

38、 3.1.4 统一登录门户统一登录门户 随着企业内部应用越来越多，且应用间相互独立，逻辑上也各不相干，终端用户在进行日常办公时，需要记住大量的业务服务器地址及对应的账号密码，从而造成办公效率低下、用户体验差等负面效果。随着企业的发展，一些应用存在远程办公，移动办公的需求，但这些应用的安全机制各不相同，没有统一的安全策略，对业务系统安全性存在较大的威胁，企业难以统一管控。 联软 P 系列产品为企业提供一个统一的工作平台， 代理企业内网应用，该平台作为企业互联网的入口， 通过这一工作平台， 在保障企业业务安全访问的同时，并享受良好的用户体验。 深圳市联软科技股份有限公司 Leagsoft Tech

39、nologies Inc. 1919 / 3737 http:/ 图 6 统一登录门户效果图 3.2 特色功能介绍特色功能介绍 3.2.1 单网通单网通 针对大多数企业真实存在的业务需求， 即为了保障企业业务服务器数据安全，企业各网间业务服务器需实现逻辑隔离且不可同时访问。联软 P 系列创造性地提出“单网通”概念，并已在多个项目中实现落地转化。该功能价值体现如下： 实现企业各业务网间逻辑隔离； 无需安装多个客户端； 可一键切换网络模式； 满足权限最小化原则； 图 7 单网通效果图 3.2.2 多门户多门户 “多门户”是针对存在多部门层级且各层级都独立维护各自业务，但部分上级管理人员因办公所需等

40、原因， 需拥有下属部门的业务访问权限场景所推出的独创性功能。只有经过授权且拥有多门户访问权限的用户，才可在客户端通过“切 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 2020 / 3737 http:/ 换门户”功能，实现同一时间仅可登录并访问一个业务门户，从而保障不同门户间业务数据的安全。该功能价值体现如下： 保障各部门层级业务门户间业务数据安全； 无需安装多个客户端； 可一键切换业务门户； 满足权限最小化原则； 图 8 多门户效果图 3.2.3 数字水印数字水印 在远程办公环境下，必定会给企业带来业务数据泄露风险。为了提醒员工不要随意外发企业内部数据，

41、且预防当发生数据泄露事故时，需对扩散源头进行追溯。 联软 P 系列支持在业务系统中加载多种数字水印并可禁止截屏， 满足企业在不同业务场景下的需求。 （一）明文水印 P 系列明文水印可根据公司自身要求，自定义明文水印样式，可自定义内容如下： 水印格式： 自定义水印显示内容， 包括日期、 时间、 用户名、 用户全名、IP、MAC、计算机名、计算机全名。支持宏定义； 水印透明度：自定义水印显隐程度； 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 2121 / 3737 http:/ 水印位置：自定义水平起始百分比、垂直起始百分比、宽度百分比、高度百分比； 水印字体

42、：支持宋体、黑体； 字体显示样式：支持从左上到右下、从左到右； 字体颜色：自定义字体颜色； 字体样式：支持斜体、加粗、下划线； 单行模式：支持单行模式、可设置对齐方式； 水印密度：支持设置字体大小、横向水印数量、纵向水印数量； 图 9 明文水印效果图 （二）矢量水印 为了减少数字水印对员工办公的干扰， 联软创新性的将用户信息隐藏于点阵间， 管理员可根据截图的矢量图标信息进行泄密者溯源。同时管理者也可根据企业要求自定义矢量水印样式，可自定义内容如下： 水印透明度； 圆点直径； 矢量水印颜色； 矢量水印图形大小； 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 2

43、222 / 3737 http:/ 图 10 矢量水印效果图 （三）二维码水印 P 系列产品可在业务系统屏幕上加载二维码， 通过手机端扫描二维码即可获取水印中携带的人员信息。 同时管理者也可根据企业要求自定义二维码水印样式，可自定义内容如下： 二维码水印信息：支持 IP、MAC、计算机名、日期、时间、用户名； 水印显示样式：支持基本样式、附加 logo 样式； 二维码颜色； 二维码水印透明度； 二维码水印尺寸； 范围起始坐标点； 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 2323 / 3737 http:/ 图 11 二维码水印效果图 （四）盲水印 为了

44、将水印对屏幕显示干扰降至最小，联软专利盲水印技术在屏幕上实现 0视觉影响，不对屏幕显示进行任何干预处理，仅在用户截屏瞬间对截屏数据加载水印，且水印信息肉眼几近不可见。盲水印支持常用截图工具。 4 应用场景应用场景 4.1 随时随地安全办公随时随地安全办公 4.1.1 需求来源需求来源 伴随着云计算、移动互联网、5G 等新技术的快速崛起，数据互联互通，企业处理业务的方式发生了颠覆性的转变。同时在疫情的催化下，越来越多的企业开启了大规模远程办公新模式。 但是传统的 VPN 不仅技术老化， 不断爆出漏洞，在安全性上让企业胆颤心惊， 而且在对于用户使用和管理员管理的便利性上也备受质疑。 深圳市联软科技

45、股份有限公司 Leagsoft Technologies Inc. 2424 / 3737 http:/ 4.1.2 解决方案及价值解决方案及价值 图 12 远程办公场景示意图 4.2 随时随地远程运维随时随地远程运维 4.2.1 需求来源需求来源 随着信息化建设水平的逐步提升，企业业务系统越来越丰富，但与此同时，面对快速暴涨的运维工作量，企业 IT 运营资源捉襟见肘，为了满足运维需求，大部分企业通过雇佣第三方运维人员通过远程运维方式来缓解运维压力， 同时在疫情的催化下，远程运维方式逐渐被企业广泛运用，但是在远程运维过程中怎样保证接入终端符合要求、怎样保证运维人员不能越权访问、怎样保证数据中心

46、数据不泄露，对企业远程运维都是不容忽视的挑战。 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 2525 / 3737 http:/ 4.2.2 解决解决方案方案及及价值价值 图 13 远程运维场景示意图 4.3 分支机构安全访问总部业务分支机构安全访问总部业务 4.3.1 需求来源需求来源 随着企业规模不断扩大，往往需要在不同地区开设分支机构（如分公司、办事处等） 。考虑到整体信息网的布局和规划，企业往往会选择将核心应用统一放在总部，各分支机构通过网络访问总部应用。采用传统 VPN 方案，存在以下痛点： 攻击面暴露： 业务及 VPN 服务器暴露在公网， 极易

47、遭受网络攻击及系统漏洞利用； 放大用户业务访问权限； 各分支机构需购买 VPN 设备，方案成本较高； 分支机构缺乏专业运维人员； 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 2626 / 3737 http:/ 4.3.2 解决方案及价值解决方案及价值 图 14 分支机构安全访问总部业务场景示意图 4.4 安全域安全域间间业务访问隔离业务访问隔离 4.4.1 需求来源需求来源 企业在进行安全建设时，往往会以业务为中心，对系统进行分区域划分和防护，构建起有效的纵深防护体系。在实际的远程办公项目中，为了最大限度降低企业业务数据泄露风险， 企业往往希望安全厂商实

48、现各安全域间业务服务器的逻辑隔离，且员工不可同时访问不同安全域下的业务服务器。 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 2727 / 3737 http:/ 4.4.2 解决方案及价值解决方案及价值 图 15 安全域间业务访问隔离场景示意图 4.5 上级部门访问下级数据中心上级部门访问下级数据中心 4.5.1 需求来源需求来源 针对国家政务等场景， 政府部门对数据中心的部署是以行政区域为单元的独立单位，即同一级别的行政区域建立同一级别的数据中心，同级数据中心之间不需要互相通讯，它们仅与上级数据中心以及它所属的下级数据中心通讯。为了保障访问过程中的业务数

49、据安全， 企业往往要求管理人员不可同时访问本级和下级业务。 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 2828 / 3737 http:/ 4.5.2 解决方案及价值解决方案及价值 图 16 上级部门访问下级数据中心场景示意图 4.6 移动移动 H H5 5 远程接入远程接入 4.6.1 需求来源需求来源 近年来， 企业微信、 钉钉等移动 OA 应用的兴起， 大量企业将自身的生产/办公信息化业务系统都集成到了相关的移动 OA 应用上方便员工访问使用。由于此类移动 OA 应用并非私有化部署在企业内网，因此需要将集成的企业业务系统的端口映射到公网，使得用户可

50、以通过移动 OA 直接从互联网访问业务，这类发布方式有着较大的安全隐患，容易遭受网络攻击。 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 2929 / 3737 http:/ 4.6.2 解决方案及价值解决方案及价值 图 17 移动 H5 远程接入场景示意图 5 部署部署实施实施 一般情况下，建议 P 系列一体机部署在客户 DMZ 区，其中安全网关、控制器及数据库都集中装在一台服务器上。 5.1 部署实施拓扑部署实施拓扑 5.1.1 单机部署单机部署 图 18 一体机部署拓扑图 需保证一体机能正常访问内网应用服务器资源，网络权限表如下： 源地址源地址 目标地

51、址目标地址 协议协议 端口端口 备注备注 互联网终端 一体机实地址 TCP 443 SDP 门户，互联网映射 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 3030 / 3737 http:/ UDP 62201 单包授权（SPA），互联网映射 5.1.2 负载部署负载部署 图 19 一体机部署拓扑图 需保证一体机能正常访问内网应用服务器资源，网络权限表如下： 源地址源地址 目标地址目标地址 协议协议 端口端口 备注备注 互联网终端 一体机负载地址 TCP 443 SDP 门户，互联网映射 UDP 62201 单包授权（SPA），互联网映射 一体机实地址 一

52、体机负载地址 TCP 8089 资源服务 TCP 443 SDP 隧道代理服务 TCP 9906 Mysql 数据库服务 UDP 62001 单包授权（SPA）服务 一体机负载地址 一体机实地址 TCP 443 SDP 隧道代理服务 UDP 62201 单包授权（SPA 服务） TCP 8089 资源服务 TCP 9906 Mysql 数据库服务 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 3131 / 3737 http:/ 6 产品价值产品价值 7 公司简介公司简介 深圳市联软科技股份有限公司（简称“联软科技” ）创立于 2003 年，专注于企业级网络

53、安全市场，主营业务是为政企客户提供网络安全产品和服务。围绕端点安全、边界安全和云安全，为客户打造了网络准入控制、终端安全管理、数据防泄露、数据安全摆渡、软件定义边界、网络入侵检测、移动端安全管理、云主机安全管理、互联网安全监控 SaaS 平台、网络空间资产测绘、终端检测与响应等产品的综合安全解决方案。 联软深耕金融行业，经过十余年发展，产品已在银行、保险、证券等金融各细分领域得到广泛应用，在端点安全产品在金融领域市场份额居行业前列，并在制造业、运营商、党政军、医疗、能源和交通等行业构建了较强的市场影响力，已服务超过 3000 家高端行业客户。17 年来，联软科技从全球较早的网络准入控制厂商之一

54、，成长为中国企业端点安全领域的领导者、国产自主可控的网络安全新基建领军厂商、 并成为国内率先落地基于 “零信任安全” 产品的 厂商之一。 2019 年，联软科技并购魔方安全，获得了以攻击者视角对全网暴露面进行主动持续监控与管理的能力，正式进入网络攻防领域，致力于以攻防全局视角， 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 3232 / 3737 http:/ 改变现阶段攻防力量不平衡的网络安全环境。 魔方安全在网络空间资产测绘领域、暴露面管理有着丰富的经验， 有利于实现从网络空间资产测绘到资产安全运营平台或者管理平台的升维，从攻击者的视角给用户提供更高价值

55、的方案，并成为联软科技未来新的战略业务增长点。近 5 年来，联软科技营收以超过 50%的平均增速在网络安全行业高速增长，并在 2020 年引入中网投、高新投战略投资，正式成为网络安全“国家队”。 7.1 从网络准入控制的王者，到零信任安全的领航者从网络准入控制的王者，到零信任安全的领航者 联软科技早在 2004 年就开始做网络准入控制，NAC 产品的动态访问控制思想，和零信任的核心思想是一致的。如联软科技 UniEMM 企业移动安全支撑平台的架构采用 APN 网关，强调服务隐身和应用层安全隧道；2019 年联软科技推出 SDP 产品；2020 年推出 UEM 的 ZTNA 零信任网络访问产品和

56、方案。联软科技一直提供领先的数据防泄露、数字水印、多网文件安全传输等方案可以全面融合到新的零信任方案，为企业提供更强大的纵深防御体系。 不断创新研发，注重市场导向，联软科技目前已经在中国银行、光大银行、交通银行等头部客户成功交付众多零信任安全项目；多位专家获得 Forrester 零信任认证(Forrester ZERO TRUST Certification)、CSA 零信任专家认证 CZTP，拥有多位 CSA 种子级别零信任讲师并成立 CSA 官方授权的零信任培训学院，成长为大中华区零信任理念实践的领航者身份。 7.2 提供云、边、端一体化全方位网络安全防护提供云、边、端一体化全方位网络安

57、全防护 在过去的 17 年里，联软科技在业内创造了一系列国内和国际领先的技术和产品，如：网络接入设备快速自动发现与定位技术、旁路式/准旁路式准入控制技术、基于摆渡技术的网间数据交换产品、矢量水印技术、AI 防病毒引擎等。 基于 TDNA 理念，联软科技研发出全新一代企业级安全保护平台 ESPP，是一个集网络准入控制、终端安全管理、杀毒管理、数据防泄密、威胁检测等功能于一体的智能化、自动化的大平台，可覆盖 PC、移动设备、云主机、 工控设备、IoT 设备的安全管控平台， 满足各行业用户的各种场景， 从网络到终端和服务器、 深圳市联软科技股份有限公司 Leagsoft Technologies I

58、nc. 3333 / 3737 http:/ 从桌面 PC 到移动终端、从系统和设备层面的管理到敏感业务数据的防泄露保护等各项需求，通过事前防御、事中监控、事后修复，帮助企业用户建立完整的网络与信息安全的防护体系。 7.3 服务网络遍布全国，服务响应迅速高效服务网络遍布全国，服务响应迅速高效 目前联软科技拥有近 400 人的专业技术研发团队，公司在全国各省市设有20 多家直属分支机构和办事处，建立起 ITIL 标准的国际专业化服务流程，致力于为全国各地用户提供最便捷、 专业快速响应的售前与售后服务， 在深圳、 广州、长沙三地建立了技术研发中心，将“持续研发作为第一生产力” ，真心实意服务用户。

59、 7.4 网络安全行业领军地位网络安全行业领军地位 联软科技产品的稳定性、易用性、先进性均居行业领先地位。公司在银行、金融、制造业、运营商、医疗的市场份额已占据显著的优势。在金融行业，联软科技服务于国家开发银行、中国银行、民生银行、微众银行等各类传统及互联网大型银行，拥有 21 大全国性银行中的 11 家银行客户，10 大保险公司中的 3 家保险公司客户，证券交易所 100%的客户，证券期货行业市场超 70%的客户，是中国证券金融行业终端安全产品的第一品牌；在制造业，联软科技的客户主要集中在高端制造业，客户大多数为全球及中国 500 强企业；在运营商领域，联软科技的客户已涵盖中国三大运营商：

60、中国移动、 中国联通和中国电信； 在医疗行业，联软科技服务客户遍布全国，且大多数为三级甲等医院。 7.5 品牌影响力持续攀升，行业生态圈持续构建品牌影响力持续攀升，行业生态圈持续构建 优良的环境和可靠的激励计划、不断创新开拓的精神，使得联软科技吸引了一批高学识、具有实干精神的人才，高素质、高水准的人才是联软科技在当今激烈的市场中利于不败之位的重要原因。联软科技先后入选国家级高新技术企业、全国信息安全标准化技术委员会成员、CCTV 中国影响力品牌、中国企业级端点 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 3434 / 3737 http:/ 安全市场领导者

61、（Frost & Sullivan） 、IDC 零信任 Innovator、2020 中国网络安全企业 100 强、 2021 年网络安全调研报告-安在大众点评榜第 12 名等。 此外， 联软积极参与行业交流与合作， 于 2020 年成功加入由华为技术有限公司牵头设立的“华为安全商业联盟” ，成为华为技术有限公司认可 的网络安全方案提供商，并与安恒信息、安天、统信软件、阿里云安全、腾讯安全、金山软件等达成战略生态合作，实现更加完整的企业网络与信息安全管控生态。在国产化信息道路上，联软科技已经取得了多项证书与互认报告，端点安全多项技术也已经满足信创版终端安全需求。 在企业数字化转型的浪潮中， 联

62、软科技已成为业内领先的网络安全新基建供应商，拥有数百位一线的安全专家，多项自主知识产权的网络安全产品，未来的联软将帮助更多客户、合作伙伴更好更快地构建其网络安全基础设施的能力，为信息化经济护航，共同构建可控的互联世界! 7.6 荣誉资质荣誉资质 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 3535 / 3737 http:/ 8 零信任未来零信任未来展望展望 不管是在国内还是国外，零信任都将是未来网络安全发展的新方向。尤其是在当前新形势下， 零信任愈发被政府部门和业界所关注。 相较于传统的防护手段，零信任这种网络安全的新理念新架构更有优势。伴随着 5G 网

63、络、大数据中心、工业互联网等新基建的加速推进， 零信任结合国内实际应用场景的落地发展也将走上快车道。 结合总结业内实践，在不断丰富我国零信任理念和架构 的同时，制定出一套完整的零信任技术和测试标准，从而为行业发展扫清障碍，成为下一步亟待解决的问题。零信任的全面落地和产业发展未来可期。 8.1.1 云计算云计算如何赋能零信任如何赋能零信任 云计算的本质是资源池共享，通过云服务弹性的资源分配服务，为企业提供与业务运营相匹配的硬件设施和服务资源，具备基础设施建设成本低、安全能力构建快速、安全运营管理简化等特性。这一先天特性应对非预期、临时的、突发的业务具有显著优势。新技术赋能云计算也将云服务淬炼的更

64、加成熟，云原生的安全能力发展使云基础架构更坚固、 AI 赋能云计算更智慧、 边缘计算使云与用户距离更接近，SD-WAN 让上云更加便捷。新技术让云服务的应用变得更加广泛，成为国家基础建设的重要组成。 疫情如穹庐笼罩四野，居家隔离仍是目前我们应对疫情的最有效方式，业务走出去成为大疫环境下企业新的营运战略，这促使云计算更快速扩张。疫情扩大了企业远程访问的需求，疫情防护常态化让企业加速资产数字化、业务和服务纷纷上云。 新的需求变化导致安全和风险管理也需要一种融合云交付的安全服务来应对安全需求的突变。零信任不再是一个让企业百感陌生的新名词，在企业纷纷规划和构建自己零信任安全网络的同时，正如 Gartn

65、er 的预测The Future of Network Security Is in the Cloud ，安全厂家也开始了云上零信任服务战略的部署。 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 3636 / 3737 http:/ 应用远程访问的业务特性决定零信任网络访问本身就不是一个点或企业内部个体的安全防护，而是基于业务完整性的、与网络域划分无关的立体防御。它通过每个访问连接的可信识别和验证来避免传统网络隧道内默认信任引入的安全风险、业务的访问安全和服务质量。 在现代企业零信任安全构建应用指南报告的调研过程中，发现不少通过部署云服务提供零信任解决方案

66、的厂商，也发现一些使用 SaaS 服务构建自己零信任安全访问网络的企业。根据调研和分析，目前零信任云服务主要有以下几种形式： 基于 CDN 网络构建零信任访问网络服务； 基于 internet 构建端端的安全访问服务； 基于终端沙盒构建端端的安全访问服务； 基于虚拟化桌面构建零信任访问服务。 8.1.2 国产化必要性国产化必要性 近年来，信息安全事件频发，中美对抗成为主旋律，特别是棱镜门事件给不仅给国家信息安全敲响了警钟， 也让各行业深切体会到自己所肩负的国家信息安 深圳市联软科技股份有限公司 Leagsoft Technologies Inc. 3737 / 3737 http:/ 全保护的重要责任。特别是自中央网信办成立以来，国家督促党政军、各关键基础设施行业加大国产自主可控的安全设施建设， 同时鼓励和扶持民族核心技术和产品创新，以保障国家重要信息系统的安全，实现真正的自主可控，避免受制于人。在这种大环境下，联软 SDP 产品积极相应号召，推进产品国产化进程。