1、构建可控的互联世界如果疫情再爆发，我们可以做的更好构建可控的互联世界构建可控的互联世界联软与零信任网络访问联软与零信任网络访问2004网络访问控制（NAC）架构2004Jericho Forum去网络边界化，限制基于网络的隐式授权2010Forrester提出“Zero Trust”概念2014Google发布“BeyondCorp”2017OReily出版2019NIST SP 800-207 Draft2004中国最早的NAC厂商2012基于终端代理的进程级网络访问授权2011基于角色的场景化动态最小授权2013EMM可信接入代理人员、设备、应用分层独立授权2015无口令战略PC 移动智能

2、设备联动2017基于零信任架构的SDP产品2019UEM统一端点管理战略2020华为、安恒零信任生态SDP+UEM的软件定义访问战略美国国家标准与技术研究院发布SP800-207:Zero Trust Architecture草案第二版本。2020年：年：构建可控的互联世界构建可控的互联世界联软一直致力于推动零信任的发展联软一直致力于推动零信任的发展今年，CSA大中华区率先在国内推出零信任专家认证CZTP，CZTP是零信任领域首个面向个人的安全认证。官方授予联软：种子讲师种子讲师 一名，认证讲师认证讲师 两名。入选CCSIP 2020中国网络安全产业全景图标准的制定与赋能标准的制定与赋能大量客

3、户实践大量客户实践构建可控的互联世界构建可控的互联世界NIST NCCoE 实现零信任架构实现零信任架构草案版草案版（2020年年3月发布）月发布）NIST NCCoE 实现零信任架构实现零信任架构正式版正式版（2020年年10月发布）月发布）零信任最新变化：从理念走向落地零信任最新变化：从理念走向落地构建可控的互联世界构建可控的互联世界零信任主要落地方向与产品零信任主要落地方向与产品构建可控的互联世界SDP 与与 零信任零信任Gartner：ZTNA=SDPNIST：SDP作为ZTA推荐实现方案CSA：SDP是零信任的最高级实现方案构建可控的互联世界构建可控的互联世界技术层面 代理程序支持哪

4、些操作系统 是否支持SPA 是否集成UEM，对设备进行安全状态评估 是否集成UEM作为数据采集，集成UEBA进行上下文分析，进行持续信任评估以上来自Gartner 2020 ZTNA市场指南ROI层面 是否可以解决已存在的安全现实问题和发现未知的安全威胁？是否可以在未来一定时间范围为信息化系统的发展持续提供安全保障？是否可以顺畅对接现有安全投资，在此基础上还需要多大的持续安全投入？是否可以满足上级机构和国家对于信息化系统的安全检查要求？实施层面整体规划、分步建设、逐步验证 以终为始确定愿景 根据业务重要程度及风险影响进行优先级排序 优先在新场景中验证零信任架构增强 现有的NAC/EPP/AV/

5、EDR/SIEM/威胁情报等安全建设对零信任起到增强的作用 要充分考虑集成和融合以上来自中国信通院企业评估企业评估ZTNA（SDP）从哪些方面来考虑）从哪些方面来考虑构建可控的互联世界构建可控的互联世界联软联软SDP产品架构产品架构加密隧道加密隧道控制平面控制平面数据平面数据平面安全分析引擎安全分析引擎身份管理与身份管理与 访问控制访问控制信任评估引擎信任评估引擎UEM可信API代理个人个人/企业设备企业设备业务访问业务访问CRMOA邮件业务C业务B业务A私有云私有云公有云公有云数据中心数据中心外部应用外部应用接口调用接口调用个人计算环境多域安全沙箱本地磁盘多域安全沙箱可信接入代理UEBA威胁

6、情报威胁情报SIEMIAM态势感知态势感知 资产管理资产管理安全应用安全应用个人应用个人应用可信接入代理SPA1计算环境物理环境威胁环 境 感 知环 境 感 知全面身份化全面身份化基线行为持续信任评估持续信任评估基线应用设备人员234 数据安全组件 端点安全组件 安全分析组件 身份与访问管理组件构建可控的互联世界SPA SPA合法报文1非法终端非法终端SPA验证通过控制器开放TCP端口控制器不做回应安全分析引擎安全分析引擎身份管理与身份管理与访问控制访问控制信任评估引擎信任评估引擎UEM个人计算环境安全计算环境本地磁盘安全计算环境默认不相信任何连接，对核心资产进行隐藏：满足最小授权缓解对核心资

7、产的扫描探测缓解DDos攻击缓解漏洞利用缓解非法爬取价值价值安全应用安全应用个人应用个人应用构建可控的互联世界全面身份化全面身份化SPA身份人员身份人员身份账号密码多因素生物特征员工状态验证正确扫码登录指纹在职设备归属设备os设备标识软件标识BYODWindows硬件ID助手ID证书校验安全版本通过通过设备身份设备身份应用身份应用身份控制平面控制平面数据平面数据平面临时、动态身份标识安全分析引擎安全分析引擎身份管理与身份管理与访问控制访问控制信任评估引擎信任评估引擎UEM构建可控的互联世界环境感知环境感知SPA物理位置曾经登陆登陆时间上海是正常普通环境生产安全环境办公安全环境否是否身份杀毒软件

8、补丁检查AD检查系统镜像未安装未通过否（BYOD不减分）否访问恶意域名是SA ABC信任等级信任等级SAB BC信任等级信任等级物理环境物理环境安全环境安全环境安全基线安全基线安全事件安全事件控制平面控制平面数据平面数据平面安全评分6565环境安全分析引擎安全分析引擎身份管理与身份管理与访问控制访问控制信任评估引擎信任评估引擎UEM一键修复-5-5-5-5-1010立即修复-5-5立即修复-1010构建可控的互联世界动态授权动态授权控制平面控制平面个人计算环境本地磁盘研发沙箱办公沙箱数据平面数据平面数据中心数据中心CRMOA邮件业务C业务B业务A加密隧道加密隧道私有云私有云公有云公有云加密隧道

9、加密隧道可信接入代理可信接入代理业务A业务B业务CCRM邮件B级S级A级A级C级B级授权列表授权列表授权安全分析引擎安全分析引擎身份管理与身份管理与访问控制访问控制信任评估引擎信任评估引擎UEMB信任等级信任等级销销售售身份属性身份属性安全应用安全应用个人应用个人应用SPA身份环境评估构建可控的互联世界持续信任评估持续信任评估SPA设备身份评估环境身份管理身份管理与访问控制与访问控制信任评估引擎信任评估引擎安全基线类威胁检查类行为分析类终端环境检查终端安全检查用户密码爆破端口扫描检测.网络认证异常账号异常威胁分析检测数据采集环境感知持续检测控制平面控制平面数据中心数据中心CRMOA邮件业务C业

10、务B业务A加密隧道加密隧道私有云私有云公有云公有云数据平面数据平面加密隧道加密隧道安全分析引擎安全分析引擎个人计算环境研发沙箱本地磁盘办公沙箱可信接入代理业务A业务B业务CCRM邮件B级S级A级A级C级B级授权列表授权列表B信任等级信任等级销销售售身份属性身份属性C信任等级信任等级销销售售身份属性身份属性S级A级A级C级授权列表授权列表业务A业务B业务CCRM邮件B级B级可信接入代理构建可控的互联世界数据安全：安全融于业务，闭环管理数据安全：安全融于业务，闭环管理安全应用安全应用个人应用个人应用个人计算环境研发沙箱本地磁盘办公沙箱加密隧道加密隧道可信接入代理CRMOA邮件业务C业务B业务A数据

11、平面数据平面可信接入代理研发网研发网办公网办公网可信接入代理加密隧道加密隧道加密隧道加密隧道构建可控的互联世界零信任增强零信任增强全面赋能全面赋能 生态扩展生态扩展CRMOA邮件业务C业务B业务A加密隧道加密隧道私有云私有云公有云公有云控制平面控制平面数据平面数据平面安全分析引擎安全分析引擎身份管理与身份管理与 访问控制访问控制信任评估引擎信任评估引擎UEM外部应用外部应用接口调用接口调用可信API代理个人个人/企业设备企业设备业务访问业务访问数据中心数据中心个人计算环境多域安全沙箱本地磁盘多域安全沙箱可信接入代理UEBA威胁情报威胁情报SIEMIAM态势感知态势感知 资产管理资产管理NACA

12、VEPPDLPEDREMM安全应用安全应用个人应用个人应用可信接入代理构建可控的互联世界疫情尚未结束欧洲多国封城，中国多地依然有疫情上报。远程办公常态化Facebook、Twitter、富士通宣传永久居家办公。成本下降、效率提升、工作时间更长、工作生活平衡企业上云趋势明显构建可控的互联世界零信任实践：从远程办公开始零信任实践：从远程办公开始构建可控的互联世界安全问题更加凸显1、VPN自身安全问题2、无法解决数据安全安全3、多云访问不适合4、2023年60%VPN被SDP替代疫情尚未结束远程办公常态化企业上云趋势明显构建可控的互联世界零信任实践：从远程办公开始零信任实践：从远程办公开始构建可控的

13、互联世界零信任实践：从远程办公开始零信任实践：从远程办公开始远程办公远程办公VPN漏洞VPN端口暴露VPN权限管理粗犷VPN认证架构：先连接后验证01远程运维远程运维多数据中心安全访问特权账号权限管理操作安全管理02多云访问多云访问需要频繁切换VPN登录云安全访问相关问题03构建可控的互联世界构建可控的互联世界个人计算环境安全计算环境本地磁盘安全计算环境远程办公远程办公控制平面控制平面数据平面数据平面A应用流量B应用流量个人计算环境安全计算环境本地磁盘安全计算环境可信接入代理可信接入代理安全分析引擎安全分析引擎身份管理与身份管理与 访问控制访问控制信任评估引擎信任评估引擎UEMUEBA威胁情报

14、威胁情报SIEMIAM态势感知态势感知资产管理资产管理BYODCOPEOACRM邮件业务A业务B 业务C企业现有安全建设 最小授权 安全传输 数据安全安全应用安全应用个人应用个人应用安全应用安全应用个人应用个人应用 业务隐藏企业现有安全建设NACAVEPPDLPEDREMM构建可控的互联世界远程办公（远程办公（SDP+VDI）控制平面控制平面数据平面数据平面VDI桌面桌面VDI桌面桌面VDI桌面桌面可信接入代理可信接入代理可信接入代理可信接入代理家中咖啡店机场用户：张三用户：张三用户：张三用户：张三用户：张三用户：张三用户：张三用户：张三用户：张三UEBA威胁情报威胁情报SIEMIAM态势感知

15、态势感知资产管理资产管理安全分析引擎安全分析引擎身份管理与身份管理与 访问控制访问控制信任评估引擎信任评估引擎UEM 水印 录像 DLP 行为审计 数据摆渡可信接入代理可信接入代理企业现有安全建设VDI数据安全企业现有安全建设NACAVEPPDLPEDREMM可信接入代理可信接入代理可信接入代理可信接入代理可信接入代理可信接入代理构建可控的互联世界成功案例成功案例构建可控的互联世界成功案例成功案例构建可控的互联世界远程运维远程运维控制平面控制平面数据平面数据平面数据中心数据中心运维A运维B运维C安全分析引擎安全分析引擎身份管理与身份管理与 访问控制访问控制信任评估引擎信任评估引擎UEM*可信接

16、入代理可信接入代理可信接入代理可信接入代理可信接入代理可信接入代理*堡垒机堡垒机堡垒机堡垒机堡垒机堡垒机数据中心数据中心数据中心数据中心业务A业务B业务C业务D业务E业务F 特权账号管理 多数据中心访问UEBA威胁情报威胁情报SIEMIAM态势感知态势感知资产管理资产管理企业现有安全建设统一门户企业现有安全建设NACAVEPPDLPEDREMM构建可控的互联世界成功案例成功案例构建可控的互联世界多云多云/数据中心访问数据中心访问控制平面控制平面数据平面数据平面A应用流量B应用流量企业企业非企业网非企业网互联网仅互联网C应用流量个人计算环境安全计算环境本地磁盘安全计算环境个人计算环境安全计算环境

17、本地磁盘安全计算环境企业设备企业设备移动办公移动办公办公区 普通员工权限移动办公移动办公可信接入代理可信接入代理可信接入代理可信接入代理可信接入代理可信接入代理安全分析引擎安全分析引擎身份管理与身份管理与 访问控制访问控制信任评估引擎信任评估引擎UEMUEBA威胁情报威胁情报SIEMIAM态势感知态势感知资产管理资产管理腾讯云阿里云OACRM 业务D业务E构建可控的互联世界BYOD软件定义访问（二期）软件定义访问（二期）控制平面控制平面数据平面数据平面A应用流量B应用流量企业网企业网非企业网非企业网互联网办公区 普通员工权限仅互联网仅互联网安全应用安全应用个人应用个人应用个人计算环境安全计算环

18、境本地磁盘安全计算环境可信接入代理可信接入代理可信接入代理可信接入代理安全分析引擎安全分析引擎身份管理与身份管理与 访问控制访问控制信任评估引擎信任评估引擎UEMUEBA威胁情报威胁情报SIEMIAM态势感知态势感知资产管理资产管理NACNACNAC构建可控的互联世界软件定义访问（未来全景）软件定义访问（未来全景）数据中心数据中心1互联网互联网IoT设备设备华为云华为云PC笔记本笔记本APNBYOD访客设备访客设备企业网络企业网络非非企业企业网络网络IoT服务器服务器智能设备智能设备仅互联网仅互联网BYOD笔记本笔记本智能设备智能设备设备移动设备移动APN阿里云阿里云APN企业企业配发配发BY

19、OD企业设备企业设备BYOD访客访客企业配发企业配发APN数据中心数据中心2远程办公安全运维多云访问APNNACNACNACNAC构建可控的互联世界2004年成立于深圳南山粤海中国首家网络准入控制NAC厂商产品累计管理端点达2,300+万深耕端点安全深耕端点安全16年年从准入控制领导者，到SDP领域的领航者与魔方安全合并，进入互联网安全和攻防领域提供覆盖云、边界、端多场景的平台级网络安全解决方案云云/边界安全边界安全敬天爱人，诚实正直，不懈努力上海品茶上海品茶构建可控的互联世界公司公司愿景愿景中国企业级端点安全市场的领导者中国企业级端点安全市场的领导者构建可控的互联世界三大三大运营商全面覆盖深

20、入合作12 年+服务于中国最顶尖的六大交易所80%证劵期货行业占比超过服务于50+家世界500强，90+家中国500强市场地位市场地位30家家+50,000+点以上点以上大型客户案例超过大型客户案例超过企业级安全开放市场领域内第一领域内第一安全管控终端数量超过15,000,000+金融、电信、制造金融、电信、制造行业EPP市场份额占比国内最高21家全国性银行13家选择联软构建可控的互联世界构建可控的互联世界定位定位产品产品价值价值企业级市场：企业级市场：中国企业级端点安全市场领导者典型客户：典型客户：金融、运营商、制造、政府，及重视网络安全的政企用户端点安全：端点安全：终端检测与响应、防泄密、桌面管理、防病毒、企业移动安全、IoT安全等边界安全：边界安全：网络准入控制、软件定义边界、数据安全摆渡等云云 安安 全：全：云主机安全管理、互联网资产探测、漏洞管理、安全SaaS服务防泄密：防泄密：防范内部人员、外包人员、访客、外部黑客等场景数据泄密防入侵：防入侵：改变攻防不平衡的现状，防范内部越权或外部入侵网络合规与效率：合规与效率：解决安全与效率的平衡，帮助客户满足合规要求等联软核心业务联软核心业务构建可控的互联世界