云山雾隐 端隐SDP

运营商

云山雾隐

背景

电信行业在数据规模、覆盖范围、存储和传输能力,及实时性和多样性方面均具有突出的价值优势。当前,我国电信和互联网行业高速发展,汇聚大量数据,在释放数字经济发展潜力、促进数字经济加快成长的同时,面临严峻的安全风险。

运营商需要让不同门店的工作人员顺利访问权限范围内的业务系统,例如,技术人员远程维护设备所需的系统支持。

面临问题

网络攻击

由于营业厅地理位置分散,运营商通常把某些支撑系统开放在公网上直接访问,某些系统通过VPN来拨网访问,造成攻击面暴露,经常受到来自全球各地黑客的网络爬虫以及黑客的7x24小时的扫描和攻击;

安全防护以及运维难度大

存储数据量级大,业务网络区域分散;

业务系统多,访问人员往往需要多个账户密码在不同业务系统进行切换,为了方便极易设置弱密码,同时验证方式单一,易导致账号劫持;

人员结构复杂:包括员工、装维人员、渠道代理商、外呼人员、施工监理单位等“四方”人员,由于安全意识参差不齐,极易出现弱口令、身份被盗用、滥用权限、越权操作等情况,对统一管理账户与权限分配的要求进一步提升;

人员访问场景多:远程办公、移动办公、总部办公、营业网点办公,传统安全方案无法满足多场景安全办公的需求;

设备安全风险高:人员结构复杂必然导致设备及办公设施无法严格管控,外部攻击访问人员的手机、电脑、平板等终端,再通过VPN通道渗透进入内网,造成严重的安全风险。

缺乏完善的预防体系

数据未分级;

缺乏数据访问控制和权限管理;

数据日志记录和审计措施不足;

安全事件取证、分析、溯源能力不足。

解决方案

随着竞争的加剧,各运营商不断的依赖各个管理系统来提高自己管理水平及服务水平,目前,各管理系统分布广泛,使用人员众多,当拥有权限的人从管理系统上导出数据后,就无法保证数据的安全性。为规避此类风险,端隐SDP集成了下列功能:

身份、认证、授权的集中统一管理

统一多个应用系统的账号、认证、授权体系,实现统一认证;
员工只需一个账号即可访问所需被授权资源,避免重复操作频繁切换,提升效率;
端隐SDP控制台支持统一管理所有访问用户身份、设备、内网应用以及网络设备,一键授权,灵活添加和删除,安全策略秒级下发,终端用户无感无门槛使用。

网络准入控制与强身份认证

统一访问入口,企业专属安全浏览器,集中管控;
支持SSO单点登录及MFA多因素认证,支持扫码、短信、生物识别等多种验证方式;
认证身份包括:账户+密码、可对接企业已有身份系统、IP地址、设备ID、登录时间等;
持续动态监测身份状态,异常即会立即触发二次验证;
实现对网络内部所有的终端以及访问身份接入网络进行准入控制,防止外来设备/人员或者不符合规定的电脑/人员接入网络中,拦截一切非法非正常访问。

终端行为控制

URL级别细粒度按需授权,账户权限一一对应,严格分离,不同员工及合作伙伴有不同的权限,可访问的系统严格限制;
可访问资源由管理员统一配置下发,非授权身份无法访问;
解决员工移动办公的远程需求和解决网络安全风险,替代VPN。

审计监控与安全运维

支持行为监控,提供用户日志、任务日志以及管理员日志,实时审计用户在内网系统的行为,即时阻止高风险行为,实现事前可预防、事中可响应、事后可溯源。

数据内容安全

数据传输:使用SPA单包授权技术以及TLS加密传输,保证数据随时处于加密状态;
数据备份:保障安全管理和审计的可持续运行,保证SDP在任何突发状况下依然稳定运行,持续护航企业安全,安全数据备份 - 保证已配置的安全策略、已记录的行为日志不丢失。

网络安全

网络隐身、最小化攻击面,有效防止外部攻击,保证数据安全与网站业务系统的稳定性;
一次认证后会在访问过程中持续动态监测,动态授信,一旦发现异常即断开访问;
端隐SDP不再采用传统VPN长连接的模式,保证网络安全的前提下,拥有更高速稳定的访问体验;
高并发依然稳定运行,可支撑业务系统多人同时办公。

助力5G安全建设

5G引入了网络切片、SDN/NFV、云计算等技术,使网络边界变得十分模糊,依赖物理边界进行防护的安全机制难以得到应用,端隐SDP基于零信任安全模型以软件定义边界,完全适应业务虚拟化、云化的需求,以软件灵活定义虚拟防护边界为5G安全带来新活力。