案例| 聯軟科技UniSDP在證券行業的運用實踐

伴隨著雲計算、移動網際網路、物聯網、5G等新技術的崛起，業務上雲、數據互聯互通等變革，使得企業與政府處理業務的方式發生了顛覆性的轉變。越來越多的企業用戶不在企業內網進行工作，供應商、合作夥伴等也需要從世界各地接入到企業內網中辦公。除此之外，數據中心雲化，將系統與網絡之間的連接打通，使得網絡邊界變得越來越模糊，業務場景越來越複雜。

網際網路帶來便利的同時，也帶來了許多風險。在網際網路下，任何漏洞都會被不法分子捕獲並無限放大，網絡安全威脅態勢愈演愈烈。各行各業的安全團隊都面臨著比以往更加嚴峻的挑戰，大家意識到從前堅固的城堡，已經成「危房」了。

       項目介紹

某證券股份有限公司是一家擁有證券市場業務全牌照的一流券商，在全國60個城市開設了90多家營業網點。由於營業部數量多，每個營業部間距離分散，網絡連接複雜，想要查看公司內部消息，提交報銷等只能通過VPN遠程到公司本部。

業務痛點與需求

（1）VPN遠程訪問時如何分辨合規用戶與可疑用戶？

傳統VPN驗證模式基於用戶帳戶，然而VPN僅僅通過帳戶信息並不能分辨網絡另一端的用戶真實身份。由於VPN的策略過於「粗獷」，一旦用戶的帳號洩露，不法分子便可以通過三層隧道直接連接公司內網，如果內網一臺伺服器受到攻擊，不法分子可對該區域內的其他資料庫伺服器發起橫向攻擊，並且不會受到防火牆的幹擾或檢測，這種攻擊對公司造成的影響是不可預估的。

（2）VPN暴露固定埠，給攻擊者留下「靶心」

攻擊的第一步是偵查，攻擊者通過偵查來確認目標位置。VPN對網際網路暴露固定埠，豈不是給攻擊者留下「靶心」？

（3）公網訪問如何保障安全，抵抗攻擊？

將企業系統放到網際網路、雲上，如何保障企業數據安全，抵禦不法分子掃描攻擊？

（4）內網就是絕對安全的嗎？

據Forrester Research Survey的研究報告顯示，超過60%的安全問題是由內部引起；FortScale的調查報告則顯示，85%的數據洩露是來於內部威脅。所以不能僅從防火牆側嚴防死守，而忽略了內部本身的威脅。

（5）如何解決VPN操作複雜，體驗性差問題？

1.配置複雜，每次變更需要大量的修改配置，通常要配置成百上千條規則，導致不敢做任何變更。

2.體驗性差，頻繁掉線、重連，嚴重影響工作效率。

3.可擴展性差，不支持橫向擴展，價格昂貴。

聯軟UniSDP助力安全加固

2009年「極光行動」席捲全球，而正是由於APT攻擊，使得Google意識到，傳統的VPN技術無法解決未來萬物上雲，互聯互通的問題，他們拋棄對本地內網的絕對信任，開啟了全新的「零信任」概念，從而誕生了BeyondCorp項目。Google將BeyondCorp項目的目標設定為「讓所有Google員工從不受信任的網絡中不接入VPN就能順利工作」。

聯軟UniSDP解決方案就是基於零信任網絡安全理念和軟體定義邊界（SDP）安全模型，實現控制平面和數據平面分離。以零信任理念為基礎、認證授權體系為基石、業務安全為核心，實現安全和業務的統一。聯軟UniSDP通過細粒度的安全訪問控制手段、可視化的策略管理能力與輕量級安全沙箱技術，提供按需、動態的可信訪問。在實現網絡隱身、最小授權的基礎上，保證企業數據安全可控。

通過聯軟UniSDP軟體定義邊界解決方案，可實現大中小型機構遠程辦公、遠程運維、跨安全域辦公、網際網路隨時隨地辦公等應用場景。能夠幫助用戶在多雲環境下，建設統一的安全接入平臺，統一管理，達到真正的安全、高效易用、高擴展。

（1）網絡隱身

聯軟UniSDP從傳統的先訪問後認證模式，改為先認證後訪問。身份驗證未通過前，網關及網關後的服務對外隱身，不畏懼埠掃描等操作。

（2）按需授權

權限細粒度最小化，通過身份、設備、環境、應用進行身份驗證，基於應用授權，訪問所有資源必須要認證、授權、加密。

（3）數據不落地

聯軟UniSDP通過安全沙箱與水印追蹤相結合，將個人數據與企業數據相分離，對企業數據採用高強度加密手段防護。

（4）快速穩定，體驗感極佳

操作簡單，無需用戶手冊，無需操作經驗。

訪問B/S、C/S應用流暢，不改變用戶操作習慣，應用單點登錄無需多次輸入密碼。

（5）支持用戶行為審計

支持用戶操作審計，審計用戶每次認證與訪問操作，做到一切可追溯。

聯軟UniSDP部署架構圖如下：

      聯軟方案實現效果

（1）安全視角

隱藏業務伺服器，實現漏洞屏蔽，防掃描、防攻擊入侵；

實現數據加密傳輸，防止數據在傳輸過程被非法監聽；

實現數據傳輸雙向證書校驗，防止中間人攻擊。

（2）管理視角

統一發布平臺，將移動端與PC端應用快捷發布，無需改造客戶系統；

統一安全接入，兼容安卓與IOS移動終端、兼容Windows終端；

兼容現有新版OA以及舊版OA，兼容H5以及原生應用，實現應用深度整合。

（3）用戶視角

以SDK形式與現有應用深度整合，安全隱藏在業務背後，不改變用戶使用習慣；

為保持良好的用戶體驗，不需要切換或安裝多個軟體，不需要多次登錄，最終實現用戶無感知。

      客戶價值

聯軟UniSDP基於零信任網絡安全理念和軟體定義邊界（SDP）安全模型，實現控制平面和數據平面分類，能夠幫助證券行業客戶帶來以下價值。

（1）統一入口

統一入口降低運維成本，對證券營業廳人員來說，可操作性強，一鍵訪問應用，無需記住密碼，解決了營業廳計算機支撐能力不足的問題。

（2）服務隱藏

將服務隱藏到SDP安全網關後，不在暴露IP、埠，減少攻擊面，增強企業安全性、合規性。

（3）數據防洩密

數據防洩密，數據不落地，解決了移動辦公人員文件洩密的問題。通過SDP安全沙箱，實現個人文件與企業資料相分離，沙箱內數據禁止被非法複製、列印、截屏、外傳，防止各種數據被違規洩露使用；同時，O盤不改變業務流程、不改造應用系統，不影響內部員工間的數據交換。

（4）統一管理

聯軟UniSDP軟體定義邊界解決方案致力於在移動化大潮中，為企業提供統一的移動辦公入口和靈活的應用發布平臺，在 「端、管、雲」三點構築核心能力，通過對網絡、設備、應用、數據的統一管控，為企業移動業務創新提供強勁的動力和堅實的保護。