可信安全接入平台

目前企业的网络基础设施日益复杂，安全边界逐渐模糊。数字化转型的时代浪潮推动着信息技术的快速演进，云计算、大数据、物联网、移动互联等新兴IT技术为各行各业带来了新的生产力，但同时也给企业网络基础设施带来了极大的复杂性。企业的安全边界正在逐渐瓦解，传统的基于边界的网络安全架构和解决方案难以适应现代企业网络基础设施。

2019年，在工信发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》的意见中， “零信任安全”被列入“着力突破网络安全关键技术”之一。同年，中国信通院发布了《中国网络安全产业白皮书》，报告中指出：“零信任已经从概念走向落地”。国家也首次将零信任安全技术和5G、云安全等并列列为我国网络安全重点细分领域技术。

针对以上背景，联通基于可信安全接入平台，进一步推出兼容信创的可信安全接入平台，基于零信任架构提供端到端的一体化安全能力，实现灵活的身份控制、智能安全分析和动态响应防护机制，打造智慧安全防护体系。

随着虚拟化和容器技术的不断发展，基础架构不断升级演进，资源粒度的细化，边界的概念从内外网分界处到主机边界处，再到容器之间，传统网络安全边界逐渐消失，基于传统的边界安全架构不再可靠已经难以应对如今的网络威胁。

随着云计算的发展，企业业务上云成为常态，混合云模式被广泛采用，异构云、网络、数据中心等需要打通访问。而对于企业来说，打通网络意味着需要付出高昂的专线采购成本，同时，传统边界的ACL规则越来越繁杂且难以维护，而随着企业业务场景和网络架构的不断增加，整体的运维成本也逐步成为主要问题。

传统的安全架构在网络边界部署安全设备来防御边界外部的各种攻击，安全设备与终端、用户、应用、网络之间缺乏联动，没有综合终端风险、用户行为、应用鉴权风险以及网络威胁等进行协同统筹分析，导致威胁分析不够全面，安全管控策略分散。

平台针对访问用户到企业敏感网络的接入过程，分为终端接入区、企业资源区、平台控制区，具体如下：

• 终端接入区：指访问企业敏感网络的用户终端，每个访问用户需要安装平台的客户端，主要提供身份认证和VPN代理功能。客户端支持Window、Mac、Linux、Android四种操作系统。
• 企业资源区：指每个企业资源系统部署所在区域，需要保证至少部署一个零信任网关，支持访问代理业务系统请求，同时网关会执行管理端下方的安全策略，对业务访问严格执行权限管控。
• 平台控制区：由平台的控制器、中继器、管理端组成服务端，其中控制器主要负责统一下发安全策略，中继器负责网络路由连接，管理端则是提供给管理员进行日常操作的管理平台。
  

可信安全接入平台基于零信任安全架构，针对远程办公接入、IT资产安全管控、5G专网安全、安全合规改造等场景，提供端到端安全接入、访问控制、安全防护、安全可视一体化能力。

• 全量资产的统一安全接入：通过多因素身份认证、安全访问代理、业务资产管理，有效减少业务风险暴露面。
• 端到端的全链条安全管控：通过权限策略管控、身份标签、安全日志审计，精准定位威胁终端。
• 终端环境的动态安全监测：通过终端安全沙箱、应用程序管控、数字水印、敏感行为告警，隔离管控数据外泄行为。
• 可视化分析应用：通过接入用户、终端网络接入总览、终端安全分析、访问安全分析，实时把握企业接入安全态势，管控终端安全和访问安全。
  

• 政务单位公务人员访问电子政务外网时缺少必要的安全管控手段。
• 客户为政务行业，需要满足国家密码合规要求。
  

以零信任+超级SIM卡+国密SM9以及整合省统一认证平台、密码服务平台等能力构建安全访问隧道，实现5G接入、身份认证、安全审计一体化安全方案，收缩整体风险暴露面，具备合规性。

客户的安全管控能力得到显著提升，对事件应急溯源更加精准，并符合国密合规改造要求。

5G手机专网方案满足客户不换卡不换号、无感访问内外网、高速安全的需求，整合了联通零信任+国密SM9+超级SIM卡以及省统一认证平台、云密码服务平台等能力，提供灵活的身份控制、智能安全分析和动态响应防护机制，通过建立5G移动手机专用安全访问通道，利用零信任进行动态检验、二次鉴权，实施同步安全态势感知，提供符合密评要求的安全通信通道。