在数字化转型中,数据安全极其重要,不仅因为它关系到企业的自身发展,还因为它涉及更广泛的国家和公民利益。随着企业办公向线上、移动、网络化、智能化发展,传统的数据安全措施已经不适应新的办公模式,需要更新以适应数字化的需求。
企业的数据和应用程序正迅速向云端迁移,现代企业办公越来越依赖于浏览器,它已经从一个简单的网页查看工具变成一个多功能的工作平台。但这也带来了新的安全挑战,如网络钓鱼、恶意软件、隐私泄露等,增加了对浏览器安全管理的需求。
面对这些挑战,企业需要采用新的技术和方法,从源头保护数据。通过安全的浏览器来应对多终端、多文件的办公环境,以支持企业的长期发展并保护其数据资产,同时满足降低成本和符合隐私法规的需求。
企业专用浏览器:多端融合,安全无界
品高企业专用浏览器是一个集成了零信任安全理念的应用、数据访问解决方案,该解决方案具备多种安全特性,如多系统适配的专用浏览器、FIDO无密认证、第三代SDP(软件定义边界)、自适应mTLS安全隧道、多重身份安全认证、自适应访问策略、监控与审计、原生应用管理等,实现对企业内部业务数据精确且灵活的访问控制及有效隔离管控,是一个全面的业务访问安全防护体系。
企业专用浏览器提供了一个可信赖的网络办公解决方案,配套零信任客户端、零信任SDP网关,和BingoIAM共同构建了一个强大的一体化零信任架构,为企业提供安全、可靠且易于管理的IT环境,帮助企业在数字化时代中稳步前行。
零信任客户端
企业专用浏览器是一个高度兼容的网络浏览工具,兼容适配国产操作系统,包括麒麟和UOS系统等主流操作系统。它通过与零信任SDP网关建立安全可靠的加密访问通道,构成了一个全面、多层次的安全防护体系,为用户的数据安全和隐私提供全面的保护,有效防御各种网络威胁和攻击。
零信任SDP网关
它是部署在企业内网的关键组件,主要作用是保护网络边界并通过隐身技术和早期握手验证来减少外部威胁,有效拦截未授权访问,确保所有通信过程的加密安全。此外,SDP网关还承担身份验证、会话管理和实时策略下发的职责,确保系统组件和流程能够高效集成。
BingoIAM身份管理
它是品高安全浏览器的中央大脑,通过实施精细化的访问控制策略,确保只有经过验证和授权的用户才能访问特定的资源。该组件不仅负责用户身份的认证,还持续评估和动态调整用户的访问权限以适应不断变化的安全需求。
能力特点
零信任客户端
>增强的身份验证:通过FIDO无密认证和MFA多因素登录认证,客户端提供多层次、多选项的身份验证机制,既提升了安全性,也优化了用户体验。
>数据保护:利用全局水印和加密磁盘技术,客户端确保了数据在显示和存储时的安全性,防止了数据泄露和未授权访问。
>用户体验:即便具备了高级安全功能,零信任客户端也不失基础的浏览器功能,如网页浏览和书签管理,确保用户在日常使用中的便捷性。
零信任SDP网关
>隐蔽性增强:通过SPA网络隐身技术,SDP网关实现了服务端点的隐藏,降低了网络资源被发现和攻击的风险。安全拦截作为第一道防线,能够实时识别和阻断可疑流量,提高对安全威胁的响应速度。
>网络安全性:多安全SDP通道为客户端提供了隔离的网络通信路径,减少了攻击面,同时具备通道健康检查功能,可以及时发现并响应潜在的安全问题,保障了网络通信的稳定性和安全性。
>端到端安全通信:mTLS安全通道确保了数据传输的加密和完整性,同时通过双向身份验证防止中间人攻击。
>智能流量导向:网关具备主动威胁防御能力,实时识别并阻断可疑流量,结合智能流量导向和边界路由,有效预防会话劫持和非授权访问。
BingoIAM
>全身份汇聚管控:通过多源数据同步汇管,实现从多种身份源获取并集中存储基础数据,支持多类型身份信息的统一管理。
>应用灵活接入:提供应用无侵入接入能力,无需系统大规模更改。同时,通过完善的API接口支持BingoIAM全功能,满足企业在数据查询、管理和同步方面的需求,并通过对开发测试及灰度发布应用的严格接入审批,确保数据的准确性和可靠性。
>应用精细化管控:以应用为中心,支持多类型应用的集中式治理,包括小程序、H5、小部件、API等,并提供身份认证、访问与授权。同时,实现基于访问者身份、位置、场景等多因素的动态访问策略,以及通过精细化授权控制,如菜单、按钮、操作、数据等,确保用户和应用调用的权限得到精确管理。
实践案例
项目背景
数字化转型推动了网络安全成为国家战略的关键部分。政府通过《网络安全法》等政策法规强化了对企业网络安全管理的要求,以保护数据和个人隐私。面对远程办公和内网访问的安全挑战,大型集团企业需建立全面的网络安全体系,应对复杂网络威胁,符合国家的安全标准。
客户现状
该集团业务多样、员工众多,急需远程办公支持。但目前网络安全措施不足,面临业务暴露、终端安全、身份验证和数据泄露等风险。
客户需求
确保远程办公和内网访问的安全性,保护业务应用的隐蔽性和数据传输的安全,同时满足国家网络安全标准,实现终端设备、应用和用户身份的集中安全管理,并加强数据保护以防止泄露。
项目整体规划
基于零信任理念,企业计划部署BingoIAM企业身份管理平台中的专用浏览器,作为其BYOD环境中桌面和移动终端的安全门户。通过零信任专用浏览器,实现对端设备、应用、用户等实体身份的统一策略管理。整合数据安全组件和接入网关组件,构建从云到端的全面安全管理体系。项目分为两期实施,一期为基础能力建设,二期为能力升级和扩展。
详细方案
NO.1 完成零信任基础能力的建设,包括网络隐身、传输加密、终端基础安全等。
NO.2 BingoIAM增强可信访问,支持专用浏览器终端感知可信环境模块、设备安全管理模块、可信应用模块、动态访问控制模块。
NO.3 实现用户和终端专用浏览器的全量零信任能力,强化对接入到专用浏览器终端的安全管控。
NO.4 新增零信任客户端,打通3/4层隧道,解决应用访问不兼容问题。
NO.5 加入设备身份认证,确保终端设备符合安全基线要求。
业务价值
>安全性能提升:通过部署一体化零信任解决方案,企业不仅重构了安全体系以符合国家网络安全政策,还提升了安全性能,尤其是在远程访问管理方面显著降低了风险。
>业务连续性保障:员工即使远程工作也能安全顺畅地访问业务应用。
>统一办公门户:专用浏览器实现业务集中访问,提高了办公效率并优化了用户体验。
>数据安全传输:通过安全代理和加密传输得到保护,同时风险管理能力通过终端环境感知和动态访问控制得到加强。
>用户体验优化:自动化管理还提升了运维效率,而零信任专用浏览器的透明性和便捷性确保了用户体验不受影响。
END
通过实施一体化零信任解决方案,该集团企业将能够构建一个更加安全、高效和合规的网络环境,支持其数字化转型和长期发展。
联系我们
