内控安全解决方案

采用零信任安全架构，基于“三权分立，相互制衡”的原则，对“人”和“物”的行为持续分析、监测、 控制和审计，降低内部安全风险。

风险管控

事前预防

建立安全管控中心,梳理IT 资产,为每个“人”、“物”建立唯一数字身份D,利用SDP 隐身技术,将“人”对“物的直接访问隔离，通过策略建立访问关系，实现最小化权限访问。有效隔离了勒索病毒等横向攻击与传播多种安全策略保障精准的身份鉴别，访问授权策略控制，预防操作人员的违 规操作导致的数据泄密和篡改。

事中监管

采用多重身份鉴别，基于 UEBA(用户与实体行为分析)，通过 A 技术，持续评估，建立动态访问控制策略发现风险进行警告，并可切断访问 会话。提醒或阻止内部人员做出高风险操作和失误操作，切断不安全的终端接入网络，并通知 CASB (云访问安全代理) 做出应对。

事后审计

所有访问行为作为“元数据”加密保存，通过审计进行定位和追责，满足合规要求。对于多方监管的要求，和用区块链技术提供第三方审计。

安全管控中心组成

IAM(身份与访问管理)

统一建立账号、认证、授权、审计一体化的数字身份，通过SS0(单点登录)提供跨平台的 增强的多重身份认证(MFA),基于策略的集中式授权和审计。

IAM(身份与访问管理)

统一建立账号、认证、授权、审计一体化的数字身份，通过SS0(单点登录)提供跨平台的 增强的多重身份认证(MFA),基于策略的集中式授权和审计。

PAM(特权账号管理)

基于策略对敏感数据或高权限的系统账号进行访问控制，通过安全保险库中建立、存储和管 理凭据，来控制用户、进程或终端对受控资源的访问。

CWPP(云工作负载保护平台)

保护云上主机的安全，网络隔离与流可视化，增强验证能力。

CASB(云访问安全代理)

部署在用户与云服务商之间的安全策略控制点，防止基于数据分类，数据发现以及因监控敏 感数据访问或提升权限等有害活动。

NAC(网络接入控制)

对接入终端进行安全控制，提供端到端安全保证，阻止非授权或非安全的终端接入。

EDR(端点检测与响应)

以终端为基础，对未知威胁和异常行为进行分析，并做出快速响应。

DLP(数据防泄露)

对内容深度识别，对数据执行操作时，能够根据内容和上下文动态执行策略，通过监视、提醒、 告警、阻断和其他响应功能来解决数据面临的相关威胁。

LOG Audit(综合日志审计)

通过集中采集信息系统的安全事件、访问记录、运行日志等各类信息，经过规范化、过滤、 归并和告警分析等处理后，以统一格式的日志形式进行存储和管理，结合日志关联分析，实 现对日志的全面审计。

DB Audit(数据库审计)

以安全事件为中心，全面审计和精准审计为基础，实时记录数据库访问活动，对数据库操作 进行细粒度的合规性管理，对数据库受到的风险行为进行实时告警。

AOM(自动化运维)

根据运维场景建立运维策略和运行脚本，自动触发或执行运维策略，实现自动化的运维，提 高效率，降低人为操作风险。

UEBA(用户与实体行为分析)

以用户或实体为对象，结合规则与A!学习，对用户行为分析和异常监测，快速感知内部用户 的可疑非法访问。