360 零信任网络安全访问控制平台

产品概述

360零信任SDP面向“边界瓦解、远程接入、云化业务、终端风险、内部威胁”等安全挑战，将访问控制从传统网络边界前移到“用户、设备、应用、行为、环境”的持续可信判断上。系统通过先认证后连接、最小权限授权、持续评估和动态处置，降低业务暴露面和横向移动风险。

以SDP软件定义边界为核心，融合身份认证、终端环境感知、业务隐身、动态访问控制与安全桌面能力，为远程办公、第三方接入、多云访问和敏感业务访问提供统一、安全、可审计的访问入口。

客户端 / SDK / Web浏览器

认证连接、资源入口、终端环境感知、应用引流。

SDP决策中心

身份认证、策略决策、风险评估、动态授权。

SDP代理网关

应用隐藏、加密转发、策略执行、访问审计。

环境感知

设备合规、补丁基线、风险评分、实时阻断。

功能介绍

产品由客户端、决策中心、代理网关、环境感知等组件组成，覆盖从身份认证、资源发布、策略管理到流量转发和审计的完整访问控制链路。

统一身份认证

本地账号、证书、LDAP/AD、第三方认证

OTP、短信、邮箱等多因素认证

支持SSO对接，统一访问入口

资源发布与细粒度授权

支持IP、端口、协议级资源发布

Web资源支持路径、请求方法级控制

结合用户、角色、终端、时间、地点动态判断

安全隧道与应用代理

支持三层、四层、七层访问能力

支持TCP、UDP、ICMP等业务访问

TLS加密传输，支持国密算法能力

终端环境感知

应用合规、系统安全、系统补丁检测

Windows、macOS、Linux、Android、iOS适配

终端风险变化后支持实时阻断

业务隐藏与SPA单包授权

未认证前端口不可见、不可连、不可探测

隐藏真实业务IP和端口

降低入口服务器被扫描和攻击风险

访问审计与风险处置

记录用户、资源、流量、行为日志

支持二次认证、断开连接、强制改密等处置

为安全运营和合规审计提供数据支撑

产品优势

围绕“架构一体化、终端可信、信任智能评估、多云统一接入、数据安全增强、安全生态联动”的产品定位，360零信任SDP将远程访问、身份认证、终端安全、应用代理和安全运营能力纳入统一访问控制体系。

一体化架构内核

控制面与数据面分离：控制中心负责认证、鉴权、信任评估和策略下发，代理网关负责加密转发、策略执行和日志审计，架构边界清晰。

组件化软件交付：支持服务器、虚拟机、私有云和多数据中心部署，便于按业务规模扩展。

统一访问底座：将身份、终端、应用、策略、审计能力沉淀为统一底座，支撑远程办公、第三方接入、高敏业务访问等多类场景。

终端可信闭环

终端状态参与授权：病毒、漏洞、违规软件、补丁缺失、安全基线不合规等风险，可作为访问放行、阻断或降权依据。

接入前后持续检测：不仅在登录时检查终端，访问过程中也可根据终端状态变化调整访问权限。

整改建议可视化：用户可看到终端不可信原因，管理员可掌握风险分布，降低安全策略落地阻力。

智能信任评分引擎

多维信任因子融合：综合身份、设备、位置、时间、应用、行为、威胁情报等信息，形成访问前置判断依据。

风险等级动态变化：针对异常登录、频繁失败认证、终端状态恶化、访问敏感资源等情况，动态调整信任等级。

策略推荐辅助决策：可将历史访问行为、风险事件和业务敏感度结合，为管理员提供策略优化建议。

多云统一访问编排

跨云统一入口：为私有云、公有云、IDC、分支机构业务提供统一访问门户。

策略集中编排：不同云上资源可复用统一身份、统一终端基线和统一授权策略。

就近接入调度：可根据用户位置、网关状态和业务部署位置进行访问路径优化，提升大规模远程访问体验。

数据安全增强

安全桌面隔离：支持网络隔离、会话隔离、文件隔离和数据隔离，适合高敏业务、一机两用和第三方接入场景。

外设与剪切板管控：对复制粘贴、文件传输、外设使用、截屏录屏等数据外流路径进行约束。

水印与审计追踪：通过屏幕水印、访问日志、行为审计等能力，提升数据泄露追溯和震慑能力。

安全生态联动

联动终端安全：接入终端风险后，可联动杀毒、漏洞修复、基线加固、隔离处置等动作。

联动身份平台：可对接LDAP、AD、PKI、4A、CAS、SSO等身份系统，复用企业既有身份体系。

联动安全运营平台：访问日志、阻断事件和风险评分可作为SOC/SIEM分析的数据来源。

部署方案

产品以纯软件化、组件化方式交付，支持服务器、虚拟机、私有云和多数据中心部署。控制中心统一负责身份、策略、授权和审计，代理网关就近部署在业务资源侧，实现统一管控、分布式接入。

方案一：标准单中心部署架构

适用于中小规模远程办公和应用安全访问场景。控制中心、环境感知、代理网关部署在同一数据中心，通过代理网关发布受保护业务。

用户终端通过互联网或专线访问SDP控制中心完成认证与授权，访问流量经代理网关加密转发到内网业务系统。适合远程办公、第三方接入和单数据中心业务发布。

方案二：高可用集群部署架构

适用于金融、政务、央国企等高可靠场景。控制中心和代理网关采用主备或集群部署，控制面与数据面分离，提升业务连续性。

控制中心和代理网关采用双节点或多节点集群部署，前置Qdns设备统一调度。适用于核心业务系统、规模化远程办公和对连续性要求较高的客户环境。

方案三：多云 / 多数据中心统一管控架构

适用于集团型、多云和混合云客户。统一控制中心管理多个数据中心或云上的代理网关，统一策略、统一授权、统一审计。

统一控制中心集中管理多地代理网关，代理网关分别部署在私有云、公有云、IDC或分支机构资源侧，实现跨云统一身份、统一策略、统一授权和统一审计。

典型应用

远程办公安全接入

员工通过统一入口访问OA、ERP、CRM、代码仓库、运维平台等内部系统，替代传统VPN的粗放接入。

第三方与外包访问

为供应商、外包、临时人员提供按人、按设备、按应用、按时间的最小权限访问，便于授权和回收。

敏感业务访问保护

对财务、经营分析、研发代码、生产运维等高敏业务启用二次认证、终端基线和安全桌面隔离。

多云/混合云统一访问

跨私有云、公有云、IDC、多数据中心统一发布业务，实现一致的认证、授权和审计。

移动H5轻应用接入

面向企业微信、钉钉、飞书等超级App内的H5业务提供安全接入，避免内网业务直接暴露互联网。

一机两用与数据隔离

结合终端安全、零信任准入和安全桌面，在同一终端上实现个人环境与业务环境隔离。