想要落地零信任，先练好“终端安全”内功

随着数字化转型的持续深入，企业的云应用不断增加，远程办公、BYOD等办公模式愈发普及，越来越多的企业选择部署零信任架构，以重塑网络安全边界、保障业务安全。

在企业落地零信任架构的过程中，终端安全是绕不过去的基础能力。只有确保每一台终端设备都安全可控，每一次访问都经过严格验证，才能确保零信任的核心理念——“持续验证、永不信任”得以有效实施。

但是，想要满足零信任在终端侧的安全需求却并不容易。标识用户和设备身份、监测设备安全状态、识别安全风险、转发访问流量……每一项都对企业、零信任厂商提出了高要求。如何构筑终端安全防线、支撑零信任架构，成为了企业、零信任厂商的必答题。

零信任终端侧安全需求：可识、可联、可信、可控

想要满足零信任在终端侧的安全需求，先要弄清零信任的应用场景。当前，员工远程访问企业的服务或数据等业务资源是零信任最常见的应用场景。为了保证业务资源的安全，需要确保只有通过认证和授权的主体和请求才能访问，并对访问进行持续的安全监测和保护。

为了实现这一目标，安装在终端设备上的零信任Agent需要在身份、设备、行为三个维度上，提供全面的监测与防护能力，并能保证与业务资源建立可信、稳定的连接。因此，零信任Agent的能力可以概括为“可识、可联、可信、可控”四个方面。

1.可识：零信任Agent需要具备对用户身份与设备身份的识别能力。在用户端，需要通过多因素认证，准确识别用户身份，为访问控制引擎提供可信的身份信息。在设备端，需要精准标识设备身份，为设备生成唯一识别码，保证只有通过认证的设备才能访问业务资源。

2可联：在完成对用户与设备的认证之后，零信任Agent需要与网关建立连接，通过加密隧道完成访问。为了收敛资源暴露面，网关需要采用“先认证、后连接”的机制，只对通过认证的用户和设备开放端口。

3.可信：在终端设备与网关连接之前，零信任Agent需要评估设备的安全基线，避免设备“带病入网”。连接网关之后，Agent需要通过密码技术保证信息的机密性、完整性，避免信息被窃取和破译。

4.可控：在访问过程中，零信任Agent需要实时监测终端设备的安全状态、用户的操作行为，识别来自终端侧的安全威胁，为访问控制引擎提供终端的实时风险信息。为了保证数据安全，零信任Agent需要通过安全沙箱等技术，实现“数据不落地”，防范终端侧的数据安全风险。

芯盾时代的零信任终端安全“秘籍”

想用一个零信任Agent实现终端安全的可识、可联、可信、可控，对零信任厂商的研发能力和技术积累是极大的挑战。芯盾时代作为领先的零信任业务安全产品方案提供商，在终端安全领域拥有领先的技术和深厚的经验，自主研发的终端安全防护平台（ESP）为逾3亿部终端提供业务安全防护，久经实战检验，效果备受好评。

芯盾时代零信任安全客户端（ZSC），作为零信任业务安全平台（SDP）的终端组件，集诸多自主研发的终端安全技术于一体，能够帮助企业构筑终端安全防线，确保每一台终端设备都安全可控，每一次访问都经过严格验证。

1.可识：标识设备身份，强化身份认证

为了准确识别设备身份和用户身份，芯盾时代ZSC内置了设备指纹和多因素认证模块。芯盾时代结合机器学习技术，采用新算法提升设备指纹的适配性，抑制传统设备指纹容易发生的指纹漂移和指纹冲突，准确率高达99.99%，能够为每一台终端设备生成唯一的识别码。

在用户身份识别上，芯盾时代基于自主研发的移动认证技术，帮助企业结合员工所知、所持、所有进行多因素身份认证（MFA），提供密码、App扫码、短信验证码、动态口令、指纹识别、人脸识别等多种认证方式，全面提升身份认证的安全性。

在准确识别设备身份和用户身份的基础上，芯盾时代SDP能够实现账号与设备的强绑定，高效识别非常用设备登录等风险行为。

2.可联：建立加密隧道，实现“网络隐身”

芯盾时代ZSC能够在用户与资源间建立双向加密隧道，并通过对隧道的全生命周期维护，确保连接的可靠性，为企业的数据传输安全提供坚实保障。

芯盾时代ZSC采用SPA单包授权技术，支持客户端基于SPA协议进行接入预认证，通过预授权获得可访问资源列表。网关默认关闭所有端口，只对通过预认证的设备开放端口，实现“网络隐身”，有效缩减资源暴露面，帮助企业减少遭受网络攻击的风险。

3.可信：感知威胁态势，信息加密存储

芯盾时代ZSC内置终端威胁防御技术（MTD）模块，包含了模拟器检测270+款，双开程序检测40+，以及攻击框架、调试状态、高危软件、Root/越狱、代理服务器等独有检测技术，保证检测项目够全、速度够快、结果够准，准确的评估设备的安全基线，避免设备带病入网。

芯盾时代自主研发的智能终端密码模块（PMIT），基于传统证书认证方式，结合分割密钥、设备指纹、白盒算法、环境清场等技术，为信息的安全存储提供了底层支持，保证信息更安全的传输、存储，即使信息被劫持、被泄露，也难以被破译和篡改。

4.可控：动态访问控制，数据更加可控

凭借ZSC全面的终端安全能力，芯盾时代SDP的动态访问控制引擎能够智能感知全局风险信息，基于风险信息进行持续的信任度评估，按评估结果自动执行阻断、二次认证、放行等访问控制策略，做到“安全访问全程无感，不确定访问再次认证，不安全访问直接拒绝”。

同时，客户端通过构建数据安全沙箱打造安全的工作空间，实现“数据不落地”。借助数据脱敏和应用级水印功能，以及对拷贝、共享、截录屏等行为的管控，有效防止敏感数据外泄，提升对数据的追踪溯源能力。

做到了“可识、可联、可控、可信”，芯盾时代零信任业务安全平台（SDP）才能在每一台终端中构建安全防线，为企业建立更智能、更安全、更便捷的业务访问体系，让每一名员工在任何时间，任何地点，用任何网络，都可以安全接入内网，安全访问企业业务资源。