企名片资讯|POC | 数篷科技：零信任DACS，随时随地安全使用数据

2021年新春，安在讲堂启幕，

“网安新焦点——2021网络安全创新测试成果展播（第一期）”上演。

众所周知，对创新产品来说，POC是甲乙方通过场景实测建立对接以至于信任关系非常重要的环节，安在新媒体立足网络安全，聚焦创新厂商，运营甲方社群，并以各种创意策划帮助甲乙双方实现“对接”，基于诸子云（甲方社群）的POC，解决的就是网络安全产品落地“最后一公里”的问题。POC之后，通过直播方式做成果分享，让更多同道了解并参考，这是“网安新焦点”立意所在。

本期POC成果展播有两家创新厂商，分别是数篷科技和悬镜安全，厂商专家分享+甲方代表感言+业界大咖点评，“三堂会审”，干货满满。后续，我们还会不定期组织“网安新焦点”第二期、第三期……，欢迎持续关注。

2021年3月4日，“网安新焦点”第一期首场播出，数篷科技高杨以“随时随地安全使用数据-让数据安全成为一种能力”为主题进行分享，甲方实测代表喜茶安全部的余珊珊分享POC测试的真实体验，数世咨询创始人李少鹏进行点评。

本文即首场直播的图文实况。点击海报二维码进入“安在讲堂”千聊直播间，公益直播，即时回看。

大咖点评：至于本次POC测试的效果，李少鹏在直播中表示，“在这次POC测试中，数篷科技除了MAC系统、性能等三项没做测试，其余36项测试全部都满足需求。这么好的POC测试效果并不多见，至于MAC系统，结合喜茶余珊珊的测试体验基本可以认为效果也很好。”

随时随地安全使用数据-让数据安全成为一种能力数篷科技高杨

本次分享主要有三个部分，一是概览，介绍企业目前面临的挑战以及数篷科技的产品和解决方案；二是场景，包括解决方案应用的典型场景和能够给客户带来哪些价值；三是优势，也就是数篷科技解决方案的核心优势。

一、概览

众所周知，传统的安全体系架构是以网络为中心的，侧重于构建和保护公司的内部资源边界，远程访问是依靠防火墙、VPN等一层次的安全产品来进行防护，一旦有人通过身份验证进入到内部网络就能够在内部寻找脆弱点，进行横向访问，窃取公司敏感数据。

然而，随着企业数字化转型，云技术的使用以及越来越多的移动和远程办公的出现，企业的网络边界正在逐渐消失，传统基于外围边界的防护模式面对日益严峻的挑战，包括应用, 数据和员工正逐步离开传统的网络边界；合作伙伴, 外包人员等需要访问公司的应用和数据；BYOD等设备种类激增等，带来巨大的安全管理复杂度，传统的基于物理网络边界保护的安全体系架构已经无法满足要求。因此，企业亟需更简单、更安全地控制用户访问和使用数据的解决方案。

基于此背景，数篷科技提出“随时随地安全使用数据”的理念，要让终端数据安全成为一种能力，实现数据安全访问、数据安全使用和防止数据泄漏的目标。

而实现这一目标的解决方案，数篷科技将之命名为“零信任终端安全工作空间（DACS）”，是基于零信任的数据访问控制和保护，最终实现数据全生命周期的管控。

那么它是如何起作用的呢？

首先，数篷科技在终端上构建了基于新一代安全沙箱的安全工作空间，来实现对企业数据的隔离管理和精确访问控制。同时将个人环境和企业环境深度隔离，企业环境的数据落地进行强加密，使得企业环境的数据可用而不可拿，最终实现对企业数据的隔离管理和精确访问控制。

其次，通过DACS服务端来实现后端的用户身份动态认证，包括对验证环境的健康进行检查和授权，其中包括自适应安全策略、AI驱动持续验证和多维度全流程审计等多项技术，最后通过基于身份和属性的精细化访问控制来实现最小权限访问。

DACS还将替代传统的访问方式。传统的DMZ是通过网络的方式连接，用户通过身份验证以后就可以访问公司的网络。DACS连接则是基于SDP的连接方式，用户可以访问公司的应用程序，并且DACS网关可以只提供针对应用程序的访问，而不是对公司网络的访问，充分保护企业的服务端资源。

总的来说，该解决方案将会为企业提供覆盖办公、云计算、边缘计算场景下的下一代网络安全架构，以此实现企业的数据安全，同时作为企业的基础设施，对IT和业务进行赋能。

二、场景

DACS的典型应用场景主要包括涉密数据上报上级部门、跨企业合作数据安全保护、内部员工访问公司敏感数据、员工远程安全办公协作等八个部分，涵盖了监管、第三方合作、数据分级分类、客户信息采集等多个方面。

以员工移动办公解决方案为例。需要明确的是，解决方案的目的是在员工移动办公的情况下，实现随时随地保障数据的使用安全。

从图中可以看到，DACS解决方案在后端已经把业务系统隐身，对外不可见，这是通过零信任安全网关来实现。在这里可以做到基于身份和属性的精细化访问控制，并集成零信任AI安全引擎，实现自适应安全策略，AI驱动持续验证和多维度的全流程审计。

在终端上，DACS解决方案也有独立的企业安全桌面，实现了数据的安全计算、安全存储、安全保护，并且它和个人桌面深度隔离，数据可用不可拿，确保数据安全使用。

这是DACS解决方案在移动办公层面的实现的价值，同时还有数据及代码隔离解决方案，在企业上下游安全协作层面，能够有效保护企业的敏感数据，不仅业务场景覆盖更广泛，而且可以大大缩短企业IT操作层面的时间，提高业务敏捷性，有效降低企业的IT成本。

此外，该解决方案还可以去跨越互联网，参与计算的终端不仅包括移动设备、桌面设备、服务器，也包括IoT设备等，可综合满足各种灵活的数据安全计算的场景要求，典型客户不仅包括金融行业、物流行业，还包括服务行业，游戏行业，以及高科技制造等。

简而言之，DACS解决方案可为用户带来的价值主要有三个方面，一是简单，相比于传统的方式，DACS可以加快整体的上线速度，加速企业数字化转型，提高业务效率，带来无缝的用户体验。二是安全，通过零信任持续控制用户操作，减少网络攻击面，在终端的数据层面实现安全可控。三是省钱，部署DACS解决方案可以明显降低企业的成本，无基础架构改造成本，并且按用户数来计费，没有其他的隐性成本。

三、优势

最后介绍一下DACS解决方案的核心优势。

1.新一代安全沙箱，基于微内核和可信计算，并且和操作系统深度融合，能够实现安全高效体验平滑。它和传统沙箱非常明显的一个区别是，新一代安全沙箱是和操作系统深度绑定，即便拥有操作系统的权限，但对于沙箱内部的数据，依旧不能做任何的非法未授权的操作。

2.高性能加密网络隧道，在这里提供了超大规模设备网络接入的支持，以及低延迟、高吞吐的能力。

3.软件定义边界，提供更细的精度，更灵活的配置，并且能够实现低改造的环境集成。

4.AI安全策略引擎，在这个层面，传统的做法需要大量的人工维护，但是AI安全策略引擎可以实现主动防御和动态权限，能够更高效、更智慧地管理企业的安全。

另外，卓越的体系架构也有效提高了DACS解决方案的整体安全性。例如通过反向代理来建立对应的 HTTPS连接，经过身份验证的设备永远无法直接访问应用程序服务器或网络，它可以保护应用程序，不受任何的操作系统漏洞的潜在影响，还可以控制用户操作来防止数据泄露，大大提升了安全性。

对了，还有分布式高可用高扩展架构，不管是在私有云部署，本地部署，还是SAAS部署，DACS解决方案都可以支持分布式、水平扩容、高可用，能够更好支撑业务发展的需要。

POC测试之甲方体验喜茶安全部余珊珊

首先喜茶目前使用的电脑既有windows系统也有MAC系统，且公司有专门的设计部门，对于电脑系统的稳定性要求非常高。在了解了数篷科技的这款产品时，我们也比较担心是否会对设计部门的办公效率造成影响，因此首先对这个场景进行了测试。

从测试结果来看，数篷科技DACS解决方案的稳定性比较高，和传统的解决方案有一些不同，比如采用了新一代的沙箱构建本地的安全域，并不会占用多少本地电脑的资源，完全可以满足喜茶日常办公的需求，同时也可以兼容windows和MAC系统的管控。

其次，在喜茶的日常办公场景中，对于不同的部门进行了重要保护等级划分，包括财务部门、茶饮研发部门以及外包团队等。因此，在第二个场景中我们对数据的分层、分级进行了测试，对不同保护等级的部门建立了对应的安全域，同时也给外包团队建立了专用的安全域，并且都分配了相应的安全策略，应用程序，服务器等。测试后发现DACS解决方案实现了不同空间域之间的数据交换、管控，并且可以根据权限灵活地进行管理。

然后，喜茶现在还没有自研的即时通讯软件，所以我们目前使用的是钉钉，当我们建立不同的安全域时，不可避免的会把钉钉放到域中。这里就存在一个问题，即公司内部的重要文档和数据可能会通过钉钉这个口子泄露出去。在测试这个场景时也没有找到很好的解决方案，对于这部分场景不知数篷科技有没有相应的考量。

另外，喜茶目前在全国各地都有门店，对于移动办公的要求比较高，移动办公使用也比较频繁。当我们对内部做了数据防护之后，在移动办公的场景中对于文档查看的便利性和办公的效率有一些阻碍。此前在测试时没有针对移动端的场景进行考虑，事实上对于喜茶这类互联网公司来说，移动安全的需求比较大，因此希望数篷科技在移动办公方面也有一些考量。

还有就是这款产品的日后推广和运营方面的问题。从推广层面来说，使用了这款产品之后不会改变个人的使用习惯，也不会影响日常的系统操作习惯。但是，当我们划分了不同的域之后，就只能对域内的文档、系统进行管控，不能对电脑本地的文档和重要数据进行管控，这意味着用户需要有较高的自主性和较强的安全意识，才能配合完成推广的工作。

因为目前喜茶每个部门，特别是财务部门、研发部门的同事，电脑里或多或少都保存了一些比较很重要的数据，如果划分好安全域之后，他们没有主动把这些文档放到域中使用，那么这个渠道也有可能造成数据泄露。

基于以上的使用场景来说，本次测试的总体体验比较好，因为它既不会改变用户的基本使用习惯，对于数据的分层分级有很好的保护效果。产品使用也不复杂，策略颗粒度比较细，确实是一种新颖的解决方案，也希望数篷科技能够更多的考虑SaaS部署，针对移动办公场景的痛点提供更多、更好的解决方案。

POC测试之大咖点评数世咨询创始人李少鹏

首先澄清一个误区，有时候人们会把零信任理解为一种产品或技术，但实际上零信任是一种安全理念，强调的是基于零信任的最小化信任和始终验证。因此我们可以说基于零信任的访问架构，数据安全，身份验证等，但并不意味着企业的安全体系就是零信任了，顶多是某个技术环节体现了零信任的理念。

基于以上的阐述，我们来看数篷科技的DACS解决方案，它就很明确说明了这是数据安全方面的访问控制系统，以及这个解决方案是如何体现零信任的理念和价值。

目前，传统的数据安全主要存在三个方面的问题。

一是IT环境改变所带来的问题，比如移动办公、云计算以及未来的万物互联等，信息基础设施的改变带来了访问边界的模糊和影子设备的大量涌现。因此我们不能再像以前那样实现严格的资产备案和清晰的区域划分了。

二是传统的数据安全，近年来数据安全大多是数据审计，极少能做到事中检测，少数能够做到事中检测的产品对于资源的占用率也比较高，而事前拦截更是很难实现。

三是企业业务和个人事务在终端上的隔离。为了隔离机构业务和个人事务，一些企业和机构的重要部门都是一人两台甚至三台终端，更激进的是禁止在办公环境中使用个人终端，这样的办公体验非常差，效率也非常低。

针对以上三个问题，数篷科技是怎么做的呢？我认为其中最核心的技术点是他们采用了新一代安全沙箱，在电脑上建立安全空间，再通过外部的安全网关，基于身份和属性的精细化访问控制来实现最小权限访问。这样的话不论是数据拷贝、共享、截屏等都会在监控范围之内，更重要的是还可以实时拦截。

其实，在终端上建立安全空间的做法并不新鲜，在数篷科技的介绍中，他们称之为新一代安全沙箱，那么“新”字又体现在哪些地方呢？传统的沙箱一般是利用应用或者操作系统来进行隔离，但是数篷科技是基于操作系统内核级的隔离，正如高杨所说，即使有系统权限也进不了沙箱，并且还结合了可信计算的思路，使它更加符合计算机体系的发展路线，因此安全性更好，兼容性更强。

而在这次POC测试中，数篷科技除了MAC系统、性能等三项没做测试，其余36项测试全部都满足需求。这么好的POC测试效果并不多见，至于MAC系统，结合喜茶余珊珊的测试体验基本可以认为效果也很好。

最后，简单总结一下，数篷科技DACS解决方案是基于零信任做的数据访问安全架构，它的核心技术就是新一代安全沙箱，可以解决数据访问的安全管控问题。其优势在于，产品化的能力非常强，在短短两年时间就拥有了大量的客户，而且都是比较高端的客户。

另外它的内核比较小，可实现轻量级部署，在自动化方面对敏感数据的精准控制也非常好，再加上良好的客户体验、较低的隐性成本，这些都是DACS解决方案的特色。值得一提的是，目前数篷科技的产品已经具备金融、IT、互联网等行业的典型客户，这点也很重要。

最后，我也提一点意见，那就是SaaS，目前中小企业更愿意用SaaS，但是数篷科技产品的SaaS部署目前还需要一定的定制化，希望数篷科技在未来可以进行优化，让中小企业的用户无需过多改动即可使用。

有意参与POC的创新厂商，可扫下方二维码与椰子联系哟。

椰子

电话：15021358199