虚拟专用网络门户的恶意扫描激增40倍

最近，一场针对某虚拟专用网络V/P/N的全球性扫描狂潮悄然来袭。从2025年11月14日起，针对该V/P/N门户的恶意扫描在24小时内狂飙40倍。

按照"大规模扫描先行，攻击随后而至"的网络安全铁律，再结合近两年Ivanti、Fortinet、Cisco等多家厂商的V/P/N被黑客攻陷的过程，这一波扫描狂潮顿时让这家安全大厂的V/P/N用户胆战心惊------黑客大概率是掌握了某个0day漏洞，开始筛选易受攻击的目标，准备搞一波大新闻。

面对黑客的"踩盘子"，反应快的企业一波三连，封IP、切流量、做加固......然后，就开始等着看是官方安全补丁和黑客攻击哪个先来临。

但就算这波扫描最终偃旗息鼓，也不代表企业就能松一口气。俗话说得好，不怕贼偷，就怕贼惦记。只要企业还用V/P/N远程办公，只要V/P/N的IP和端口还暴露在公网上，针对V/P/N的恶意扫描和攻击就永远不会停息。

由于信任，所以脆弱

V/P/N诞生于1996年，其目的是扩展可信网络范围。用户只要通过了身份认证，就会被视为"可信用户"，通过在互联网上建立的加密隧道，远程访问企业内网的业务资源。

随着企业IT架构、业务环境的飞速演进，针对"内网-外网"二元网络架构开发的V/P/N，暴露出了两个无法修补的架构级BUG：

**1.大门敞开，谁都能敲：**V/P/N网关必须向互联网开放IP和端口。黑客只要扫描到了IP、端口信息，就能确定攻击入口，进而利用暴力破解或漏洞进行攻击、渗透。

**2.进门就是"自己人"：**V/P/N普遍存在"过度信任"和静态授权的问题。一旦黑客（或外包人员账号被盗）通过了边界认证，就能在内网长驱直入，随意横移。

除此之外，V/P/N还存在身份认证强度不足、终端安全能力不强、用户行为管控不力等问题。尽管厂商们不断给V/P/N打补丁、加功能，拼命给V/P/N"续命"，但只要架构级BUG还在，V/P/N仍旧是黑暗森林里通明的"篝火"，是个黑客就想朝它开一枪。

芯盾时代SDP，让企业"网络隐身"

与V/P/N相比，零信任默认不信任企业网络内外的任何人、设备和系统。"先认证、后连接"的连接机制，确保了IP和端口不响应任何未经验证的访问请求。"持续验证"的访问控制机制，确保每一次访问都不会被"过度信任"。

芯盾时代以零信任理念为指引，以软件定义边界为架构，以自主研发的核心技术为支撑，打造了零信任安全网关（SDP），采用All in One设计，能够从网络、设备、身份、权限、数据五个维度，为企业一站式建立零信任网络访问系统，对每一次业务访问实施全程的、动态的、细粒度的访问控制，是企业替换V/P/N的理想选择。

与V/P/N相比，芯盾时代SDP具备以下优势：

1.网络隐身：让黑客"找不到"目标

芯盾时代SDP采用了网络隐身、加密传输、网络隔离三大技术，能够帮助企业收敛资源暴露面，防范恶意扫描、DDoS攻击，避免"逢攻防演练，先关V/P/N"的尴尬。

**网络隐身：**采用应用代理和SPA单包授权技术，由网关统一代理业务应用访问流量，同时对所有连接网关的设备进行预认证，不通过认证不开放端口，实现业务应用和网关双重"隐身"，无法被黑客扫描。

**加密传输：**通过认证后，在客户端与网关之间建立加密隧道，保证数据通过互联网安全传输。

**网络隔离：**在用户访问内网时，禁止其终端设备访问互联网，避免终端设备成为黑客进入内网的"跳板"。

2.终端安全：杜绝设备"带病入网"

芯盾时代SDP整合了自主研发的终端安全技术，只需一个客户端，就能实现终端身份校验、终端环境检测、员工行为管控等功能，打造安全的远程办公操作环境。

**终端身份校验：**凭借设备指纹技术，精准标识设备身份，帮助企业高效识别非常用设备登录等风险行为，还能在攻防演练中对入网设备进行审批，禁止不可信设备接入系统。

**终端环境检测：**借助终端威胁态势感知技术，自动核查终端设备安全基线，杜绝设备"带病入网"。在访问过程中，持续检测终端安全态势、用户的操作行为，为安全控制中心提供终端侧的风险信息。

3.多因素认证：把好入门"第一关"

芯盾时代在IAM市场占有率稳居前三，技术能力行业领先，芯盾时代SDP由此具备了强大的身份安全能力。

**全局多因素认证：**借助客户端App，企业能够一站式实现全局多因素认证（MFA），消除弱密码、密码重复使用带来的安全隐患，还能够针对特定用户、应用、设备、IP，实施自适应增强认证，兼顾网络安全与用户体验。

**一次认证，全网通行：**全面支持各种身份认证协议，兼容钉钉、微信、飞书等认证源，能够与企业原有身份管理系统无缝融合。借助单点登录功能和统一应用门户，为员工提供更优的登录体验，实现"一次认证、全网通行"。

4.最小化授权：切断内网横移路径

为落实"最小化授权"原则，芯盾时代首创零信任切面安全能力，能够无改造地为业务系统注入安全能力，将权限管理能力细化至URL级，帮助企业全面提升访问控制能力。

**精细化权限管理：**芯盾时代SDP支持多种权限管理模型，企业能够针对内部员工与外部员工、各个部门与临时项目组的不同角色，授予不同的访问权限，实现对访问权限的差异化、精细化管理。

**动态访问控制：**在访问控制上，提供多种风险策略模型，企业能够根据自身需求灵活定义模型，综合设备、IP、时间、行为、账号、位置等维度的风险信息，对每一次访问实施动态访问控制，实现"安全访问全程无感，不确定访问强化认证，不安全访问直接拒绝"。

5.数据安全防护：守住最后底线

在数据安全上，芯盾时代SDP具备安全工作空间、数据脱敏、Web水印三大功能。

**安全工作空间：**借助SDP客户端，企业可以在终端设备中构建与本地空间完全隔离的安全工作空间，实现"数据不落地"，并有效管控复制、截屏、打印、外发等有可能导致数据泄露的行为。

**自定义数据脱敏：**企业可以对业务应用中的手机号、银行卡、身份证号等敏感数据进行脱敏，脱敏内容、脱敏长度、面向人群由企业自定义。

**Web水印：**可以在无改造的情况下为Web页面添加水印，对用户进行安全教育、安全震慑和安全追溯，降低拍照、截屏、外发风险。

芯盾时代零信任安全网关（SDP）还拥有完全自主知识产权，满足等级保护和密码应用安全性测评要求，全面兼容国产操作系统、芯片、数据库和中间件，已广泛应用于金融、政府、运营商、大型企业、互联网等行业的头部客户，帮助客户在多次攻防演练实战中取得优异成绩。