1、应用级加密隧道：采用四层代理模式，当发起应用访问时，通过 HOOK方式截取应用访问流量，客户端通过可信网关与应用服务器临时建立数据通道，基于指定 IP/端口和 URL 进行细粒度的权限管控，确保用户在权限范围内访问指定的资源服务。每个应用都可独享一个安全隧道。从而保证了隧道使用者的合法性以及数据传输过程安全。

2、隧道限流：支持限制用户上下行带宽，通过限制单个用户上下行带宽，防止用户大量访问对业务连续性造成影响；

3、接入审核：针对移动端设备，可开启接入审核流程，保障接入终端的合法性。可根据设备状态（越狱/ROOT 设备）、设备归属（COPE 公司设备或所有设备）以及超过单用户最大激活设备数来设置合规范围，只有合规的设备才可以登录门户；

4、设备绑定：为了防止设备滥用、乱用造成核心数据丢失泄密，联软零信任支持设备绑定能力，将账号与设备硬件特征码进行绑定，未与设备绑定的账号无法登录成 功。设备绑定支持 PC 端和移动端。

5、物理环境检查：为了确保终端接入安全，平台会实时检查终端所处物理环境，一旦发现环境存在异常，会执行相应的动作（二次认证、禁止登录），以降低数据泄密风险。

1、设备管理：提供设备信息采集能力，建立设备清单库，一个后台实现 PC 端和移动端等多种终端设备的统一运维和实时管控。满足 iOS、安卓手机 APP 集成零信任 SDK，实现零信任安全接入等功能，避免单独安装零信任手机客户端，提升用户体验；

2、设备信息采集：登录客户端后，客户端会将客户端信息、用户信息及设备信息首次上报至控制器，在控制器维护设备资产库并周期性更新，以便客户端、管理员随时调用查看；

3、设备安全检查：系统在持续的信任评估、动态授权的过程中，可以设置不同的检查项（如防病毒软件、防火墙检查、弱口令检查等），使安全可信的终端才可以访问企业业务；

1、应用发布申请：提供整套应用全生命周期管理方案，支持应用信息注册、应用信息审核、应用发布申请、应用发布审核、应用上架、应用版本迭代到应用下架的全生命周期管理；

2、应用权限管控：系统提供多种灵活的授权方式，管理员可以将相同岗位等具有相同权限的用户组合建立成用户组，提供一种管理用户与应用系统的访问关系能力，满足灵活多样化的权限管理需求，实现对用户统一的权限控制和管理；

3、应用权限申请： 当应用权限未覆盖用户时，用户登录后可查看可申请权限的应用，批量提交申请（自定义时长及理由）至安全管理员。管理员批量审批并设置有效期及意见，审批通过后客户端在统一门户展示该应用，用户即可发起业务访问，用户可随时查看历史审批记录及状态。支持内置审批流或对接第三方审批系统；

4、动态访问授权：通过周期性感知环境风险、终端风险、用户异常行为风险，并参与用户信任状态评估。信任状态评估可通过安全评分、风险等级以及信任等级来表现，一旦发现用户信任状态降低时，立即收敛用户应用 访问权限，甚至立即切断用户访问。当实体可信度恢复后，立马放开其应有的 业务权限。

1、应用水印：支持明文水印、矢量水印、图形矢量水印、盲水印、图片水印、二维码水印。同时，可对截屏操作进行控制，一旦发现截屏行为，屏幕立即加载黑色罩子于屏幕最上层，截屏软件截屏只能截取一块黑色区域；

2、安全沙箱：支持创建安全可控的沙箱空间，对沙箱内的数据和网络进行隔离，对进程、数据、网络进行统一管控；在沙箱内，只允许访问被授权的办公应用及业务系统，同时可以以个人习惯的方式添加并运行相关办公软件及开发工具，在沙箱内的应用和工具产生的所有数据均在沙箱内安全存储，并且通过灵活的管控策略实现沙箱内数据的流转控制和审计，结合数字水印及截屏控制，实现全面的数据安全防护。