IAM（Identity and Access Management） #

身份与访问管理，即通过身份认证与授权管理实现对业务资源的安全访问。飞连支持业务系统、云服务、公网资源等各类应用接入，并在登录应用时默认进行身份认证，提升访问安全性。
在身份源对接方面，飞连既支持管理员在飞连自建组织架构，也支持对接飞书、钉钉、LDAP、AD、AAD 数据源。此外为满足项目组、一人多部门等灵活管理需求，飞连在部门、员工的授权基础上，增加“角色”这一资源授权方式，通过动态角色定义，实现更精细、更贴合业务场景的访问权限治理。

权限组 #

无论虚拟专用网络（VPN）、Wi-Fi、有线网络，或是业务系统、云服务、公网应用，所有接入飞连的资源均以权限组方式授予用户使用。当管理员为“全员启用”某项资源时，用户实际上归属于默认权限组；当改为“部分启用”时，则需基于部门、角色、个人定义权限组的生效范围，并设置策略之间的生效优先级，以此实现精细化的访问权限控制。

MFA（Multi Factor Authentication） #

多因素认证是在经过账密校验的第一层认证后，通过增加 OTP、短信、邮件等第二层身份认证，提升访问安全性的一种方式，能够有效帮助企业在员工设备丢失，或账号密码被攻击者获知的情形下识别账号盗用/冒用风险。在飞连中，管理员可配置由VPN连接、应用访问等操作触发，或由终端风险触发的二次认证策略。

网络认证 #

为确认入网者的真实身份，飞连具备多样认证方式。对于员工，采用基于 802.1x 的二层认证方案，再根据认证结果分配 VPN、Wi-Fi、有线网络权限；对于访客，提供基于 Portal 的访客认证方案，支持现场扫码或账号密码多样入网方式；针对摄像头、打印机以及 IoT 设备，则提供基于 MAC 地址的安全接入能力，认证后自动划分至预设网段。

网络准入控制 #

网络准入指采用划分 VLAN 的方式管理办公终端的网络接入行为，其目的是防止恶意程序等攻击行为在办公内网横向扩展。通过网络准入控制，企业可以只允许合法的、值得信任的终端设备（例如PC、手机、IoT设备）接入网络，而不允许其它设备接入。
基于一体化的终端管理与安全能力，飞连为企业移动办公基线建立提升了效率，如当办公终端缺失锁屏密码，或存在私搭Wi-Fi等行为时，飞连将动态降级其网络连接（VPN/Wi-Fi/有线）权限，并在风险消除后自动恢复原有权限，实现远程/工区一体化动态网络准入建设。

访问控制 #

访问控制是通过某种途径，准许或限制主体对客体访问能力范围的一种方法，用来防止非法用户入侵或合法用户的不慎操作带来损害，以确保业务资源被受控、合法地使用。
在飞连中，员工/访客等人员及设备是访问主体，网络（VPN/Wi-Fi/有线）、应用资源（业务系统/云服务/公网应用等）是访问客体，管理员可根据企业制度自定义风险场景，结合用户属性、网络环境、设备属性及风险状态等评估信任等级，再根据信任等级和应用安全策略分配最小访问权限，以此实现人、角色、资源映射的 RBAC（Role-Based Access Control）访问控制。

VPN 节点 #

飞连通过 VPN 节点实现 VPN 资源的精细化管理，每个节点对应不同的内网/公网 IP 、控制/数据端口，以及 DNS 服务器。管理员可自定义配置节点名称，查看节点连通性、并发、吞吐等指标趋势，以及该节点在线员工账号。员工客户端支持自动化节点选路，及手动切换节点。
SaaS部署方式中，飞连 Server 部署于云端，VPN 节点以 Agent 方式部署于企业内网。

RADIUS 节点 #

远程用户拨号认证服务（RADIUS，Remote Authentication Dial in User Service）服务器提供了3A 功能，即认证（Authentication）、授权（Authorization）和审计（ Accounting）。在传统的网络管理实践中，企业通过路由器设备实现“人”与“工区网络权限”的静态对应；飞连则通过自研 RADIUS 服务器实现了“人-角色-权限”的动态关联，以便根据身份类型精细化管理网络权限，或根据身份/设备安全状态更改角色标签，实时降级权限。
通过配置多个 RADIUS 节点，飞连能够更好满足企业多工区办公，或集群部署需求。SaaS部署方式中，飞连 Server 部署于云端，RADIUS 节点以 Agent 方式部署于企业内网。

终端管理 #

数字化办公场景下，企业需要管理的办公终端类型、型号更加多样，其来源除公司资产外，还包括用于办公的员工个人设备。全面、准确的终端管理能力，可以帮助提升办公网接入管理效率，并确保为员工提供更加便捷的 IT 服务支持。
飞连支持与企业资产管理平台打通，统管公司设备与 BYOD，实时采集设备基本信息、软件列表、登录记录与运行状态，并可以基于工区、部门、人员实现终端分组，为精细化的终端准入做准备。

终端基线 #

终端基线指企业办公终端资产以及员工 BYOD 的安全实践及合规检查的配置红线，包括锁屏密码、杀毒软件安装、是否连接不安全的 Wi-Fi 、是否有不合规的应用/进程运行等安全配置检查。飞连针对日常办公涉及的 Windows、Mac、Android、iOS、Linux 系统具备数十种检测项，管理员可灵活配置定时巡检策略或触发式扫描策略，实现更加全面的终端安全合规保障。

数据防泄漏 #

数据、代码是企业的核心资产。数据防泄漏是指通过对员工数据外发操作进行审计，解决个人隐私数据泄露、企业财务等核心文档泄露、代码和技术文档泄露等办公环境下数据泄露问题。
与传统解决思路相比，飞连数据防泄漏能力更加注重事前数据发现与事后泄露溯源，提供数十种敏感业务数据识别模板，包含数百个敏感业务数据定义标签，帮助企业轻松找到敏感信息，并通过文件存档、截图存证、告警上报等多样方式实现风险审计溯源。