芯盾時(shí)代中標(biāo)中國(guó)聯(lián)通某省分公司零信任遠(yuǎn)程訪問安全，實(shí)現(xiàn)數(shù)據(jù)訪問最小化授權(quán)、網(wǎng)絡(luò)暴露面收斂、細(xì)粒度動(dòng)態(tài)訪問控制等功能，為客戶建立內(nèi)外網(wǎng)一體的零信任遠(yuǎn)程辦公體系。

數(shù)字化轉(zhuǎn)型可以有效提升企業(yè)的抗風(fēng)險(xiǎn)能力，助力企業(yè)的業(yè)務(wù)發(fā)展。近幾年，混合工作環(huán)境的遠(yuǎn)程辦公與云應(yīng)用業(yè)務(wù)模式正在成為企業(yè)常態(tài)化工作模式，同時(shí)總部+分支的網(wǎng)絡(luò)部署方式成為很多企業(yè)的選擇。當(dāng)大量設(shè)備從不同地點(diǎn)、大量人員從不同設(shè)備來(lái)接入業(yè)務(wù)系統(tǒng)，企業(yè)的業(yè)務(wù)安全面臨著來(lái)自內(nèi)外部的諸多風(fēng)險(xiǎn)。

中國(guó)聯(lián)通作為新型數(shù)字信息基礎(chǔ)設(shè)施的建設(shè)者、運(yùn)營(yíng)者和安全守護(hù)者，堅(jiān)持總體國(guó)家安全觀，貫徹網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略，不斷增強(qiáng)自身的網(wǎng)絡(luò)信息安全建設(shè)，向億萬(wàn)客戶提供安全穩(wěn)定暢通的通信服務(wù)。芯盾時(shí)代同中國(guó)聯(lián)通及各省分公司已合作了多個(gè)項(xiàng)目，聚焦遠(yuǎn)程辦公、統(tǒng)一身份管理、網(wǎng)絡(luò)邊界安全防護(hù)等應(yīng)用場(chǎng)景，有效保護(hù)業(yè)務(wù)系統(tǒng)安全和穩(wěn)定運(yùn)行。

芯盾時(shí)代遠(yuǎn)程訪問安全解決方案

芯盾時(shí)代從身份、設(shè)備、行為等維度為中國(guó)聯(lián)通某省分公司展開全方位防護(hù)，兼顧移動(dòng)、固定等各種業(yè)務(wù)場(chǎng)景，提供安全傳輸、應(yīng)用代理、動(dòng)態(tài)訪問控制等能力，持續(xù)通過(guò)信任引擎對(duì)用戶、設(shè)備、訪問及權(quán)限進(jìn)行風(fēng)險(xiǎn)評(píng)估，實(shí)現(xiàn)持續(xù)認(rèn)證、動(dòng)態(tài)授權(quán)、威脅發(fā)現(xiàn)與動(dòng)態(tài)處置的閉環(huán)操作，從而實(shí)現(xiàn)因人施策，真正做到“持續(xù)驗(yàn)證、永不信任”，讓用戶能夠使用任意設(shè)備，在任意地點(diǎn)、任意時(shí)間，以最小化權(quán)限安全地訪問企業(yè)資源，滿足客戶不同業(yè)務(wù)場(chǎng)景、模式下的動(dòng)態(tài)訪問控制。

功能概述

終端安全隔離：SDP支持網(wǎng)絡(luò)隔離，根據(jù)業(yè)務(wù)應(yīng)用網(wǎng)絡(luò)專線進(jìn)行劃區(qū)域訪問，確保終端獲得準(zhǔn)入授權(quán)后通過(guò)安全隧道訪問外網(wǎng)，不能同時(shí)訪問其他網(wǎng)絡(luò)。同時(shí)，芯盾時(shí)代采用沙箱技術(shù)，對(duì)用戶在訪問敏感應(yīng)用系統(tǒng)下載的數(shù)據(jù)只能進(jìn)入沙箱加密隔離存放，控制數(shù)據(jù)使用和外發(fā)行為，進(jìn)而防止終端數(shù)據(jù)泄露，沙箱所使用密碼技術(shù)滿足國(guó)家密碼應(yīng)用的標(biāo)準(zhǔn)要求。

身份認(rèn)證：從身份、設(shè)備、行為等多維感知用戶終端環(huán)境，確保接入的終端設(shè)備均為可信設(shè)備，并對(duì)終端生成唯一標(biāo)識(shí)，將用戶身份與終端進(jìn)行實(shí)名綁定，支持多種身份認(rèn)證方式，同時(shí)實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄，讓員工“一次認(rèn)證，全網(wǎng)通行”。

終端檢測(cè)：SDP采用SPA單包授權(quán)技術(shù)，默認(rèn)拒絕一切連接，不響應(yīng)未經(jīng)過(guò)驗(yàn)證設(shè)備和用戶的訪問請(qǐng)求，使攻擊者無(wú)法找到服務(wù)地址和端口。SPA單包授權(quán)技術(shù)與應(yīng)用訪問代理配合，實(shí)現(xiàn)網(wǎng)關(guān)自身和應(yīng)用資源的雙重隱藏，讓企業(yè)“網(wǎng)絡(luò)隱身”。

最小化訪問授權(quán)：在訪問主體側(cè)，將身份標(biāo)識(shí)從“人”擴(kuò)展至“人+設(shè)備+應(yīng)用”等多個(gè)維度，構(gòu)建可信的多維身份信息。在數(shù)據(jù)資源側(cè)，將訪問權(quán)限管理細(xì)化至數(shù)據(jù)級(jí)，實(shí)現(xiàn)數(shù)據(jù)資源的精細(xì)化授權(quán)。在訪問過(guò)程中，將身份信息貫穿訪問全流程，實(shí)現(xiàn)數(shù)據(jù)訪問的最小化授權(quán)。

智能感知全局風(fēng)險(xiǎn)：基于動(dòng)態(tài)決策引擎，對(duì)訪問請(qǐng)求進(jìn)行動(dòng)態(tài)信任評(píng)估，適時(shí)執(zhí)行放行、阻斷、二次認(rèn)證、權(quán)限收斂等訪問控制策略，做到“安全訪問全程無(wú)感，不確定訪問再次認(rèn)證，不安全訪問直接拒絕”。

項(xiàng)目投產(chǎn)后，中國(guó)聯(lián)通某省分公司縮減了網(wǎng)絡(luò)暴露面，降低安全管理成本，增強(qiáng)對(duì)應(yīng)用系統(tǒng)的訪問保護(hù)，取得了非常顯著的應(yīng)用效果，并且多次獲得主管部門的嘉獎(jiǎng)。

審核編輯：劉清