芯盾時代中標中國聯(lián)通某省分公司零信任遠程訪問安全，實現(xiàn)數(shù)據(jù)訪問最小化授權、網絡暴露面收斂、細粒度動態(tài)訪問控制等功能，為客戶建立內外網一體的零信任遠程辦公體系。

數(shù)字化轉型可以有效提升企業(yè)的抗風險能力，助力企業(yè)的業(yè)務發(fā)展。近幾年，混合工作環(huán)境的遠程辦公與云應用業(yè)務模式正在成為企業(yè)常態(tài)化工作模式，同時總部+分支的網絡部署方式成為很多企業(yè)的選擇。當大量設備從不同地點、大量人員從不同設備來接入業(yè)務系統(tǒng)，企業(yè)的業(yè)務安全面臨著來自內外部的諸多風險。

中國聯(lián)通作為新型數(shù)字信息基礎設施的建設者、運營者和安全守護者，堅持總體國家安全觀，貫徹網絡強國戰(zhàn)略，不斷增強自身的網絡信息安全建設，向億萬客戶提供安全穩(wěn)定暢通的通信服務。芯盾時代同中國聯(lián)通及各省分公司已合作了多個項目，聚焦遠程辦公、統(tǒng)一身份管理、網絡邊界安全防護等應用場景，有效保護業(yè)務系統(tǒng)安全和穩(wěn)定運行。

芯盾時代遠程訪問安全解決方案

芯盾時代從身份、設備、行為等維度為中國聯(lián)通某省分公司展開全方位防護，兼顧移動、固定等各種業(yè)務場景，提供安全傳輸、應用代理、動態(tài)訪問控制等能力，持續(xù)通過信任引擎對用戶、設備、訪問及權限進行風險評估，實現(xiàn)持續(xù)認證、動態(tài)授權、威脅發(fā)現(xiàn)與動態(tài)處置的閉環(huán)操作，從而實現(xiàn)因人施策，真正做到“持續(xù)驗證、永不信任”，讓用戶能夠使用任意設備，在任意地點、任意時間，以最小化權限安全地訪問企業(yè)資源，滿足客戶不同業(yè)務場景、模式下的動態(tài)訪問控制。

功能概述

終端安全隔離：SDP支持網絡隔離，根據(jù)業(yè)務應用網絡專線進行劃區(qū)域訪問，確保終端獲得準入授權后通過安全隧道訪問外網，不能同時訪問其他網絡。同時，芯盾時代采用沙箱技術，對用戶在訪問敏感應用系統(tǒng)下載的數(shù)據(jù)只能進入沙箱加密隔離存放，控制數(shù)據(jù)使用和外發(fā)行為，進而防止終端數(shù)據(jù)泄露，沙箱所使用密碼技術滿足國家密碼應用的標準要求。

身份認證：從身份、設備、行為等多維感知用戶終端環(huán)境，確保接入的終端設備均為可信設備，并對終端生成唯一標識，將用戶身份與終端進行實名綁定，支持多種身份認證方式，同時實現(xiàn)業(yè)務系統(tǒng)的單點登錄，讓員工“一次認證，全網通行”。

終端檢測：SDP采用SPA單包授權技術，默認拒絕一切連接，不響應未經過驗證設備和用戶的訪問請求，使攻擊者無法找到服務地址和端口。SPA單包授權技術與應用訪問代理配合，實現(xiàn)網關自身和應用資源的雙重隱藏，讓企業(yè)“網絡隱身”。

最小化訪問授權：在訪問主體側，將身份標識從“人”擴展至“人+設備+應用”等多個維度，構建可信的多維身份信息。在數(shù)據(jù)資源側，將訪問權限管理細化至數(shù)據(jù)級，實現(xiàn)數(shù)據(jù)資源的精細化授權。在訪問過程中，將身份信息貫穿訪問全流程，實現(xiàn)數(shù)據(jù)訪問的最小化授權。

智能感知全局風險：基于動態(tài)決策引擎，對訪問請求進行動態(tài)信任評估，適時執(zhí)行放行、阻斷、二次認證、權限收斂等訪問控制策略，做到“安全訪問全程無感，不確定訪問再次認證，不安全訪問直接拒絕”。

項目投產后，中國聯(lián)通某省分公司縮減了網絡暴露面，降低安全管理成本，增強對應用系統(tǒng)的訪問保護，取得了非常顯著的應用效果，并且多次獲得主管部門的嘉獎。

審核編輯：劉清