随着国内企业数字化转型、业务发展及应用大量部署等导致的网络边界暴露业务端口，被攻击风险大幅上升，而传统的基于“边界”构建的防护体系显然不能满足企业发展需求以及安全需求。派拉软件针对企业面临的此类安全风险，为某大型国有制造企业构建一套零信任数字化安全体系架构，实现企业信息资源安全管理，用户访问安全、便捷、可控、提高信息化办公效率。

建设目标：随着集团公司发展，不少业务/机构分布在多地，购置高额专线或者通过VPN组网连入集团数据中心以实现多地分支接入已经造成企业沉重的成本负担，并且企业分支机构间的互访和人员流动等，都催生出越来越多的远程办公和运维诉求。本项目通过建立一套可信网关，管理企业内所有网络接口；建立一套动态准入入口，管理所有访问请求；建立一套身份管理体系，管理所有访问身份。做到身份实名，资源隐藏，访问授权，实现零信任数字化安全体系。通过一体化零信任体系建设，助力企业完成以“集约化、专业化、标准化、精益化、一体化、平台化”为工作目标，为进一步提升集团信息化的“敏捷+安全+创新”，建立符合集团公司发展目标的数据管理、应用体系、实现数据、信息、知识等数据资产的生命周期管理。

方案介绍：建立一套安全体系，将网络访问严格控制起来，所有网络请求，必须经过验证，对访问者的访问环境全面监管，包括访问者正在使用的设备、网络，正在访问时间、使用账号、访问的目标资源等。

建立安全的网络规划，根据企业内不同的业务访问需求，划分不同的网段，降低网络中一点被攻破造成全网沦陷的风险。尤其对服务器所在网段，需要进行更细化的管理，服务器与服务器网络相互隔离，减少城门失火，殃及池鱼的情况。

建立一个安全的 API网关，将应接口保护起来。所有对应用接口请求访问，由API网关转换，实现应用接口对外隐藏，降低应用接口被攻击的风险。通过该API 网关，可以实现，访问鉴权、流量控制、访问日志申记、应用接口管理等。

建立一套统一的身份认证平台，将用户身份统一管理，用户应用权限统一分配，用户应用访问统一入口、统一账号。实现人来账号开通，人走账号关闭，减少僵尸账号、孤儿账号对应用据的安全威胁。

使用 SDP 替代现有的VPN。企业员工、合作伙伴无论在总部、分支机构或出差在外，通过SDP 对用户身份、接入设备均验证合法性后才能访问企业业务系统，同时基于身份的“最小授权”安全策略以及动态访问控制机制，实现企业内外网统一访问控制;SPA预认证技术，实现网络隐藏，缩小互联网暴露面，降低安全风险。

项目的成功落地，有效的提升了内外网访问安全性。应用端口不再对外暴露，大大降低可攻击面，降低了远程办公场景的网络安全风险。客户端实时环境检测，有效提升了客户端安全性和合规性，减少系统被病毒、木马入侵的风险。持续的异常访问拦截，针对账号泄露、异地登录、异常行为等异常场景进行识别并及时拦截。所有用户权限统一管控，内网不再是特权区域，降低内部攻击风险。所有用户及权限统一管理、访问策略动态配置，大大减少运维人力成本，同时节省了昂贵的 VPN 硬件设备费用。

此外，零信任架构中，SDP终端安全沙箱组件可保护企业数据不落地，有效防止敏感数据外泄。用户只能按需获得有限访问权限，有助于限制违规操作、业务中断、安全漏洞等的危害范围和危害后果，实现安全日志采集、安全管控、合规检查、系统加固、数据防止泄漏等能力，让企业管理员具备对远程办公、远程运维的终端进行安全管理的能力。

可解决大型企业安全问题：

1、职能部门数据保护职责交叉，针对不同数据需要不同人员交叉权限，资源协调难度大

2、管理制度宣传覆盖面不足，贯彻落实不够深入

3、员工数据保密意识薄弱，存在无意识泄密风险

4、远程办公过程中，企业业务数据存在不同人员设备系统之间的频繁流动，数据移动增加了数据意外泄漏的风险

5、部分央企未采用有效的数据泄漏防护手段，并且由于各应用系统肚子管理，账号分散，并且由于各应用账号规则不一致，导致用于需要记录多套账号，用户体验不佳的同时存在时效问题及处理风险，也无法满足管理层需要实时反馈和管理的需求。

6、由于各应用系统对外提供的服务接口多且部署时间久远，导致接口管理统计困难

7、传统VPN产品缺乏对访问者设备及系统安全性的关注，容易受到多方因素的影响，访问速度无法保持稳定性，从而影响业务办理

8、远程办公期间，员工期望使用自有设备更便捷访问企业资源，访问者多使用动态IP，无法实现网络层面访问控制，终端管理困难，安全维护成本高。