亿格云金融业办公安全一体化解决方案是基于亿格云枢实现，「亿格云枢」是亿格云基于云原生安全技术构建在阿里云、腾讯云、AWS、GCP上的全球多云多活的SASE平台，通过SASE（SecureAccessServiceEdge）理念实现的全新网络和安全架构，全平台以身份为边界，构建了一朵集中管控安全的“云”、一张全球办公加速的“网”和一个安全能力合一的“端”，形成云网端融合的云原生安全体系，以SaaS化的服务提供零信任网络访问（ZTNA）、数据防泄漏（XDLP）、威胁检测响应（XDR）、防病毒（EPP）、上网行为管理（SWG）、统一端点管理（UEM）等安全能力，打破了企业建设办公网安全需要部署10多个办公安全产品且安全产品间烟囱化的现状，崭新的架构和安全服务为企业带来如下收益：
1）对企业网络架构0调整和现有应用0改造，即可收敛互联网暴露面，快速落地零信任安全体系，实现基于身份、持续验证的动态访问控制能力的企业安全新边界；
2）让企业客户能够实现统一管控办公网的网络和配置安全策略；
3）实现总部、分支、居家办公、移动办公等不同场景全场景一致高安全水位；
4）SaaS部署，15分钟极速启用，高效运维；
5）全平台、全功能的客户端SDK，可无缝集成到企业自有的办公应用里，极大减轻管理员推广安全产品的阻力和落地工作的负担；
6）利用就近接入的全球加速网络，显著优化移动与远程办公网络质量，提升跨运营商和跨境链路访问速度与体验。
7）采用轻端重云架构，打造轻量化、稳定、安全功能合一的客户端，以少量资源占用实现终端用户的无干扰网络访问和安全防护，确保极佳的办公体验。

1、功能全面
“一端一平台”覆盖ZTNA、NAC、UEM、XDLP、EDR、SWG等安全能力，兼容Windows、UOS、Kylin OS、macOS、Linux、iOS和Android等系统。
2、真一体化
全栈自研，统一架构打通身份、数据、策略，全上下文风险监测并纳入持续信任评估体系中，自动化联动处理各功能组件。
3、高效访问
全球组网服务，覆盖全球分布式PoP节点，全球任意地点就近接入，加速访问海内外云上/IDC业务，确保全球范围内顺畅沟通与高效协作，访问效率提高20%。
4、轻量无感
重云轻端，采用轻量hook方案，可SDK集成至客户现有APP上，有效降低终端性能消耗，解决兼容性问题，快速覆盖安全能力，客户体验轻量无感。
5、模块部署
纯SaaS/私有化/混合部署等灵活部署方式，满足国内外不同行业客户部署要求，既实现业务加速访问，同时打消敏感数据上云顾虑，满足特殊监管要求。
6、灵活开放
为更融入客户现有安全防御体系，服务端提供丰富全面的OpenAPI接口，包括日志推送、联动处置、数据分类分级等开发能力，实现联防联控的管理需求。
7、敏捷运维
客户端自检并支持一键修复，数字体验管理快速定位故障原因，一键远程提取终端日志，快速发起远程协助，提高运维效率。
8、极佳体验
客户端下载即用、开机即用，IM免登减少频繁登陆操作，提供企业业务门户和企业应用商店，用户可便捷访问业务和下载办公软件，提升办公效率。
9、降本增效
一个平台一个客户端，建设成本有效降低60%左右，人力运维成本年度节省数十万元。

场景一：远程办公
痛点：随着应用程序迁移到云的趋势不断演进，以及疫情等外部因素促使企业推进居家办公模式，使得通过传统的 VPN 连接总部数据中心的解决方案不再满足当前企业的远程接入需求。员工居家办公、外包、合作伙伴远程接入内网，终端安全水位参差不齐，无法有效保障入网终端合法合规；通过 VPN 接入方案，由于仍要保持端口开放，无法真正将攻击面进行收敛；同时，VPN 基于账密的授权模式，无法最小化访问权限，无法对权限进行实时校验并动态控制。
方案：SASE一体化办公安全解决方哪敢为用户接入内网提供统一的安全访问通道。用户侧，所有远程接入访问均需就近接入PoP点进行身份验证和动授权，然后通过网状（Mesh）网络，自动选择最优链路进行加密转发；应用侧，通过在服务器所在数据中心部署 connector（连接器)TLS 反连网关与安全转发网络打通，实现内网应用隐身，同时进行细粒度访问控制，实现应用 URL/API 级别的访问控制和日志审计。
场景二：多分支接入
痛点：对于有多个分支机构的大中型企业，由于地理位置分散，分支机构无法通过内网直接访问到总部，安全保护较弱。传统的总部-分支安全模式不适用于当下的企业内外部环境，分支机构独立采购安全设备并使用 MPLS 专线进行通信的模式成本高、使用体验差；分支机构和总部统一进行网络和安全建设，对设备性能要求高，成本高，分支网络、安全策略变化需要经由总部进行处理，运维复杂。
方案：分支机构通过海量的边缘节点与专线接入网络，将安全能力下沉至边缘，无需复杂的硬件堆栈部署，按需开通安全模块，统一实现分支网络安全接入、安全能力统一管理功能。使用统一安全管理平台，可实现多分支集中管理，多分支流量可视，分支安全事件分析统一展示，提供实时告警推送。对企业终端上网行为进行管理，对上网流量进行监控与分析， 保障企业信息安全。同时对终端侧进行安全威胁检测与响应，提供基于零信任的内网应用资源接入，通过身份实时认证、权限动态控制、威胁情报赋能、数据防泄漏等功能，确保企业员工、合作伙伴在全球任何地方都能更安全、更隐私地访问业务。
场景三：敏感数据分布盘点
痛点：远程办公、混合办公已成为数字企业的办公新常态，数据安全是企业安全运营的生命线，随着企业数字化转型的深入，企业数据资产量级与日激增。同时业务的不断快速发展，产生大量的业务和系统数据，并在各个终端间不停地流转，面前的风险也随之变化。因此如何全面了解企业办公终端中的敏感数据分布及流转情况，是数据安全防护的关键步骤，基于此才能采取有效的安全防护措施，实现数据安全和协同办公之间的平衡。
方案：以敏感数据为视角，基于 USN 技术实现员工终端文件快读遍历能力，支持指定特定文件类型的定期扫描能力，结合亿格云自研的敏感数据分类分级引擎，对扫描出的敏感文件自动化进行分类分级。方案将用户、终端、敏感数据自动化关联，为企业自动化生成敏感数据分布图，实现敏感数据的调查跟踪。
场景四：核心数据保护
痛点：对于企业来说，企业的核心代码、核心设计模型是核心资产、知识产权，若泄露出去将导致不可预料的后果，轻则丢失重要商机，重则企业倒闭。当前传统企业数据安全产品中的局限性:①敏感数据定义主要以敏感数据内容分析为主，但在实际过程中，定义数据的难度和工作量非常大，尤其是非结构化数据等很难有好的定义方式，这往往是数据安全产品发挥不到真正作用的关键原因。②外发的敏感数据以审计为主，在调查审计过程中，缺乏上下文信息，只能以文件内容来判断是否是合规的，而压缩包、加密等文件此时没有方法进行内容分析的，从而导致数据防泄漏失败。
方案：以来源方式重新定义敏感数据，并监控敏感数据的的流转过程。①提供敏感数据以数据来源定义的方案，例如从内网核心代码仓库中下载的代码文件，均认为是敏感数据。②监控此文件的流转过程，例如此文件进行了哪些文件操作（复制、重命名、加密、压缩等），中途流转给谁，最终外发到哪里去，必要的时候进行阻断