1.1. 方案背景

随着企业办公的快速发展，电脑办公已经逐渐无法满足企业快速并且轻量化办公的需求，自此移动办公的浪潮逐渐兴起。某电信也在移动办公中实现了诸多的实践与应用，目前某电信在管理、运维、装维、销售等领域均实现了移动办公，为确保安全性，目前采用VPN方式打通互联网至企业内网的方式访问相关业务APP。

在实际使用过程中，装维场景下由于装维员使用时因物理环境、网络频繁切换等原因导致掉线问题严重，对办公效率和使用体验影响较大。另根据中国电信集团《关于印发中国电信云网安全运营管理实施要求（试行）的通知》（中国电信云运〔2020〕56号）和《关于征求2021-2023年云网安全能力建设滚动规划意见的通知）》（中国电信云运【2020】0169）文件要求，“建立覆盖网络、云、应用、数据和终端的内生安全防护体系，从被动防御向主动防御演进，逐步建立基于“零信任”架构的认证授权机制，提升安全风险获悉能力和处置效率”。为此某电信准备启动零信任网络访问方式来解决现有VPN的不稳定性带来的困扰，重点围绕装维场景下，提高装维人员提高移动办公的体验，更加完善移动办公的能力水平，提升移动办公的安全性。

针对某电信管理、销售、运维、装维等生产经营活动场景下日常办公中出现的种种安全问题和易用性需求，建立零信任移动APP安全防护平台，力求解决当下业务系统的访问控制存在的安全问题，从而更好的规避人员日常访问业务系统带来的安全风险，并符合国家信息安全、集团公司安全基线的规范要求。

客户面临的问题：

（1）移动办公接入稳定性面临挑战

某电信约5000名装维员通过VPN登录翼装维APP进行办公，每天出现大量访问掉线与不稳定反馈，亟待解决装维人员移动办公体验；

移动OA、手机经分、智慧运维APP等省、市公司领导、中层管理、运维等2000余名工作人员在保障网络信息安全的前提下，同样需提高应用使用感知；

以上移动办公APP产品均计划通过零信任产品访问可解决掉线与不稳定性问题，提升移动办公信息化能力。

（2）两步认证，登录繁琐，使用体验差

对业务APP进行集成零信任/SDP SDK重封装，实现一点登录，后台实现打通网络和身份认证操作，直接访问内部相关业务系统资源，简化了登录流程。

（3）增强移动APP自身安全性

具备最小化授权功能，系统管理员在移动APP安全防护平台管控中心可以设置用户名及用户权限等级等，从而加强客户端系统运行环境的安全性，保护数据和信息的安全，实现对常见网络攻击的防护。

1.2. 方案概述和应用场景

移动APP安全防护平台按照可信零信任客户端、管控中心、安全网关三部分设计。

Ø 客户端：

主要面向企业办公场景，为保护数据安全、提升工作效率而设计。在SDP客户端用来做终端安全准入，包括硬件信息，软件信息，生物身份等。支持PC端和移动端用户使用，PC客户端形态为C/S客户端，移动客户端形态为移动端SDK，应用系统APP通过集成SDK实现安全能力和一步身份验证与APP统一登录。

Ø 管控中心：

用来对所有的客户端进行管理，制定安全接入策略、权限控制、资源访问策略、以及操作行为审计。可通过管控中心实现与现有4A管控平台的对接，实现账号、权限、业务资源、审计能力的共享。

Ø 安全网关：

实现网络隐身、网络代理、加密通信，对业务系统的访问都是要经过安全网关的验证和过滤。

通过客户端与管控中心、安全网关的联动，实现客户端的安全接入、资源的最小授权管控能力。

移动APP安全防护平台接入业务流程如下：

1) 客户端向管控中心发送访问请求。

2) 管控中心验证用户信息，返回授权、网关信息、策略信息；同时，管控中心将用户信息、策略信息发给安全网关。

3) 客户端带着授权向安全网关发送访问请求。

4) 安全网关检查从管控中心获取的安全策略，验证客户端授权，建立双向加密链接。

1.3. 优势特点和应用价值

移动APP安全防护平台，通过新一代SDP网络隐身技术，重塑企业安全边界，让企业应用“隐身”于互联网之中，让黑客无从发起攻击，实现基于用户身份的安全接入，有效保护企业的数据资产，通过基于4A以身份为中心的动态访问控制，核心技术包括以身份为中心、业务安全访问、持续风险评估和动态访问控制，构建动态可信的安全访问平台，作为访问主体和访问客体之间的安全桥梁，保障新IT架构下的主体对客体应用、业务、数据访问的安全可信。

移动APP安全防护平台具有如下的能力：

Ø 终端可信

验证终端组件完备、工作正常、设备指纹无误，阻止带病入网，验证是否为注册终端，阻止非法接入；

Ø 通道可信

安全网关实现网络隐身，采用加密连接与传输协议，传输内容无明文数据；

Ø 身份可信

对接某电信4A认证系统（用户名、密码、短信验证码），融合SDP零信任智能多因子认证，包括客户端私有密钥、设备指纹、IP地址、生物身份等。

Ø 持续在线

保持终端始终在线，在非人为主动结束连接请求的情况下始终在线，并具备自动重连机制，在网络切换或者信号不佳恢复信号时自动重连。

1.4. 经验总结

某电信用户量较大，日常操作难免会遇到问题，因此对于客户的运维人员来讲，培训十分重要。

云深互联按照用户需求会提供管理员手册，并安排相关人员对用户进行培训，以确保用户运维人员能管理、操作、维护本系统，以及系统正常运行和相关业务的顺利开展。

云深互联在实施过程中会向用户人员进行知识转移。在用户运维人员具备良好的学习能力和学习态度的前提下，知识转移使用户管理维护人员具备独立的进行管理、故障处理、日常测试和维护等工作的能力。