【方案背景】

在疫情防控常态化形势下，针对某金融公司远程办公展业的安全接入需求，基于零信任安全框架提供网络安全和数据安全保障能力，通过应用安全容器、零信任SDP接入、统一身份认证与管理等新安全技术，在为员工访问公司内部应用服务和数据资源提供便捷的同时，还可以有效控制应用服务遭受互联网恶意攻击、办公及业务数据在传输和终端使用环节的非法泄露等安全风险，以及实现对公司员工的统一身份安全治理，确立员工唯一的真实身份标识，最大限度降低应用账号口令风险。本项目为公司各项远程非现场办公和展业提供了坚实的网络安全保障，在新冠疫情期间确保公司每个员工非现场远程办公展业的安全需求。本项目提供普适性的企业远程办公展业安全基础底座，为公司各类办公应用的快速投产和推广，实现快速安全赋能和效率提升，提供了有力支撑，有效降低远程办公过程中的安全风险。目前，本项目已发布了适配各主流终端平台的10+个应用，用户覆盖公司全体员，数量达2000+人。

【应用场景】

本项目以“云-管-端”模式构建的涵盖终端安全沙箱、零信任边界安全访问控制和安全策略管理的三位一体、立体纵深的综合安全管控平台。

主端统一构建面向远程非现场办公/业务的集中安全平台，提供统一的安全管控能力，一致有效控制远程非现场场景下各种办公/业务的用户安全接入、服务暴露面扩大、业务数据泄露、缺乏身份标准规范、用户身份混乱、僵尸账号等安全风险。

端侧提供基于统一身份认证及安全沙箱技术的客户端，保证数据的防泄漏，在提供网络安全和数据安全保障能力的同时，兼顾良好的员工与用户使用体验，并且不得侵犯员工/用户终端上的个人隐私，即使在远程非现场场景下，统一实现用户可信接入、服务暴露面收敛、以及数据安全传输等一系列安全服务。

最后，由统一安全管理平台和派拉统一身份认证平台完成整体安全能力的管理和下达，实现通过构建自动化、高效率、全周期管控的统一身份认证（IAM）平台，为公司员工访问各应用系统提供统一的身份认证入口，支持多种基础安全认证方式，可为各应用系统提供统一的用户身份数据标准，提高身份数据的规范性，准确性；可为员工提供多身份因素认证、多门户展示、密码修改、个人信息修改、密码找回、帐户解锁、帐号权限分级管理等统一身份管理服务。

项目实施过程中，通过移动端安全沙箱技术、PC端安全沙箱技术、自动容器化技术、零信任SDP安全接入技术等多项创新技术，以零信任身份治理解决方案为基石，通过整合UEBA技术和多因素认证技术，以及基于属性的访问控制机制，提供动态、实时、不间断、自我学习的风险识别能力，访问的拦截阻断能力，并实现识别风险及各项技术升级认证。

【优势】

为满足国家数据安全的相关条例及公司对内部敏感数据的安全要求，公司建设本项目实现公司远程非现场内部办公/业务应用的一站式安全管控。

前期通过扎实的准备工作，在国内新冠疫情爆发期间，第一时间满足了员工的远程非现场的办公需求。已在公司本地化私有应用商店发布了包括企业钉钉、EHR、移动展业APP、领导驾驶舱、投行APP等10+个APP应用，全司范围内安装使用的用户数量达到2000+人，安装的设备数量达到2500+台，月活跃设备数为1100+台。

本项目可以全面支持公司员工远程非现场办公展业的安全应用，该平台提供统一的移动终端和PC终端一体化安全接入、终端数据流转控制、安全应用交付、统一身份认证、单点登录、终端设备上个人空间和公司办公空间的安全隔离，以及满足合规要求的移动接入安全审计功能要求。

本项目上线后，除了SDP客户端在移动端Android/Ios平台大版本升级后，存在部分兼容性问题，经过及时版本迭代后均可以解决。本项目自上线以来，未遇到其他类型网络安全威胁。