近年來，遠程辦公從企業(yè)的應(yīng)急方案逐步轉(zhuǎn)變?yōu)槌B(tài)化選擇，越來越多的企業(yè)借助遠程辦公提高業(yè)務(wù)效率、拓展業(yè)務(wù)場景、豐富業(yè)務(wù)形態(tài)，越來越多的打工人選擇在各種地點，用各種設(shè)備、網(wǎng)絡(luò)接入企業(yè)內(nèi)網(wǎng)，訪問各種業(yè)務(wù)應(yīng)用。

遠程辦公雖好，隨之而來的安全問題卻成了懸在企業(yè)頭上的“達摩克利斯之劍”，讓企業(yè)倍感頭疼。大到跨國企業(yè)，小至初創(chuàng)公司，無不面臨著以下五大安全挑戰(zhàn)。

遠程辦公五大安全挑戰(zhàn)

企業(yè)面臨的安全挑戰(zhàn)貫穿遠程辦公的全流程，涵蓋網(wǎng)絡(luò)、設(shè)備、身份、權(quán)限、數(shù)據(jù)五個層面。

1.網(wǎng)絡(luò)層面：如何保證應(yīng)用的安全性？

遠程辦公中，員工需要通過互聯(lián)網(wǎng)訪問企業(yè)內(nèi)網(wǎng)中的業(yè)務(wù)應(yīng)用。如果業(yè)務(wù)應(yīng)用的IP、端口對外開放，或者數(shù)據(jù)傳輸鏈路不經(jīng)加密，極易成為黑客的突破口。因此，企業(yè)在網(wǎng)絡(luò)層面需要解決三大難題：

如何收斂業(yè)務(wù)應(yīng)用的互聯(lián)網(wǎng)暴露面，減少遭受網(wǎng)絡(luò)攻擊的風險？

如何保證數(shù)據(jù)在互聯(lián)網(wǎng)上安全傳輸，防范數(shù)據(jù)被截獲或篡改？

如何隔離內(nèi)網(wǎng)服務(wù)與互聯(lián)網(wǎng)服務(wù)，避免終端設(shè)備同時訪問內(nèi)網(wǎng)與互聯(lián)網(wǎng)時，病毒通過外部流量滲透至核心業(yè)務(wù)系統(tǒng)？

2.設(shè)備層面：如何保證設(shè)備的合法性？

當前，BYOD（自帶設(shè)備辦公）已經(jīng)成為常態(tài)，這導(dǎo)致遠程辦公設(shè)備愈發(fā)碎片化，設(shè)備的合法性難以驗證。為了提升對終端設(shè)備的管控能力，企業(yè)需要解決三個問題：

如何準確標識終端設(shè)備，杜絕惡意設(shè)備偽裝成合法終端入侵企業(yè)內(nèi)網(wǎng)？

如何全程監(jiān)測終端威脅態(tài)勢，識別未安裝殺毒軟件、開啟遠程控制軟件、存在非法進程等終端安全風險？

如何限制設(shè)備濫用，防范同一設(shè)備多人共用或超量登錄？

3.身份層面：如何保證身份的真實性？

在身份層面，企業(yè)需要提高身份認證的安全性，消除弱密碼、密碼重復(fù)使用等安全風險：

如何實施全局多因素認證，應(yīng)對網(wǎng)絡(luò)釣魚、撞庫攻擊等針對身份憑證的網(wǎng)絡(luò)攻擊？

如何實現(xiàn)動態(tài)認證，在保證身份認證安全性的同時優(yōu)化員工操作體驗？

4.權(quán)限層面：如何保證授權(quán)的合理性？

VPN等傳統(tǒng)遠程辦公解決方案普遍存在過度授權(quán)、權(quán)限管理粗放等問題。企業(yè)想要提升訪問控制能力，需要雙管齊下：

如何在對業(yè)務(wù)應(yīng)用低改造甚至無改造的情況下，提升業(yè)務(wù)應(yīng)用的訪問控制能力？

如何基于角色、屬性實現(xiàn)細粒度授權(quán)，針對不同人群實施不同的權(quán)限管理策略？

如何綜合設(shè)備、IP、時間、行為等風險因素持續(xù)評估訪問安全性，實施自適應(yīng)動態(tài)授權(quán)？

5.數(shù)據(jù)層面：如何保證數(shù)據(jù)的可控性？

遠程辦公場景下，數(shù)據(jù)走出了內(nèi)網(wǎng)，流轉(zhuǎn)路徑更加復(fù)雜。企業(yè)面臨三大數(shù)據(jù)安全痛點：

如何防范截屏、復(fù)制、外發(fā)等操作導(dǎo)致的敏感信息泄露？

如何保證數(shù)據(jù)在終端設(shè)備中安全存儲？

如何保證數(shù)據(jù)的可追溯性，在數(shù)據(jù)泄露后高效追蹤責任主體？

芯盾時代零信任業(yè)務(wù)安全平臺SDP

針對企業(yè)面臨的遠程辦公安全挑戰(zhàn)，芯盾時代以零信任理念為指引，以軟件定義邊界為架構(gòu)，以自主研發(fā)的核心技術(shù)為支撐，打造了零信任業(yè)務(wù)安全平臺（SDP），助力企業(yè)多、快、好、省的建立、升級遠程辦公系統(tǒng)。

在架構(gòu)上，芯盾時代SDP采用軟件定義的方式，將控制器與網(wǎng)關(guān)分離，在安全性、可用性、擴展性、適配性上具備天然優(yōu)勢。在功能上，芯盾時代SDP采用All in One設(shè)計，從網(wǎng)絡(luò)、設(shè)備、身份、權(quán)限、數(shù)據(jù)五個維度，為企業(yè)一站式建立零信任網(wǎng)絡(luò)訪問系統(tǒng)，對每一次業(yè)務(wù)訪問實施全程的、動態(tài)的、細粒度的訪問控制，讓遠程辦公更加安全。

借助芯盾時代SDP，企業(yè)能夠輕松應(yīng)對遠程辦公的安全挑戰(zhàn)：

1.收斂應(yīng)用暴露面，內(nèi)網(wǎng)外網(wǎng)強隔離

在網(wǎng)絡(luò)層面，芯盾時代SDP準備了網(wǎng)絡(luò)隱身、加密傳輸和網(wǎng)絡(luò)隔離三重保險。借助流量代理技術(shù)，SDP網(wǎng)關(guān)統(tǒng)一代理業(yè)務(wù)應(yīng)用訪問流量，訪問者不直接與應(yīng)用建立連接，實現(xiàn)業(yè)務(wù)應(yīng)用的“網(wǎng)絡(luò)隱身”；借助SPA單包授權(quán)技術(shù)，對所有連接網(wǎng)關(guān)的設(shè)備進行預(yù)認證，不通過認證不開放端口，實現(xiàn)網(wǎng)關(guān)的“網(wǎng)絡(luò)隱身”。

借助加密傳輸功能，芯盾時代SDP能夠在客戶端與網(wǎng)關(guān)之間建立加密隧道，保證數(shù)據(jù)通過互聯(lián)網(wǎng)安全傳輸。加密隧道采用國密算法，讓數(shù)據(jù)傳輸更加安全可控。

借助網(wǎng)絡(luò)隔離技術(shù)，用戶登錄客戶端訪問內(nèi)網(wǎng)服務(wù)時，禁止其終端設(shè)備訪問互聯(lián)網(wǎng)，避免終端設(shè)備上網(wǎng)時感染病毒。

2.終端安全強管控，非法設(shè)備不準入

憑借自主研發(fā)的設(shè)備指紋技術(shù)，企業(yè)能夠通過芯盾時代SDP的客戶端，精準標識設(shè)備身份，發(fā)現(xiàn)非常用設(shè)備登錄、多用戶通過同一設(shè)備登錄等風險行為，限制單個用戶最多使用的設(shè)備數(shù)量，還能夠在攻防演練期間開啟設(shè)備審批功能，禁止不可信設(shè)備接入系統(tǒng)。

憑借終端威脅態(tài)勢感知技術(shù)，企業(yè)能夠識別終端設(shè)備是否安裝了殺毒軟件，是否存在遠程控制軟件、模擬器、程序雙開、攻擊框架、Root/越獄等風險，是否加入指定域控。在訪問過程中，客戶端持續(xù)監(jiān)測終端安全態(tài)勢、用戶的操作行為，為安全控制中心提供終端側(cè)的風險信息。

3.實施多因素認證，認證安全體驗佳

芯盾時代在IAM市場占有率穩(wěn)居前三，技術(shù)能力行業(yè)領(lǐng)先，芯盾時代SDP也由此具備了強大的身份安全能力。借助SDP的客戶端App，企業(yè)能夠一站式實現(xiàn)全局多因素認證，消除弱密碼、密碼重復(fù)使用帶來的安全隱患，還能夠針對特定用戶、應(yīng)用、設(shè)備、IP，實施自適應(yīng)增強認證，兼顧網(wǎng)絡(luò)安全與用戶體驗。

同時，芯盾時代SDP全面支持各種身份認證協(xié)議，兼容釘釘、微信、飛書等認證源，能夠與企業(yè)原有身份管理系統(tǒng)無縫融合。借助單點登錄功能和統(tǒng)一應(yīng)用門戶，企業(yè)能夠為員工提供更優(yōu)的登錄體驗，實現(xiàn)“一次認證、全網(wǎng)通行”。

4. 權(quán)限管理更精細，動態(tài)控制更安全

為了落實零信任“最小化授權(quán)”原則，芯盾時代首創(chuàng)零信任切面安全能力，無改造的為業(yè)務(wù)系統(tǒng)注入安全能力，將權(quán)限管理能力細化至URL級，幫助企業(yè)全面提升訪問控制能力。

芯盾時代SDP支持多種權(quán)限管理模型，企業(yè)能夠針對內(nèi)部員工與外部分員工、各個部門與臨時項目組的不同角色，授予不同的訪問權(quán)限，實現(xiàn)對訪問權(quán)限的差異化、精細化管理。

在訪問控制上，SDP提供多種風險策略模型，企業(yè)能夠根據(jù)自身需求靈活定義模型，綜合設(shè)備、IP、時間、行為、賬號、位置等維度的風險信息，對每一次訪問實施動態(tài)訪問控制，實現(xiàn)“安全訪問全程無感，不確定訪問強化認證，不安全訪問直接拒絕”。

5.數(shù)據(jù)安全三把鎖，保證數(shù)據(jù)不泄露

在數(shù)據(jù)安全上，芯盾時代SDP具備安全工作空間、數(shù)據(jù)脫敏、Web水印三大功能。借助芯盾時代SDP客戶端，企業(yè)可以在終端設(shè)備中構(gòu)建與本地空間完全隔離的安全工作空間，實現(xiàn)“數(shù)據(jù)不落地”，并實施禁止復(fù)制、禁止截屏、禁止打印、外發(fā)審批等行為管控。芯盾時代自主研發(fā)的密碼技術(shù)，保證工作空間內(nèi)的數(shù)據(jù)加密存儲，避免數(shù)據(jù)被竊取、破譯。

在數(shù)據(jù)脫敏技術(shù)的加持下，企業(yè)可以對業(yè)務(wù)應(yīng)用中的手機號、銀行卡、身份證號等敏感數(shù)據(jù)進行脫敏，脫敏內(nèi)容、脫敏長度、脫敏用戶由企業(yè)自定義。針對Web應(yīng)用，芯盾時代SDP可以在無改造的情況下為Web頁面添加水印，對用戶進行安全教育、安全震懾和安全追溯，降低拍照截屏外發(fā)風險。

如果你也想讓每一名員工在任何時間、地點，用任何網(wǎng)絡(luò)和設(shè)備，安全便捷的進行遠程辦公，芯盾時代零信任業(yè)務(wù)安全平臺（SDP）是你的不二之選。