芯盾时代助力企业应对远程办公安全挑战

近年来，远程办公从企业的应急方案逐步转变为常态化选择，越来越多的企业借助远程办公提高业务效率、拓展业务场景、丰富业务形态，越来越多的打工人选择在各种地点，用各种设备、网络接入企业内网，访问各种业务应用。

远程办公虽好，随之而来的安全问题却成了悬在企业头上的“达摩克利斯之剑”，让企业倍感头疼。大到跨国企业，小至初创公司，无不面临着以下五大安全挑战。

远程办公五大安全挑战

企业面临的安全挑战贯穿远程办公的全流程，涵盖网络、设备、身份、权限、数据五个层面。

1.网络层面：如何保证应用的安全性？

远程办公中，员工需要通过互联网访问企业内网中的业务应用。如果业务应用的IP、端口对外开放，或者数据传输链路不经加密，极易成为黑客的突破口。因此，企业在网络层面需要解决三大难题：

如何收敛业务应用的互联网暴露面，减少遭受网络攻击的风险？

如何保证数据在互联网上安全传输，防范数据被截获或篡改？

如何隔离内网服务与互联网服务，避免终端设备同时访问内网与互联网时，病毒通过外部流量渗透至核心业务系统？

2.设备层面：如何保证设备的合法性？

当前，BYOD（自带设备办公）已经成为常态，这导致远程办公设备愈发碎片化，设备的合法性难以验证。为了提升对终端设备的管控能力，企业需要解决三个问题：

如何准确标识终端设备，杜绝恶意设备伪装成合法终端入侵企业内网？

如何全程监测终端威胁态势，识别未安装杀毒软件、开启远程控制软件、存在非法进程等终端安全风险？

如何限制设备滥用，防范同一设备多人共用或超量登录？

3.身份层面：如何保证身份的真实性？

在身份层面，企业需要提高身份认证的安全性，消除弱密码、密码重复使用等安全风险：

如何实施全局多因素认证，应对网络钓鱼、撞库攻击等针对身份凭证的网络攻击？

如何实现动态认证，在保证身份认证安全性的同时优化员工操作体验？

4.权限层面：如何保证授权的合理性？

VPN等传统远程办公解决方案普遍存在过度授权、权限管理粗放等问题。企业想要提升访问控制能力，需要双管齐下：

如何在对业务应用低改造甚至无改造的情况下，提升业务应用的访问控制能力？

如何基于角色、属性实现细粒度授权，针对不同人群实施不同的权限管理策略？

如何综合设备、IP、时间、行为等风险因素持续评估访问安全性，实施自适应动态授权？

5.数据层面：如何保证数据的可控性？

远程办公场景下，数据走出了内网，流转路径更加复杂。企业面临三大数据安全痛点：

如何防范截屏、复制、外发等操作导致的敏感信息泄露？

如何保证数据在终端设备中安全存储？

如何保证数据的可追溯性，在数据泄露后高效追踪责任主体？

芯盾时代零信任业务安全平台SDP

针对企业面临的远程办公安全挑战，芯盾时代以零信任理念为指引，以软件定义边界为架构，以自主研发的核心技术为支撑，打造了零信任业务安全平台（SDP），助力企业多、快、好、省的建立、升级远程办公系统。

在架构上，芯盾时代SDP采用软件定义的方式，将控制器与网关分离，在安全性、可用性、扩展性、适配性上具备天然优势。在功能上，芯盾时代SDP采用All in One设计，从网络、设备、身份、权限、数据五个维度，为企业一站式建立零信任网络访问系统，对每一次业务访问实施全程的、动态的、细粒度的访问控制，让远程办公更加安全。

借助芯盾时代SDP，企业能够轻松应对远程办公的安全挑战：

1.收敛应用暴露面，内网外网强隔离

在网络层面，芯盾时代SDP准备了网络隐身、加密传输和网络隔离三重保险。借助流量代理技术，SDP网关统一代理业务应用访问流量，访问者不直接与应用建立连接，实现业务应用的“网络隐身”；借助SPA单包授权技术，对所有连接网关的设备进行预认证，不通过认证不开放端口，实现网关的“网络隐身”。

借助加密传输功能，芯盾时代SDP能够在客户端与网关之间建立加密隧道，保证数据通过互联网安全传输。加密隧道采用国密算法，让数据传输更加安全可控。

借助网络隔离技术，用户登录客户端访问内网服务时，禁止其终端设备访问互联网，避免终端设备上网时感染病毒。

2.终端安全强管控，非法设备不准入

凭借自主研发的设备指纹技术，企业能够通过芯盾时代SDP的客户端，精准标识设备身份，发现非常用设备登录、多用户通过同一设备登录等风险行为，限制单个用户最多使用的设备数量，还能够在攻防演练期间开启设备审批功能，禁止不可信设备接入系统。

凭借终端威胁态势感知技术，企业能够识别终端设备是否安装了杀毒软件，是否存在远程控制软件、模拟器、程序双开、攻击框架、Root/越狱等风险，是否加入指定域控。在访问过程中，客户端持续监测终端安全态势、用户的操作行为，为安全控制中心提供终端侧的风险信息。

3.实施多因素认证，认证安全体验佳

芯盾时代在IAM市场占有率稳居前三，技术能力行业领先，芯盾时代SDP也由此具备了强大的身份安全能力。借助SDP的客户端App，企业能够一站式实现全局多因素认证，消除弱密码、密码重复使用带来的安全隐患，还能够针对特定用户、应用、设备、IP，实施自适应增强认证，兼顾网络安全与用户体验。

同时，芯盾时代SDP全面支持各种身份认证协议，兼容钉钉、微信、飞书等认证源，能够与企业原有身份管理系统无缝融合。借助单点登录功能和统一应用门户，企业能够为员工提供更优的登录体验，实现“一次认证、全网通行”。

4. 权限管理更精细，动态控制更安全

为了落实零信任“最小化授权”原则，芯盾时代首创零信任切面安全能力，无改造的为业务系统注入安全能力，将权限管理能力细化至URL级，帮助企业全面提升访问控制能力。

芯盾时代SDP支持多种权限管理模型，企业能够针对内部员工与外部分员工、各个部门与临时项目组的不同角色，授予不同的访问权限，实现对访问权限的差异化、精细化管理。

在访问控制上，SDP提供多种风险策略模型，企业能够根据自身需求灵活定义模型，综合设备、IP、时间、行为、账号、位置等维度的风险信息，对每一次访问实施动态访问控制，实现“安全访问全程无感，不确定访问强化认证，不安全访问直接拒绝”。

5.数据安全三把锁，保证数据不泄露

在数据安全上，芯盾时代SDP具备安全工作空间、数据脱敏、Web水印三大功能。借助芯盾时代SDP客户端，企业可以在终端设备中构建与本地空间完全隔离的安全工作空间，实现“数据不落地”，并实施禁止复制、禁止截屏、禁止打印、外发审批等行为管控。芯盾时代自主研发的密码技术，保证工作空间内的数据加密存储，避免数据被窃取、破译。

在数据脱敏技术的加持下，企业可以对业务应用中的手机号、银行卡、身份证号等敏感数据进行脱敏，脱敏内容、脱敏长度、脱敏用户由企业自定义。针对Web应用，芯盾时代SDP可以在无改造的情况下为Web页面添加水印，对用户进行安全教育、安全震慑和安全追溯，降低拍照截屏外发风险。

如果你也想让每一名员工在任何时间、地点，用任何网络和设备，安全便捷的进行远程办公，芯盾时代零信任业务安全平台（SDP）是你的不二之选。