隨著移動互聯(lián)網(wǎng)、云計算、智能終端的全面普及，遠(yuǎn)程辦公成為了金融機(jī)構(gòu)的常態(tài)。遠(yuǎn)程辦公提升了金融業(yè)務(wù)的效率、豐富了業(yè)務(wù)渠道、拓展了業(yè)務(wù)場景，受到了金融機(jī)構(gòu)的歡迎。但是，在遠(yuǎn)程辦公中總會出現(xiàn)一些安全問題，讓金融機(jī)構(gòu)提心吊膽，擔(dān)心黑客會順著網(wǎng)線摸進(jìn)內(nèi)網(wǎng)，給企業(yè)造成重大損失，比如——

金融機(jī)構(gòu)的業(yè)務(wù)應(yīng)用多、專業(yè)性強(qiáng)，應(yīng)用的開發(fā)、維護(hù)離不開外包人員的支持。但是，外包人員難以管控，VPN等傳統(tǒng)遠(yuǎn)程接入方案普遍存在身份認(rèn)證不安全、權(quán)限管理不細(xì)致的問題。一旦外包人員賬號被竊取，黑客就能直接進(jìn)入內(nèi)網(wǎng)、隨意橫移，后果不堪設(shè)想。

移動展業(yè)所使用的終端設(shè)備雖然由金融機(jī)構(gòu)統(tǒng)一派發(fā)，但是實(shí)際應(yīng)用中，金融機(jī)構(gòu)難以掌握終端設(shè)備的安全狀態(tài)，用戶使用行為不可控、應(yīng)用訪問不可控……非常容易成為攻擊者的突破口。

金融機(jī)構(gòu)的業(yè)務(wù)應(yīng)用中有大量敏感數(shù)據(jù)，如用戶電話、身份證號、銀行卡號。這些數(shù)據(jù)不但是黑客的重要目標(biāo)，還容易遭到“內(nèi)鬼”泄密。一旦爆發(fā)數(shù)據(jù)泄露事件，金融機(jī)構(gòu)不但要面臨巨額罰款，商譽(yù)也會受到損害……

面對這些安全問題，金融機(jī)構(gòu)迫切需要更安全、更便捷、更可控的遠(yuǎn)程辦公解決方案，保障自身業(yè)務(wù)安全和網(wǎng)絡(luò)安全，為員工提供更好的辦公體驗(yàn)，滿足監(jiān)管機(jī)構(gòu)的合規(guī)要求。

金融行業(yè)遠(yuǎn)程辦公的安全挑戰(zhàn)

當(dāng)前，金融機(jī)構(gòu)的業(yè)務(wù)模式、IT架構(gòu)都發(fā)生了深刻變化。在建設(shè)遠(yuǎn)程辦公系統(tǒng)時，金融機(jī)構(gòu)需要面對以下幾個方面的挑戰(zhàn)：

如何實(shí)現(xiàn)“邊界模糊化”網(wǎng)絡(luò)環(huán)境下的安全接入?

隨著金融機(jī)構(gòu)基礎(chǔ)設(shè)施云化、業(yè)務(wù)互聯(lián)網(wǎng)化和辦公移動化，不同角色的人員需要在任意時間、地點(diǎn)，用不同的網(wǎng)絡(luò)和設(shè)備，訪問業(yè)務(wù)資源。在分支機(jī)構(gòu)組網(wǎng)、內(nèi)部員工遠(yuǎn)程辦公、運(yùn)維人員遠(yuǎn)程運(yùn)維，以及外包人員遠(yuǎn)程開發(fā)、合作伙伴遠(yuǎn)程訪問等場景下，人、業(yè)務(wù)、數(shù)據(jù)開始走出內(nèi)網(wǎng)，內(nèi)網(wǎng)與外網(wǎng)之間的安全邊界逐漸模糊，業(yè)務(wù)資源在互聯(lián)網(wǎng)上的暴露面增大，帶來了新的安全風(fēng)險。

以VPN為代表的傳統(tǒng)遠(yuǎn)程接入解決方案，一則IP、端口公開，無法幫助金融機(jī)構(gòu)收斂資源暴露面，二則存在過度信任、靜態(tài)授權(quán)的問題，無法實(shí)現(xiàn)細(xì)粒度的動態(tài)訪問控制。在此背景下，金融機(jī)構(gòu)需要重新構(gòu)建網(wǎng)絡(luò)安全邊界，并基于新的邊界實(shí)施動態(tài)訪問控制，以保障遠(yuǎn)程辦公安全。

如何確保終端設(shè)備安全可控?

在移動展業(yè)、遠(yuǎn)程辦公中，金融無法完全掌控員工使用終端設(shè)備的安全狀態(tài)，BYOD的普及更是使這一問題雪上加霜。一旦分支機(jī)構(gòu)、內(nèi)部員工、外包人員使用的終端設(shè)備被攻破，將成為黑客進(jìn)入企業(yè)內(nèi)網(wǎng)的跳板，讓企業(yè)難以防范。

近年來，金融機(jī)構(gòu)積極推進(jìn)信創(chuàng)建設(shè)，引入了大量信創(chuàng)終端設(shè)備。這加劇了終端設(shè)備的碎片化，造成終端安全部分產(chǎn)品存在不適配的問題，增加了終端安全的不可控性。

由于傳統(tǒng)的遠(yuǎn)程辦公方案終端安全能力有限，金融機(jī)構(gòu)要么強(qiáng)制要求終端設(shè)備安裝EDR、殺毒軟件等安全軟件，要么在客戶端中集成其它廠商的殺毒軟件，導(dǎo)致占用資源過度，影響終端設(shè)備性能，使得員工的操作體驗(yàn)不佳。

如何保證敏感數(shù)據(jù)不被泄露?

金融機(jī)構(gòu)的業(yè)務(wù)應(yīng)用中，存儲著海量的敏感數(shù)據(jù)，時刻被黑客所覬覦。為了保障數(shù)據(jù)安全，很多金融機(jī)構(gòu)部署了數(shù)據(jù)防泄漏(DLP)產(chǎn)品，包括終端側(cè)的EDLP和網(wǎng)絡(luò)側(cè)的NDLP。但是，傳統(tǒng)DLP主要關(guān)注數(shù)據(jù)的外發(fā)行為，忽視了數(shù)據(jù)在訪問、傳輸、存儲中的安全問題。

在數(shù)據(jù)訪問場景下，金融機(jī)構(gòu)難以實(shí)現(xiàn)數(shù)據(jù)訪問的“最小化授權(quán)”，精準(zhǔn)控制數(shù)據(jù)的訪問范圍。在數(shù)據(jù)傳輸上，難以對數(shù)據(jù)進(jìn)行加密傳輸，保證信息的完整性、機(jī)密性。在存儲上，難以保證敏感數(shù)據(jù)在終端設(shè)備中的安全存儲，防范終端側(cè)的數(shù)據(jù)泄露。

如何滿足金融行業(yè)合規(guī)要求?

近年來，我國網(wǎng)絡(luò)安全和數(shù)據(jù)安全法律法規(guī)體系不斷完善，金融監(jiān)管部門的執(zhí)法力度與頻率不斷加大。金融機(jī)構(gòu)既要遵守《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護(hù)法》等法律法規(guī)的要求，還要執(zhí)行金融行業(yè)的《金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指引》、《金融數(shù)據(jù)安全 個人金融信息保護(hù)技術(shù)規(guī)范》、《關(guān)于加強(qiáng)銀行業(yè)保險業(yè)移動互聯(lián)網(wǎng)應(yīng)用程序管理的通知》等行業(yè)規(guī)章和標(biāo)準(zhǔn)，合規(guī)壓力不斷加大。2023年以來，多家金融機(jī)構(gòu)因網(wǎng)絡(luò)安全、數(shù)據(jù)安全問題被處罰，給全行業(yè)敲響了警鐘。

與此同時，金融行業(yè)的信息系統(tǒng)是關(guān)鍵信息基礎(chǔ)設(shè)施，是攻防演練重點(diǎn)關(guān)注的行業(yè)。如何在攻防演練中保證遠(yuǎn)程辦公正常開展，避免遠(yuǎn)程辦公系統(tǒng)被攻破，已經(jīng)成為金融機(jī)構(gòu)必須妥善處理的問題。

芯盾時代SDP，遠(yuǎn)程辦公新選擇

面對新的業(yè)務(wù)模式、新的網(wǎng)絡(luò)環(huán)境、新的安全挑戰(zhàn)，以VPN為代表的傳統(tǒng)遠(yuǎn)程接入方案已經(jīng)無法滿足金融機(jī)構(gòu)的遠(yuǎn)程辦公需求。芯盾時代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，以零信任理念為指引，以軟件定義邊界為架構(gòu)，以自主研發(fā)的核心技術(shù)為支撐，打造了零信任業(yè)務(wù)安全平臺(SDP)，助力金融機(jī)構(gòu)建立新型遠(yuǎn)程辦公體系。

在架構(gòu)上，芯盾時代SDP采用軟件定義的方式，將控制器與網(wǎng)關(guān)分離，在安全性、可用性上具備天然優(yōu)勢。金融機(jī)構(gòu)可以按照自身組織架構(gòu)、業(yè)務(wù)需求，以“1個控制器+N個網(wǎng)關(guān)”的方式靈活組網(wǎng)。SDP網(wǎng)關(guān)支持本地、云上多種部署模式，金融機(jī)構(gòu)能夠用一套系統(tǒng)實(shí)現(xiàn)多數(shù)據(jù)中心、多網(wǎng)絡(luò)域的遠(yuǎn)程接入，在低改造甚至0改造的情況下將應(yīng)用、設(shè)備與SDP對接，大幅縮減改造周期，降低部署成本，多、快、好、省的建立遠(yuǎn)程辦公系統(tǒng)。在功能上，芯盾時代SDP采用All in One設(shè)計，全面整合自主研發(fā)的全類型身份標(biāo)識技術(shù)、智能風(fēng)險度量技術(shù)、切面安全技術(shù)、終端密碼安全技術(shù)等核心技術(shù)，從網(wǎng)絡(luò)、設(shè)備、身份、權(quán)限、數(shù)據(jù)五個維度，為金融機(jī)構(gòu)構(gòu)建零信任安全架構(gòu)，對每一次業(yè)務(wù)訪問實(shí)施全程的、動態(tài)的、細(xì)粒度的動態(tài)訪問控制，一站式建立安全、便捷、合規(guī)的零信任網(wǎng)絡(luò)訪問系統(tǒng)，讓遠(yuǎn)程辦公更安全。借助芯盾時代SDP，金融機(jī)構(gòu)能從網(wǎng)絡(luò)、設(shè)備、身份、權(quán)限、數(shù)據(jù)五個維度，保證遠(yuǎn)程辦公的安全：

隱藏應(yīng)用暴露面，有效防范網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)掃描往往是網(wǎng)絡(luò)攻擊的第一步。只有掃描到了IP、端口信息，黑客才能確定攻擊入口和攻擊方式。VPN的IP、端口暴露于互聯(lián)網(wǎng)之上，而且普遍存在靜態(tài)認(rèn)證、授權(quán)過度的問題，一旦被黑客利用，后果不堪設(shè)想。芯盾時代SDP采用了網(wǎng)絡(luò)隱身、加密傳輸、網(wǎng)絡(luò)隔離三大技術(shù)，能夠幫助金融機(jī)構(gòu)實(shí)現(xiàn)業(yè)務(wù)應(yīng)用和網(wǎng)關(guān)自身的雙重隱藏，有效收斂資源暴露面，防范端口掃描、DDoS攻擊，避免黑客以設(shè)備為跳板攻擊內(nèi)網(wǎng)服務(wù)，杜絕“逢攻防演練、先關(guān)閉遠(yuǎn)程訪問”的尷尬。1.網(wǎng)絡(luò)隱身：芯盾時代SDP采用應(yīng)用代理和SPA單包授權(quán)技術(shù)，由網(wǎng)關(guān)統(tǒng)一代理業(yè)務(wù)應(yīng)用訪問流量，同時對所有連接網(wǎng)關(guān)的設(shè)備進(jìn)行預(yù)認(rèn)證，不通過認(rèn)證不開放端口，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用和網(wǎng)關(guān)雙重“隱身”，減少遭受網(wǎng)絡(luò)攻擊的風(fēng)險。2.加密傳輸：通過認(rèn)證后，芯盾時代SDP能在客戶端與網(wǎng)關(guān)之間建立加密隧道，保證數(shù)據(jù)通過互聯(lián)網(wǎng)安全傳輸。加密隧道采用國密算法，讓數(shù)據(jù)傳輸更加安全可控。

3.網(wǎng)絡(luò)隔離：在用戶登錄客戶端訪問內(nèi)網(wǎng)服務(wù)時，禁止其終端設(shè)備訪問互聯(lián)網(wǎng)，避免終端設(shè)備上網(wǎng)時感染病毒，以設(shè)備為跳板攻擊內(nèi)網(wǎng)服務(wù)。

把好終端安全關(guān)，隱患設(shè)備早隔離

終端設(shè)備作為遠(yuǎn)程辦公的載體，其安全性是確保遠(yuǎn)程辦公安全的關(guān)鍵所在。芯盾時代基于自主研發(fā)的終端安全產(chǎn)品線，賦予了SDP客戶端一體化的安全能力。在PC端和移動端，用戶只需安裝一個客戶端，就能實(shí)現(xiàn)多因素認(rèn)證、終端身份校驗(yàn)、終端安全基線核查、終端威脅態(tài)勢感知、App加固、數(shù)據(jù)防泄漏等功能，打造安全的遠(yuǎn)程辦公操作環(huán)境。

1.終端身份校驗(yàn)：憑借設(shè)備指紋技術(shù)，金融機(jī)構(gòu)能夠通過SDP客戶端，精準(zhǔn)標(biāo)識設(shè)備身份，發(fā)現(xiàn)非常用設(shè)備登錄、多用戶通過同一設(shè)備登錄等風(fēng)險行為，限制單個用戶最多使用的設(shè)備數(shù)量，還能夠在攻防演練中開啟設(shè)備審批功能，禁止不可信設(shè)備接入系統(tǒng)。

2.終端環(huán)境檢測：憑借終端威脅態(tài)勢感知技術(shù)，SDP客戶端能夠識別終端設(shè)備是否安裝了殺毒軟件，是否存在遠(yuǎn)程控制軟件、模擬器、程序雙開、攻擊框架、Root/越獄等風(fēng)險，是否加入指定域控，是否安裝了操作系統(tǒng)補(bǔ)丁。在訪問過程中，客戶端持續(xù)檢測終端安全態(tài)勢、用戶的操作行為，為安全控制中心提供終端側(cè)的風(fēng)險信息。

3.APP加固：在移動端，SDP客戶端可以以SDK形式，集成在泛微、致遠(yuǎn)、藍(lán)凌或金融機(jī)構(gòu)自建的App移動辦公之中，既能幫助金融機(jī)構(gòu)將移動辦公入口收縮至內(nèi)網(wǎng)，縮小資源暴露面，還對移動辦公App進(jìn)行安全加固，防范惡意篡改、病毒/木馬植入等風(fēng)險，滿足金融機(jī)構(gòu)移動展業(yè)、移動辦公的需求。

4.全系統(tǒng)適配：在PC端，SDP客戶端全面適配windows、macOS、Linux等操作系統(tǒng)，以及UOS、中標(biāo)麒麟、銀河麒麟、深度等國產(chǎn)操作系統(tǒng);在PC端，適配iOS、Android系統(tǒng)。憑借全面的適配性，芯盾時代SDP能夠在碎片化的終端環(huán)境下，幫助金融機(jī)構(gòu)實(shí)施統(tǒng)一的終端管控策略，筑牢終端安全防線。

實(shí)施多因素認(rèn)證，身份認(rèn)證更安全

零信任的本質(zhì)是以“身份”為核心實(shí)施細(xì)粒度的動態(tài)訪問控制。芯盾時代在IAM市場占有率穩(wěn)居前三，技術(shù)能力行業(yè)領(lǐng)先，芯盾時代SDP也由此具備了強(qiáng)大的身份安全能力，能夠幫助金融機(jī)構(gòu)提升身份安全能力，消除網(wǎng)絡(luò)釣魚、撞庫攻擊、弱密碼帶來的安全風(fēng)險。

1.多因素認(rèn)證：借助芯盾時代SDP，金融機(jī)構(gòu)能夠一站式實(shí)施全局多因素認(rèn)證，為員工提供短信驗(yàn)證碼、動態(tài)口令、App掃碼、指紋識別、人臉識別、企業(yè)微信/釘釘/飛書認(rèn)證等多種認(rèn)證方式，提升身份認(rèn)證的安全性和便捷性。借助統(tǒng)一應(yīng)用門戶和單點(diǎn)登錄功能，員工能夠通過一個門戶直接訪問權(quán)限內(nèi)的業(yè)務(wù)應(yīng)用，實(shí)現(xiàn)“一次認(rèn)證、全網(wǎng)通行”。

2.動態(tài)認(rèn)證：芯盾時代SDP能夠綜合身份、設(shè)備、IP、時間、行為、位置等因素，對每一次訪問全程進(jìn)行實(shí)時的風(fēng)險評估，根據(jù)風(fēng)險級別自適應(yīng)執(zhí)行身份認(rèn)證、訪問控制策略。在身份認(rèn)證上，SDP能夠根據(jù)風(fēng)險評估結(jié)果動態(tài)調(diào)整認(rèn)證策略，自適應(yīng)執(zhí)行免認(rèn)證、默認(rèn)認(rèn)證、增強(qiáng)認(rèn)證、禁止登錄等策略，在保證安全的前提下，優(yōu)化員工的操作體驗(yàn)。

落實(shí)“最小化授權(quán)”，風(fēng)險訪問全阻斷

VPN等傳統(tǒng)遠(yuǎn)程辦公方案，普遍存在靜態(tài)授權(quán)、過度授權(quán)的問題。黑客一旦侵入內(nèi)網(wǎng)，就能夠越權(quán)訪問，在內(nèi)網(wǎng)橫向移動，給金融機(jī)構(gòu)造成巨大風(fēng)險。為了落實(shí)零信任的“最小化授權(quán)”原則，芯盾時代首創(chuàng)零信任切面安全能力，無改造地為業(yè)務(wù)系統(tǒng)注入安全能力，將權(quán)限管理能力至URL級，幫助金融機(jī)構(gòu)對每一次訪問實(shí)施細(xì)粒度的動態(tài)訪問控制。

1.細(xì)粒度訪問控制：芯盾時代SDP支持多種權(quán)限管理模型，對于業(yè)務(wù)資源的管理能力細(xì)至URL級。金融機(jī)構(gòu)能夠?qū)τ趦?nèi)部員工與外部分員工、各個部門與臨時項目組的不同角色，授權(quán)不同的訪問權(quán)限，實(shí)現(xiàn)對訪問權(quán)限的差異化、精細(xì)化管理。

2.自適應(yīng)動態(tài)授權(quán)：在訪問控制上，SDP提供多種風(fēng)險策略模型，金融機(jī)構(gòu)能夠根據(jù)自身需求靈活定義模型，綜合設(shè)備、IP、時間、行為、賬號、位置等維度的風(fēng)險信息，對每一次訪問實(shí)施動態(tài)訪問控制，實(shí)現(xiàn)“安全訪問全程無感，不確定訪問強(qiáng)化認(rèn)證，不安全訪問直接拒絕”。

數(shù)據(jù)安全三把鎖，保證數(shù)據(jù)不泄露

在數(shù)據(jù)安全上，芯盾時代SDP具備安全工作空間、數(shù)據(jù)脫敏、Web水印三大功能，能夠在遠(yuǎn)程辦公場景下，實(shí)現(xiàn)數(shù)據(jù)訪問權(quán)限動態(tài)決策、數(shù)據(jù)資源隱藏與隔離、數(shù)據(jù)加密傳輸，有效提升數(shù)據(jù)安全防護(hù)水平，滿足金融行業(yè)數(shù)據(jù)安全合規(guī)要求。

1.安全工作空間：借助SDP客戶端，企業(yè)可以在終端設(shè)備中構(gòu)建與本地空間完全隔離的安全工作空間，實(shí)現(xiàn)“數(shù)據(jù)不落地”，并實(shí)施禁止復(fù)制、禁止截屏、禁止打印、外發(fā)審批等行為管控，阻斷數(shù)據(jù)外發(fā)。在軟件供應(yīng)商、外包人員遠(yuǎn)程訪問內(nèi)網(wǎng)的場景下，SDP能夠?qū)K端數(shù)據(jù)進(jìn)行保護(hù)，有效防止數(shù)據(jù)泄露。

2.自定義數(shù)據(jù)脫敏：借助動態(tài)數(shù)據(jù)脫敏功能，金融機(jī)構(gòu)可以對業(yè)務(wù)應(yīng)用中的手機(jī)號、銀行卡、身份證號等敏感數(shù)據(jù)進(jìn)行動態(tài)脫敏。針對不同人群，金融機(jī)構(gòu)可以自定義脫敏內(nèi)容、脫敏長度，精確控制敏感數(shù)據(jù)的訪問范圍。

3.Web水印：針對Web應(yīng)用，芯盾時代SDP可以在無改造的情況下為Web頁面添加水印，對用戶進(jìn)行安全教育、安全震懾和安全追溯，降低拍照截屏外發(fā)風(fēng)險。

在合規(guī)層面，芯盾時代SDP擁有完全自主知識產(chǎn)權(quán)，既滿足《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護(hù)法》等法律法規(guī)對訪問控制、身份認(rèn)證的要求，也滿足《金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指引》、《金融數(shù)據(jù)安全 個人金融信息保護(hù)技術(shù)規(guī)范》等行業(yè)規(guī)章和標(biāo)準(zhǔn)對網(wǎng)絡(luò)安全防護(hù)、個人信息保護(hù)的要求。同時，芯盾時代SDP全面適配國產(chǎn)芯片、數(shù)據(jù)庫、中間件、云平臺等信創(chuàng)產(chǎn)業(yè)鏈軟硬件，能為金融機(jī)構(gòu)建立信創(chuàng)化的零信任網(wǎng)絡(luò)訪問體系，為信創(chuàng)建設(shè)提供有力支撐。

憑借先進(jìn)的架構(gòu)、全面的功能、強(qiáng)大的性能，芯盾時代零信任業(yè)務(wù)安全平臺(SDP)在實(shí)際應(yīng)用中展現(xiàn)了巨大的價值，在替換VPN、攻防演練、多云接入等場景下，展現(xiàn)了領(lǐng)先的安全性、可用性、適配性，有力保證金融機(jī)構(gòu)遠(yuǎn)程辦公安全，獲得了金融機(jī)構(gòu)的高度認(rèn)可。

如果你也想讓每一名員工在任何時間、地點(diǎn)，用任何網(wǎng)絡(luò)和設(shè)備，安全便捷的進(jìn)行遠(yuǎn)程辦公，芯盾時代零信任業(yè)務(wù)安全平臺(SDP)是你的不二之選。