從連云港始發的一列列中歐（亞）班列到南京港停泊的一艘艘外貿貨輪，從數字化的繭絲綢產業鏈到服務中小企業的金融公司，從大手筆的光伏和儲能項目到智能化的“AI外貿助手”……蘇豪控股集團持續擴張業務版圖，成長為江蘇省國資委下屬的“巨無霸”。

龐大的業務規模、豐富的業務類型、眾多的員工數量，催生了巨大的遠程辦公需求。但是，蘇豪控股集團總部所使用的VPN，卻成了數字化轉型的“絆腳石”：

VPN服務器的IP和端口暴露在互聯網上，時刻面臨被黑客掃描與攻擊的風險；

VPN在攻防演練時是紅隊的重點攻擊目標，關停VPN又影響業務運轉；

VPN的認證強度低、權限管理粗放、訪問控制能力弱，安全性存在明顯短板……

為了提升遠程辦公的安全性，為數字化轉型打好基石，蘇豪控股集團選擇用芯盾時代的零信任安全網關（SDP）替換VPN，開啟了遠程辦公的“零信任時代”。

關于蘇豪控股集團

江蘇省蘇豪控股集團是江蘇省屬大型國有獨資企業。2023年7月，江蘇省委、省政府將5家大型國企重組整合，成立了新的蘇豪控股集團。目前，蘇豪控股集團旗下擁有380余家各級企業和2.5萬名員工，已形成“4+2”的產業布局（四大核心產業：外貿、實業、金融、房地產；兩大新興產業：新能源、數字科技），其核心的外貿業務更是常年位居全國地方外貿企業前列，并在全球15個國家設有研發中心和生產基地，營收規模在江蘇省國資委監管企業中高居首位。

方案設計

結合蘇豪控股集團的網絡架構與實際需求，憑借豐富的零信任安全建設經驗，芯盾時代以自主研發的零信任安全網關（SDP）替換 VPN，為其打造了“持續驗證、永不信任”的零信任網絡訪問系統。

客戶價值

在蘇豪控股集團與芯盾時代的緊密配合下，零信任安全網關（SDP）在業務應用低改造、終端用戶無感知、內部員工快上手的情況下順利上線，不但安全水平更強，員工體驗也更優。通過此次改造，蘇豪控股集團完成了以下目標，遠程辦公進入了“零信任時代”：

1.隱藏資源暴露面，有效防范網絡攻擊

芯盾時代SDP采用應用代理和SPA單包授權技術，由網關統一代理業務應用訪問流量，同時對所有連接網關的設備進行預認證，不通過認證不開放端口，實現業務應用和網關雙重“隱身”，降低遭受網絡攻擊的風險。

通過認證后，芯盾時代SDP能在客戶端與網關之間建立加密隧道，保證數據通過互聯網安全傳輸。加密隧道采用國密算法，讓數據傳輸更加安全可控。

在用戶登錄客戶端訪問內網服務時，禁止其終端設備訪問互聯網，避免終端設備上網時感染病毒，以該設備為跳板攻擊內網服務。

蘇豪控股集團使用芯盾時代SDP統一代理業務應用訪問流量后，有效收斂了資源暴露面，從根本上消除了遭受惡意掃描的風險。在攻防演練實戰中，芯盾時代SDP幫助蘇豪控股集團實現了“網絡隱身”，避免了“逢攻防演練先關VPN”的尷尬局面，讓攻擊方無功而返。

2.實施多因素認證，風險訪問及時阻斷

芯盾時代在IAM市場的占有率穩居行業前三，技術能力行業領先，芯盾時代SDP也由此具備了強大的身份安全能力。芯盾時代幫助蘇豪控股集團建立了短信認證系統，將身份認證方式從傳統的“賬號+密碼”升級為多因素認證（MFA），有效提升了身份認證的安全性和便捷性。

同時，憑借設備指紋技術，蘇豪控股集團能夠通過SDP客戶端精準標識設備身份，實現員工賬號和終端設備的強綁定，從而識別非常用設備登錄、多用戶通過同一設備登錄等風險行為，還能夠在攻防演練中開啟設備審批功能，禁止不可信設備接入系統。

在訪問控制上，芯盾時代SDP提供多種風險策略模型，蘇豪控股集團能夠根據自身需求靈活定義模型，綜合設備、IP、時間、行為、賬號、位置等維度的風險信息，對每一次訪問實施動態訪問控制，實現“安全訪問全程無感，不確定訪問強化認證，不安全訪問直接拒絕”。

3.軟件定義邊界架構，組網、擴容更靈活

在架構上，芯盾時代SDP采用軟件定義的方式，將控制器與網關分離，在安全性、可用性上具備天然優勢。SDP網關支持本地、云上多種部署模式，企業能夠用一套系統實現多數據中心、多網絡域的遠程接入，多、快、好、省的建立遠程辦公系統。

在先進的架構的支撐下，蘇豪控股集團在業務應用低改造的情況下，快速完成了應用、設備與SDP的對接，大幅縮減改造周期，降低部署成本。在后續的信息化建設中，蘇豪控股集團可以按照自身組織架構、業務需求，以“1個控制器+N個網關”的方式彈性擴容，滿足新增的遠程辦公需求。

芯盾視點

隨著數字化轉型持續深入，遠程辦公需求快速增長，零信任架構的優勢日益凸顯。利用零信任替換VPN，成為了企業升級遠程辦公系統的理想選擇。蘇豪控股集團的此次改造，不但提升了遠程辦公安全性、便利性，更為后續的數字化轉型打下了堅實的基礎。