隨著移動互聯網、云計算、智能終端的全面普及，遠程辦公成為了金融機構的常態。遠程辦公提升了金融業務的效率、豐富了業務渠道、拓展了業務場景，受到了金融機構的歡迎。但是，在遠程辦公中總會出現一些安全問題，讓金融機構提心吊膽，擔心黑客會順著網線摸進內網，給企業造成重大損失，比如——

金融機構的業務應用多、專業性強，應用的開發、維護離不開外包人員的支持。但是，外包人員難以管控，VPN等傳統遠程接入方案普遍存在身份認證不安全、權限管理不細致的問題。一旦外包人員賬號被竊取，黑客就能直接進入內網、隨意橫移，后果不堪設想。

移動展業所使用的終端設備雖然由金融機構統一派發，但是實際應用中，金融機構難以掌握終端設備的安全狀態，用戶使用行為不可控、應用訪問不可控……非常容易成為攻擊者的突破口。

金融機構的業務應用中有大量敏感數據，如用戶電話、身份證號、銀行卡號。這些數據不但是黑客的重要目標，還容易遭到“內鬼”泄密。一旦爆發數據泄露事件，金融機構不但要面臨巨額罰款，商譽也會受到損害……

面對這些安全問題，金融機構迫切需要更安全、更便捷、更可控的遠程辦公解決方案，保障自身業務安全和網絡安全，為員工提供更好的辦公體驗，滿足監管機構的合規要求。

金融行業遠程辦公的安全挑戰

當前，金融機構的業務模式、IT架構都發生了深刻變化。在建設遠程辦公系統時，金融機構需要面對以下幾個方面的挑戰：

如何實現“邊界模糊化”網絡環境下的安全接入?

隨著金融機構基礎設施云化、業務互聯網化和辦公移動化，不同角色的人員需要在任意時間、地點，用不同的網絡和設備，訪問業務資源。在分支機構組網、內部員工遠程辦公、運維人員遠程運維，以及外包人員遠程開發、合作伙伴遠程訪問等場景下，人、業務、數據開始走出內網，內網與外網之間的安全邊界逐漸模糊，業務資源在互聯網上的暴露面增大，帶來了新的安全風險。

以VPN為代表的傳統遠程接入解決方案，一則IP、端口公開，無法幫助金融機構收斂資源暴露面，二則存在過度信任、靜態授權的問題，無法實現細粒度的動態訪問控制。在此背景下，金融機構需要重新構建網絡安全邊界，并基于新的邊界實施動態訪問控制，以保障遠程辦公安全。

如何確保終端設備安全可控?

在移動展業、遠程辦公中，金融無法完全掌控員工使用終端設備的安全狀態，BYOD的普及更是使這一問題雪上加霜。一旦分支機構、內部員工、外包人員使用的終端設備被攻破，將成為黑客進入企業內網的跳板，讓企業難以防范。

近年來，金融機構積極推進信創建設，引入了大量信創終端設備。這加劇了終端設備的碎片化，造成終端安全部分產品存在不適配的問題，增加了終端安全的不可控性。

由于傳統的遠程辦公方案終端安全能力有限，金融機構要么強制要求終端設備安裝EDR、殺毒軟件等安全軟件，要么在客戶端中集成其它廠商的殺毒軟件，導致占用資源過度，影響終端設備性能，使得員工的操作體驗不佳。

如何保證敏感數據不被泄露?

金融機構的業務應用中，存儲著海量的敏感數據，時刻被黑客所覬覦。為了保障數據安全，很多金融機構部署了數據防泄漏(DLP)產品，包括終端側的EDLP和網絡側的NDLP。但是，傳統DLP主要關注數據的外發行為，忽視了數據在訪問、傳輸、存儲中的安全問題。

在數據訪問場景下，金融機構難以實現數據訪問的“最小化授權”，精準控制數據的訪問范圍。在數據傳輸上，難以對數據進行加密傳輸，保證信息的完整性、機密性。在存儲上，難以保證敏感數據在終端設備中的安全存儲，防范終端側的數據泄露。

如何滿足金融行業合規要求?

近年來，我國網絡安全和數據安全法律法規體系不斷完善，金融監管部門的執法力度與頻率不斷加大。金融機構既要遵守《網絡安全法》、《數據安全法》、《個人信息保護法》等法律法規的要求，還要執行金融行業的《金融行業網絡安全等級保護實施指引》、《金融數據安全 個人金融信息保護技術規范》、《關于加強銀行業保險業移動互聯網應用程序管理的通知》等行業規章和標準，合規壓力不斷加大。2023年以來，多家金融機構因網絡安全、數據安全問題被處罰，給全行業敲響了警鐘。

與此同時，金融行業的信息系統是關鍵信息基礎設施，是攻防演練重點關注的行業。如何在攻防演練中保證遠程辦公正常開展，避免遠程辦公系統被攻破，已經成為金融機構必須妥善處理的問題。

芯盾時代SDP，遠程辦公新選擇

面對新的業務模式、新的網絡環境、新的安全挑戰，以VPN為代表的傳統遠程接入方案已經無法滿足金融機構的遠程辦公需求。芯盾時代作為領先的零信任業務安全產品方案提供商，以零信任理念為指引，以軟件定義邊界為架構，以自主研發的核心技術為支撐，打造了零信任業務安全平臺(SDP)，助力金融機構建立新型遠程辦公體系。

在架構上，芯盾時代SDP采用軟件定義的方式，將控制器與網關分離，在安全性、可用性上具備天然優勢。金融機構可以按照自身組織架構、業務需求，以“1個控制器+N個網關”的方式靈活組網。SDP網關支持本地、云上多種部署模式，金融機構能夠用一套系統實現多數據中心、多網絡域的遠程接入，在低改造甚至0改造的情況下將應用、設備與SDP對接，大幅縮減改造周期，降低部署成本，多、快、好、省的建立遠程辦公系統。在功能上，芯盾時代SDP采用All in One設計，全面整合自主研發的全類型身份標識技術、智能風險度量技術、切面安全技術、終端密碼安全技術等核心技術，從網絡、設備、身份、權限、數據五個維度，為金融機構構建零信任安全架構，對每一次業務訪問實施全程的、動態的、細粒度的動態訪問控制，一站式建立安全、便捷、合規的零信任網絡訪問系統，讓遠程辦公更安全。借助芯盾時代SDP，金融機構能從網絡、設備、身份、權限、數據五個維度，保證遠程辦公的安全：

隱藏應用暴露面，有效防范網絡攻擊

網絡掃描往往是網絡攻擊的第一步。只有掃描到了IP、端口信息，黑客才能確定攻擊入口和攻擊方式。VPN的IP、端口暴露于互聯網之上，而且普遍存在靜態認證、授權過度的問題，一旦被黑客利用，后果不堪設想。芯盾時代SDP采用了網絡隱身、加密傳輸、網絡隔離三大技術，能夠幫助金融機構實現業務應用和網關自身的雙重隱藏，有效收斂資源暴露面，防范端口掃描、DDoS攻擊，避免黑客以設備為跳板攻擊內網服務，杜絕“逢攻防演練、先關閉遠程訪問”的尷尬。1.網絡隱身：芯盾時代SDP采用應用代理和SPA單包授權技術，由網關統一代理業務應用訪問流量，同時對所有連接網關的設備進行預認證，不通過認證不開放端口，實現業務應用和網關雙重“隱身”，減少遭受網絡攻擊的風險。2.加密傳輸：通過認證后，芯盾時代SDP能在客戶端與網關之間建立加密隧道，保證數據通過互聯網安全傳輸。加密隧道采用國密算法，讓數據傳輸更加安全可控。

3.網絡隔離：在用戶登錄客戶端訪問內網服務時，禁止其終端設備訪問互聯網，避免終端設備上網時感染病毒，以設備為跳板攻擊內網服務。

把好終端安全關，隱患設備早隔離

終端設備作為遠程辦公的載體，其安全性是確保遠程辦公安全的關鍵所在。芯盾時代基于自主研發的終端安全產品線，賦予了SDP客戶端一體化的安全能力。在PC端和移動端，用戶只需安裝一個客戶端，就能實現多因素認證、終端身份校驗、終端安全基線核查、終端威脅態勢感知、App加固、數據防泄漏等功能，打造安全的遠程辦公操作環境。

1.終端身份校驗：憑借設備指紋技術，金融機構能夠通過SDP客戶端，精準標識設備身份，發現非常用設備登錄、多用戶通過同一設備登錄等風險行為，限制單個用戶最多使用的設備數量，還能夠在攻防演練中開啟設備審批功能，禁止不可信設備接入系統。

2.終端環境檢測：憑借終端威脅態勢感知技術，SDP客戶端能夠識別終端設備是否安裝了殺毒軟件，是否存在遠程控制軟件、模擬器、程序雙開、攻擊框架、Root/越獄等風險，是否加入指定域控，是否安裝了操作系統補丁。在訪問過程中，客戶端持續檢測終端安全態勢、用戶的操作行為，為安全控制中心提供終端側的風險信息。

3.APP加固：在移動端，SDP客戶端可以以SDK形式，集成在泛微、致遠、藍凌或金融機構自建的App移動辦公之中，既能幫助金融機構將移動辦公入口收縮至內網，縮小資源暴露面，還對移動辦公App進行安全加固，防范惡意篡改、病毒/木馬植入等風險，滿足金融機構移動展業、移動辦公的需求。

4.全系統適配：在PC端，SDP客戶端全面適配windows、macOS、Linux等操作系統，以及UOS、中標麒麟、銀河麒麟、深度等國產操作系統;在PC端，適配iOS、Android系統。憑借全面的適配性，芯盾時代SDP能夠在碎片化的終端環境下，幫助金融機構實施統一的終端管控策略，筑牢終端安全防線。

實施多因素認證，身份認證更安全

零信任的本質是以“身份”為核心實施細粒度的動態訪問控制。芯盾時代在IAM市場占有率穩居前三，技術能力行業領先，芯盾時代SDP也由此具備了強大的身份安全能力，能夠幫助金融機構提升身份安全能力，消除網絡釣魚、撞庫攻擊、弱密碼帶來的安全風險。

1.多因素認證：借助芯盾時代SDP，金融機構能夠一站式實施全局多因素認證，為員工提供短信驗證碼、動態口令、App掃碼、指紋識別、人臉識別、企業微信/釘釘/飛書認證等多種認證方式，提升身份認證的安全性和便捷性。借助統一應用門戶和單點登錄功能，員工能夠通過一個門戶直接訪問權限內的業務應用，實現“一次認證、全網通行”。

2.動態認證：芯盾時代SDP能夠綜合身份、設備、IP、時間、行為、位置等因素，對每一次訪問全程進行實時的風險評估，根據風險級別自適應執行身份認證、訪問控制策略。在身份認證上，SDP能夠根據風險評估結果動態調整認證策略，自適應執行免認證、默認認證、增強認證、禁止登錄等策略，在保證安全的前提下，優化員工的操作體驗。

落實“最小化授權”，風險訪問全阻斷

VPN等傳統遠程辦公方案，普遍存在靜態授權、過度授權的問題。黑客一旦侵入內網，就能夠越權訪問，在內網橫向移動，給金融機構造成巨大風險。為了落實零信任的“最小化授權”原則，芯盾時代首創零信任切面安全能力，無改造地為業務系統注入安全能力，將權限管理能力至URL級，幫助金融機構對每一次訪問實施細粒度的動態訪問控制。

1.細粒度訪問控制：芯盾時代SDP支持多種權限管理模型，對于業務資源的管理能力細至URL級。金融機構能夠對于內部員工與外部分員工、各個部門與臨時項目組的不同角色，授權不同的訪問權限，實現對訪問權限的差異化、精細化管理。

2.自適應動態授權：在訪問控制上，SDP提供多種風險策略模型，金融機構能夠根據自身需求靈活定義模型，綜合設備、IP、時間、行為、賬號、位置等維度的風險信息，對每一次訪問實施動態訪問控制，實現“安全訪問全程無感，不確定訪問強化認證，不安全訪問直接拒絕”。

數據安全三把鎖，保證數據不泄露

在數據安全上，芯盾時代SDP具備安全工作空間、數據脫敏、Web水印三大功能，能夠在遠程辦公場景下，實現數據訪問權限動態決策、數據資源隱藏與隔離、數據加密傳輸，有效提升數據安全防護水平，滿足金融行業數據安全合規要求。

1.安全工作空間：借助SDP客戶端，企業可以在終端設備中構建與本地空間完全隔離的安全工作空間，實現“數據不落地”，并實施禁止復制、禁止截屏、禁止打印、外發審批等行為管控，阻斷數據外發。在軟件供應商、外包人員遠程訪問內網的場景下，SDP能夠對終端數據進行保護，有效防止數據泄露。

2.自定義數據脫敏：借助動態數據脫敏功能，金融機構可以對業務應用中的手機號、銀行卡、身份證號等敏感數據進行動態脫敏。針對不同人群，金融機構可以自定義脫敏內容、脫敏長度，精確控制敏感數據的訪問范圍。

3.Web水?。横槍eb應用，芯盾時代SDP可以在無改造的情況下為Web頁面添加水印，對用戶進行安全教育、安全震懾和安全追溯，降低拍照截屏外發風險。

在合規層面，芯盾時代SDP擁有完全自主知識產權，既滿足《網絡安全法》、《數據安全法》、《個人信息保護法》等法律法規對訪問控制、身份認證的要求，也滿足《金融行業網絡安全等級保護實施指引》、《金融數據安全 個人金融信息保護技術規范》等行業規章和標準對網絡安全防護、個人信息保護的要求。同時，芯盾時代SDP全面適配國產芯片、數據庫、中間件、云平臺等信創產業鏈軟硬件，能為金融機構建立信創化的零信任網絡訪問體系，為信創建設提供有力支撐。

憑借先進的架構、全面的功能、強大的性能，芯盾時代零信任業務安全平臺(SDP)在實際應用中展現了巨大的價值，在替換VPN、攻防演練、多云接入等場景下，展現了領先的安全性、可用性、適配性，有力保證金融機構遠程辦公安全，獲得了金融機構的高度認可。

如果你也想讓每一名員工在任何時間、地點，用任何網絡和設備，安全便捷的進行遠程辦公，芯盾時代零信任業務安全平臺(SDP)是你的不二之選。