近年來，遠(yuǎn)程辦公從企業(yè)的應(yīng)急方案逐步轉(zhuǎn)變?yōu)槌B(tài)化選擇，越來越多的企業(yè)借助遠(yuǎn)程辦公提高業(yè)務(wù)效率、拓展業(yè)務(wù)場(chǎng)景、豐富業(yè)務(wù)形態(tài)，越來越多的打工人選擇在各種地點(diǎn)，用各種設(shè)備、網(wǎng)絡(luò)接入企業(yè)內(nèi)網(wǎng)，訪問各種業(yè)務(wù)應(yīng)用。

遠(yuǎn)程辦公雖好，隨之而來的安全問題卻成了懸在企業(yè)頭上的“達(dá)摩克利斯之劍”，讓企業(yè)倍感頭疼。大到跨國(guó)企業(yè)，小至初創(chuàng)公司，無不面臨著以下五大安全挑戰(zhàn)。

遠(yuǎn)程辦公五大安全挑戰(zhàn)

企業(yè)面臨的安全挑戰(zhàn)貫穿遠(yuǎn)程辦公的全流程，涵蓋網(wǎng)絡(luò)、設(shè)備、身份、權(quán)限、數(shù)據(jù)五個(gè)層面。

1.網(wǎng)絡(luò)層面：如何保證應(yīng)用的安全性？

遠(yuǎn)程辦公中，員工需要通過互聯(lián)網(wǎng)訪問企業(yè)內(nèi)網(wǎng)中的業(yè)務(wù)應(yīng)用。如果業(yè)務(wù)應(yīng)用的IP、端口對(duì)外開放，或者數(shù)據(jù)傳輸鏈路不經(jīng)加密，極易成為黑客的突破口。因此，企業(yè)在網(wǎng)絡(luò)層面需要解決三大難題：

如何收斂業(yè)務(wù)應(yīng)用的互聯(lián)網(wǎng)暴露面，減少遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)？

如何保證數(shù)據(jù)在互聯(lián)網(wǎng)上安全傳輸，防范數(shù)據(jù)被截獲或篡改？

如何隔離內(nèi)網(wǎng)服務(wù)與互聯(lián)網(wǎng)服務(wù)，避免終端設(shè)備同時(shí)訪問內(nèi)網(wǎng)與互聯(lián)網(wǎng)時(shí)，病毒通過外部流量滲透至核心業(yè)務(wù)系統(tǒng)？

2.設(shè)備層面：如何保證設(shè)備的合法性？

當(dāng)前，BYOD（自帶設(shè)備辦公）已經(jīng)成為常態(tài)，這導(dǎo)致遠(yuǎn)程辦公設(shè)備愈發(fā)碎片化，設(shè)備的合法性難以驗(yàn)證。為了提升對(duì)終端設(shè)備的管控能力，企業(yè)需要解決三個(gè)問題：

如何準(zhǔn)確標(biāo)識(shí)終端設(shè)備，杜絕惡意設(shè)備偽裝成合法終端入侵企業(yè)內(nèi)網(wǎng)？

如何全程監(jiān)測(cè)終端威脅態(tài)勢(shì)，識(shí)別未安裝殺毒軟件、開啟遠(yuǎn)程控制軟件、存在非法進(jìn)程等終端安全風(fēng)險(xiǎn)？

如何限制設(shè)備濫用，防范同一設(shè)備多人共用或超量登錄？

3.身份層面：如何保證身份的真實(shí)性？

在身份層面，企業(yè)需要提高身份認(rèn)證的安全性，消除弱密碼、密碼重復(fù)使用等安全風(fēng)險(xiǎn)：

如何實(shí)施全局多因素認(rèn)證，應(yīng)對(duì)網(wǎng)絡(luò)釣魚、撞庫(kù)攻擊等針對(duì)身份憑證的網(wǎng)絡(luò)攻擊？

如何實(shí)現(xiàn)動(dòng)態(tài)認(rèn)證，在保證身份認(rèn)證安全性的同時(shí)優(yōu)化員工操作體驗(yàn)？

4.權(quán)限層面：如何保證授權(quán)的合理性？

VPN等傳統(tǒng)遠(yuǎn)程辦公解決方案普遍存在過度授權(quán)、權(quán)限管理粗放等問題。企業(yè)想要提升訪問控制能力，需要雙管齊下：

如何在對(duì)業(yè)務(wù)應(yīng)用低改造甚至無改造的情況下，提升業(yè)務(wù)應(yīng)用的訪問控制能力？

如何基于角色、屬性實(shí)現(xiàn)細(xì)粒度授權(quán)，針對(duì)不同人群實(shí)施不同的權(quán)限管理策略？

如何綜合設(shè)備、IP、時(shí)間、行為等風(fēng)險(xiǎn)因素持續(xù)評(píng)估訪問安全性，實(shí)施自適應(yīng)動(dòng)態(tài)授權(quán)？

5.數(shù)據(jù)層面：如何保證數(shù)據(jù)的可控性？

遠(yuǎn)程辦公場(chǎng)景下，數(shù)據(jù)走出了內(nèi)網(wǎng)，流轉(zhuǎn)路徑更加復(fù)雜。企業(yè)面臨三大數(shù)據(jù)安全痛點(diǎn)：

如何防范截屏、復(fù)制、外發(fā)等操作導(dǎo)致的敏感信息泄露？

如何保證數(shù)據(jù)在終端設(shè)備中安全存儲(chǔ)？

如何保證數(shù)據(jù)的可追溯性，在數(shù)據(jù)泄露后高效追蹤責(zé)任主體？

芯盾時(shí)代零信任業(yè)務(wù)安全平臺(tái)SDP

針對(duì)企業(yè)面臨的遠(yuǎn)程辦公安全挑戰(zhàn)，芯盾時(shí)代以零信任理念為指引，以軟件定義邊界為架構(gòu)，以自主研發(fā)的核心技術(shù)為支撐，打造了零信任業(yè)務(wù)安全平臺(tái)（SDP），助力企業(yè)多、快、好、省的建立、升級(jí)遠(yuǎn)程辦公系統(tǒng)。

在架構(gòu)上，芯盾時(shí)代SDP采用軟件定義的方式，將控制器與網(wǎng)關(guān)分離，在安全性、可用性、擴(kuò)展性、適配性上具備天然優(yōu)勢(shì)。在功能上，芯盾時(shí)代SDP采用All in One設(shè)計(jì)，從網(wǎng)絡(luò)、設(shè)備、身份、權(quán)限、數(shù)據(jù)五個(gè)維度，為企業(yè)一站式建立零信任網(wǎng)絡(luò)訪問系統(tǒng)，對(duì)每一次業(yè)務(wù)訪問實(shí)施全程的、動(dòng)態(tài)的、細(xì)粒度的訪問控制，讓遠(yuǎn)程辦公更加安全。

借助芯盾時(shí)代SDP，企業(yè)能夠輕松應(yīng)對(duì)遠(yuǎn)程辦公的安全挑戰(zhàn)：

1.收斂應(yīng)用暴露面，內(nèi)網(wǎng)外網(wǎng)強(qiáng)隔離

在網(wǎng)絡(luò)層面，芯盾時(shí)代SDP準(zhǔn)備了網(wǎng)絡(luò)隱身、加密傳輸和網(wǎng)絡(luò)隔離三重保險(xiǎn)。借助流量代理技術(shù)，SDP網(wǎng)關(guān)統(tǒng)一代理業(yè)務(wù)應(yīng)用訪問流量，訪問者不直接與應(yīng)用建立連接，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用的“網(wǎng)絡(luò)隱身”；借助SPA單包授權(quán)技術(shù)，對(duì)所有連接網(wǎng)關(guān)的設(shè)備進(jìn)行預(yù)認(rèn)證，不通過認(rèn)證不開放端口，實(shí)現(xiàn)網(wǎng)關(guān)的“網(wǎng)絡(luò)隱身”。

借助加密傳輸功能，芯盾時(shí)代SDP能夠在客戶端與網(wǎng)關(guān)之間建立加密隧道，保證數(shù)據(jù)通過互聯(lián)網(wǎng)安全傳輸。加密隧道采用國(guó)密算法，讓數(shù)據(jù)傳輸更加安全可控。

借助網(wǎng)絡(luò)隔離技術(shù)，用戶登錄客戶端訪問內(nèi)網(wǎng)服務(wù)時(shí)，禁止其終端設(shè)備訪問互聯(lián)網(wǎng)，避免終端設(shè)備上網(wǎng)時(shí)感染病毒。

2.終端安全強(qiáng)管控，非法設(shè)備不準(zhǔn)入

憑借自主研發(fā)的設(shè)備指紋技術(shù)，企業(yè)能夠通過芯盾時(shí)代SDP的客戶端，精準(zhǔn)標(biāo)識(shí)設(shè)備身份，發(fā)現(xiàn)非常用設(shè)備登錄、多用戶通過同一設(shè)備登錄等風(fēng)險(xiǎn)行為，限制單個(gè)用戶最多使用的設(shè)備數(shù)量，還能夠在攻防演練期間開啟設(shè)備審批功能，禁止不可信設(shè)備接入系統(tǒng)。

憑借終端威脅態(tài)勢(shì)感知技術(shù)，企業(yè)能夠識(shí)別終端設(shè)備是否安裝了殺毒軟件，是否存在遠(yuǎn)程控制軟件、模擬器、程序雙開、攻擊框架、Root/越獄等風(fēng)險(xiǎn)，是否加入指定域控。在訪問過程中，客戶端持續(xù)監(jiān)測(cè)終端安全態(tài)勢(shì)、用戶的操作行為，為安全控制中心提供終端側(cè)的風(fēng)險(xiǎn)信息。

3.實(shí)施多因素認(rèn)證，認(rèn)證安全體驗(yàn)佳

芯盾時(shí)代在IAM市場(chǎng)占有率穩(wěn)居前三，技術(shù)能力行業(yè)領(lǐng)先，芯盾時(shí)代SDP也由此具備了強(qiáng)大的身份安全能力。借助SDP的客戶端App，企業(yè)能夠一站式實(shí)現(xiàn)全局多因素認(rèn)證，消除弱密碼、密碼重復(fù)使用帶來的安全隱患，還能夠針對(duì)特定用戶、應(yīng)用、設(shè)備、IP，實(shí)施自適應(yīng)增強(qiáng)認(rèn)證，兼顧網(wǎng)絡(luò)安全與用戶體驗(yàn)。

同時(shí)，芯盾時(shí)代SDP全面支持各種身份認(rèn)證協(xié)議，兼容釘釘、微信、飛書等認(rèn)證源，能夠與企業(yè)原有身份管理系統(tǒng)無縫融合。借助單點(diǎn)登錄功能和統(tǒng)一應(yīng)用門戶，企業(yè)能夠?yàn)閱T工提供更優(yōu)的登錄體驗(yàn)，實(shí)現(xiàn)“一次認(rèn)證、全網(wǎng)通行”。

4. 權(quán)限管理更精細(xì)，動(dòng)態(tài)控制更安全

為了落實(shí)零信任“最小化授權(quán)”原則，芯盾時(shí)代首創(chuàng)零信任切面安全能力，無改造的為業(yè)務(wù)系統(tǒng)注入安全能力，將權(quán)限管理能力細(xì)化至URL級(jí)，幫助企業(yè)全面提升訪問控制能力。

芯盾時(shí)代SDP支持多種權(quán)限管理模型，企業(yè)能夠針對(duì)內(nèi)部員工與外部分員工、各個(gè)部門與臨時(shí)項(xiàng)目組的不同角色，授予不同的訪問權(quán)限，實(shí)現(xiàn)對(duì)訪問權(quán)限的差異化、精細(xì)化管理。

在訪問控制上，SDP提供多種風(fēng)險(xiǎn)策略模型，企業(yè)能夠根據(jù)自身需求靈活定義模型，綜合設(shè)備、IP、時(shí)間、行為、賬號(hào)、位置等維度的風(fēng)險(xiǎn)信息，對(duì)每一次訪問實(shí)施動(dòng)態(tài)訪問控制，實(shí)現(xiàn)“安全訪問全程無感，不確定訪問強(qiáng)化認(rèn)證，不安全訪問直接拒絕”。

5.數(shù)據(jù)安全三把鎖，保證數(shù)據(jù)不泄露

在數(shù)據(jù)安全上，芯盾時(shí)代SDP具備安全工作空間、數(shù)據(jù)脫敏、Web水印三大功能。借助芯盾時(shí)代SDP客戶端，企業(yè)可以在終端設(shè)備中構(gòu)建與本地空間完全隔離的安全工作空間，實(shí)現(xiàn)“數(shù)據(jù)不落地”，并實(shí)施禁止復(fù)制、禁止截屏、禁止打印、外發(fā)審批等行為管控。芯盾時(shí)代自主研發(fā)的密碼技術(shù)，保證工作空間內(nèi)的數(shù)據(jù)加密存儲(chǔ)，避免數(shù)據(jù)被竊取、破譯。

在數(shù)據(jù)脫敏技術(shù)的加持下，企業(yè)可以對(duì)業(yè)務(wù)應(yīng)用中的手機(jī)號(hào)、銀行卡、身份證號(hào)等敏感數(shù)據(jù)進(jìn)行脫敏，脫敏內(nèi)容、脫敏長(zhǎng)度、脫敏用戶由企業(yè)自定義。針對(duì)Web應(yīng)用，芯盾時(shí)代SDP可以在無改造的情況下為Web頁(yè)面添加水印，對(duì)用戶進(jìn)行安全教育、安全震懾和安全追溯，降低拍照截屏外發(fā)風(fēng)險(xiǎn)。

如果你也想讓每一名員工在任何時(shí)間、地點(diǎn)，用任何網(wǎng)絡(luò)和設(shè)備，安全便捷的進(jìn)行遠(yuǎn)程辦公，芯盾時(shí)代零信任業(yè)務(wù)安全平臺(tái)（SDP）是你的不二之選。