球盟会首页球盟会首页球盟会首页终端的全面普及，远程办公成为了金融机构的常态。远程办公提升了金融业务的效率、丰富了业务渠道、拓展了业务场景，受到了金融机构的欢迎。但是，在远程办公中总会出现一些安全问题，让金融机构提心吊胆，担心

　　金融机构的业务应用多、专业性强，应用的开发、维护离不开外包人员的支持。但是，外包人员难以管控，VPN等传统远程接入方案普遍存在身份认证不安全、权限管理不细致的问题。一旦外包人员账号被窃取，黑客就能直接进入内网、随意横移，后果不堪设想。

　　移动展业所使用的终端设备虽然由金融机构统一派发，但是实际应用中，金融机构难以掌握终端设备的安全状态，用户使用行为不可控、应用访问不可控……非常容易成为攻击者的突破口。

　　金融机构的业务应用中有大量敏感数据，如用户电话、身份证号、银行卡号。这些数据不但是黑客的重要目标，还容易遭到“内鬼”泄密。一旦爆发数据泄露事件，金融机构不但要面临巨额罚款，商誉也会受到损害……

　　面对这些安全问题，金融机构迫切需要更安全、更便捷、更可控的远程办公解决方案，保障自身业务安全和网络安全，为员工提供更好的办公体验，满足监管机构的合规要求。

　　当前，金融机构的业务模式、IT架构都发生了深刻变化。在建设远程办公系统时，金融机构需要面对以下几个方面的挑战：

　　随着金融机构基础设施云化、业务互联网化和办公移动化，不同角色的人员需要在任意时间、地点，用不同的网络和设备，访问业务资源。在分支机构组网、内部员工远程办公、运维人员远程运维，以及外包人员远程开发、合作伙伴远程访问等场景下，人、业务、数据开始走出内网，内网与外网之间的安全边界逐渐模糊，业务资源在互联网上的暴露面增大，带来了新的安全风险。

　　以VPN为代表的传统远程接入解决方案，一则IP、端口公开，无法帮助金融机构收敛资源暴露面，二则存在过度信任、静态授权的问题，无法实现细粒度的动态访问控制。在此背景下，金融机构需要重新构建网络安全边界，并基于新的边界实施动态访问控制，以保障远程办公安全。

　　在移动展业、远程办公中，金融无法完全掌控员工使用终端设备的安全状态，BYOD的普及更是使这一问题雪上加霜。一旦分支机构、内部员工、外包人员使用的终端设备被攻破，将成为黑客进入企业内网的跳板，让企业难以防范。

　　近年来，金融机构积极推进信创建设，引入了大量信创终端设备。这加剧了终端设备的碎片化，造成终端安全部分产品存在不适配的问题，增加了终端安全的不可控性。

　　由于传统的远程办公方案终端安全能力有限，金融机构要么强制要求终端设备安装EDR、杀毒软件等安全软件，要么在客户端中集成其它厂商的杀毒软件，导致占用资源过度，影响终端设备性能，使得员工的操作体验不佳。

　　金融机构的业务应用中，存储着海量的敏感数据，时刻被黑客所觊觎。为了保障数据安全，很多金融机构部署了数据防泄漏(DLP)产品，包括终端侧的EDLP和网络侧的NDLP。但是，传统DLP主要关注数据的外发行为，忽视了数据在访问、传输、存储中的安全问题。

　　在数据访问场景下，金融机构难以实现数据访问的“最小化授权”，精准控制数据的访问范围。在数据传输上，难以对数据进行加密传输，保证信息的完整性、机密性。在存储上，难以保证敏感数据在终端设备中的安全存储，防范终端侧的数据泄露。

　　近年来，我国网络安全和数据安全法律法规体系不断完善，金融监管部门的执法力度与频率不断加大。金融机构既要遵守《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的要求，还要执行金融行业的《金融行业网络安全等级保护实施指引》、《金融数据安全 个人金融信息保护技术规范》、《关于加强银行业保险业移动互联网应用程序管理的通知》等行业规章和标准，合规压力不断加大。2023年以来，多家金融机构因网络安全、数据安全问题被处罚，给全行业敲响了警钟。

　　与此同时，金融行业的信息系统是关键信息基础设施，是攻防演练重点关注的行业。如何在攻防演练中保证远程办公正常开展，避免远程办公系统被攻破，已经成为金融机构必须妥善处理的问题。

　　面对新的业务模式、新的网络环境、新的安全挑战，以VPN为代表的传统远程接入方案已经无法满足金融机构的远程办公需求。芯盾时代作为领先的零信任业务安全产品方案提供商，以零信任理念为指引，以软件定义边界为架构，以自主研发的核心技术为支撑，打造了零信任业务安全平台(SDP)，助力金融机构建立新型远程办公体系。

　　在架构上，芯盾时代SDP采用软件定义的方式，将控制器与网关分离，在安全性、可用性上具备天然优势。金融机构可以按照自身组织架构、业务需求，以“1个控制器+N个网关”的方式灵活组网。SDP网关支持本地、云上多种部署模式，金融机构能够用一套系统实现多数据中心、多网络域的远程接入，在低改造甚至0改造的情况下将应用、设备与SDP对接，大幅缩减改造周期，降低部署成本，多、快、好、省的建立远程办公系统。在功能上，芯盾时代SDP采用All in One设计，全面整合自主研发的全类型身份标识技术、智能风险度量技术、切面安全技术、终端密码安全技术等核心技术，从网络、设备、身份、权限、数据五个维度，为金融机构构建零信任安全架构，对每一次业务访问实施全程的、动态的、细粒度的动态访问控制，一站式建立安全、便捷、合规的零信任网络访问系统，让远程办公更安全。借助芯盾时代SDP，金融机构能从网络、设备、身份球盟会首页、权限、数据五个维度，保证远程办公的安全：

　　网络扫描往往是网络攻击的第一步。只有扫描到了IP、端口信息，黑客才能确定攻击入口和攻击方式。VPN的IP、端口暴露于互联网之上，而且普遍存在静态认证、授权过度的问题，一旦被黑客利用，后果不堪设想。芯盾时代SDP采用了网络隐身、加密传输、网络隔离三大技术，能够帮助金融机构实现业务应用和网关自身的双重隐藏，有效收敛资源暴露面，防范端口扫描、DDoS攻击，避免黑客以设备为跳板攻击内网服务，杜绝“逢攻防演练、先关闭远程访问”的尴尬。1.网络隐身：芯盾时代SDP采用应用代理和SPA单包授权技术球盟会首页，由网关统一代理业务应用访问流量，同时对所有连接网关的设备进行预认证，不通过认证不开放端口，实现业务应用和网关双重“隐身”球盟会首页，减少遭受网络攻击的风险。2.加密传输：通过认证后，芯盾时代SDP能在客户端与网关之间建立加密隧道，保证数据通过互联网安全传输。加密隧道采用国密算法，让数据传输更加安全可控。

　　3.网络隔离：在用户登录客户端访问内网服务时，禁止其终端设备访问互联网，避免终端设备上网时感染病毒，以设备为跳板攻击内网服务。

　　终端设备作为远程办公的载体，其安全性是确保远程办公安全的关键所在。芯盾时代基于自主研发的终端安全产品线，赋予了SDP客户端一体化的安全能力。在PC端和移动端，用户只需安装一个客户端，就能实现多因素认证、终端身份校验、终端安全基线核查、终端威胁态势感知、App加固、数据防泄漏等功能，打造安全的远程办公操作环境。

　　1.终端身份校验：凭借设备指纹技术，金融机构能够通过SDP客户端，精准标识设备身份，发现非常用设备登录、多用户通过同一设备登录等风险行为，限制单个用户最多使用的设备数量，还能够在攻防演练中开启设备审批功能，禁止不可信设备接入系统。

　　2.终端环境检测：凭借终端威胁态势感知技术，SDP客户端能够识别终端设备是否安装了杀毒软件，是否存在远程控制软件、模拟器、程序双开、攻击框架、Root/越狱等风险，是否加入指定域控，是否安装了操作系统补丁。在访问过程中，客户端持续检测终端安全态势、用户的操作行为，为安全控制中心提供终端侧的风险信息。

　　3.APP加固：在移动端，SDP客户端可以以SDK形式，集成在泛微、致远、蓝凌或金融机构自建的App移动办公之中，既能帮助金融机构将移动办公入口收缩至内网，缩小资源暴露面，还对移动办公App进行安全加固，防范恶意篡改、病毒/木马植入等风险，满足金融机构移动展业、移动办公的需求。

　　4.全系统适配：在PC端，SDP客户端全面适配windows、macOS、Linux等操作系统，以及UOS、中标麒麟、银河麒麟、深度等国产操作系统;在PC端，适配iOSAndroid系统。凭借全面的适配性，芯盾时代SDP能够在碎片化的终端环境下，帮助金融机构实施统一的终端管控策略，筑牢终端安全防线。

　　零信任的本质是以“身份”为核心实施细粒度的动态访问控制。芯盾时代在IAM市场占有率稳居前三，技术能力行业领先，芯盾时代SDP也由此具备了强大的身份安全能力，能够帮助金融机构提升身份安全能力，消除网络钓鱼、撞库攻击、弱密码带来的安全风险。

　　1.多因素认证：借助芯盾时代SDP，金融机构能够一站式实施全局多因素认证，为员工提供短信验证码、动态口令、App扫码、指纹识别、人脸识别、企业微信/钉钉/飞书认证等多种认证方式，提升身份认证的安全性和便捷性。借助统一应用门户和单点登录功能，员工能够通过一个门户直接访问权限内的业务应用，实现“一次认证、全网通行”。

　　2.动态认证：芯盾时代SDP能够综合身份、设备、IP、时间、行为、位置等因素，对每一次访问全程进行实时的风险评估，根据风险级别自适应执行身份认证、访问控制策略。在身份认证上，SDP能够根据风险评估结果动态调整认证策略，自适应执行免认证、默认认证、增强认证、禁止登录等策略，在保证安全的前提下，优化员工的操作体验。

　　VPN等传统远程办公方案，普遍存在静态授权、过度授权的问题。黑客一旦侵入内网，就能够越权访问，在内网横向移动，给金融机构造成巨大风险。为了落实零信任的“最小化授权”原则，芯盾时代首创零信任切面安全能力，无改造地为业务系统注入安全能力，将权限管理能力至URL级，帮助金融机构对每一次访问实施细粒度的动态访问控制。

　　1.细粒度访问控制：芯盾时代SDP支持多种权限管理模型，对于业务资源的管理能力细至URL级。金融机构能够对于内部员工与外部分员工、各个部门与临时项目组的不同角色，授权不同的访问权限，实现对访问权限的差异化、精细化管理。

　　2.自适应动态授权：在访问控制上，SDP提供多种风险策略模型，金融机构能够根据自身需求灵活定义模型，综合设备、IP、时间、行为、账号、位置等维度的风险信息，对每一次访问实施动态访问控制，实现“安全访问全程无感，不确定访问强化认证，不安全访问直接拒绝”。

　　在数据安全上，芯盾时代SDP具备安全工作空间、数据脱敏、Web水印三大功能，能够在远程办公场景下，实现数据访问权限动态决策、数据资源隐藏与隔离、数据加密传输，有效提升数据安全防护水平，满足金融行业数据安全合规要求。

　　1.安全工作空间：借助SDP客户端，企业可以在终端设备中构建与本地空间完全隔离的安全工作空间，实现“数据不落地”，并实施禁止复制、禁止截屏、禁止打印、外发审批等行为管控，阻断数据外发。在软件供应商、外包人员远程访问内网的场景下，SDP能够对终端数据进行保护，有效防止数据泄露。

　　2.自定义数据脱敏：借助动态数据脱敏功能，金融机构可以对业务应用中的手机号、银行卡、身份证号等敏感数据进行动态脱敏。针对不同人群，金融机构可以自定义脱敏内容、脱敏长度，精确控制敏感数据的访问范围。

　　3.Web水印：针对Web应用，芯盾时代SDP可以在无改造的情况下为Web页面添加水印，对用户进行安全教育、安全震慑和安全追溯，降低拍照截屏外发风险。

　　在合规层面，芯盾时代SDP拥有完全自主知识产权，既满足《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规对访问控制、身份认证的要求，也满足《金融行业网络安全等级保护实施指引》、《金融数据安全 个人金融信息保护技术规范》等行业规章和标准对网络安全防护、个人信息保护的要求。同时，芯盾时代SDP全面适配国产芯片、数据库、中间件、云平台等信创产业链软硬件，能为金融机构建立信创化的零信任网络访问体系，为信创建设提供有力支撑。

　　凭借先进的架构、全面的功能、强大的性能，芯盾时代零信任业务安全平台(SDP)在实际应用中展现了巨大的价值，在替换VPN、攻防演练、多云接入等场景下，展现了领先的安全性、可用性、适配性，有力保证金融机构远程办公安全，获得了金融机构的高度认可。

　　如果你也想让每一名员工在任何时间、地点，用任何网络和设备，安全便捷的进行远程办公，芯盾时代零信任业务安全平台(SDP)是你的不二之选。

　　原文标题：金融行业远程办公解决方案丨芯盾时代SDP，开启远程办公“零信任”时代

　　文章出处：【微信号：trusfort，微信公众号：芯盾时代】欢迎添加关注！文章转载请注明出处。

　　创新大会在上海隆重举行。会上，FreeBuf公布了WitAwards 2024获奖名单。

　　监测平台荣获WitAwards 2024年度大奖 /

　　风险频发。设备指纹技术凭借高精度的设备识别能力，能够帮助企业提升移动端

　　中标深圳市重大产业投资集团有限公司（简称“深重投集团”），运用统一终端

　　防线 /

　　股份有限公司，运用零信任网络访问等技术，从身份，设备和行为等维度，为客户构建基于可信身份网络的零信任业务

　　，实现数据访问最小化授权、网络暴露面收敛、细粒度动态访问控制等功能，为客户建立内外网一体的零

　　中标汉口银行交易反欺诈项目并如期上线，实现交易欺诈风险的自动化实时甄别、预警和处置，为行方提供场景化的全流程业务

　　更便捷 /

　　便捷的业务体系 /

　　中标某外资保险集团 市场版图再添一角 /

　　中标广州农商银行 获评“年度优秀供应商” /

　　开疆智能Ethernet/IP转Profinet网关连接纳博特控制器配置案例

　　开疆智能EtherNETIP转Profinet网关连接汇川PLC配置案例

　　工业通信升级：Modbus转Profinet网关连接KSR系列软起动器

　　Banana Pi与OpenWrt开源社区合作 OpenWrt One 评测：探索未来和亮点