隨著移動互聯(lián)網(wǎng)、云計算、智能終端的全面普及，遠程辦公成為了金融機構的常態(tài)。遠程辦公提升了金融業(yè)務的效率、豐富了業(yè)務渠道、拓展了業(yè)務場景，受到了金融機構的歡迎。但是，在遠程辦公中總會出現(xiàn)一些安全問題，讓金融機構提心吊膽，擔心黑客會順著網(wǎng)線摸進內(nèi)網(wǎng)，給企業(yè)造成重大損失，比如——

金融機構的業(yè)務應用多、專業(yè)性強，應用的開發(fā)、維護離不開外包人員的支持。但是，外包人員難以管控，VPN等傳統(tǒng)遠程接入方案普遍存在身份認證不安全、權限管理不細致的問題。一旦外包人員賬號被竊取，黑客就能直接進入內(nèi)網(wǎng)、隨意橫移，后果不堪設想。

移動展業(yè)所使用的終端設備雖然由金融機構統(tǒng)一派發(fā)，但是實際應用中，金融機構難以掌握終端設備的安全狀態(tài)，用戶使用行為不可控、應用訪問不可控……非常容易成為攻擊者的突破口。

金融機構的業(yè)務應用中有大量敏感數(shù)據(jù)，如用戶電話、身份證號、銀行卡號。這些數(shù)據(jù)不但是黑客的重要目標，還容易遭到“內(nèi)鬼”泄密。一旦爆發(fā)數(shù)據(jù)泄露事件，金融機構不但要面臨巨額罰款，商譽也會受到損害……

面對這些安全問題，金融機構迫切需要更安全、更便捷、更可控的遠程辦公解決方案，保障自身業(yè)務安全和網(wǎng)絡安全，為員工提供更好的辦公體驗，滿足監(jiān)管機構的合規(guī)要求。

金融行業(yè)遠程辦公的安全挑戰(zhàn)

當前，金融機構的業(yè)務模式、IT架構都發(fā)生了深刻變化。在建設遠程辦公系統(tǒng)時，金融機構需要面對以下幾個方面的挑戰(zhàn)：

如何實現(xiàn)“邊界模糊化”網(wǎng)絡環(huán)境下的安全接入?

隨著金融機構基礎設施云化、業(yè)務互聯(lián)網(wǎng)化和辦公移動化，不同角色的人員需要在任意時間、地點，用不同的網(wǎng)絡和設備，訪問業(yè)務資源。在分支機構組網(wǎng)、內(nèi)部員工遠程辦公、運維人員遠程運維，以及外包人員遠程開發(fā)、合作伙伴遠程訪問等場景下，人、業(yè)務、數(shù)據(jù)開始走出內(nèi)網(wǎng)，內(nèi)網(wǎng)與外網(wǎng)之間的安全邊界逐漸模糊，業(yè)務資源在互聯(lián)網(wǎng)上的暴露面增大，帶來了新的安全風險。

以VPN為代表的傳統(tǒng)遠程接入解決方案，一則IP、端口公開，無法幫助金融機構收斂資源暴露面，二則存在過度信任、靜態(tài)授權的問題，無法實現(xiàn)細粒度的動態(tài)訪問控制。在此背景下，金融機構需要重新構建網(wǎng)絡安全邊界，并基于新的邊界實施動態(tài)訪問控制，以保障遠程辦公安全。

如何確保終端設備安全可控?

在移動展業(yè)、遠程辦公中，金融無法完全掌控員工使用終端設備的安全狀態(tài)，BYOD的普及更是使這一問題雪上加霜。一旦分支機構、內(nèi)部員工、外包人員使用的終端設備被攻破，將成為黑客進入企業(yè)內(nèi)網(wǎng)的跳板，讓企業(yè)難以防范。

近年來，金融機構積極推進信創(chuàng)建設，引入了大量信創(chuàng)終端設備。這加劇了終端設備的碎片化，造成終端安全部分產(chǎn)品存在不適配的問題，增加了終端安全的不可控性。

由于傳統(tǒng)的遠程辦公方案終端安全能力有限，金融機構要么強制要求終端設備安裝EDR、殺毒軟件等安全軟件，要么在客戶端中集成其它廠商的殺毒軟件，導致占用資源過度，影響終端設備性能，使得員工的操作體驗不佳。

如何保證敏感數(shù)據(jù)不被泄露?

金融機構的業(yè)務應用中，存儲著海量的敏感數(shù)據(jù)，時刻被黑客所覬覦。為了保障數(shù)據(jù)安全，很多金融機構部署了數(shù)據(jù)防泄漏(DLP)產(chǎn)品，包括終端側(cè)的EDLP和網(wǎng)絡側(cè)的NDLP。但是，傳統(tǒng)DLP主要關注數(shù)據(jù)的外發(fā)行為，忽視了數(shù)據(jù)在訪問、傳輸、存儲中的安全問題。

在數(shù)據(jù)訪問場景下，金融機構難以實現(xiàn)數(shù)據(jù)訪問的“最小化授權”，精準控制數(shù)據(jù)的訪問范圍。在數(shù)據(jù)傳輸上，難以對數(shù)據(jù)進行加密傳輸，保證信息的完整性、機密性。在存儲上，難以保證敏感數(shù)據(jù)在終端設備中的安全存儲，防范終端側(cè)的數(shù)據(jù)泄露。

如何滿足金融行業(yè)合規(guī)要求?

近年來，我國網(wǎng)絡安全和數(shù)據(jù)安全法律法規(guī)體系不斷完善，金融監(jiān)管部門的執(zhí)法力度與頻率不斷加大。金融機構既要遵守《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》等法律法規(guī)的要求，還要執(zhí)行金融行業(yè)的《金融行業(yè)網(wǎng)絡安全等級保護實施指引》、《金融數(shù)據(jù)安全 個人金融信息保護技術規(guī)范》、《關于加強銀行業(yè)保險業(yè)移動互聯(lián)網(wǎng)應用程序管理的通知》等行業(yè)規(guī)章和標準，合規(guī)壓力不斷加大。2023年以來，多家金融機構因網(wǎng)絡安全、數(shù)據(jù)安全問題被處罰，給全行業(yè)敲響了警鐘。

與此同時，金融行業(yè)的信息系統(tǒng)是關鍵信息基礎設施，是攻防演練重點關注的行業(yè)。如何在攻防演練中保證遠程辦公正常開展，避免遠程辦公系統(tǒng)被攻破，已經(jīng)成為金融機構必須妥善處理的問題。

芯盾時代SDP，遠程辦公新選擇

面對新的業(yè)務模式、新的網(wǎng)絡環(huán)境、新的安全挑戰(zhàn)，以VPN為代表的傳統(tǒng)遠程接入方案已經(jīng)無法滿足金融機構的遠程辦公需求。芯盾時代作為領先的零信任業(yè)務安全產(chǎn)品方案提供商，以零信任理念為指引，以軟件定義邊界為架構，以自主研發(fā)的核心技術為支撐，打造了零信任業(yè)務安全平臺(SDP)，助力金融機構建立新型遠程辦公體系。

在架構上，芯盾時代SDP采用軟件定義的方式，將控制器與網(wǎng)關分離，在安全性、可用性上具備天然優(yōu)勢。金融機構可以按照自身組織架構、業(yè)務需求，以“1個控制器+N個網(wǎng)關”的方式靈活組網(wǎng)。SDP網(wǎng)關支持本地、云上多種部署模式，金融機構能夠用一套系統(tǒng)實現(xiàn)多數(shù)據(jù)中心、多網(wǎng)絡域的遠程接入，在低改造甚至0改造的情況下將應用、設備與SDP對接，大幅縮減改造周期，降低部署成本，多、快、好、省的建立遠程辦公系統(tǒng)。在功能上，芯盾時代SDP采用All in One設計，全面整合自主研發(fā)的全類型身份標識技術、智能風險度量技術、切面安全技術、終端密碼安全技術等核心技術，從網(wǎng)絡、設備、身份、權限、數(shù)據(jù)五個維度，為金融機構構建零信任安全架構，對每一次業(yè)務訪問實施全程的、動態(tài)的、細粒度的動態(tài)訪問控制，一站式建立安全、便捷、合規(guī)的零信任網(wǎng)絡訪問系統(tǒng)，讓遠程辦公更安全。借助芯盾時代SDP，金融機構能從網(wǎng)絡、設備、身份、權限、數(shù)據(jù)五個維度，保證遠程辦公的安全：

隱藏應用暴露面，有效防范網(wǎng)絡攻擊

網(wǎng)絡掃描往往是網(wǎng)絡攻擊的第一步。只有掃描到了IP、端口信息，黑客才能確定攻擊入口和攻擊方式。VPN的IP、端口暴露于互聯(lián)網(wǎng)之上，而且普遍存在靜態(tài)認證、授權過度的問題，一旦被黑客利用，后果不堪設想。芯盾時代SDP采用了網(wǎng)絡隱身、加密傳輸、網(wǎng)絡隔離三大技術，能夠幫助金融機構實現(xiàn)業(yè)務應用和網(wǎng)關自身的雙重隱藏，有效收斂資源暴露面，防范端口掃描、DDoS攻擊，避免黑客以設備為跳板攻擊內(nèi)網(wǎng)服務，杜絕“逢攻防演練、先關閉遠程訪問”的尷尬。1.網(wǎng)絡隱身：芯盾時代SDP采用應用代理和SPA單包授權技術，由網(wǎng)關統(tǒng)一代理業(yè)務應用訪問流量，同時對所有連接網(wǎng)關的設備進行預認證，不通過認證不開放端口，實現(xiàn)業(yè)務應用和網(wǎng)關雙重“隱身”，減少遭受網(wǎng)絡攻擊的風險。2.加密傳輸：通過認證后，芯盾時代SDP能在客戶端與網(wǎng)關之間建立加密隧道，保證數(shù)據(jù)通過互聯(lián)網(wǎng)安全傳輸。加密隧道采用國密算法，讓數(shù)據(jù)傳輸更加安全可控。

3.網(wǎng)絡隔離：在用戶登錄客戶端訪問內(nèi)網(wǎng)服務時，禁止其終端設備訪問互聯(lián)網(wǎng)，避免終端設備上網(wǎng)時感染病毒，以設備為跳板攻擊內(nèi)網(wǎng)服務。

把好終端安全關，隱患設備早隔離

終端設備作為遠程辦公的載體，其安全性是確保遠程辦公安全的關鍵所在。芯盾時代基于自主研發(fā)的終端安全產(chǎn)品線，賦予了SDP客戶端一體化的安全能力。在PC端和移動端，用戶只需安裝一個客戶端，就能實現(xiàn)多因素認證、終端身份校驗、終端安全基線核查、終端威脅態(tài)勢感知、App加固、數(shù)據(jù)防泄漏等功能，打造安全的遠程辦公操作環(huán)境。

1.終端身份校驗：憑借設備指紋技術，金融機構能夠通過SDP客戶端，精準標識設備身份，發(fā)現(xiàn)非常用設備登錄、多用戶通過同一設備登錄等風險行為，限制單個用戶最多使用的設備數(shù)量，還能夠在攻防演練中開啟設備審批功能，禁止不可信設備接入系統(tǒng)。

2.終端環(huán)境檢測：憑借終端威脅態(tài)勢感知技術，SDP客戶端能夠識別終端設備是否安裝了殺毒軟件，是否存在遠程控制軟件、模擬器、程序雙開、攻擊框架、Root/越獄等風險，是否加入指定域控，是否安裝了操作系統(tǒng)補丁。在訪問過程中，客戶端持續(xù)檢測終端安全態(tài)勢、用戶的操作行為，為安全控制中心提供終端側(cè)的風險信息。

3.APP加固：在移動端，SDP客戶端可以以SDK形式，集成在泛微、致遠、藍凌或金融機構自建的App移動辦公之中，既能幫助金融機構將移動辦公入口收縮至內(nèi)網(wǎng)，縮小資源暴露面，還對移動辦公App進行安全加固，防范惡意篡改、病毒/木馬植入等風險，滿足金融機構移動展業(yè)、移動辦公的需求。

4.全系統(tǒng)適配：在PC端，SDP客戶端全面適配windows、macOS、Linux等操作系統(tǒng)，以及UOS、中標麒麟、銀河麒麟、深度等國產(chǎn)操作系統(tǒng);在PC端，適配iOS、Android系統(tǒng)。憑借全面的適配性，芯盾時代SDP能夠在碎片化的終端環(huán)境下，幫助金融機構實施統(tǒng)一的終端管控策略，筑牢終端安全防線。

實施多因素認證，身份認證更安全

零信任的本質(zhì)是以“身份”為核心實施細粒度的動態(tài)訪問控制。芯盾時代在IAM市場占有率穩(wěn)居前三，技術能力行業(yè)領先，芯盾時代SDP也由此具備了強大的身份安全能力，能夠幫助金融機構提升身份安全能力，消除網(wǎng)絡釣魚、撞庫攻擊、弱密碼帶來的安全風險。

1.多因素認證：借助芯盾時代SDP，金融機構能夠一站式實施全局多因素認證，為員工提供短信驗證碼、動態(tài)口令、App掃碼、指紋識別、人臉識別、企業(yè)微信/釘釘/飛書認證等多種認證方式，提升身份認證的安全性和便捷性。借助統(tǒng)一應用門戶和單點登錄功能，員工能夠通過一個門戶直接訪問權限內(nèi)的業(yè)務應用，實現(xiàn)“一次認證、全網(wǎng)通行”。

2.動態(tài)認證：芯盾時代SDP能夠綜合身份、設備、IP、時間、行為、位置等因素，對每一次訪問全程進行實時的風險評估，根據(jù)風險級別自適應執(zhí)行身份認證、訪問控制策略。在身份認證上，SDP能夠根據(jù)風險評估結(jié)果動態(tài)調(diào)整認證策略，自適應執(zhí)行免認證、默認認證、增強認證、禁止登錄等策略，在保證安全的前提下，優(yōu)化員工的操作體驗。

落實“最小化授權”，風險訪問全阻斷

VPN等傳統(tǒng)遠程辦公方案，普遍存在靜態(tài)授權、過度授權的問題。黑客一旦侵入內(nèi)網(wǎng)，就能夠越權訪問，在內(nèi)網(wǎng)橫向移動，給金融機構造成巨大風險。為了落實零信任的“最小化授權”原則，芯盾時代首創(chuàng)零信任切面安全能力，無改造地為業(yè)務系統(tǒng)注入安全能力，將權限管理能力至URL級，幫助金融機構對每一次訪問實施細粒度的動態(tài)訪問控制。

1.細粒度訪問控制：芯盾時代SDP支持多種權限管理模型，對于業(yè)務資源的管理能力細至URL級。金融機構能夠?qū)τ趦?nèi)部員工與外部分員工、各個部門與臨時項目組的不同角色，授權不同的訪問權限，實現(xiàn)對訪問權限的差異化、精細化管理。

2.自適應動態(tài)授權：在訪問控制上，SDP提供多種風險策略模型，金融機構能夠根據(jù)自身需求靈活定義模型，綜合設備、IP、時間、行為、賬號、位置等維度的風險信息，對每一次訪問實施動態(tài)訪問控制，實現(xiàn)“安全訪問全程無感，不確定訪問強化認證，不安全訪問直接拒絕”。

數(shù)據(jù)安全三把鎖，保證數(shù)據(jù)不泄露

在數(shù)據(jù)安全上，芯盾時代SDP具備安全工作空間、數(shù)據(jù)脫敏、Web水印三大功能，能夠在遠程辦公場景下，實現(xiàn)數(shù)據(jù)訪問權限動態(tài)決策、數(shù)據(jù)資源隱藏與隔離、數(shù)據(jù)加密傳輸，有效提升數(shù)據(jù)安全防護水平，滿足金融行業(yè)數(shù)據(jù)安全合規(guī)要求。

1.安全工作空間：借助SDP客戶端，企業(yè)可以在終端設備中構建與本地空間完全隔離的安全工作空間，實現(xiàn)“數(shù)據(jù)不落地”，并實施禁止復制、禁止截屏、禁止打印、外發(fā)審批等行為管控，阻斷數(shù)據(jù)外發(fā)。在軟件供應商、外包人員遠程訪問內(nèi)網(wǎng)的場景下，SDP能夠?qū)K端數(shù)據(jù)進行保護，有效防止數(shù)據(jù)泄露。

2.自定義數(shù)據(jù)脫敏：借助動態(tài)數(shù)據(jù)脫敏功能，金融機構可以對業(yè)務應用中的手機號、銀行卡、身份證號等敏感數(shù)據(jù)進行動態(tài)脫敏。針對不同人群，金融機構可以自定義脫敏內(nèi)容、脫敏長度，精確控制敏感數(shù)據(jù)的訪問范圍。

3.Web水?。横槍eb應用，芯盾時代SDP可以在無改造的情況下為Web頁面添加水印，對用戶進行安全教育、安全震懾和安全追溯，降低拍照截屏外發(fā)風險。

在合規(guī)層面，芯盾時代SDP擁有完全自主知識產(chǎn)權，既滿足《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》等法律法規(guī)對訪問控制、身份認證的要求，也滿足《金融行業(yè)網(wǎng)絡安全等級保護實施指引》、《金融數(shù)據(jù)安全 個人金融信息保護技術規(guī)范》等行業(yè)規(guī)章和標準對網(wǎng)絡安全防護、個人信息保護的要求。同時，芯盾時代SDP全面適配國產(chǎn)芯片、數(shù)據(jù)庫、中間件、云平臺等信創(chuàng)產(chǎn)業(yè)鏈軟硬件，能為金融機構建立信創(chuàng)化的零信任網(wǎng)絡訪問體系，為信創(chuàng)建設提供有力支撐。

憑借先進的架構、全面的功能、強大的性能，芯盾時代零信任業(yè)務安全平臺(SDP)在實際應用中展現(xiàn)了巨大的價值，在替換VPN、攻防演練、多云接入等場景下，展現(xiàn)了領先的安全性、可用性、適配性，有力保證金融機構遠程辦公安全，獲得了金融機構的高度認可。

如果你也想讓每一名員工在任何時間、地點，用任何網(wǎng)絡和設備，安全便捷的進行遠程辦公，芯盾時代零信任業(yè)務安全平臺(SDP)是你的不二之選。