2025年，信創(chuàng)替代“收官戰(zhàn)”的號角已經(jīng)吹響。

國資委79號文明確要求，2027年前，網(wǎng)絡(luò)安全設(shè)備必須“全面替代”。VPN作為央國企遠(yuǎn)程辦公的標(biāo)配，是通往企業(yè)內(nèi)網(wǎng)的“咽喉要道”，自然首當(dāng)其沖。

其實，央國企早已苦VPN久矣：VPN網(wǎng)絡(luò)暴露面大，是紅方的重點(diǎn)攻擊目標(biāo)，攻防演練時常常要“拉閘保命”；VPN終端管控能力弱，黑客一旦攻陷終端，就能以其為“跳板”進(jìn)入內(nèi)網(wǎng)；VPN權(quán)限管理粗放，一旦被攻破，黑客可以在內(nèi)網(wǎng)自由橫移……

更重要的是，隨著企業(yè) IT 架構(gòu)向混合云、多數(shù)據(jù)中心轉(zhuǎn)型，基于邊界防御理念打造的VPN已經(jīng)難以適配復(fù)雜的遠(yuǎn)程訪問場景。

在“全面替換”的硬性要求下，尋找VPN替代方案，既是央國企信創(chuàng)建設(shè)的必由之路，更是企業(yè)升級遠(yuǎn)程辦公系統(tǒng)、構(gòu)筑數(shù)字化轉(zhuǎn)型安全基座的必然選擇。

零信任，VPN的最佳“接班人”

與基于邊界防御理念打造、容易“過度信任”的VPN相比，“持續(xù)驗證、永不信任”的零信任架構(gòu)在安全性、可用性上存在天然優(yōu)勢。

1.優(yōu)勢一：消除“過度信任”，遠(yuǎn)程辦公更安全

傳統(tǒng)VPN構(gòu)建信任的邏輯是“一旦接入，皆是內(nèi)網(wǎng)”。因此，VPN普遍存在網(wǎng)絡(luò)資源暴露面大、身份認(rèn)證強(qiáng)度低、訪問權(quán)限管理粗放、終端安全管理能力不足、訪問控制能力弱、無法管控員工行為等問題。

零信任架構(gòu)則完全不同。它誕生于邊界模糊化的網(wǎng)絡(luò)環(huán)境，默認(rèn)不信任企業(yè)網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和系統(tǒng)，以“身份”為核心構(gòu)建動態(tài)化、隨身化、微?；陌踩吔?，能夠智能感知網(wǎng)絡(luò)、設(shè)備、身份、權(quán)限、數(shù)據(jù)等維度的風(fēng)險信息，對每一次業(yè)務(wù)訪問實施全程的、動態(tài)的、細(xì)粒度的動態(tài)訪問控制，全方位提升遠(yuǎn)程訪問的安全性。

2.優(yōu)勢二：軟件定義邊界，適配新網(wǎng)絡(luò)架構(gòu)

當(dāng)今企業(yè)的IT架構(gòu)，正經(jīng)歷基礎(chǔ)設(shè)施云化、業(yè)務(wù)互聯(lián)網(wǎng)化和辦公移動化的深刻變革。內(nèi)網(wǎng)與外網(wǎng)的“邊界逐漸模糊”，數(shù)據(jù)中心也演變?yōu)椤氨镜?多云”的混合模式。

傳統(tǒng)VPN是為“內(nèi)網(wǎng)-外網(wǎng)”二元對立的簡單網(wǎng)絡(luò)而設(shè)計的，面對復(fù)雜的混合云環(huán)境，已顯得力不從心。

零信任架構(gòu)采用“軟件定義邊界”設(shè)計，將控制器與網(wǎng)關(guān)分離，企業(yè)可以按照自身需求，以“1個控制器+N個網(wǎng)關(guān)”的方式靈活組網(wǎng)，不但能建立適配混合云架構(gòu)的遠(yuǎn)程接入系統(tǒng)，還能統(tǒng)一全局訪問控制策略，大幅降低訪問管理復(fù)雜度，滿足信創(chuàng)建設(shè)中IT架構(gòu)升級的需求。

芯盾時代SDP：替代VPN，重塑遠(yuǎn)程辦公體系

芯盾時代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，以零信任理念為指引，以軟件定義邊界為架構(gòu)，以自主研發(fā)的核心技術(shù)為支撐，打造了擁有完全自主知識產(chǎn)權(quán)的零信任安全網(wǎng)關(guān)（SDP），不但能夠幫助央國企替代VPN，滿足信創(chuàng)合規(guī)要求，更能夠全面升級遠(yuǎn)程接入系統(tǒng)，讓遠(yuǎn)程辦公更安全，構(gòu)建數(shù)字化轉(zhuǎn)型安全基座。

1.全面合規(guī)：全面滿足信創(chuàng)與行業(yè)監(jiān)管

作為VPN的替代者，“合規(guī)”是底線。芯盾時代SDP的核心技術(shù)全類型身份標(biāo)識、智能風(fēng)險度量、切面安全、終端密碼安全等均為自主研發(fā)，擁有完全自主知識產(chǎn)權(quán)，不僅滿足《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等法律法規(guī)對訪問控制和身份認(rèn)證的要求，也滿足金融、教育、能源、醫(yī)療等行業(yè)的規(guī)章和標(biāo)準(zhǔn)對網(wǎng)絡(luò)安全防護(hù)、個人信息保護(hù)的要求。

同時，芯盾時代SDP全面適配國產(chǎn)芯片、數(shù)據(jù)庫、中間件、云平臺等信創(chuàng)產(chǎn)業(yè)鏈軟硬件，能為央國企建立信創(chuàng)化的零信任網(wǎng)絡(luò)訪問體系，為信創(chuàng)建設(shè)提供有力支撐。

2.安全升級：五維度的動態(tài)精細(xì)化防護(hù)

在安全層面，芯盾時代SDP采用“All in One”設(shè)計，將企業(yè)遠(yuǎn)程辦公所需的核心安全能力融為一體，從網(wǎng)絡(luò)、設(shè)備、身份、權(quán)限、數(shù)據(jù)五個維度，為企業(yè)構(gòu)建零信任安全架構(gòu)：

在網(wǎng)絡(luò)層面，芯盾時代SDP采用SPA單包授權(quán)和流量代理技術(shù)，實現(xiàn)網(wǎng)關(guān)和業(yè)務(wù)應(yīng)用的雙重“網(wǎng)絡(luò)隱身”，收斂資源暴露面，從源頭攔截惡意掃描；采用國密算法，在客戶端與網(wǎng)關(guān)之間建立加密隧道，讓數(shù)據(jù)傳輸更加安全可控；采用“網(wǎng)絡(luò)隔離”技術(shù)，禁止終端設(shè)備訪問內(nèi)網(wǎng)服務(wù)時連接互聯(lián)網(wǎng)，避免設(shè)備成為黑客攻擊的“跳板”。

在設(shè)備層面，芯盾時代SDP憑借設(shè)備指紋和終端威脅態(tài)勢感知技術(shù)，確保只有可信、安全、合規(guī)的設(shè)備才能接入系統(tǒng)。

在身份層面，芯盾時代SDP內(nèi)置輕量化的IAM，能夠幫助企業(yè)一站式實現(xiàn)多因素認(rèn)證（MFA）、單點(diǎn)登錄、動態(tài)認(rèn)證等功能，還能與企業(yè)微信、釘釘?shù)日J(rèn)證源無縫對接，打破系統(tǒng)間身份壁壘，讓業(yè)務(wù)訪問更順暢、IT運(yùn)維更簡單。

在權(quán)限層面，芯盾時代首創(chuàng)“零信任切面安全能力”，無需改造業(yè)務(wù)系統(tǒng)，即可將權(quán)限管理能力細(xì)化至URL級別，落實“最小化授權(quán)”原則，并綜合設(shè)備、IP、時間、行為、賬號、位置等維度的風(fēng)險信息，對每一次訪問實施動態(tài)訪問控制，實現(xiàn)“安全訪問全程無感，不確定訪問強(qiáng)化認(rèn)證，不安全訪問直接拒絕”。

在數(shù)據(jù)層面，芯盾時代SDP內(nèi)置終端安全沙箱，實現(xiàn)“數(shù)據(jù)不落地”，核心數(shù)據(jù)只能在隔離空間內(nèi)查看，禁止復(fù)制、截屏、打?。痪邆鋭討B(tài)脫敏功能，對業(yè)務(wù)應(yīng)用中的敏感信息進(jìn)行脫敏，保證數(shù)據(jù)“可用不可見”；具備Web水印功能，能夠為頁面添加防偽溯源水印，震懾并追溯泄密行為。

3.架構(gòu)先進(jìn)：彈性擴(kuò)容更便捷

芯盾時代SDP采用軟件定義的方式，將控制器與網(wǎng)關(guān)分離，在安全性、可用性上具備天然優(yōu)勢。企業(yè)可以按照自身組織架構(gòu)、業(yè)務(wù)需求，以“1個控制器+N個網(wǎng)關(guān)”的方式靈活組網(wǎng)。SDP網(wǎng)關(guān)支持本地、云上多種部署模式，企業(yè)能夠用一套系統(tǒng)實現(xiàn)多數(shù)據(jù)中心、多網(wǎng)絡(luò)域的遠(yuǎn)程接入，在低改造甚至0改造的情況下將應(yīng)用、設(shè)備與SDP對接，大幅縮減改造周期，降低部署成本，多、快、好、省的建立遠(yuǎn)程辦公系統(tǒng)。

為了滿足不同場景下的安全需求，芯盾時代SDP支持有客戶端和免客戶端兩種訪問模式，企業(yè)可根據(jù)實際場景選擇部署模式。

憑借先進(jìn)的架構(gòu)、全面的性能，芯盾時代SDP能夠覆蓋分支機(jī)構(gòu)組網(wǎng)、內(nèi)部員工遠(yuǎn)程辦公、運(yùn)維人員遠(yuǎn)程運(yùn)維、外包人員遠(yuǎn)程開發(fā)、合作伙伴遠(yuǎn)程訪問等幾乎所有遠(yuǎn)程接入場景。

央國企“全面替代”VPN，絕不是“換個國產(chǎn)牌子”這么簡單。以信創(chuàng)替代為契機(jī)，用零信任替換VPN，不但能滿足79號文的剛性需求，更是企業(yè)在混合云架構(gòu)普及、安全邊界模糊化時代下，實現(xiàn)安全、高效、敏捷發(fā)展的“最優(yōu)解”。