芯盾時代中標中國聯通某省分公司 以零信任賦能遠程訪問安全

芯盾時代中標中國聯通某省分公司零信任遠程訪問安全，實現數據訪問最小化授權、網絡暴露面收斂、細粒度動態訪問控制等功能，為客戶建立內外網一體的零信任遠程辦公體系。

數字化轉型可以有效提升企業的抗風險能力，助力企業的業務發展。近幾年，混合工作環境的遠程辦公與云應用業務模式正在成為企業常態化工作模式，同時總部+分支的網絡部署方式成為很多企業的選擇。當大量設備從不同地點、大量人員從不同設備來接入業務系統，企業的業務安全面臨著來自內外部的諸多風險。

中國聯通作為新型數字信息基礎設施的建設者、運營者和安全守護者，堅持總體國家安全觀，貫徹網絡強國戰略，不斷增強自身的網絡信息安全建設，向億萬客戶提供安全穩定暢通的通信服務。芯盾時代同中國聯通及各省分公司已合作了多個項目，聚焦遠程辦公、統一身份管理、網絡邊界安全防護等應用場景，有效保護業務系統安全和穩定運行。

芯盾時代遠程訪問安全解決方案

芯盾時代從身份、設備、行為等維度為中國聯通某省分公司展開全方位防護，兼顧移動、固定等各種業務場景，提供安全傳輸、應用代理、動態訪問控制等能力，持續通過信任引擎對用戶、設備、訪問及權限進行風險評估，實現持續認證、動態授權、威脅發現與動態處置的閉環操作，從而實現因人施策，真正做到“持續驗證、永不信任”，讓用戶能夠使用任意設備，在任意地點、任意時間，以最小化權限安全地訪問企業資源，滿足客戶不同業務場景、模式下的動態訪問控制。

功能概述

終端安全隔離：SDP支持網絡隔離，根據業務應用網絡專線進行劃區域訪問，確保終端獲得準入授權后通過安全隧道訪問外網，不能同時訪問其他網絡。同時，芯盾時代采用沙箱技術，對用戶在訪問敏感應用系統下載的數據只能進入沙箱加密隔離存放，控制數據使用和外發行為，進而防止終端數據泄露，沙箱所使用密碼技術滿足國家密碼應用的標準要求。

身份認證：從身份、設備、行為等多維感知用戶終端環境，確保接入的終端設備均為可信設備，并對終端生成唯一標識，將用戶身份與終端進行實名綁定，支持多種身份認證方式，同時實現業務系統的單點登錄，讓員工“一次認證，全網通行”。

終端檢測：SDP采用SPA單包授權技術，默認拒絕一切連接，不響應未經過驗證設備和用戶的訪問請求，使攻擊者無法找到服務地址和端口。SPA單包授權技術與應用訪問代理配合，實現網關自身和應用資源的雙重隱藏，讓企業“網絡隱身”。

最小化訪問授權：在訪問主體側，將身份標識從“人”擴展至“人+設備+應用”等多個維度，構建可信的多維身份信息。在數據資源側，將訪問權限管理細化至數據級，實現數據資源的精細化授權。在訪問過程中，將身份信息貫穿訪問全流程，實現數據訪問的最小化授權。

智能感知全局風險：基于動態決策引擎，對訪問請求進行動態信任評估，適時執行放行、阻斷、二次認證、權限收斂等訪問控制策略，做到“安全訪問全程無感，不確定訪問再次認證，不安全訪問直接拒絕”。

項目投產后，中國聯通某省分公司縮減了網絡暴露面，降低安全管理成本，增強對應用系統的訪問保護，取得了非常顯著的應用效果，并且多次獲得主管部門的嘉獎。

審核編輯：劉清