近年來，遠程辦公從企業的應急方案逐步轉變為常態化選擇，越來越多的企業借助遠程辦公提高業務效率、拓展業務場景、豐富業務形態，越來越多的打工人選擇在各種地點，用各種設備、網絡接入企業內網，訪問各種業務應用。

遠程辦公雖好，隨之而來的安全問題卻成了懸在企業頭上的“達摩克利斯之劍”，讓企業倍感頭疼。大到跨國企業，小至初創公司，無不面臨著以下五大安全挑戰。

遠程辦公五大安全挑戰

企業面臨的安全挑戰貫穿遠程辦公的全流程，涵蓋網絡、設備、身份、權限、數據五個層面。

1.網絡層面：如何保證應用的安全性？

遠程辦公中，員工需要通過互聯網訪問企業內網中的業務應用。如果業務應用的IP、端口對外開放，或者數據傳輸鏈路不經加密，極易成為黑客的突破口。因此，企業在網絡層面需要解決三大難題：

如何收斂業務應用的互聯網暴露面，減少遭受網絡攻擊的風險？

如何保證數據在互聯網上安全傳輸，防范數據被截獲或篡改？

如何隔離內網服務與互聯網服務，避免終端設備同時訪問內網與互聯網時，病毒通過外部流量滲透至核心業務系統？

2.設備層面：如何保證設備的合法性？

當前，BYOD（自帶設備辦公）已經成為常態，這導致遠程辦公設備愈發碎片化，設備的合法性難以驗證。為了提升對終端設備的管控能力，企業需要解決三個問題：

如何準確標識終端設備，杜絕惡意設備偽裝成合法終端入侵企業內網？

如何全程監測終端威脅態勢，識別未安裝殺毒軟件、開啟遠程控制軟件、存在非法進程等終端安全風險？

如何限制設備濫用，防范同一設備多人共用或超量登錄？

3.身份層面：如何保證身份的真實性？

在身份層面，企業需要提高身份認證的安全性，消除弱密碼、密碼重復使用等安全風險：

如何實施全局多因素認證，應對網絡釣魚、撞庫攻擊等針對身份憑證的網絡攻擊？

如何實現動態認證，在保證身份認證安全性的同時優化員工操作體驗？

4.權限層面：如何保證授權的合理性？

VPN等傳統遠程辦公解決方案普遍存在過度授權、權限管理粗放等問題。企業想要提升訪問控制能力，需要雙管齊下：

如何在對業務應用低改造甚至無改造的情況下，提升業務應用的訪問控制能力？

如何基于角色、屬性實現細粒度授權，針對不同人群實施不同的權限管理策略？

如何綜合設備、IP、時間、行為等風險因素持續評估訪問安全性，實施自適應動態授權？

5.數據層面：如何保證數據的可控性？

遠程辦公場景下，數據走出了內網，流轉路徑更加復雜。企業面臨三大數據安全痛點：

如何防范截屏、復制、外發等操作導致的敏感信息泄露？

如何保證數據在終端設備中安全存儲？

如何保證數據的可追溯性，在數據泄露后高效追蹤責任主體？

芯盾時代零信任業務安全平臺SDP

針對企業面臨的遠程辦公安全挑戰，芯盾時代以零信任理念為指引，以軟件定義邊界為架構，以自主研發的核心技術為支撐，打造了零信任業務安全平臺（SDP），助力企業多、快、好、省的建立、升級遠程辦公系統。

在架構上，芯盾時代SDP采用軟件定義的方式，將控制器與網關分離，在安全性、可用性、擴展性、適配性上具備天然優勢。在功能上，芯盾時代SDP采用All in One設計，從網絡、設備、身份、權限、數據五個維度，為企業一站式建立零信任網絡訪問系統，對每一次業務訪問實施全程的、動態的、細粒度的訪問控制，讓遠程辦公更加安全。

借助芯盾時代SDP，企業能夠輕松應對遠程辦公的安全挑戰：

1.收斂應用暴露面，內網外網強隔離

在網絡層面，芯盾時代SDP準備了網絡隱身、加密傳輸和網絡隔離三重保險。借助流量代理技術，SDP網關統一代理業務應用訪問流量，訪問者不直接與應用建立連接，實現業務應用的“網絡隱身”；借助SPA單包授權技術，對所有連接網關的設備進行預認證，不通過認證不開放端口，實現網關的“網絡隱身”。

借助加密傳輸功能，芯盾時代SDP能夠在客戶端與網關之間建立加密隧道，保證數據通過互聯網安全傳輸。加密隧道采用國密算法，讓數據傳輸更加安全可控。

借助網絡隔離技術，用戶登錄客戶端訪問內網服務時，禁止其終端設備訪問互聯網，避免終端設備上網時感染病毒。

2.終端安全強管控，非法設備不準入

憑借自主研發的設備指紋技術，企業能夠通過芯盾時代SDP的客戶端，精準標識設備身份，發現非常用設備登錄、多用戶通過同一設備登錄等風險行為，限制單個用戶最多使用的設備數量，還能夠在攻防演練期間開啟設備審批功能，禁止不可信設備接入系統。

憑借終端威脅態勢感知技術，企業能夠識別終端設備是否安裝了殺毒軟件，是否存在遠程控制軟件、模擬器、程序雙開、攻擊框架、Root/越獄等風險，是否加入指定域控。在訪問過程中，客戶端持續監測終端安全態勢、用戶的操作行為，為安全控制中心提供終端側的風險信息。

3.實施多因素認證，認證安全體驗佳

芯盾時代在IAM市場占有率穩居前三，技術能力行業領先，芯盾時代SDP也由此具備了強大的身份安全能力。借助SDP的客戶端App，企業能夠一站式實現全局多因素認證，消除弱密碼、密碼重復使用帶來的安全隱患，還能夠針對特定用戶、應用、設備、IP，實施自適應增強認證，兼顧網絡安全與用戶體驗。

同時，芯盾時代SDP全面支持各種身份認證協議，兼容釘釘、微信、飛書等認證源，能夠與企業原有身份管理系統無縫融合。借助單點登錄功能和統一應用門戶，企業能夠為員工提供更優的登錄體驗，實現“一次認證、全網通行”。

4. 權限管理更精細，動態控制更安全

為了落實零信任“最小化授權”原則，芯盾時代首創零信任切面安全能力，無改造的為業務系統注入安全能力，將權限管理能力細化至URL級，幫助企業全面提升訪問控制能力。

芯盾時代SDP支持多種權限管理模型，企業能夠針對內部員工與外部分員工、各個部門與臨時項目組的不同角色，授予不同的訪問權限，實現對訪問權限的差異化、精細化管理。

在訪問控制上，SDP提供多種風險策略模型，企業能夠根據自身需求靈活定義模型，綜合設備、IP、時間、行為、賬號、位置等維度的風險信息，對每一次訪問實施動態訪問控制，實現“安全訪問全程無感，不確定訪問強化認證，不安全訪問直接拒絕”。

5.數據安全三把鎖，保證數據不泄露

在數據安全上，芯盾時代SDP具備安全工作空間、數據脫敏、Web水印三大功能。借助芯盾時代SDP客戶端，企業可以在終端設備中構建與本地空間完全隔離的安全工作空間，實現“數據不落地”，并實施禁止復制、禁止截屏、禁止打印、外發審批等行為管控。芯盾時代自主研發的密碼技術，保證工作空間內的數據加密存儲，避免數據被竊取、破譯。

在數據脫敏技術的加持下，企業可以對業務應用中的手機號、銀行卡、身份證號等敏感數據進行脫敏，脫敏內容、脫敏長度、脫敏用戶由企業自定義。針對Web應用，芯盾時代SDP可以在無改造的情況下為Web頁面添加水印，對用戶進行安全教育、安全震懾和安全追溯，降低拍照截屏外發風險。

如果你也想讓每一名員工在任何時間、地點，用任何網絡和設備，安全便捷的進行遠程辦公，芯盾時代零信任業務安全平臺（SDP）是你的不二之選。