中国葛洲坝集团股份有限公司是一家集工程建设、工业制造、投资运营、综合服务为一体的跨国经营企业集团，是大型基础设施投资建设领域的“国家队”，是水利水电建设的“全球名片”，创造了5000余项精品工程和100多项世界之最。葛洲坝集团多次荣获国家科技进步特等奖、国家科技进步一等奖、国家优质工程金质奖、中国建筑工程鲁班奖、中国土木工程詹天佑奖、全国五一劳动奖状、中国对外承包工程企业社会责任金奖等荣誉，入选美国《工程新闻记录》（ENR）全球国际承包商225强、《财富》中国500强企业、中国建筑业竞争力200强企业等排名。

葛洲坝集团坚持科技创新引领发展，是国家创新型企业和国家高新技术企业，在数字化浪潮下，葛洲坝集团也在积极投入数字化建设。随着数字化转型的不断深化，在业务访问上，越来越多的业务系统需要实现随时随地的移动接入，建设面临诸多挑战：

1）过去考虑便利性，一些移动接入的业务系统直接暴露在互联网上，且明文传输，存在极大的安全风险，需要收缩业务系统暴露面，实现数据安全传输；

2）员工可以通过办公APP、企业微信、浏览器等多种方式访问业务系统，希望提供安全、快捷的认证方式，以及一致的访问权限；

3）组织架构上存在众多分支单位，需实现安全接入策略的分级分权管理；

4）日志审计合规，需要提供详尽的日志审计功能，满足6个月以上的日志审计的要求。

葛洲坝集团希望找到一套合适的方案来解决上述问题。

通过前期的方案调研，葛洲坝选择了以零信任理念构建业务安全访问的防护体系，结合自身需求及实际测试，最终选择了深信服零信任安全办公方案。

1）通过集群部署零信任控制中心和零信任代理网关，实现统一管理和保障办公业务安全访问的高可靠性；

2）通过策略配置，将业务系统收缩进内网，避免直接暴露在互联网，并通过SSL加密技术实现数据传输加密；

3）通过零信任控制中心与企业微信、统一认证平台、办公APP进行对接，实现统一身份管理和无密码认证，PC端采用企业微信扫码登录，手机端可实现指纹快捷认证；

4）通过管理员分级分权功能，将系统管理员、安全管理员、审计管理员角色分开，满足等保合规要求，并通过创建二级管理员，实现下级单位自助运维管理；

5）通过零信任的日志中心平台将所有的用户日志、管理员日志统一存储、查询，并提供用户访问行为、统计报表和风险分析功能；将用户访问应用的行为明文镜像给态势感知，实现安全联动。

葛洲坝集团通过零信任方案建设实现了安全移动办公，员工可以随时随地安全地访问各内网业务系统，办公效率得到了大幅提升。

通过办公APP、统一认证平台、企业微信与零信任结合，实现了门户入口集约化和统一身份管理，提高办公效率与安全性。

管理员分级分权、日志留存等，满足合规以及日常管理要求。

项目实施过程也经历了不少挑战，最终在厂商的配合下顺利落地：

1）业务系统的快速上线：由于业务系统众多，涉及到零信任设备要与办公APP、企业微信、统一认证平台对接，除了产品能力外，实施经验也尤为重要。在整个业务上线过程中，深信服积极提供同类场景的经验参考，保障了业务顺利上线；

2）业务的延续性：在零信任上线前，原本VPN的访问路径要保持不能中断，涉及到现有应用、权限等策略的迁移和零信任上线前期的并存使用，既要考虑策略的平滑迁移，也要考虑并存场景下的冲突问题。深信服在实施中提供了VPN配置转化服务，保障了策略平滑迁移，且零信任采用与VPN不同的技术架构，避免了客户端的兼容冲突，在不中断业务的情况下实现了零信任的上线。

客户评价：深信服零信任解决方案极大地提升了葛洲坝集团的办公业务访问的安全性，满足等保合规、审计合规的要求，产品兼容性好、日志审计详细，能很好地提升运维效率。