一、需求背景

随着企业数字化转型深入，办公接入环境逐渐混合化。应用和业务从原来私有化部署到公有化、混合化部署;各种业务系统从只有内部员工接入访问，到现在还需要外包人员、供应商、运维人员等接入，企业办公模式逐渐演变成既有在场办公，又有在线办公，网络边界变得更加模糊，在这种混合办公场景下，企业接入办公的安全风险随之升级:

1.连接安全风险激增

企业业务和边界设备暴露在互联网，容易被恶意扫描、攻击。
 

2.终端安全风险激增

用户接入后缺乏终端安全检测,容易造成风险终端接入，并攻击业务或感染其他终端。
 

3.身份安全风险激增

企业采用单一的认证方式，账号容易被盗用、官用。
 

4.运维安全风险激增

企业运维人员常通过远程软件进行运维，缺乏身份认证、访问控制、操作审计等，不安全且无法溯源。
 

5.数据泄露风险激増

用户在线办公时访问应用可以随意下载、转发文件，导致数据容易泄露，企业受损风险大。
 

除了安全风险以外，用户在混合办公场景下的接入体验也至关重要，关系到企业员工能否高效接入、便捷办公。目前企业在混合办公场景下，用户往往需要用到多种应用软件，给用户带来以下困扰:

1.接入体验较繁琐

用户混合办公场景下，需要使用多个客户端，记忆多个账户，来回切换较麻烦。
 

2.连接体验不稳定

在线办公通过开源VPN、边界设备VPN模块等方式接入，性能低，不稳定，常断连。
 

3.管理体验不高效

多个平台，管理多个身份，我个安全策略，管理效率低，体验一般。
 

4.操作体验不便利

多个客户端操作方式不一学习成本高，没有企业业务流程打通，接入后业务资源难申请。

因此，盈高科技推出专为企业混合办公场景研发的「盈高零信任访问控制系统」，致力于建立「全面安全」「极致体验」「可落地」的统一安全接入体系，帮助企业收缩互联网暴露面，加强身份、终端、运维、数据等方面的安全防护能力，提升用户接入体验，实现全网统一信任接入，让混合办公更简单更安全。

二、方案概述
 

盈高零信任访问控制系统(ZTP)，是基于零信任网络安全理念和统一接入理念，根据软件定义边界(SDP)架构构建的安全访问控制系统。该系统由盈高小助手、统一安全接入管理平台、网络准入控制(NAC)以及统一接入网关(UAG)等组件构成，共同建立动态虚拟网络安全边界，实现企业员工全网统一信任接入，让接入办公更简单更安全。

三、方案亮点

1.全面安全

2.极致体验

四、应用场景

场景一：混合接入办公

许多企业既有研发人员、行政、财务人员等在场办公，又有领导层、管理人员、营销人员在线办公，需在外访问公司内网业务系统，处理审批、合同、报价等事项。

企业为实现不同场景用户的接入办公需求，往往会采用不同方式接入:用户在边界明确的内部网络(如生产网研发网、测试网)使用802.1X或者NAC网络准入后接入访问业务;用户在公司外办公时,则通过互联网直接访问业务或通过VPN设备接入内网访问业务。
 

场景二：远程运维

企业运维人员一般会通过Todesk、向日葵等工具远程访问内部电脑，并将该电脑作为跳板机对交换机、服务器等进行运维;或者先通过VPN认证接入，再通过堡垒机对交换机、服务器进行远程运维。
 

场景三：使用专业VPN设备进行远程办公

外地办公人员、研发人员、出差人员在互联网使用专业VPN接入，访问OA系统、知识库、代码仓库等业务系统实现远程办公。
 

场景四：使用非专业VPN设备进行远程办公

用户使用防火墙上开通的SSLVPN模块，开源SSLVPN产品等非专业VPN设备远程接入企业内网。
 

场景五：移动办公

企业员工需要通过手机随时随地访问业务系统。

当企业使用阿里钉钉/企业微信/飞书等移动APP办公时，可以将业务服务端口直接映射在互联网上，以H5轻应用发布到APP的工作台上，员工会通过APP上的工作台访问办公应用;

当企业使用泛微/致远/帆软/蓝凌等或自建APP移动办公时，也需要将服务端口映射至互联网，员丁需要通过手机安装APP直接访问业务系统。
 

场景六：数据安全保护

在互联网访问业务，若没做好数据安全保护，企业可能会面临以下风险:数据泄密风险、远程接入无法管控。
 

五、方案优势

1.一个平台：接入更便捷管理更高效

盈高零信任访问控制系统的统一安全接入架构，可以让用户随时随地都只需要通过一个平台接入，记忆一种认证方式，无需来回切换，界面操作简单，用户接入体验好;管理员可在一个平台统一管理全网接入安全策略，管理效率高。
 

2.百项终端检测，适应复杂接入场景

基于盈高在终端安全十多年的积累，盈高零信任访问控制系统具备100+终端检测项，持续安全检测、风险秒级处置、兼容全操作系统，可轻松满足混合办公中各种接入场景的安全管理要求。
 

3.两处降本:轻量安全投入，避免重复投资

减少专业运维设备的投入:盈高零信任访问控制系统创新地融合堡垒运维能力，将主机服务器、网络设备资产运维纳入零信任访问控制保护，实现接入运维一体化，运维人员使用同一个平台接入后即可运维主机资源。

平滑升级全网接入安全:

盈高准入老客户只需新增零信任网关，再升级已有准入设备即可实现全网用户无边界安全接入，无需新购零信任控制中心，避免重复投资。
 

六、方案价值

1.内外兼修，全面安全

内、外网安全接入，全面强健自身安全，抵御外部未知风险。
 

2.无界守护，极致体验

用户统一无边界体验，无论身处何地都能安全便捷入网。
 

3.同步建设，高效落地

内网接入与外网接入同步建设，两个项目一次实施，落地更高效。