一、案例背景：

随着企业业务的不断拓展，传统的管理、运营、市场方式已经不能适应快速变化的经济形势，为满足企业可持续发展的需要，同时贯彻落实习近平总书记关于推动数字经济和实体经济融合发展的重要指示精神，企业需要完成向“数字化企业“的快速转型，建设数字化技术平台和信息化管理体系，实现“网络安全和信息化的双轮驱动”。同时，随着2020年新冠疫情的爆发和流行，企业远程办公的需求激增，越来越多的企业加入远程办公的行列中。企业远程办公和上云的常态化俨然形成一种趋势。传统的网络边界正在逐渐消失，传统基于边界的安全防护理念也愈加难以应对现代企业日益复杂的网络基础设施建设需求。因此，以“持续验证，永不信任”为核心的零信任理念逐渐步入各行各业的视野，远程办公访问安全成为企业数字化转型和可持续发展关注的焦点。

中信建设有限责任公司是全球最大的国际工程建设综合服务商之一，致力于提供包括金融、资源能源、制造、工程承包、房地产及基础设施等行业的全方位综合服务，帮助客户拓展上下游产业空间，形成完整的产业链条。随着市场业务的不断拓展及政策驱动，客户努力打造数字化企业形象，在转型过程中持续关注远程办公的安全性问题。

该客户的项目部员工在驻点出差支持项目及居家办公的过程中，通过传统VPN访问总部的SAP、OA等应用，而此方案主要存在以下几点问题： 

1、传统VPN无法满足“应用隐身” ：传统VPN方案的漏洞频繁被爆出，被黑客攻击而造成公司损失的例子不计其数。而且VPN部署需要将IP跟端口直接暴露在公网，打通用户与企业内网之间的隧道，安全隐患高，增加被恶意扫描、攻击、入侵的风险，存在终端被入侵并作为攻击跳板的可能性。 

2、终端和身份安全缺乏有效管控：传统的边界安全模型认为企业内网是安全可信任的，企业外部是危险不可信任的。通过VPN方案实现外部用户访问内网并不是绝对安全的。基于静态授权方式的VPN方案只针对用户做认证，缺乏对用户身份和终端设备的认证及安全性评估。随着业务扩展，需要开放更多账号给第三方和供应链合作伙伴，如果攻击者窃取了某人的VPN凭据，就可以自由访问企业内网，给企业网络安全带来隐患。

3、应用访问权限缺乏有效管控：用户使用VPN方案接入内网，一旦隧道建立，即可无限制地访问企业内网应用。缺少更细粒度、动态的访问和权限控制，导致关键应用可能存在被攻击渗透的风险。 

 因此，如何安全、稳定而高效地实现和管理远程办公成为客户所关注的问题。

二、案例概述：

客户的项目部员工在远程办公过程中，由于传统VPN方案需要将客户业务源站暴露在公网、终端和用户缺乏有效管控、网络运维管理难度大等问题，影响了员工业务访问效率，影响了内网业务应用的安全，难以满足客户在企业数字化建设中对稳定性和安全性的要求，因而中信建设的远程办公访问方案亟需实现安全的“数字化”转型。

为解决目前客户面临的困境和问题，网宿采用自研的零信任远程接入产品——安达（SecureLink），可以为企业远程访问/办公的传统内网访问技术提供一种安全、简单、快速的替代方案。其凭借着网宿全球安全智能网络的天然优势，为客户打造安全、高效、好用的远程访问环境。网宿安达SecureLink产品是根据云安全联盟(CSA)的软件定义边界(SDP)标准规范，同时遵循Zero-Trust安全框架设计而成，可以将访问决策基于用户身份在边缘位置执行，实现随时、随地、在任何终端或边缘安全地连接和访问。

                                                                                                                         图 1 网宿安达SecureLink解决方案产品架构图

网宿安达SecureLink产品主要由五大组件构成：

(1)设备终端（client）：网宿可以支持通过WEB浏览器或客户端/APP接入。支持用户名密码认证、设备绑定、手机短信验证（MFA）等多种身份认证机制，实现终端安全管控，实现更细粒度的安全控制。

(2)零信任安全网关（gateway）：部署在网宿分布式安全&传输网络中，所有用户对业务系统的访问请求都需要经过安全网关的验证和过滤，实现企业业务系统的网络隐身。

(3)零信任控制中心（controller）：可视化安全管控平台实现对全平台流量的调度和管控，包括身份认证、权限划分、用户行为审计、数据路由调度、安全告警等。

(4)内网连接器（connector）：部署在企业内部网络中，反向主动与安全网关建立安全加密连接，实现实际业务安全请求与响应。

(5) 全球智能网络（platform）：通过智能路由技术和私有协议传输优化技术，实时掌握网络变化状况，结合人工智能算法计算最快访问路径，提升访问速度，降低传输时间。

三、安全技术应用情况：

为解决客户前述的几个问题，网宿安达SecureLink方案提供的主要能力和亮点包括：

1、层层授权与防御，实现内网隐身

网宿安全网关在TCP/IP数据通信的各层都进行授权控制，防止非法数据进入，不再惧怕IP对外开放，不再惧怕多端口对外开放。

（1）网络层：安全网关默认deny all一切IP访问，只有访问终端经过控制中心授权后，才会针对授权的客户端开放访问通道。

（2）传输层：默认端口deny all一切连接请求，通过控制中心动态授权的可信终端可以访问，非法连接无法接入，让开放端口不再是企业的安全隐患，开放再多端口也不怕。

（3）安全传输层：可信终端与安全网关之间采用SSL（安全套接层）加密通信技术，防止通信数据被非法人员监听，篡改或破坏。

（4）应用层：安全网关对进入的每一个http请求进行动态验证，防止非法http数据以及非授权http数据通过，最大化保障企业业务系统安全访问。

2、持续验证，动态授权

网宿安达SecureLink在用户接入认证后，会对终端及用户行为进行持续验证，对检测到的异常行为、越权行为、威胁检测、终端环境等进行信任评分，根据检测结果动态调整用户的访问权限，保障应用业务的安全。如配置财务部的员工仅可访问财务系统，不允许访问HR系统，则财务部的员工访问HR系统的请求会被安全网关拦截，访问失败。

网宿安达SecureLink的信任评估引擎支持对用户和终端在登录和访问过程中的行为数据进行建模，构建安全基线，通过对用户当下行为进行检测，匹配安全基线来判断用户的行为是否存在异常，对检测到的用户异常行为进行分类并设置扣分值，通过一定加权计算评估用户的信任分值，并根据检测结果实时调整该用户的信任分数，在分数达到不同的阈值时，对该用户的权限进行动态的调整，甚至关闭该用户的账号权限，以保障应用业务的安全。除了应用的维度之外，还可以按用户/用户组粒度对用户的IP、访问位置（即所处的地理位置）、访问时间周期、URL、终端设备等多维度制定用户访问策略，进行对用户访问权限的控制。

3、身份认证，保障身份安全

网宿安达SecureLink产品可以对用户身份进行管理，保证用户身份和设备的合法性，包括：

(1) 创建账户体系，支持通过LDAP协议与现有身份管理系统如AD域同步账户和组织架构信息。

(2) 通过网宿设备绑定功能，确保用户在合法的设备上使用正确的账号登录，同时基于时间、地理围栏及IP地址对用户进行严格控制，以防止非法人员以非法的方式接入业务系统。

(3) 移动终端还可以设置手机短信、TOTP等多因子认证方式，保障身份安全。

4、终端安全检测，实现终端安全防护

网宿安达SecureLink产品可以支持对终端MAC地址及其他特征计算出的序列号进行绑定，确保用户账号只在被授权的终端上登录和访问；对终端登录行为进行安全基线匹配，如未入域、弱口令等不符合安全基线的终端将不允许登录；对终端的杀毒软件及进程进行检查，确保终端需要安装和运行指定杀毒软件才可以登录，以此实现终端安全检测，消除终端访问的安全隐患。

5、可视化统一管控，实现安全运维

网宿向客户提供可视化运维管控平台，管理员可通过Web页面登录控制平台进行统一的策略配置、下发，并可通过控制平台基于用户行为检测、终端检测、入侵检测等各种要素，洞悉客户网络安全风险。网宿安全网关会对用户的异常访问和操作行为进行记录，同时，将记录日志传送到控制平台，通过平台安全风险感知模块对大量数据进行统计分析，并在控制台展示检测到的入侵事件/异常事件/风险事件和对应数据呈现，如风险事件排名、高位用户排名、异常事件趋势图、最新风险展示及行为分析展示等等，为管理员提供安全运维的决策依据。

四、客户反馈效果：

目前，网宿为客户国内的分公司和办事处推广了安达SecureLink方案，实现员工在外出差或居家办公安全访问公司内网应用系统。该方案满足了客户远程办公对于安全和稳定性的要求，使用期间以来运行稳定，管控平台操作简易，相比传统的VPN方案有以下优势：

1.降低企业应用安全风险

客户部署了网宿安达SecureLink产品后，在用户侧看到的源站IP地址均为网宿的服务IP，可以有效地把客户应用源站的IP隐藏起来，黑客无法扫描到应用服务器，网络攻击无从发起；相比使用VPN访问、直接获取源站IP的情况，可以有效地降低安全隐患。若黑客对平台发起攻击，网宿安达零信任平台也可快速启用多维度的安全防护机制，大幅度降低风险，确保应用业务数据安全。

2.提升身份和终端访问安全

客户通过SecureLink产品对用户身份进行管理，设置短信、TOTP等多因子认证方式，保障身份安全。管理员根据用户的身份和具体的需求，多维度制定用户访问策略，有效地控制不同部门不同角色用户的访问权限，降低网络攻击和员工泄密数据的可能。同时，在用户接入认证后，对终端及用户行为进行持续验证和动态授权，以保障访问的安全。

3.提升企业运营管理效率

客户在日常运营管理过程中，可通过网宿零信任控制平台对终端、云端、源端、安全网关等多维度数据分析，全面把控企业安全运营态势；结合性能分析大屏、安全风险感知大屏，实现对业务风险和全链路数据可视化管理，助力客户业务运营管理效率提升至少20%。

4.快速部署，简便运维，提供金牌服务

使用网宿安达SecureLink解决方案，相比VPN方案，大大节约了部署上线周期和简化了网络运营维护管理，总投入预计节省了30%以上。此外，网宿还能提供高质量响应服务，7*24小时全天候专业团队，客户产品网络问题的反馈和咨询都可以得到及时响应和解决，服务体验极佳。