芯盾时代中标中国联通某省分公司 以零信任赋能远程访问安全

芯盾时代中标中国联通某省分公司零信任远程访问安全，实现数据访问最小化授权、网络暴露面收敛、细粒度动态访问控制等功能，为客户建立内外网一体的零信任远程办公体系。

数字化转型可以有效提升企业的抗风险能力，助力企业的业务发展。近几年，混合工作环境的远程办公与云应用业务模式正在成为企业常态化工作模式，同时总部+分支的网络部署方式成为很多企业的选择。当大量设备从不同地点、大量人员从不同设备来接入业务系统，企业的业务安全面临着来自内外部的诸多风险。

中国联通作为新型数字信息基础设施的建设者、运营者和安全守护者，坚持总体国家安全观，贯彻网络强国战略，不断增强自身的网络信息安全建设，向亿万客户提供安全稳定畅通的通信服务。芯盾时代同中国联通及各省分公司已合作了多个项目，聚焦远程办公、统一身份管理、网络边界安全防护等应用场景，有效保护业务系统安全和稳定运行。

芯盾时代远程访问安全解决方案

芯盾时代从身份、设备、行为等维度为中国联通某省分公司展开全方位防护，兼顾移动、固定等各种业务场景，提供安全传输、应用代理、动态访问控制等能力，持续通过信任引擎对用户、设备、访问及权限进行风险评估，实现持续认证、动态授权、威胁发现与动态处置的闭环操作，从而实现因人施策，真正做到“持续验证、永不信任”，让用户能够使用任意设备，在任意地点、任意时间，以最小化权限安全地访问企业资源，满足客户不同业务场景、模式下的动态访问控制。

功能概述

终端安全隔离：SDP支持网络隔离，根据业务应用网络专线进行划区域访问，确保终端获得准入授权后通过安全隧道访问外网，不能同时访问其他网络。同时，芯盾时代采用沙箱技术，对用户在访问敏感应用系统下载的数据只能进入沙箱加密隔离存放，控制数据使用和外发行为，进而防止终端数据泄露，沙箱所使用密码技术满足国家密码应用的标准要求。

身份认证：从身份、设备、行为等多维感知用户终端环境，确保接入的终端设备均为可信设备，并对终端生成唯一标识，将用户身份与终端进行实名绑定，支持多种身份认证方式，同时实现业务系统的单点登录，让员工“一次认证，全网通行”。

终端检测：SDP采用SPA单包授权技术，默认拒绝一切连接，不响应未经过验证设备和用户的访问请求，使攻击者无法找到服务地址和端口。SPA单包授权技术与应用访问代理配合，实现网关自身和应用资源的双重隐藏，让企业“网络隐身”。

最小化访问授权：在访问主体侧，将身份标识从“人”扩展至“人+设备+应用”等多个维度，构建可信的多维身份信息。在数据资源侧，将访问权限管理细化至数据级，实现数据资源的精细化授权。在访问过程中，将身份信息贯穿访问全流程，实现数据访问的最小化授权。

智能感知全局风险：基于动态决策引擎，对访问请求进行动态信任评估，适时执行放行、阻断、二次认证、权限收敛等访问控制策略，做到“安全访问全程无感，不确定访问再次认证，不安全访问直接拒绝”。

项目投产后，中国联通某省分公司缩减了网络暴露面，降低安全管理成本，增强对应用系统的访问保护，取得了非常显著的应用效果，并且多次获得主管部门的嘉奖。

审核编辑：刘清