從連云港始發(fā)的一列列中歐（亞）班列到南京港停泊的一艘艘外貿(mào)貨輪，從數(shù)字化的繭絲綢產(chǎn)業(yè)鏈到服務(wù)中小企業(yè)的金融公司，從大手筆的光伏和儲能項(xiàng)目到智能化的“AI外貿(mào)助手”……蘇豪控股集團(tuán)持續(xù)擴(kuò)張業(yè)務(wù)版圖，成長為江蘇省國資委下屬的“巨無霸”。

龐大的業(yè)務(wù)規(guī)模、豐富的業(yè)務(wù)類型、眾多的員工數(shù)量，催生了巨大的遠(yuǎn)程辦公需求。但是，蘇豪控股集團(tuán)總部所使用的VPN，卻成了數(shù)字化轉(zhuǎn)型的“絆腳石”：

VPN服務(wù)器的IP和端口暴露在互聯(lián)網(wǎng)上，時(shí)刻面臨被黑客掃描與攻擊的風(fēng)險(xiǎn)；

VPN在攻防演練時(shí)是紅隊(duì)的重點(diǎn)攻擊目標(biāo)，關(guān)停VPN又影響業(yè)務(wù)運(yùn)轉(zhuǎn)；

VPN的認(rèn)證強(qiáng)度低、權(quán)限管理粗放、訪問控制能力弱，安全性存在明顯短板……

為了提升遠(yuǎn)程辦公的安全性，為數(shù)字化轉(zhuǎn)型打好基石，蘇豪控股集團(tuán)選擇用芯盾時(shí)代的零信任安全網(wǎng)關(guān)（SDP）替換VPN，開啟了遠(yuǎn)程辦公的“零信任時(shí)代”。

關(guān)于蘇豪控股集團(tuán)

江蘇省蘇豪控股集團(tuán)是江蘇省屬大型國有獨(dú)資企業(yè)。2023年7月，江蘇省委、省政府將5家大型國企重組整合，成立了新的蘇豪控股集團(tuán)。目前，蘇豪控股集團(tuán)旗下?lián)碛?80余家各級企業(yè)和2.5萬名員工，已形成“4+2”的產(chǎn)業(yè)布局（四大核心產(chǎn)業(yè)：外貿(mào)、實(shí)業(yè)、金融、房地產(chǎn)；兩大新興產(chǎn)業(yè)：新能源、數(shù)字科技），其核心的外貿(mào)業(yè)務(wù)更是常年位居全國地方外貿(mào)企業(yè)前列，并在全球15個(gè)國家設(shè)有研發(fā)中心和生產(chǎn)基地，營收規(guī)模在江蘇省國資委監(jiān)管企業(yè)中高居首位。

方案設(shè)計(jì)

結(jié)合蘇豪控股集團(tuán)的網(wǎng)絡(luò)架構(gòu)與實(shí)際需求，憑借豐富的零信任安全建設(shè)經(jīng)驗(yàn)，芯盾時(shí)代以自主研發(fā)的零信任安全網(wǎng)關(guān)（SDP）替換 VPN，為其打造了“持續(xù)驗(yàn)證、永不信任”的零信任網(wǎng)絡(luò)訪問系統(tǒng)。

客戶價(jià)值

在蘇豪控股集團(tuán)與芯盾時(shí)代的緊密配合下，零信任安全網(wǎng)關(guān)（SDP）在業(yè)務(wù)應(yīng)用低改造、終端用戶無感知、內(nèi)部員工快上手的情況下順利上線，不但安全水平更強(qiáng)，員工體驗(yàn)也更優(yōu)。通過此次改造，蘇豪控股集團(tuán)完成了以下目標(biāo)，遠(yuǎn)程辦公進(jìn)入了“零信任時(shí)代”：

1.隱藏資源暴露面，有效防范網(wǎng)絡(luò)攻擊

芯盾時(shí)代SDP采用應(yīng)用代理和SPA單包授權(quán)技術(shù)，由網(wǎng)關(guān)統(tǒng)一代理業(yè)務(wù)應(yīng)用訪問流量，同時(shí)對所有連接網(wǎng)關(guān)的設(shè)備進(jìn)行預(yù)認(rèn)證，不通過認(rèn)證不開放端口，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用和網(wǎng)關(guān)雙重“隱身”，降低遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

通過認(rèn)證后，芯盾時(shí)代SDP能在客戶端與網(wǎng)關(guān)之間建立加密隧道，保證數(shù)據(jù)通過互聯(lián)網(wǎng)安全傳輸。加密隧道采用國密算法，讓數(shù)據(jù)傳輸更加安全可控。

在用戶登錄客戶端訪問內(nèi)網(wǎng)服務(wù)時(shí)，禁止其終端設(shè)備訪問互聯(lián)網(wǎng)，避免終端設(shè)備上網(wǎng)時(shí)感染病毒，以該設(shè)備為跳板攻擊內(nèi)網(wǎng)服務(wù)。

蘇豪控股集團(tuán)使用芯盾時(shí)代SDP統(tǒng)一代理業(yè)務(wù)應(yīng)用訪問流量后，有效收斂了資源暴露面，從根本上消除了遭受惡意掃描的風(fēng)險(xiǎn)。在攻防演練實(shí)戰(zhàn)中，芯盾時(shí)代SDP幫助蘇豪控股集團(tuán)實(shí)現(xiàn)了“網(wǎng)絡(luò)隱身”，避免了“逢攻防演練先關(guān)VPN”的尷尬局面，讓攻擊方無功而返。

2.實(shí)施多因素認(rèn)證，風(fēng)險(xiǎn)訪問及時(shí)阻斷

芯盾時(shí)代在IAM市場的占有率穩(wěn)居行業(yè)前三，技術(shù)能力行業(yè)領(lǐng)先，芯盾時(shí)代SDP也由此具備了強(qiáng)大的身份安全能力。芯盾時(shí)代幫助蘇豪控股集團(tuán)建立了短信認(rèn)證系統(tǒng)，將身份認(rèn)證方式從傳統(tǒng)的“賬號+密碼”升級為多因素認(rèn)證（MFA），有效提升了身份認(rèn)證的安全性和便捷性。

同時(shí)，憑借設(shè)備指紋技術(shù)，蘇豪控股集團(tuán)能夠通過SDP客戶端精準(zhǔn)標(biāo)識設(shè)備身份，實(shí)現(xiàn)員工賬號和終端設(shè)備的強(qiáng)綁定，從而識別非常用設(shè)備登錄、多用戶通過同一設(shè)備登錄等風(fēng)險(xiǎn)行為，還能夠在攻防演練中開啟設(shè)備審批功能，禁止不可信設(shè)備接入系統(tǒng)。

在訪問控制上，芯盾時(shí)代SDP提供多種風(fēng)險(xiǎn)策略模型，蘇豪控股集團(tuán)能夠根據(jù)自身需求靈活定義模型，綜合設(shè)備、IP、時(shí)間、行為、賬號、位置等維度的風(fēng)險(xiǎn)信息，對每一次訪問實(shí)施動(dòng)態(tài)訪問控制，實(shí)現(xiàn)“安全訪問全程無感，不確定訪問強(qiáng)化認(rèn)證，不安全訪問直接拒絕”。

3.軟件定義邊界架構(gòu)，組網(wǎng)、擴(kuò)容更靈活

在架構(gòu)上，芯盾時(shí)代SDP采用軟件定義的方式，將控制器與網(wǎng)關(guān)分離，在安全性、可用性上具備天然優(yōu)勢。SDP網(wǎng)關(guān)支持本地、云上多種部署模式，企業(yè)能夠用一套系統(tǒng)實(shí)現(xiàn)多數(shù)據(jù)中心、多網(wǎng)絡(luò)域的遠(yuǎn)程接入，多、快、好、省的建立遠(yuǎn)程辦公系統(tǒng)。

在先進(jìn)的架構(gòu)的支撐下，蘇豪控股集團(tuán)在業(yè)務(wù)應(yīng)用低改造的情況下，快速完成了應(yīng)用、設(shè)備與SDP的對接，大幅縮減改造周期，降低部署成本。在后續(xù)的信息化建設(shè)中，蘇豪控股集團(tuán)可以按照自身組織架構(gòu)、業(yè)務(wù)需求，以“1個(gè)控制器+N個(gè)網(wǎng)關(guān)”的方式彈性擴(kuò)容，滿足新增的遠(yuǎn)程辦公需求。

芯盾視點(diǎn)

隨著數(shù)字化轉(zhuǎn)型持續(xù)深入，遠(yuǎn)程辦公需求快速增長，零信任架構(gòu)的優(yōu)勢日益凸顯。利用零信任替換VPN，成為了企業(yè)升級遠(yuǎn)程辦公系統(tǒng)的理想選擇。蘇豪控股集團(tuán)的此次改造，不但提升了遠(yuǎn)程辦公安全性、便利性，更為后續(xù)的數(shù)字化轉(zhuǎn)型打下了堅(jiān)實(shí)的基礎(chǔ)。