企業(yè)數(shù)字化轉(zhuǎn)型的過程中，業(yè)務(wù)的快速迭代和創(chuàng)新給IT基礎(chǔ)設(shè)施帶來了許多挑戰(zhàn)，關(guān)鍵業(yè)務(wù)上云成為許多傳統(tǒng)企業(yè)的選擇。業(yè)務(wù)上云幫助企業(yè)改變了IT資源不集中的狀況，同時(shí)，數(shù)據(jù)中心內(nèi)存儲(chǔ)的大量數(shù)據(jù)信息，也容易受到黑客的攻擊，如何保障云上數(shù)據(jù)安全成為企業(yè)考慮的重點(diǎn)。

上海某新勢(shì)力車企通過在華為云上部署聯(lián)軟SDP，針對(duì)移動(dòng)辦公、遠(yuǎn)程辦公等新興的企業(yè)辦公場(chǎng)景，實(shí)現(xiàn)用戶動(dòng)態(tài)按需授權(quán)訪問，確保內(nèi)外部員工接入訪問云的安全，保障了關(guān)鍵業(yè)務(wù)系統(tǒng)上云后系統(tǒng)數(shù)據(jù)安全，有效防止了敏感信息的泄露。

在“移動(dòng)+云”的時(shí)代背景下，傳統(tǒng)的安全邊界逐漸被打破，終端遠(yuǎn)程辦公逐漸變成一種常態(tài)化辦公模式。作為一家專注于未來智能交通產(chǎn)業(yè)的創(chuàng)新制造企業(yè)，該車企數(shù)年間形成了上?？偛考颖本⒊啥?、日本等多個(gè)研發(fā)中心的布局，銷售和服務(wù)網(wǎng)絡(luò)遍布全國主要城市，并逐步拓展至海外市場(chǎng)。

隨著組織架構(gòu)的不斷擴(kuò)大，該車企開啟了關(guān)鍵業(yè)務(wù)系統(tǒng)上云的進(jìn)程，以滿足高速發(fā)展的業(yè)務(wù)對(duì)IT架構(gòu)高性能、高可用、易擴(kuò)展和高安全等需求。與此同時(shí)，由于制造業(yè)工藝繁多，業(yè)務(wù)復(fù)雜，不少業(yè)務(wù)需要經(jīng)過第三方合作完成，存在數(shù)據(jù)泄密風(fēng)險(xiǎn)，這也對(duì)云平臺(tái)的安全功能提出了更高的要求。

在業(yè)務(wù)需求的推動(dòng)下，該車企亟需引入成熟的SDP解決實(shí)現(xiàn)方案對(duì)不同設(shè)備、不同網(wǎng)絡(luò)、不同用戶的訪問權(quán)限進(jìn)行管控，防止敏感數(shù)據(jù)外泄。

1)提供安全可控的沙箱空間，對(duì)沙箱內(nèi)的數(shù)據(jù)和網(wǎng)絡(luò)進(jìn)行隔離，對(duì)進(jìn)程、數(shù)據(jù)、網(wǎng)絡(luò)進(jìn)行統(tǒng)一管控。通過靈活的管控策略實(shí)現(xiàn)沙箱內(nèi)數(shù)據(jù)的流轉(zhuǎn)控制和審計(jì)，結(jié)合數(shù)字水印及截屏控制，實(shí)現(xiàn)全面的數(shù)據(jù)安全防護(hù)。

基于業(yè)務(wù)現(xiàn)狀，該車企對(duì)安全沙箱有著較高的要求，需要完成業(yè)務(wù)系統(tǒng)的外網(wǎng)權(quán)限回收，同時(shí)對(duì)業(yè)務(wù)系統(tǒng)下載的文件進(jìn)行控制。

經(jīng)過SDP的安全沙箱功能和單點(diǎn)登錄測(cè)試并在生產(chǎn)環(huán)境中驗(yàn)證環(huán)節(jié)，該車企最終使用聯(lián)軟UEM后臺(tái)，在正常使用SDP沙箱的基礎(chǔ)上，拓展未來適配移動(dòng)設(shè)備的功能。方案采用線性部署，通過負(fù)載實(shí)現(xiàn)網(wǎng)關(guān)、管理服務(wù)器、數(shù)據(jù)庫實(shí)現(xiàn)高可用性，并搭建軟負(fù)載，并形成負(fù)載集群，用于提供網(wǎng)關(guān)和負(fù)載之間通信使用。

▲現(xiàn)場(chǎng)實(shí)施部署架構(gòu)圖

數(shù)據(jù)隔離：采用數(shù)據(jù)重定向方式，對(duì)沙箱內(nèi)保護(hù)應(yīng)用程序的操作請(qǐng)求攔截，沙箱根目錄對(duì)沙箱以外的程序隱藏，只有受保護(hù)的應(yīng)用進(jìn)程可以讀取指定沙箱區(qū)域內(nèi)的數(shù)據(jù)，并且可通過策略實(shí)現(xiàn)根據(jù)用戶權(quán)限控制沙箱內(nèi)文件是否允許外發(fā)。

剪切板隔離：復(fù)制安全沙箱內(nèi)的受保護(hù)數(shù)據(jù)后，在執(zhí)行粘貼操作時(shí)，客戶端對(duì)數(shù)據(jù)粘貼的位置進(jìn)行判斷，通過策略靈活配置是否允許使用剪切板功能，不影響個(gè)人應(yīng)用的正常使用。

網(wǎng)絡(luò)隔離：安全沙箱客戶端對(duì)PC上所有應(yīng)用軟件的網(wǎng)絡(luò)請(qǐng)求進(jìn)行攔截過濾，最終將符合訪問策略的流量通過客戶端轉(zhuǎn)發(fā)至安全網(wǎng)關(guān)，強(qiáng)制只允許沙箱應(yīng)用訪問企業(yè)內(nèi)網(wǎng)系統(tǒng)，避免個(gè)人應(yīng)用通過網(wǎng)絡(luò)獲取企業(yè)數(shù)據(jù)。

加密存儲(chǔ)：所有寫入安全沙箱數(shù)據(jù)的操作都會(huì)經(jīng)過加密模塊加密處理再到安全沙箱路徑的磁盤，實(shí)現(xiàn)文件自動(dòng)加密存儲(chǔ)在沙箱環(huán)境。

單點(diǎn)登錄：聯(lián)軟SDP登錄放置于現(xiàn)有OA系統(tǒng)中，實(shí)現(xiàn)單點(diǎn)登錄門戶，提供靈活便捷多因素認(rèn)證方式，保障安全又注重體驗(yàn)。

為確保在有限的時(shí)間內(nèi)更好的完成項(xiàng)目部署，團(tuán)隊(duì)基于總體規(guī)劃、整體設(shè)計(jì)和分步實(shí)施的指導(dǎo)原則，特別制定施工進(jìn)度計(jì)劃，保障工作能合理快速的推進(jìn)，并針對(duì)可能存在的風(fēng)險(xiǎn)制定相應(yīng)的規(guī)避措施和應(yīng)對(duì)方法。

該企業(yè)通過對(duì)上海地區(qū)上千點(diǎn)終端部署SDP客戶端，運(yùn)用動(dòng)態(tài)的細(xì)粒度訪問控制技術(shù)、網(wǎng)關(guān)隱身單包授權(quán)協(xié)議、可靠的終端安全沙箱功能，水印追溯，模塊化的平臺(tái)架構(gòu)和開放的生態(tài)合作體系，實(shí)現(xiàn)用戶動(dòng)態(tài)按需授權(quán)訪問，為企業(yè)打造統(tǒng)一的終端安全管理中心、統(tǒng)一的安全策略管理中心、統(tǒng)一的應(yīng)用系統(tǒng)發(fā)布中心、統(tǒng)一的端管云安全運(yùn)維中心。

方案保障了該企業(yè)遠(yuǎn)程辦公、分支機(jī)構(gòu)訪問總部業(yè)務(wù)、“一機(jī)多用”場(chǎng)景、多云/多數(shù)據(jù)中心訪問、“內(nèi)外網(wǎng)”終端統(tǒng)一管理等多個(gè)場(chǎng)景下的業(yè)務(wù)安全，隱藏真實(shí)地址與端口，縮小暴露面，解決業(yè)務(wù)系統(tǒng)在外網(wǎng)暴露的風(fēng)險(xiǎn)，相較于傳統(tǒng)的VPN訪問模式，該方案在收回外網(wǎng)的權(quán)限過程中，能對(duì)客戶的數(shù)據(jù)做到隔離和控制，有效避免敏感信息泄漏。

此外，項(xiàng)目采用輕量級(jí)解決方案，不改變用戶使用習(xí)慣，不影響沙箱外其它應(yīng)用的正常使用，同時(shí)可兼容常見主流應(yīng)用軟件，包括安卓、鴻蒙、UOS、麒麟等主流國產(chǎn)或非國產(chǎn)操作系統(tǒng)，在確保數(shù)據(jù)安全的前提下，為用戶提供極致的體驗(yàn)。

作為中國企業(yè)端點(diǎn)安全領(lǐng)導(dǎo)者，國內(nèi)率先落地基于“零信任安全”產(chǎn)品的廠商之一，聯(lián)軟SDP經(jīng)過了行業(yè)和客戶的實(shí)踐，在政府、制造、金融、醫(yī)療、能源等行業(yè)廣泛落地應(yīng)用，解決跨網(wǎng)攻擊、數(shù)據(jù)泄露等安全隱患。未來，聯(lián)軟科技將持續(xù)深耕零信任網(wǎng)絡(luò)安全技術(shù)的研發(fā)與創(chuàng)新，以全網(wǎng)零信任重塑網(wǎng)絡(luò)安全邊界，助力更多政企用戶數(shù)字化轉(zhuǎn)型。