企業(yè)數(shù)字化轉(zhuǎn)型的過程中，業(yè)務的快速迭代和創(chuàng)新給IT基礎設施帶來了許多挑戰(zhàn)，關鍵業(yè)務上云成為許多傳統(tǒng)企業(yè)的選擇。業(yè)務上云幫助企業(yè)改變了IT資源不集中的狀況，同時，數(shù)據(jù)中心內(nèi)存儲的大量數(shù)據(jù)信息，也容易受到黑客的攻擊，如何保障云上數(shù)據(jù)安全成為企業(yè)考慮的重點。

上海某新勢力車企通過在華為云上部署聯(lián)軟SDP，針對移動辦公、遠程辦公等新興的企業(yè)辦公場景，實現(xiàn)用戶動態(tài)按需授權訪問，確保內(nèi)外部員工接入訪問云的安全，保障了關鍵業(yè)務系統(tǒng)上云后系統(tǒng)數(shù)據(jù)安全，有效防止了敏感信息的泄露。

在“移動+云”的時代背景下，傳統(tǒng)的安全邊界逐漸被打破，終端遠程辦公逐漸變成一種常態(tài)化辦公模式。作為一家專注于未來智能交通產(chǎn)業(yè)的創(chuàng)新制造企業(yè)，該車企數(shù)年間形成了上?？偛考颖本?、成都、日本等多個研發(fā)中心的布局，銷售和服務網(wǎng)絡遍布全國主要城市，并逐步拓展至海外市場。

隨著組織架構的不斷擴大，該車企開啟了關鍵業(yè)務系統(tǒng)上云的進程，以滿足高速發(fā)展的業(yè)務對IT架構高性能、高可用、易擴展和高安全等需求。與此同時，由于制造業(yè)工藝繁多，業(yè)務復雜，不少業(yè)務需要經(jīng)過第三方合作完成，存在數(shù)據(jù)泄密風險，這也對云平臺的安全功能提出了更高的要求。

在業(yè)務需求的推動下，該車企亟需引入成熟的SDP解決實現(xiàn)方案對不同設備、不同網(wǎng)絡、不同用戶的訪問權限進行管控，防止敏感數(shù)據(jù)外泄。

1)提供安全可控的沙箱空間，對沙箱內(nèi)的數(shù)據(jù)和網(wǎng)絡進行隔離，對進程、數(shù)據(jù)、網(wǎng)絡進行統(tǒng)一管控。通過靈活的管控策略實現(xiàn)沙箱內(nèi)數(shù)據(jù)的流轉(zhuǎn)控制和審計，結合數(shù)字水印及截屏控制，實現(xiàn)全面的數(shù)據(jù)安全防護。

基于業(yè)務現(xiàn)狀，該車企對安全沙箱有著較高的要求，需要完成業(yè)務系統(tǒng)的外網(wǎng)權限回收，同時對業(yè)務系統(tǒng)下載的文件進行控制。

經(jīng)過SDP的安全沙箱功能和單點登錄測試并在生產(chǎn)環(huán)境中驗證環(huán)節(jié)，該車企最終使用聯(lián)軟UEM后臺，在正常使用SDP沙箱的基礎上，拓展未來適配移動設備的功能。方案采用線性部署，通過負載實現(xiàn)網(wǎng)關、管理服務器、數(shù)據(jù)庫實現(xiàn)高可用性，并搭建軟負載，并形成負載集群，用于提供網(wǎng)關和負載之間通信使用。

▲現(xiàn)場實施部署架構圖

數(shù)據(jù)隔離：采用數(shù)據(jù)重定向方式，對沙箱內(nèi)保護應用程序的操作請求攔截，沙箱根目錄對沙箱以外的程序隱藏，只有受保護的應用進程可以讀取指定沙箱區(qū)域內(nèi)的數(shù)據(jù)，并且可通過策略實現(xiàn)根據(jù)用戶權限控制沙箱內(nèi)文件是否允許外發(fā)。

剪切板隔離：復制安全沙箱內(nèi)的受保護數(shù)據(jù)后，在執(zhí)行粘貼操作時，客戶端對數(shù)據(jù)粘貼的位置進行判斷，通過策略靈活配置是否允許使用剪切板功能，不影響個人應用的正常使用。

網(wǎng)絡隔離：安全沙箱客戶端對PC上所有應用軟件的網(wǎng)絡請求進行攔截過濾，最終將符合訪問策略的流量通過客戶端轉(zhuǎn)發(fā)至安全網(wǎng)關，強制只允許沙箱應用訪問企業(yè)內(nèi)網(wǎng)系統(tǒng)，避免個人應用通過網(wǎng)絡獲取企業(yè)數(shù)據(jù)。

加密存儲：所有寫入安全沙箱數(shù)據(jù)的操作都會經(jīng)過加密模塊加密處理再到安全沙箱路徑的磁盤，實現(xiàn)文件自動加密存儲在沙箱環(huán)境。

單點登錄：聯(lián)軟SDP登錄放置于現(xiàn)有OA系統(tǒng)中，實現(xiàn)單點登錄門戶，提供靈活便捷多因素認證方式，保障安全又注重體驗。

為確保在有限的時間內(nèi)更好的完成項目部署，團隊基于總體規(guī)劃、整體設計和分步實施的指導原則，特別制定施工進度計劃，保障工作能合理快速的推進，并針對可能存在的風險制定相應的規(guī)避措施和應對方法。

該企業(yè)通過對上海地區(qū)上千點終端部署SDP客戶端，運用動態(tài)的細粒度訪問控制技術、網(wǎng)關隱身單包授權協(xié)議、可靠的終端安全沙箱功能，水印追溯，模塊化的平臺架構和開放的生態(tài)合作體系，實現(xiàn)用戶動態(tài)按需授權訪問，為企業(yè)打造統(tǒng)一的終端安全管理中心、統(tǒng)一的安全策略管理中心、統(tǒng)一的應用系統(tǒng)發(fā)布中心、統(tǒng)一的端管云安全運維中心。

方案保障了該企業(yè)遠程辦公、分支機構訪問總部業(yè)務、“一機多用”場景、多云/多數(shù)據(jù)中心訪問、“內(nèi)外網(wǎng)”終端統(tǒng)一管理等多個場景下的業(yè)務安全，隱藏真實地址與端口，縮小暴露面，解決業(yè)務系統(tǒng)在外網(wǎng)暴露的風險，相較于傳統(tǒng)的VPN訪問模式，該方案在收回外網(wǎng)的權限過程中，能對客戶的數(shù)據(jù)做到隔離和控制，有效避免敏感信息泄漏。

此外，項目采用輕量級解決方案，不改變用戶使用習慣，不影響沙箱外其它應用的正常使用，同時可兼容常見主流應用軟件，包括安卓、鴻蒙、UOS、麒麟等主流國產(chǎn)或非國產(chǎn)操作系統(tǒng)，在確保數(shù)據(jù)安全的前提下，為用戶提供極致的體驗。

作為中國企業(yè)端點安全領導者，國內(nèi)率先落地基于“零信任安全”產(chǎn)品的廠商之一，聯(lián)軟SDP經(jīng)過了行業(yè)和客戶的實踐，在政府、制造、金融、醫(yī)療、能源等行業(yè)廣泛落地應用，解決跨網(wǎng)攻擊、數(shù)據(jù)泄露等安全隱患。未來，聯(lián)軟科技將持續(xù)深耕零信任網(wǎng)絡安全技術的研發(fā)與創(chuàng)新，以全網(wǎng)零信任重塑網(wǎng)絡安全邊界，助力更多政企用戶數(shù)字化轉(zhuǎn)型。