零信任“远程办公”新方案，助力企业数字化转型实践

随着企业业务发展以及数字化转型的需要，远程办公已成为业内必不可缺的办公手段，且已逐步常态化，除远程办公外，也包括远程运维、远程开发、开发众测、面向合作伙伴的业务开放等。为了支撑远程访问，原本只能在内网访问的高敏感度的业务系统不得不对互联网开放。无论是通过端口映射将业务系统直接开放公网访问，还是使用VPN打通远程网络通道，都扩大了网络的暴露面，将业务系统置于更危险的境地之中。同时，接入网络的人员、设备、系统的多样性呈指数型增加。远程访问模式允许员工、外包人员、合作伙伴等各类人员，使用家用PC、个人终端，从任何时间、任何地点远程访问业务。参差不齐的终端接入设备和系统，具有极大的不确定性，各种接入人员的身份和权限管理混乱，弱密码屡禁不止，这些都会给企业网络带来了极大的风险。员工使用的终端除了派发终端还包括私有终端，安全状态不同，存在远控软件、恶意应用、病毒木马、多人围观等风险，给内网业务带来了极大的安全隐患。此外，攻击者利用VPN漏洞极易绕过VPN用户验证，直接进入VPN后台将VPN作为渗透内网的跳板，进行肆意横向移动。

01

需求分析

02

解决方案

易安联零信任安全接入系统（Linkup One）遵循零信任体系化的安全框架，围绕终端设备管理，身份识别与访问管理，多因素认证自主编排、认证及访问安全策略编排等多个技术领域，为客户提供完整的可落地的零信任远程访问安全解决方案，解决远程办公环境下企业业务暴露在互联网上而引发的安全性难以保障问题，互联网暴露面收敛精准贴合当下中小型企业的数字化IT建设需求。

易安联Linkup One逻辑上划分为数据平面和控制平面。数据平面是指用户访问应用系统的业务平面，通过客户端和安全认证网关从访问用户到访问应用系统之间，建立安全访问通道。控制平面作为总分析和控制中心，由统一决策平台、控制中心、统一身份管理组成，构建风险和信任综合分析能力，策略决策响应能力，实现纵深防御。

Linkup One产品架构图

Linkup One产品整体采用One-Trust平台化技术架构，具备模块化动态扩展能力，能够快速支撑和响应实际业务需求。通过安全设备管理和强制用户认证，集成分析和验证信任关系，从而构建主动防御的安全架构。产品能力基于业务流的身份认证技术，细颗粒度应用访问授权技术，面向用户认证访问策略的自主编排技术，完成从安全认证、异常分析到资源管控的安全闭环管理，实现如下四大核心能力：

▽ 最小化授信

▽ 强制性验证

▽ 用户异常行为分析

▽ 用户、应用及设备管理

Linkup One技术架构图

03

产品核心能力

统一门户：

支持将应用统一展示在易连客户端工作台上，以便用户可见可访可达。将企业内部的各种应用和服务统一展示，不仅可以使用户能够直观地看到所有可用的应用程序，还能方便直接从一个集中的位置访问所需的服务和工具，从而提高了用户工作效率和使用体验。

身份认证：

支持CAS、OAUTH等单点登录协议，支持对接企业AD、LDAP、DB等认证源；支持社交账号认证，包括：企微、钉钉、微信等，实现统一的身份管理和便捷的访问控制。此外，支持通过微信、钉钉等社交账号进行扫码登录，极大地提升了用户体验的同时，保证了系统的安全性和管理的灵活性。

身份管理：

支持用户和组织的全生命周期管理，包括创建、修改、锁定和撤销等各个环节的操作，确保在整个生命周期内对用户和组织的信息进行有效的跟踪和管理。同时，提供基于角色和组织结构的访问授权机制，可以根据用户的角色和所在组织来动态分配相应的权限，从而实现细粒度的访问控制。

应用管理：

支持CS（客户端/服务器）应用、BS（浏览器/服务器）应用以及远程接入终端应用的全面发布与管理，不论是需要安装客户端的应用程序，还是直接通过浏览器访问服务的应用，都能够在一个统一的平台上得到有效的部署、监控和维护。

安全策略：

支持认证策略、终端策略、访问控制策略等多个维度的安全策略编排，可以综合运用多种安全措施来构建多层次的防护体系。通过这些多维度的安全策略编排，以实现精细化的安全管理，确保只有符合预设条件的用户和设备才能访问特定的资源，从而有效降低安全风险，保护企业的重要信息资产。

审计回溯：

支持行为日志的查询、下载与备份功能，使得管理员能够全面追踪和审查用户的访问行为，确保每一项操作都有据可查，便于后续的审计与回溯。通过详细记录用户的所有活动，系统不仅能够帮助识别潜在的安全威胁或违规行为，还能够在发生安全事件时提供关键证据。

04

成功实践案例（某省电网公司安全远程办公）

建设背景

◆ 员工使用VPN远程到桌面云，再访问研发专网，隧道采用长链接，稳定性不好，经常断线重连；◆ VPN服务器、业务系统服务器均暴露在公网上，被上级管理单位通报，且易遭受网络爬虫及扫描等攻击。系统0day漏洞很容易被利用，并因此造成数据泄露和经济损失。

客户需求

◆ 替换现有VPN，收缩业务暴露面；◆ 一次登录，免密访问所有权限内业务系统；◆ 对接入用户身份安全性、真实性、有效性进行全生命周期管理。

建设效果

◆ 暴露面收敛：产品采用最新的One-Trust架构，先认证后连接，无论何时、何地、何人访问任何资源，必须经过身份认证，确保只有合法的人员使用合规的终端才能访问权限内的系统。同时，实现产品服务器、业务服务器对外隐身，免遭扫描及漏洞利用；◆ 显著提升稳定性：通过采用短连接通信机制，有效保障通信的安全性，显著增强连接稳定性，确保系统的高效运行与可靠性；

05

客户价值降低安全风险：默认不信任任何设备和用户，根据自主策略编排来做认证及访问决策，加密传输等措施，能够降低安全风险。减少攻击暴露面：零信任网络，采用先认证后访问的方式，把应用隐藏在后面减少应用或资产的暴露，从而减少攻击面。提高员工访问体验和工作效率：单点登录（SSO）和多因素认证（MFA）结合，既提高安全性，又提升了用户体验，一次认证，全面登录，提高工作效率。全面的审计追溯：全面记录用户认证和操作相关信息，为综合态势分析、用户行为分析提供数据支撑，可通过用户账号直接追溯到员工个人。
扫描下方二维码或点击文末阅读全文即刻免费试用

https://mp.weixin.qq.com/s/6YeatHbS6CWa6rksIQ9sSQ