從連云港始發(fā)的一列列中歐（亞）班列到南京港停泊的一艘艘外貿(mào)貨輪，從數(shù)字化的繭絲綢產(chǎn)業(yè)鏈到服務中小企業(yè)的金融公司，從大手筆的光伏和儲能項目到智能化的“AI外貿(mào)助手”……蘇豪控股集團持續(xù)擴張業(yè)務版圖，成長為江蘇省國資委下屬的“巨無霸”。

龐大的業(yè)務規(guī)模、豐富的業(yè)務類型、眾多的員工數(shù)量，催生了巨大的遠程辦公需求。但是，蘇豪控股集團總部所使用的VPN，卻成了數(shù)字化轉型的“絆腳石”：

VPN服務器的IP和端口暴露在互聯(lián)網(wǎng)上，時刻面臨被黑客掃描與攻擊的風險；

VPN在攻防演練時是紅隊的重點攻擊目標，關停VPN又影響業(yè)務運轉；

VPN的認證強度低、權限管理粗放、訪問控制能力弱，安全性存在明顯短板……

為了提升遠程辦公的安全性，為數(shù)字化轉型打好基石，蘇豪控股集團選擇用芯盾時代的零信任安全網(wǎng)關（SDP）替換VPN，開啟了遠程辦公的“零信任時代”。

關于蘇豪控股集團

江蘇省蘇豪控股集團是江蘇省屬大型國有獨資企業(yè)。2023年7月，江蘇省委、省政府將5家大型國企重組整合，成立了新的蘇豪控股集團。目前，蘇豪控股集團旗下?lián)碛?80余家各級企業(yè)和2.5萬名員工，已形成“4+2”的產(chǎn)業(yè)布局（四大核心產(chǎn)業(yè)：外貿(mào)、實業(yè)、金融、房地產(chǎn)；兩大新興產(chǎn)業(yè)：新能源、數(shù)字科技），其核心的外貿(mào)業(yè)務更是常年位居全國地方外貿(mào)企業(yè)前列，并在全球15個國家設有研發(fā)中心和生產(chǎn)基地，營收規(guī)模在江蘇省國資委監(jiān)管企業(yè)中高居首位。

方案設計

結合蘇豪控股集團的網(wǎng)絡架構與實際需求，憑借豐富的零信任安全建設經(jīng)驗，芯盾時代以自主研發(fā)的零信任安全網(wǎng)關（SDP）替換 VPN，為其打造了“持續(xù)驗證、永不信任”的零信任網(wǎng)絡訪問系統(tǒng)。

客戶價值

在蘇豪控股集團與芯盾時代的緊密配合下，零信任安全網(wǎng)關（SDP）在業(yè)務應用低改造、終端用戶無感知、內部員工快上手的情況下順利上線，不但安全水平更強，員工體驗也更優(yōu)。通過此次改造，蘇豪控股集團完成了以下目標，遠程辦公進入了“零信任時代”：

1.隱藏資源暴露面，有效防范網(wǎng)絡攻擊

芯盾時代SDP采用應用代理和SPA單包授權技術，由網(wǎng)關統(tǒng)一代理業(yè)務應用訪問流量，同時對所有連接網(wǎng)關的設備進行預認證，不通過認證不開放端口，實現(xiàn)業(yè)務應用和網(wǎng)關雙重“隱身”，降低遭受網(wǎng)絡攻擊的風險。

通過認證后，芯盾時代SDP能在客戶端與網(wǎng)關之間建立加密隧道，保證數(shù)據(jù)通過互聯(lián)網(wǎng)安全傳輸。加密隧道采用國密算法，讓數(shù)據(jù)傳輸更加安全可控。

在用戶登錄客戶端訪問內網(wǎng)服務時，禁止其終端設備訪問互聯(lián)網(wǎng)，避免終端設備上網(wǎng)時感染病毒，以該設備為跳板攻擊內網(wǎng)服務。

蘇豪控股集團使用芯盾時代SDP統(tǒng)一代理業(yè)務應用訪問流量后，有效收斂了資源暴露面，從根本上消除了遭受惡意掃描的風險。在攻防演練實戰(zhàn)中，芯盾時代SDP幫助蘇豪控股集團實現(xiàn)了“網(wǎng)絡隱身”，避免了“逢攻防演練先關VPN”的尷尬局面，讓攻擊方無功而返。

2.實施多因素認證，風險訪問及時阻斷

芯盾時代在IAM市場的占有率穩(wěn)居行業(yè)前三，技術能力行業(yè)領先，芯盾時代SDP也由此具備了強大的身份安全能力。芯盾時代幫助蘇豪控股集團建立了短信認證系統(tǒng)，將身份認證方式從傳統(tǒng)的“賬號+密碼”升級為多因素認證（MFA），有效提升了身份認證的安全性和便捷性。

同時，憑借設備指紋技術，蘇豪控股集團能夠通過SDP客戶端精準標識設備身份，實現(xiàn)員工賬號和終端設備的強綁定，從而識別非常用設備登錄、多用戶通過同一設備登錄等風險行為，還能夠在攻防演練中開啟設備審批功能，禁止不可信設備接入系統(tǒng)。

在訪問控制上，芯盾時代SDP提供多種風險策略模型，蘇豪控股集團能夠根據(jù)自身需求靈活定義模型，綜合設備、IP、時間、行為、賬號、位置等維度的風險信息，對每一次訪問實施動態(tài)訪問控制，實現(xiàn)“安全訪問全程無感，不確定訪問強化認證，不安全訪問直接拒絕”。

3.軟件定義邊界架構，組網(wǎng)、擴容更靈活

在架構上，芯盾時代SDP采用軟件定義的方式，將控制器與網(wǎng)關分離，在安全性、可用性上具備天然優(yōu)勢。SDP網(wǎng)關支持本地、云上多種部署模式，企業(yè)能夠用一套系統(tǒng)實現(xiàn)多數(shù)據(jù)中心、多網(wǎng)絡域的遠程接入，多、快、好、省的建立遠程辦公系統(tǒng)。

在先進的架構的支撐下，蘇豪控股集團在業(yè)務應用低改造的情況下，快速完成了應用、設備與SDP的對接，大幅縮減改造周期，降低部署成本。在后續(xù)的信息化建設中，蘇豪控股集團可以按照自身組織架構、業(yè)務需求，以“1個控制器+N個網(wǎng)關”的方式彈性擴容，滿足新增的遠程辦公需求。

芯盾視點

隨著數(shù)字化轉型持續(xù)深入，遠程辦公需求快速增長，零信任架構的優(yōu)勢日益凸顯。利用零信任替換VPN，成為了企業(yè)升級遠程辦公系統(tǒng)的理想選擇。蘇豪控股集團的此次改造，不但提升了遠程辦公安全性、便利性，更為后續(xù)的數(shù)字化轉型打下了堅實的基礎。