原标题：国际工程行业数字化转型案例展示⑤｜基于零信任的跨国办公安全创新实践

　　为展示前沿创新技术，分享优秀实践成果，推广行业成功经验，发挥科技创新赋能作用，助力企业数字化转型，承包商会2021-2022年陆续开展了国际工程行业数字化应用案例的征集工作。相关优秀案例将在承包商会微信公众号和官网陆续发布，欢迎各界读者关注。

　　中信建设有限责任公司（以下简称“中信建设”）的《基于零信任的跨国办公安全创新实践》案例在2022年的征集活动中被选为最佳管理实践案例。该案例应用零信任方案成功构建全新企业办公网，增强信息安全防御能力，提升网络协同效率，降低信息系统部署和推广成本。

　　当前正值“十四五”规划实施的重要时期，国务院国资委先后发布了《关于开展对标世界一流管理提升行动通知》《关于加快推进国有企业数字化转型工作的通知》等各项政策。为适应公司海内外业务发展需要，提升运营管理效率，中信建设在海内外项目持续开展数字化转型升级工作。

　　作为中信集团践行“一带一路”倡议排头兵，中信建设大量海外业务分布于非洲、拉美、亚太、中东、东欧及独联体等地区。新冠疫情爆发以来，海内外人员流动受限，为长期驻外员工、产业链上下游协同厂商提供一种更加安全便捷的网络接入方式访问公司内网，利用好公司信息系统，成为一项十分紧迫的任务。

　　中信建设应用网宿科技安达SecureLink零信任方案（以下简称“网宿零信任”）构建的全新企业办公网，很好地解决了海内外员工特殊时期网络访问需求，协助业务工作顺利开展。

　　2019年以来新冠疫情全球持续蔓延，中信建设海外项目人员调配受阻，现场办公与国内网络数据交互频繁，业务数据激增，对于网络稳定性、安全性、可用性提出更高要求。为此，中信建设搭建了安全快捷的全新企业办公网，以增强中信建设内网信息安全防御能力，提升全球员工、合作伙伴网络协同工作效率，降低信息系统部署和推广成本。

　　通过应用网宿零信任方案，建成包括14个国内外接入站点，超过1100名用户访问的全新企业办公网，支撑公司员工、合作伙伴在国内外不同区域快捷访问中信建设北京数据中心部署的SAP、协同办公、文档管理、人力资源管理等信息系统。

　　中信建设基于网宿零信任实施的全新企业办公网后，主要成效体现在以下几方面。

　　1.内网应用安全性更高。实施全新企业办公网后，用户侧访问的源站IP地址均为网宿科技的服务IP，真正的源站IP被隐藏，黑客无法扫描到真实源站的服务器，从而大大降低黑客直接攻击源站应用服务器的风险。此外，若黑客对平台发起攻击，零信任管控平台还可快速启用多维度安全防护机制，确保信息系统安全。

　　2.终端访问安全防护更全面。全新的企业办公网管理平台对用户身份、权限管理更灵活。通过账户密码、短信验证、TOTP等多因子认证方式，保障终端用户身份安全。管理员根据不同用户身份和具体业务需求制定访问策略，从而有效区分和控制不同单位、不同部门、不同角色、不同合作伙伴用户访问权限，降低因权限过大导致数据泄露的风险。同时，平台在用户接入认证后，还将持续对终端用户访问行为进行验证和动态授权，从而动态保障访问过程安全性。

　　3.访问速度和业务管理效率更高。对比传统VPN方案，网宿零信任方案大幅提升网络访问速度，对SAP系统访问速度提升接近50%；零信任管控平台对终端、云端、源端、安全网关等多维度进行持续数据分析，全面把控系统安全运营态势；结合性能分析大屏、安全风险感知大屏，实现对业务风险和全链路数据可视化管理，业务运营管理效率提升超过20%。

　　中信建设以网宿零信任为基础搭建的全新企业网，是在内部网络出口设备侧挂接内网连接器，用于反向主动与安全网关建立安全加密连接，实现实际业务数据访问的安全请求与响应。其关键部件包括零信任安全网关及零信任管控平台，二者均采用SaaS方式交付，部署于高安全性的网宿科技分布式高速骨干网上。零信任安全网关可对所有用户访问业务系统的请求进行验证和过滤，实现公司内网业务系统网络隐身；零信任管控平台除具备功能齐备的管理功能外，还可以进行详尽的多层数据钻取大屏展示，轻松实现全平台流量调度和管控。

　　与传统VPN专网相比，公司无需再建立全球骨干网和分布式数据中心，国内外各站点仅需在本地部署网宿科技CPE硬件连接器，利用现有互联网出口，即可通过网宿科技骨干网POP点就近接入企业办公网，极端条件下（部分国别无法运入网络设备）甚至只需通过CPE软件连接器即可接入企业办公网。

　　中信建设基于网宿零信任方案搭建的全新办公网，其系统设计架构遵循云安全联盟（CSA）软件定义边界（SDP）标准规范，融合零信任理念，从边缘防护、应用隐身层面打造办公网安全能力，确保用户远程或本地访问企业网络的全过程安全可控。同时依托网宿科技SD-WAN智能网平台全链路传输加速能力，使得用户的云访问体验得到大幅提升。

　　中信建设全新办公网支持浏览器端（Web）和客户端两种用户接入方式。其中，浏览器端通过HTTPS加密数据传输通道，采用管控敏感数据访问使用、对敏感数据页面打水印等方式，提供数据防泄漏能力。客户端通过SSL隧道加密传输通道，不仅具备终端设备授信、终端环境安全感知的能力，还能与生态合作伙伴的终端安全软件集成，具备自动杀毒、打补丁、终端数据防泄漏（DLP）等能力。

　　依托网宿科技软件定义网络（SD-WAN）智能网络平台部署零信任安全网关实现“SD-WAN+零信任安全”融合。SD-WAN平台对各安全网关、路由实时智能探测，配合私有传输协议优化及人工智能算法探测最优访问路径、智能切换等技术，避开拥塞网络。通过SaaS化服务为用户实现传输加速，在提升访问速度的同时保证了访问的安全性。为保证零信任安全网关平台自身的安全性，SD-WAN平台与网宿科技DDoS云清洗及WAF云防护等安全能力进行了集成。

　　安全防护采用SPA（单包认证）、域名改写、二次认证等技术手段，将安全网关及应用的IP、端口、域名隐藏起来，只有合法、合规的用户才可以正常访问。安全网关可按动态实时的访问控制策略执行对用户访问行为的管控，并对放行的流量进行网络流量分析（NTA），对暴力破解、端口扫描、XSS、SQL注入等异常流量进行识别、告警或拦截，从而保证合法用户对应用的安全访问。

　　由统一身份认证、终端安全检测模块、访问控制模块、安全审计、安全可视化和第三方联动6个组件构成零信任控制中心，并且可与生态合作伙伴的安全产品进行联动，集成第三方的安全能力，还可通过日志服务将平台日志信息推送给第三方，同时支持获取第三方产品的日志作为信任评估信息来源。

　　网宿零信任方案的软、硬件均为网宿科技独立自研，获得相应软件著作权、销售许可证认证；网宿零信任平台通过了国家信息系统等级保护三级认证、信创兼容性认证安全资质；国内外站点部署的CPE硬件设备，支持全程IPSEC、国密算法加密，获得了商密认证证书。以下为安全技术详细介绍。

　　网宿科技安全网关在TCP/IP数据通信的各层都进行授权控制，防止非法数据进入，不再惧怕IP及多端口对外开放。

　　用户接入认证后，系统会对终端及用户行为进行持续验证，对检测到的异常行为、越权行为、威胁检测、终端环境等进行信任评分，根据检测结果动态调整用户访问权限，保障应用业务安全。如配置财务部的员工仅可访问财务系统，不允许访问人力资源系统，即财务部的员工访问人力资源系统的请求会被安全网关拦截，访问失败。

　　系统对用户身份进行管理，保证用户身份和访问设备的合法性，包括：创建账户体系，支持通过LDAP协议与现有身份管理系统，如AD域同步账户和组织架构信息；通过网宿科技设备绑定功能，确保用户在合法的设备上使用正确的账号登录，同时基于时间、地理围栏及IP地址对用户进行严格控制，以防止非法人员以非法的方式接入业务系统；移动终端还可以设置手机短信、TOTP等多因子认证方式，保障身份安全。

　　系统通过对终端MAC地址及其他特征计算出的序列号绑定，确保用户账号只在被授权终端上才能登录和访问。系统对终端登录行为进行安全基线匹配，如未入域、弱口令等不符合安全基线的终端将不被允许登录。系统对终端安装的杀毒软件及进程进行检查，确保终端需要安装和运行指定杀毒软件才可登录，以此实现对终端进行安全检测，消除终端访问安全隐患。

　　可视化运维管控平台，管理员可通过Web页面登录控制平台进行统一的策略配置、下发，并可通过控制平台基于用户行为检测、终端检测、入侵检测等各种要素，洞悉客户网络安全风险。网宿科技安全网关会对用户的异常访问和操作行为进行记录，同时，将记录日志传送到控制平台，通过平台安全风险感知模块对大量数据进行统计分析，并在控制台展示检测到的入侵事件/异常事件/风险事件和对应数据呈现，如风险事件排名、高位用户排名、异常事件趋势图、最新风险展示及行为分析展示等，为管理员提供安全运维的决策依据。

　　服务商网宿科技是运营商的跨境网络服务合作伙伴，符合政策法规要求，能够保障跨境业务数据传输的安全可控。此外，系统整体运行在网宿科技国内安全云，系统日志、用户信息、应用日志存储均符合国家相关要求。通过应用虚拟化、系统冗余、线路热备等技术，系统整体可用性达到99.99%以上, 能够完全满足中信建设业务应用跨境数据传输需求。

　　中信建设实施以网宿零信任为基础搭建的全新企业网后，其实际效益体现在如下方面。

　　首先是提升了办公效率。相较此前应用的传统VPN方案，中信建设现在国内员工网络访问速度整体提升超过30%，海外员工访问速度整体提升超过100%。

　　其次是改善了网络安全防护能力。此前传统VPN方案下，中信建设网络接入端口对外暴露，极易遭受黑客扫描、渗透等攻击风险。自2019年部署全新办公网以来，零信任管控平台共发现23次来自外部的可疑扫描探测行为，平台通过网络隐身能力对可疑请求均进行拒绝，有效阻止了来自外部的网络攻击。同时，通过用户和实体行为分析技术（UEBA）检测识别47起信息安全威胁事件，助力管理员及时进行问题溯源审计，有效降低公司内部异常行为，减少安全隐患。

　　第三是降低网络建设成本显著。在原有VPN方案上改造访问稳定性和安全性，需要增加CDN加速、终端管控、入侵检测等较多安全产品，整套系统部署费用至少是网宿零信任的2-3倍，而且还存在兼容性问题。部署网宿零信任方案，有效避免兼容性问题，显著节省建设成本，且简化运维管理。

　　通过实施全新企业办公网，中信建设已经形成了标准化的网络接入安全模型、模板及平台，积累了企业内外推广应用经验。

　　中信建设采用的网宿零信任，在用户应用场景支持上遵循了零信任理念和软件定义边界（SDP）模型，提供了安全、稳定、高效、易用的远程办公和办公网改造解决方案。

　　未来，零信任替换升级企业传统VPN是大势所趋，但零信任方案不能只作为VPN的替代品，还需要和企业现有网络系统、安全防御体系、信息系统深入融合，进一步提升自动化、智能化、一体化。零信任企业办公网的升级替代相对容易，但整个企业网络系统的零信任改造、内网数据的安全需求将会长期、持续存在，并且会随着企业对零信任的需求而扩大应用范围。