一、项目背景

1.项目背景

随着金融科技时代的到来，信息化建设成为银行业务快速发展的基石，在7*24不间断提供服务的同时，也要求我们能够做到敏捷办公，全天候随时随地的对各类系统进行运维管理，同时，移动办公也使得原本清晰的安全边界逐渐模糊，使得访问用户脱离安全边界，用户需随时随地访问数据资源，由此，也面临着各种网络犯罪、定向攻击等安全挑战。

长期以来金融机构网络安全建设通过防火墙、VPN、IPS及WAF等安全设备隔离内外网，构建安全边界，保证内部业务系统访问的安全性，同时以边界保护数据中心的传统网络安全模式，无法对抗黑客的不断渗透，如何实现可信访问，降低安全风险成为了重中之重。

2.项目目标

随着零信任架构的不断成熟，金融行业在逐步接受通过零信任架构实现远程办公和移动办公，我行也基于自身业务情况，构建零信任接入下的数字一体化办公空间，将所有对外开放的办公系统进行整合，统一到零信任接入模式下，在收缩暴露面，提高安全性的同时，提升业务访问并发处理能力、快速扩容能力和运维效率，满足常态化办公需求；同时改善数据访问交互体验，加强身份认证和精细化访问控制，实现业务安全访问与用户体验的平衡，进而实现金融科技为业务赋能。具体如下：

（1）提升数字化办公空间的网络安全能力

网络攻防事态日益突出，网络攻击逐渐常态化，黑客攻击手段层出不穷，通过本方案构建基于零信任的安全能力。

（2）补强数字化办公空间的数据安全短板

随着数字化发展，数据成为重要生产力，数据安全成为目前安全范畴里必须要考虑的问题，通过本方案构建一体化办公空间，加强数据保护能力。

（3）支撑数字化办公空间的突发扩容场景

为应对如疫情全员居家办公等紧急突发情况，通过本方案补充数字化办公平台的灵活扩容能力，实现高并发下的稳定运行。

（4）提高数字化办公空间的用户使用体验

作为面向全行员工的数字化办公空间，用户的使用体验决定了方案的根本价值，通过本方案提高用户BYOD设备使用体验。随着零信任架构的兴起，金融行业在逐步接受通过零信任架构实现远程办公，而滨海农村商业银行不能完全参考其他金融单位的建设模式，需要基于自身的业务情况，在提高安全性的同时，提高办公的效率，实现金融科技为业务赋能。

二、项目方案

1.架构设计

2.技术设计

1.实现网络隐身和精细化访问控制

SPA安全机制：隐藏业务系统，同时不直接对外暴露端口，隐藏端口，保证系统自身安全性。

第三代SPA流程图示

权限管控优化：对接行内LDAP系统，零信任用户信息和行内LDAP账户每日定时同步，极大减少零信任用户信息的维护工作；同时能够基于用户身份、网络环境及用户行为多源信任评估结果，动态调整访问权限。

安全码分发机制和客户端下载链接收缩：安全码通过行内企业微信接受获取，下载链接和安全码均需通过企业微信用户认证后才可获得，极大收缩了对外暴露面。

用户登陆认证：对接行内安全令牌系统，在用户账户密码认证的基础上，实现零信任登陆的二次令牌认证，加强了用户访问安全。

2.定制保障数据安全性的沙箱环境

数据安全优化：在沙箱工作空间内新建、下载、接收、编辑文件时，文件自动加密存储在沙箱环境，沙箱工作空间与个人空间逻辑隔离，保障数据安全性。

网关性能优化：部署4台数据代理网关用于代理业务流量，部署2台独立的控制器进行权限管控与认证，最多满足同时6000终端在线使用。

应急能力提升：代理网关分布式部署双中心，支持双中心应急切换及接入使用。

运维效率提升：使用分布式架构部署，分离控制流量与业务流量，集群内可横向扩充代理节点数量，无需扩容多个集群，减少运维工作量。

资源利用率提升：使用网关+PC沙箱的形式实现远程办公和移动办公，不再使用应用服务器，扩容单台网关节点即可增加访问用户。

3.全方位提升远程办公和移动办公的交互体验

文字输入优化：使用PC本地沙箱打开软件，支持本地输入法，不改变用户输入法使用习惯。

网络传输优化：优化传输模式，仅传输数据，不再传输画面，减少对网络质量的依赖，降低卡顿出现概率。

文件管控优化：PC沙箱支持面向办公网站的上传、下载与编辑功能；可从本机向沙箱拷入文件（不可拷出），文件加密存储，满足保密要求，使用更加便利。

三、创新点

1.以身份为核心，将各应用系统分类为办公类、职能管理类、市场类、科技团队运维类等，针对不同的身份用户开放对应的访问权限，如科技团队具备系统运维类应用的访问权限，营销人员具备营销及市场管理类应用的访问权限。

2.将全部办公类应用收缩到零信任系统，用户无法从互联网直接获取应用的访问地址和接口；同时零信任开启第三代SPA单包授权功能，开放UDP和TCP的443端口，默认情况下TCP拒绝掉所有连接请求，只有用户通过UDP传递该用户独有的SPA安全码到零信任系统并认证通过后，零信任系统才会针对这个终端开放15秒的TCP连接权限，之后鉴定用户信息，终端信息。

3.零信任系统对接我行LDAP，实现零信任接入和系统访问的单点登陆。同时对接我行消息平台和自研的员工数字令牌服务接口，实现员工SPA安全码的自助申请、短信下发和数字令牌的二次认证，在不断提高安全性的同时，进一步提高了使用体验。

4.在用户终端通过沙箱技术生成安全隔离逻辑空间作为高密空间，当用户在终端访问零信任内的应用时需要在安全逻辑隔离空间内进行，个人空间与安全逻辑隔离空间之间的外设隔离、存储隔离及网络隔离；同时，安全逻辑隔离空间支持屏幕保护，避免截屏、录屏导致的数据泄露，并通过水印保证发生泄密事件后的溯源。

四、技术实现特点及优势

本项目零信任远程办公系统由零信任控制中心、零信任代理网关和零信任客户端三部分组成，每部分均有其功能特性：

1.零信任控制中心

该组件负责认证、授权、策略管理与下发，是整体的调度与管理中心。负责控制建立连接和切断主体（用户）与客体（应用）之间的通信连接（通过给网关发送控制指命）。它负责生成客户端用于访问应用的身份验证令牌或凭证。控制中心支持自适应身份认证、动态权限控制，对接入的身份、终端、环境、行为进行信任评估，基于策略引擎配置的策略结果，决定最终允许或拒绝会话。如果会话被授权且请求已被认证，则控制器通知网关允许代理访问。如果会话被拒绝（或之前的批准被拒绝），则控制器向网关发出指令以切断连接。同时零信任控制中心受SPA 单包授权技术对设备本身的服务进行隐身保护，只有已授权的客户端接入，才能打开认证页面，未授权的客户端将无法接入控制中心对外提供的任何服务，认证页面都无法打开。此外，零信任控制中心内置了数据沙箱，保障接入时的终端数据安全。

2.零信任安全代理网关

此组件负责建立、监视及切断访问主体（用户）和客体（应用）之间的连接。它与控制中心通信，从控制器接收策略和指令。零信任安全代理网关支持HTTPS代理访问和SSL 隧道代理访问，同时零信任安全代理网关受SPA单包授权技术对设备本身的服务进行隐身保护，只有已授权的客户端才能通过代理网关代理访问业务，否则将无法连接代理网关对外放通的端口服务。

由于所有流量都经过零信任安全代理网关，代理网关会记录所有的访问请求，包括源IP、目标IP 以及访问的URL路径，可进行日志审计，同时支持通过Syslog 将零信任平台的所有日志对接给第三方日志平台。

由于主体（用户）通过网关访问客体（应用）时流量被加密，且源IP、目标IP 发生了变化，为了方便外部审计平台对访问请求进行行为分析，零信任安全代理网关同时可将明文流量镜像发送给外部审计平台如态势感知等，以便外部设备进行审计、分析。

3.零信任客户端

零信任的PC和移动端均有对应的客户端，PC客户端和移动端APP支持SSL隧道访问；同时PC客户端提供终端安全检测能力，对接入的终端当前环境（如操作系统、防火墙、杀毒软件、应用进程）进行收集和上报，上报给零信任控制中心进行信任评估的策略管理。开启SPA 服务隐身后，只有授权过的零信任客户端才能连接控制中心和代理网关，才能进行认证、授权及代理访问。若用户启用了数据沙箱策略，则在认证后终端会强制开启工作空间，敏感业务限制在仅能在工作空间中访问，数据沙箱提供文件加密、文件隔离、网络隔离、剪切板管控、外设管控、屏幕水印及防截屏录屏等安全能力。

五、项目过程管理

整个项目实施包括需求分析、设计、测试、部署、投产、优化升级等。

1.需求分析阶段：收集和分析用户需求，明确项目的目标和范围；编写需求文档，包括功能需求、非功能需求等；确定项目的约束条件和限制，例如时间、预算和资源等；提供需求文档、需求规格说明书。

2.设计阶段：根据需求和系统架构，设计部署方式、用户访问方式、业务调度方式、第三方API功能集成；进行用户体验测试和反馈收集；编写技术设计文档，描述系统的技术实现方案和设计原理；提供系统架构图、部署拓扑图、技术设计文档等。

3.测试阶段：编写测试计划和测试用例，覆盖系统的各个功能和场景；进行单元测试、集成测试和系统测试，验证系统的功能和性能；进行用户使用测试，与用户一起验证系统是否满足需求；提供测试计划、测试用例、测试报告。

4.部署阶段：准备目标环境，包括控制中心、代理网关、对应接入设备等；部署所需的网络接入及安全策略；进行数据同步和验证，确保用户数据的完整性和一致性；进行第三方集成功能对接和验证等，提供部署计划、部署方案、验证报告。

5.投产阶段：部署后进行必要的配置和调优；进行性能测试和负载测试，确保系统能够承受实际使用情况下的压力；进行安全审查和漏洞扫描，确保系统的安全性和稳定性；上线系统，让用户开始正式使用，并持续监控和优化系统的性能和稳定性；提供部署文档、性能测试报告、功能测试报告。

六、运营情况

零信任远程办公系统初期部署授权4000点，用户已使用3500点，实时活跃用户数近800；零信任远程办公系统当前已承载行内各类系统70个，含：OA系统，邮件，云桌面，绩效系统，财务系统等。

七、项目成效

本项目对提升我行的服务能力有推动作用，为我行的远程办公和移动办公、研发环境提供了安全隧道访问。对于远程办公和移动办公，员工使用零信任系统安全接入行内系统，处理邮件、OA等内容，提高工作效率。对于远程研发，员工和外包厂商使用零信任系统接入虚拟桌面，在虚拟桌面内进行开发，既保证了开发效率，也提高了数据安全性，同时零信任+云桌面的模式，避免了云桌面的直接暴露，保证了业务数据安全。

八、经验总结

本项目最主要优势：一是面向全行员工，为有远程办公、移动办公需求的员工提供超便利、合规、安全的解决接入我行内网的可靠可信方案，实现了通过互联网安全访问行内各类业务系统,提高了业务的快捷响应能力,同时增强了信息安全，风险控制，构建了企业级的安全架构，零信任系统在金融机构的落地，极大的促进了零信任行业的发展。二是对我行赋能的合作公司、外包技术公司技术人员进入我行开发系统的云桌面提供安全、可靠、可监测、可审计的通道，提高我行的研发能力和辅助运维能力，节约人力成本，降本增效。