金融企業(yè)數(shù)字化轉(zhuǎn)型如何實(shí)現(xiàn)辦公安全

金融企業(yè)數(shù)字化轉(zhuǎn)型，如何實(shí)現(xiàn)辦公安全2022年3月上海疫情形勢嚴(yán)峻，銀聯(lián)商務(wù)響應(yīng)政府防控工作要求，迅速采取行動(dòng)，3月9日至14日，快速完成從半數(shù)員工居家辦公到全員居家辦公模式的調(diào)整。短短一周內(nèi)利用現(xiàn)有基于零信任的數(shù)字化辦公平臺(tái)，有效保障了1000多人的辦公體驗(yàn)，安全防護(hù)要求同樣不松懈。早在2021年，銀聯(lián)商務(wù)數(shù)字化辦公平臺(tái)就完成技術(shù)調(diào)研、項(xiàng)目落地、組件聯(lián)調(diào)，2021年12月至2022年1月完成全公司宣貫培訓(xùn)，充分的準(zhǔn)備和完善靈活的辦公模式，為打好本次疫情攻堅(jiān)戰(zhàn)奠定了堅(jiān)實(shí)的基礎(chǔ)。建設(shè)背景及發(fā)展目標(biāo)數(shù)字金融成為近年熱議話題，政府工作報(bào)告中也明確提出促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展，其中強(qiáng)調(diào)要促進(jìn)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型。產(chǎn)業(yè)數(shù)字化是發(fā)展數(shù)字經(jīng)濟(jì)的主引擎，已上升到我國創(chuàng)新戰(zhàn)略決策的高度，日益成為數(shù)字經(jīng)濟(jì)乃至國民經(jīng)濟(jì)發(fā)展的重要支撐力量。為響應(yīng)數(shù)字化轉(zhuǎn)型，實(shí)現(xiàn)規(guī)范化發(fā)展，打造企業(yè)新的核心競爭力，2020年銀聯(lián)商務(wù)提出建設(shè)2021~2023年的“三年技術(shù)規(guī)劃”。規(guī)劃指出，IT條線整體發(fā)展將重點(diǎn)圍繞“治理與管控”“大IT團(tuán)隊(duì)”“小IT團(tuán)隊(duì)”的建設(shè)及能力輸出，形成三足鼎立格局。IT治理將整合公司范圍內(nèi)的資源，加強(qiáng)規(guī)劃及架構(gòu)管控、需求統(tǒng)籌、項(xiàng)目群管理、標(biāo)準(zhǔn)化建設(shè)和監(jiān)督，驅(qū)動(dòng)多個(gè)部門攜手，促進(jìn)跨部門協(xié)同辦公方案的落實(shí)。辦公安全建設(shè)作為數(shù)字化轉(zhuǎn)型的重要環(huán)節(jié)，需要通過新技術(shù)新理念進(jìn)行改造，實(shí)現(xiàn)終端交付能力“服務(wù)化”、分支訪問架構(gòu)“分布化”、辦公空間“平臺(tái)化”。然而，隨著銀聯(lián)商務(wù)業(yè)務(wù)持續(xù)穩(wěn)定發(fā)展，分支接入辦公的需求越來越多、場景越來越復(fù)雜，以及為應(yīng)對(duì)疫情等不確定因素，隨時(shí)隨地靈活辦公的需求也越來越緊迫。如何實(shí)現(xiàn)安全辦公、保障便捷體驗(yàn)，成為銀聯(lián)商務(wù)數(shù)字化轉(zhuǎn)型中的重要一環(huán)。金融企業(yè)數(shù)字化辦公轉(zhuǎn)型的挑戰(zhàn)數(shù)字化辦公作為企業(yè)數(shù)字化轉(zhuǎn)型的重要環(huán)節(jié)，即用戶利用終端在某個(gè)網(wǎng)絡(luò)位置以一定的權(quán)限訪問業(yè)務(wù)并獲取數(shù)據(jù)。銀聯(lián)商務(wù)深入分析了當(dāng)前數(shù)字化辦公所面臨的挑戰(zhàn)。1.缺乏有效身份認(rèn)證管理體系。銀聯(lián)商務(wù)有OA、網(wǎng)上報(bào)銷、業(yè)務(wù)統(tǒng)一受理、網(wǎng)服平臺(tái)、網(wǎng)付系統(tǒng)等眾多應(yīng)用系統(tǒng)，賬號(hào)體系管理難，安全風(fēng)險(xiǎn)大；同時(shí)，大量的賬號(hào)口令繁雜，日常辦公頻繁需要輸入密碼，員工使用體驗(yàn)差，也帶來了更多身份認(rèn)證的安全隱患，且無法關(guān)聯(lián)用戶身份與系統(tǒng)訪問權(quán)限。2.缺乏終端安全監(jiān)控。銀聯(lián)商務(wù)主要辦公人員包含總部、分支、開發(fā)測試、外包駐場以及外包非駐場等，人員身份多樣，使用的終端類型和終端環(huán)境大不相同。常規(guī)的準(zhǔn)入和VPN等接入手段，并不能對(duì)終端環(huán)境進(jìn)行安全基線核查；當(dāng)終端出現(xiàn)惡意進(jìn)程、缺少終端殺毒軟件時(shí)，缺乏有效的手段進(jìn)行檢測和處理，無法保證接入內(nèi)網(wǎng)的終端足夠安全和合規(guī)。3.外網(wǎng)接入場景數(shù)據(jù)易泄露。移動(dòng)人員和分支公司從外網(wǎng)接入時(shí)，主要使用自帶辦公終端，業(yè)務(wù)暴露面大，對(duì)內(nèi)網(wǎng)業(yè)務(wù)造成了不可預(yù)知的安全威脅。同時(shí)數(shù)據(jù)在終端有沒有被違規(guī)使用或泄露完全不可管控，很難保證數(shù)據(jù)安全。4.多元場景下保障使用體驗(yàn)難度大。數(shù)字化辦公方案要在全司推廣，保障員工使用體驗(yàn)是大規(guī)模應(yīng)用的前提條件。由于此次項(xiàng)目實(shí)施涉及數(shù)據(jù)防泄密、分支機(jī)構(gòu)接入、遠(yuǎn)程辦公和運(yùn)維管理等場景，在解決場景多樣化的基礎(chǔ)上，如何最大化保證用戶體驗(yàn)以及利用終端PC機(jī)的生產(chǎn)力來節(jié)約人力和設(shè)備成本，成為方案的關(guān)鍵。零信任安全解決方案助力數(shù)字化轉(zhuǎn)型規(guī)范高效銀聯(lián)商務(wù)經(jīng)過大量市場調(diào)研、技術(shù)驗(yàn)證等，綜合考慮方案能夠簡單有效地落地，并可基于現(xiàn)有網(wǎng)絡(luò)架構(gòu)平滑升級(jí)，最終選擇深信服零信任安全解決方案。通過整合軟件定義邊界（SDP）和身份與訪問管理（IAM）架構(gòu)，銀聯(lián)商務(wù)實(shí)現(xiàn)全網(wǎng)身份、權(quán)限與應(yīng)用的統(tǒng)一管理；通過整合終端安全檢測響應(yīng)、安全感知與分析、數(shù)據(jù)防泄密等能力，并通過與現(xiàn)有IAM結(jié)合，銀聯(lián)商務(wù)實(shí)現(xiàn)全網(wǎng)身份、權(quán)限與應(yīng)用的統(tǒng)一管理和業(yè)務(wù)訪問全流程的安全防護(hù)，構(gòu)建數(shù)字化安全辦公平臺(tái)。在基礎(chǔ)合規(guī)的前提下，通過持續(xù)運(yùn)營，方案的效果和價(jià)值能夠持續(xù)迭代升級(jí)。經(jīng)過有效實(shí)踐證明，該方案完美契合銀聯(lián)商務(wù)全場景安全辦公需求。1.統(tǒng)一身份安全可信。零信任提供統(tǒng)一用戶管理，支持管理所有的業(yè)務(wù)員工賬號(hào)，同時(shí)可以和現(xiàn)有的認(rèn)證系統(tǒng)對(duì)接。通過一人一碼的SPA單包授權(quán)、增強(qiáng)認(rèn)證和可信終端綁定等多重認(rèn)證機(jī)制，保證身份安全。2.終端環(huán)境安全可視。零信任可實(shí)時(shí)動(dòng)態(tài)檢測終端環(huán)境變化，如有無運(yùn)行指定軟件、系統(tǒng)補(bǔ)丁更新情況、運(yùn)行進(jìn)程等，但不滿足安全基線時(shí)將禁止訪問、注銷登錄或者禁用賬號(hào)，保證接入終端安全。3.業(yè)務(wù)資源安全訪問。零信任平臺(tái)為業(yè)務(wù)系統(tǒng)提供統(tǒng)一訪問入口，能夠有效收縮業(yè)務(wù)系統(tǒng)的暴露面。只有通過零信任驗(yàn)證授權(quán)的終端，才可以與零信任代理網(wǎng)關(guān)建立訪問通道，避免將業(yè)務(wù)系統(tǒng)直接暴露在網(wǎng)絡(luò)上，使攻擊者無法掃描到企業(yè)資產(chǎn)。即使是正常的用戶訪問，訪問主體也必須符合安全策略，才能對(duì)業(yè)務(wù)系統(tǒng)發(fā)起訪問。4.業(yè)務(wù)系統(tǒng)高效訪問。在加強(qiáng)安全的同時(shí)，提升用戶使用體驗(yàn)。首先通過零信任與公司人力系統(tǒng)的關(guān)聯(lián)，實(shí)現(xiàn)員工賬戶全生命周期的管理；其次通過與現(xiàn)有統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)接，實(shí)現(xiàn)用戶認(rèn)證的統(tǒng)一；最后再通過零信任的權(quán)限梳理功能，對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行權(quán)限的采集、預(yù)運(yùn)行和發(fā)布，最終實(shí)現(xiàn)“用戶—權(quán)限—應(yīng)用”一體化管理。上線管理更高效，權(quán)限管控更準(zhǔn)確，員工體驗(yàn)更便捷。5.終端數(shù)據(jù)安全治理?；诹阈湃蔚臄?shù)字化安全辦公平臺(tái)提供了分級(jí)的終端數(shù)據(jù)安全保護(hù)能力，針對(duì)不同場景提供不同級(jí)別的數(shù)據(jù)保護(hù)，比如對(duì)于單純的B/S業(yè)務(wù)訪問場景，通過水印震懾、審計(jì)溯源等方式，實(shí)現(xiàn)輕量級(jí)數(shù)據(jù)防泄密的效果；對(duì)于內(nèi)控較強(qiáng)的機(jī)密數(shù)據(jù)的場景，通過桌面云實(shí)現(xiàn)數(shù)據(jù)不落地級(jí)的防泄密效果；對(duì)于使用筆記本終端移動(dòng)辦公并希望實(shí)現(xiàn)數(shù)據(jù)防泄漏的效果，通過終端安全沙箱構(gòu)建的安全工作空間，實(shí)現(xiàn)低成本數(shù)據(jù)不落地的防泄密效果。6.病毒風(fēng)險(xiǎn)安全可控。通過集成終端安全管理系統(tǒng)EDR，增強(qiáng)終端安全感知能力，發(fā)現(xiàn)終端風(fēng)險(xiǎn)快速定位，并通過微隔離技術(shù)，防止病毒內(nèi)部橫向擴(kuò)散，降低影響面。銀聯(lián)商務(wù)有效落地零信任的收益結(jié)合零信任的先進(jìn)安全架構(gòu)，銀聯(lián)商務(wù)奠定了業(yè)務(wù)安全的數(shù)字化底座。1.整合安全能力，全面提升數(shù)字化辦公安全效果。基于零信任的數(shù)字化工作平臺(tái)，真正實(shí)現(xiàn)了銀聯(lián)商務(wù)終端安全管控的統(tǒng)一化標(biāo)準(zhǔn)，同時(shí)降低了業(yè)務(wù)安全和數(shù)據(jù)安全風(fēng)險(xiǎn)。2.簡化管理與運(yùn)維，讓辦公安全管控更簡單有效。通過數(shù)字化手段在網(wǎng)絡(luò)層面和應(yīng)用層面進(jìn)行限制，從而更有效推動(dòng)不同類型的員工規(guī)范化自己的安全基線。同時(shí)新業(yè)務(wù)、新應(yīng)用發(fā)布將更加輕松，上線即可使用；風(fēng)險(xiǎn)研判、故障診斷和異常恢復(fù)更加容易。3.改善員工體驗(yàn)，靈活釋放辦公生產(chǎn)力。在上海嚴(yán)峻的疫情形勢下，銀聯(lián)商務(wù)在一周內(nèi)完成全員遠(yuǎn)程辦公切換。員工每天通過零信任使用郵箱、OA、法務(wù)、商戶管理等生產(chǎn)及辦公系統(tǒng)進(jìn)行線上辦公，穩(wěn)定保障了30多個(gè)應(yīng)用的正常訪問，日均訪問量達(dá)11000人次。4.安全辦公持續(xù)創(chuàng)新，分步落地。除了基于現(xiàn)有零信任能力擴(kuò)展使用范圍來解決人員身份和權(quán)限安全，未來銀商還將利用方案優(yōu)異的擴(kuò)展性，采用融合云桌面的方式，覆蓋3~4級(jí)