1903212351137749

原标题:案例?基于零信任的银联商务大厦数字办公平台解决方案

文/吴玉会银联商务有限公司技术中心姚建思

为应对数字化转型,实现标准化发展,打造企业新的核心竞争力,2020年,银联商务提出了2021-2023年“三年技术规划”。规划指出,IT条线整体发展将围绕“管控”“大IT团队”“小IT团队”的建设和能力输出,形成三足鼎立的格局。治理将整合全公司资源,强化规划和架构控制要求,协调项目管理的标准化建设和监督,带动多个部门联手,推动跨部门协同办公计划的实施。

数字化办公是企业数字化转型的重要一环,即用户使用终端在一定的网络位置以一定的权限访问业务获取数据。银联深度分析当前数字化办公面临的挑战。

1.缺乏有效的身份认证管理系统。银联拥有OA在线报销业务统一受理在线服务平台在线支付系统等多个应用系统。所以账户系统管理难度大,安全风险高;同时,大量账号密码复杂,日常办公需要频繁输入密码,员工体验差,也带来了更多的身份认证安全隐患,无法将用户身份与系统访问权限关联起来。

1903212351137749

2.缺乏终端安全监控。银联主要业务办公人员包括总支开发测试外包现场和非现场外包等。具有各种身份和不同的终端类型和终端环境。VPN等常规接入和接入手段无法检查终端环境的安全基线;当终端的恶意进程缺少终端杀毒软件时,缺乏有效的手段进行检测和处理,无法保证终端访问内网足够安全合规。

4.很难保证多种场景下的体验。数字化办公解决方案要在全公司推广,保证员工体验是大规模应用的前提。由于本项目的实施涉及数据防泄密分公司接入远程办公和运维管理的场景,在解决场景多样化的基础上,如何最大化用户体验,利用终端PC的生产力节省人力和设备成本成为方案的关键。

经过大量的市场调研和技术验证,综合考虑,银联的业务可以简单有效地实现,并且可以基于现有的网络架构进行平滑升级。最后,它选择了一个深信不疑的零信任安全解决方案。银联商务通过集成软件定义的边界架构,实现了全网身份权限和应用的统一管理;银联商务通过整合终端安全检测响应安全感知防数据泄露等能力,结合现有IAM,实现全网身份权限和应用的统一管理和业务接入全流程的安全防护,构建数字化安全办公平台。在基本合规的前提下,通过持续运营,方案的效果和价值可以不断迭代升级。通过有效实践,证明该方案完美满足了银联业务各场景下的安全办公需求。

1.统一身份安全可信。零信任提供统一的用户管理,支持所有业务员工账户的管理,并能与现有认证系统接口。通过一人一码SPA单包授权增强认证可信终端绑定等多重认证机制,保证了身份安全。

2.终端环境安全可见。零信任可以实时动态检测终端环境变化,如是否有指定软件系统补丁更新的运行过程等。但当不满足安全基线时,会禁止访问注销或禁用账号,以保证接入终端的安全。

3.安全访问业务资源。零信任平台提供商

4.高效访问业务系统。在加强安全性的同时提升用户体验。首先,通过零信任与公司人力资源系统的对接,实现员工账户的全生命周期管理。其次,通过与现有统一身份认证系统对接,实现用户认证的统一;最后通过零信任权限梳理功能,对业务系统进行采集预运行发布,最终实现“用户-权限-申请”一体化管理。线上管理更高效,权限控制更精准,员工体验更便捷。

5.终端数据的安全管理。基于零信任的数字安全办公平台提供分级的终端数据安全保护能力,针对不同场景提供不同级别的数据保护。例如,对于一个简单的B/S业务访问场景,可以通过水印的方式来威慑审计可追溯性,达到轻量级数据防泄漏的效果。对于内控性强的涉密数据场景,桌面云可以实现数据不落地到地市级的防泄密效果;对于使用笔记本终端并希望达到防数据泄露效果的移动办公,终端安全沙箱构建的安全工作区可以实现低成本防数据泄露的效果,无需落地。

6.病毒风险是安全可控的。通过集成终端安全管理系统EDR,可以增强终端安全意识,发现并快速定位终端风险。通过微隔离技术,可以防止病毒水平传播,减少影响区域。

结合零信任的先进安全架构,银联商务为业务安全奠定了数字化基础。

4.安全办公的持续创新,一步步落地。除了在现有零信任能力的基础上扩大使用范围,解决人员身份和权限的安全性,未来银行还将利用方案优秀的扩展性,采用整合云桌面的方式,覆盖3~4家分公司的县以下数千名员工,逐步实现全公司办公终端的标准化。

银联始终坚持把科技作为发展的核心驱动力,不断强化各项服务的科技含量,深入研究云计算区块链大数据人工智能物联网等领域的新技术。通过综合支付和商户增值服务,帮助商户向数字化智能化综合化方向转型,不断强化业务能力。


1e

发表评论

Copyright 2002-2022 by 茜申时尚百货品牌网(琼ICP备2022001899号-3).All Rights Reserved.