选自公众号：阿肯的不惑之年

原文链接：

《网络安全AI说》补充：在电脑上运行一个“沙箱”，将“沙箱”里面当作工作空间，外面当作个人空间。工作空间做公司的业务访问办公操作，数据落地在这个隔离的沙箱里面，保障数据不外泄。现如今沙箱叠加了零信任的方案在业内的声音越来越多，像数篷、缔盟云、深信服等公司（排名不分先后）均有类似的方案。我们看看这个组合的方案可以用在哪些场景。

场景1:政务外网的一机两网办公隔离场景

在政务外网的电脑上部署安全沙箱，让政务办公人员在一台电脑上既可以安全上网，又可以访问政务外网的业务系统。即使电脑失陷也不会扩散影响到到政务外网其他终端和业务系统。

相较于过去需要给政务人员分配两台电脑，这种一机两网方式，从技术上大幅简化了政务外网电脑合规的成本。比如浙江某市大数据局、西南多个省市大数据局、华中某省信息中心、华北某省大数据局等都是这类应用场景。

场景2：公司研发团队办公与上网隔离场景

在企业研发人员电脑上启用上网沙箱，让研发人员在安全研发的同时，也可以在沙箱中自由上网，不用担心数据泄密、外部钓鱼和攻击横向问题。

相较于过去研发人员的电脑只能用于研发，访问办公应用或者上网查资料就需要去公共电脑，或者另外一台电脑的方式，沙箱让研发人员不用在两个地方或者两台电脑之间反复切换，提高了研发人员办公体验和效率，同时也为企业节省了另外配置一台电脑的费用。比如深圳某大型ICT企业、浙江某大型汽车集团、上海某大型金融支付公司等都是这类应用场景。

场景3：科技制造、金融、能源、政务等各行业IT运维防攻击场景‍‍

在企业IT运维人员或外包运维人员电脑上启用零信任沙箱策略，让运维人员不管是在远程还是职场都可以对IT后台系统进行安全的隔离访问，即使运维电脑失陷，业务系统也不会因此被入侵和数据泄密，特别是实战攻防期间，这也是目前简单有效的防钓鱼攻击技术手段之一。比如某大型集成商、北方某股份制银行、广东某股份制银行等都是这类应用场景。

场景4：收敛企业重要应用和数据的暴露面‍‍‍‍‍‍‍‍‍，实现事前防攻击防泄密‍

企业安全人员可以结合应用及数据的重要程度和安全风险，灵活选择员工在访问哪些应用系统的时候需要启用零信任沙箱，比如：财务/资金系统、BI、办公OA系统等，确保业务在被访问过程中数据不泄密、系统不被攻击。

通过收敛重要应用和数据的对外暴露面，实现事前的攻击和泄密防护，同时提供进出沙箱的数据操作管控和日志审计。比如：多家股份制银行、云南某城商行、某大型互联网电商都是这类应用场景。

场景5：科技制造及金融行业跨网业务安全访问场景

对于内网区域隔离执行比较严格的企业，通过零信任沙箱技术，安全人员可以基于业务需要，通过零信任控制台的灵活授权，允许经过申请的业务人员跨网访问业务系统，而员工无需改变原有习惯就可以访问跨区业务。比如办公网的人员申请访问生产网、研发网的人员申请访问办公系统等。

相较于过去，企业一般是通过部署两台电脑实现跨网访问，耗人费钱且不安全。零信任沙箱可以基于用户身份灵活授权，开通和关闭权限可以系统闭环，跨区访问业务时，零信任沙箱会自适应启动，是一种很好的技术解决方案。比如：上海某头部车企、多家股份制银行等都是这类应用场景。