选自公众号：民生证券数字科技

原文链接：

一、方案流程

1、在PC上，我们的客户端以ALL in One的架构集成了杀毒、安全检查、设备登记、资产梳理等功能模块。当员工通过PC进行办公时，会完成身份认证、设备健康状况检查，并通过隐身网关的敲门认证。

2、在办公访问的过程中，零信任控制中心会根据用户的身份、设备的等级进行访问的赋权，对新电脑或者临时办公电脑，只能访问部分非敏感应用，同时会受到更频繁的验证；办公设备可以访问用户身份下的所有应用，并根据办公场景适配相应的策略池进行风险持续验证，办公设备还会有更多的管控措施，以确保满足安全合规的需求。

3、移动端不设单独客户端，而是通过SDK嵌入到已有的移动办公APP中，实现一个APP完成即时沟通、移动审批、内网访问等多种功能，提升办公效率。

4、所有的数据汇入分析中心进行分析和计算，并对风险行为验证。

二、运营实践

1、员工在准备办公的时候，终端会首先对设备与环境进行检查，之后会进行认证和权限确认和分配。在办公过程中，零信任会对行为和操作进行持续验证，重点检测可疑行为和高危进程。同时，我们的风险策略不是一刀切的管控，而会根据安全制度的要求、业务部门的需求、历史运营的总结优化，以及一些办公场景数据的聚类分析，形成不同的策略，适配到不同的场景。在持续验证的过程中，会根据运营的结果，包括漏报和误报，对整个链路进行持续的优化。

2、证券从业人员是禁止交易的，通过对员工MAC地址进行交易匹配是日常监测的手段。传统的方式在通知、填报、匹配环节上有很多人工操作，效率较低。通过零信任系统，设备经过登记认证为办公设备之后，会对MAC地址进行自动化常态化提取，并会根据识别算法、联合零信任隐身VPN的启用信息，对有效MAC地址进行过滤识别，并通过API形式与交易软件的进行匹配，极大的提高了管理效率。

3、证券作为强监管行业，对软件的使用要求较高。我们通过零信任来进行软件管理，设备同样经过登记和认证之后，首先会检测是否有违规和必装软件、并通过操作系统的一些识别号来进行操作系统正版化的判断。对于员工的软件安装情况，本方案通过软件仓库，结合使用人范围和总体授权数量的管控来进行许可证管理。以上管理我们会通过报表大盘进行监控展示，当出现违规行为，或者软件使用数量超过授权告警阈值时，会触发告警和超额提醒。经确认后会触发相应的处置动作，并需要完成整改。

三、最终效果数据

关键数据1：上线20天内极速覆盖80%员工，并逐步完成设备等级、安全检查、防病毒、DLP等模块的全量推广，保障了灵活安全的办公接入。

关键数据2：收缩公网资产暴露60+个，大大减少外部风险暴露，保障办公安全和稳定性。

关键数据3：通过零信任建立全域统一的资产视图和全面的数据看板，为从业人员设备合规管理提供便利，提升工作效率80%+。

关键数据4：通过场景化办公策略，深度服务并满足业务部门安全办公需求，当前已完成10+场景化策略的配置，如为某业务部门定制数据保护策略，保障算法安全；为某财务系统配置特定设备+角色+环境的访问限制；为某分支机构定制软件管理策略等。