遠(yuǎn)程辦公解決方案

方案背景

随着互聯網技(jì )術的發展，分(fēn)散化辦公給我們帶來更多(duō)的便利和快捷，然而分(fēn)散化辦公也給企業安(ān)全管理(lǐ)帶來很(hěn)多(duō)新(xīn)的問題，迫切需要一套成熟的遠(yuǎn)程辦公安(ān)全解決方案，來解決企業安(ān)全管理(lǐ)中所面臨的以下安(ān)全問題：

人員安(ān)全管理(lǐ)問題

用(yòng)戶身份識别面臨考驗、認證介質(zhì)遺失隐患較大、員工違規行為(wèi)、合作(zuò)方及外部人員安(ān)全管控難題、缺乏專業安(ān)全人員。

設備管理(lǐ)問題

移動終端系統安(ān)全、終端被仿冒、資金不足。

遠(yuǎn)程辦公網絡建設問題

企業邊界模糊化、數據傳輸安(ān)全考量、不易管理(lǐ)、缺乏智能(néng)、處理(lǐ)性能(néng)

業務(wù)安(ān)全隐患

權限最小(xiǎo)化控制、越權操作(zuò)、内網業務(wù)安(ān)全、安(ān)全性與工作(zuò)效率需要兼顧

數據安(ān)全

核心數據洩露、高級惡意威脅

方案詳解

1. 多(duō)場景接入認證：

内網接入；

内部分(fēn)支機構，終端用(yòng)戶接入分(fēn)支結構的接入網關，分(fēn)級機構網關和異地網關之間通過IPSec VPN隧道連接；

外網PC加裝(zhuāng)VPN，用(yòng)戶終端和VPN網關之間通過SSLVPN建立隧道，訪問内網業務(wù)系統或虛拟桌面；

客戶端通過公網訪問虛拟桌面，可(kě)選擇疊加SSLVPN或不疊加。

2. 出口網絡審計

無分(fēn)支機構出口審計場景：

不改變網絡拓撲，旁路部署于核心層，僅針對上網行為(wèi)進行分(fēn)析和審計，不提供控制功能(néng)

設備本地日志(zhì)記錄，日志(zhì)也可(kě)發送到集中管理(lǐ)和數據分(fēn)析中心處理(lǐ)，并可(kě)進行數據分(fēn)析

在小(xiǎo)型VDI部署中，ACG可(kě)以直接作(zuò)為(wèi)出口網關部署，保障關鍵應用(yòng)和服務(wù)的帶寬，串接進網絡内實現上網行為(wèi)管理(lǐ)功能(néng)

提供完整的覆蓋用(yòng)戶網絡審計的要求，提供用(yòng)戶URL訪問記錄，細分(fēn)提供惡意URL日志(zhì)、IM聊天軟件日志(zhì)、社區(qū)日志(zhì)、搜索引擎日志(zhì)、郵件日志(zhì)等細分(fēn)審計内容

分(fēn)支機構場景：

在有分(fēn)支機構場景中，ACG部署在分(fēn)支和總部的出口，對廣域網流量進行業務(wù)識别，并按業務(wù)進行流量調度

廣域網應用(yòng)可(kě)視化：ACG上基于應用(yòng)、時間、用(yòng)戶三個維度的流量統計和報表功能(néng)，可(kě)為(wèi)廣域網帶寬問題排查和帶寬優化提供直觀依據。

廣域網關鍵業務(wù)帶寬保證：ACG動态識别視頻會議等關鍵業務(wù)，并提供帶寬保證；

限制廣域網上的濫用(yòng)流量：通過限制上傳、下載、影視等濫用(yòng)流量，保護廣域網上有限的帶寬資源。

全網策略統一管理(lǐ)及日志(zhì)收集展示：ACG1000系列配合日志(zhì)分(fēn)析與集中管理(lǐ)平台軟件，可(kě)為(wèi)用(yòng)戶提供全網統一化的設備、策略管理(lǐ)，而全網日志(zhì)則可(kě)以統一收集，實現管理(lǐ)節點下沉、權限清晰、報表統一的效果；

基于Internet的IPSec VPN互聯網絡：針對沒有拉通專線(xiàn)的企業級用(yòng)戶，ACG1000系列可(kě)提供高性價的IPSec VPN組網方案，使用(yòng)戶可(kě)以高效的基于Internet即建立起廣域網内網通道；

3. 内網訪問控制和審計：

内網終端與企業内網之間訪問的控制和審計，确保内網内容安(ān)全。

隔離内網終端和企業内網

内網訪問基于URL的過濾

内網訪問基于用(yòng)戶的流量管理(lǐ)及

内網訪問日志(zhì)審計

方案優勢

更豐富、更安(ān)全的接入和認證方式

SSLVPN支持釘釘/企業微信認證，支持企業APP加固，便利接入

TLS1.3，提供更高的安(ān)全性

SSLVPN全面支持IPv6

靈活的多(duō)因素認證：口令、公鑰、USBKey、短信、第三方認證等多(duō)種認證方式，且可(kě)以任意組合

自研VDI雲桌面接入

自研VDP協議，保障用(yòng)戶在低帶寬下享受更好的使用(yòng)體(tǐ)驗

全流程内容保護和審計

外設權限管控

顯性水印+盲水印

增強的内網安(ān)全及全棧風險可(kě)視化

未知應用(yòng)管控：NGFW實現最小(xiǎo)化授權，通過簡便的配置，僅放通業務(wù)需要的應用(yòng)，未知應用(yòng)一律阻斷

安(ān)全風險分(fēn)析：NGFW具備高度的可(kě)見性，并在可(kě)此基礎上做應用(yòng)分(fēn)析和攻擊鏈分(fēn)析，應對高級惡意威脅

資産風險評估：NGFW具備高度的可(kě)見性，對企業資産的風險狀況進行動态評估，并為(wèi)客戶推薦策略

SSL卸載及不解密檢測加密流量，應對各種惡意命令與控制連接

全面踐行NIST零信任模型

人-設備-網絡-業務(wù)-數據信任鏈的持續更新(xīn)

态勢感知、零信任防火牆、可(kě)信API網關、終端安(ān)全軟件的聯動配合

細緻的管控粒度：NGFW和API可(kě)信網關具備基于用(yòng)戶、應用(yòng)、URL、API級粒度的管控能(néng)力，精(jīng)準控制，兼顧高度的安(ān)全性和業務(wù)的靈活性