在企业数字化升级和远程办公的趋势下，随时随地、多样终端设备发起的办公需求正在成为常态化。据中国互联网络信息中心（CNNIC）数据统计，截止2021年6月，我国远程办公人数增至3.81亿，占整体网民的37.7%，而2019年仅530万人。

办公模式和场景的改变，也给企业的网络和信息安全带来新的挑战。

一方面，远程办公场景中接入访问的人员身份、终端、地点以及时间等因素复杂多样；另一方面，传统基于静态授权方式的VPN方案只针对用户做认证，缺乏对用户身份、终端设备和访问过程的认证及安全性评估。在当前内外部网络攻击常态化的情况下，敏感数据泄露、数据库删除、服务器劫持、病毒传播等安全问题与日俱增。

如何弥补传统边界防御的不足，保障企业网络安全，是远程办公时代需要面对的重要挑战。

网宿科技安达SecureLink基于零信任架构的探索和实践，从身份可信、终端可信、行为可信的3个核心能力，以及从传输加密、边缘防护、应用隐身打造的1套平台安全能力，为企业搭建“3+1”安全访问体系，实现终端在任意网络环境中安全、高效地访问企业资源。

01 让正确的人通过正确的方式访问正确的数据

如何实现让“正确的人”通过“正确的方式”访问“正确的数据”？网宿安达SecureLink基于零信任“从不信任，持续验证”原则，通过验证用户的身份、终端设备、访问过程的安全状态来确定是否允许用户访问应用，实现企业应用的可信访问。

用户身份安全吗？

在身份可信上，安达SecureLink可适配不同企业的身份认证方式，除了账号密码，通过MFA多因子认证如动态验证码、TOTP，甚至可结合时间、地理位置等方式对用户身份进行强认证， 确认用户身份的合法性。

终端设备安全吗？

在终端可信上，将根据安全基线实时监测用户终端设备的健康状态，通过设备ID、病毒查杀、入域准入、弱密码检测等措施，判断终端是否可入，把关入口安全。

用户都干了些什么？

在行为可信上，分析每一条用户的访问行为，对检测到的异常行为、越权行为、异常终端、威胁流量等进行信任评分，并动态调整用户的访问权限。同时，仅允许受信用户访问其对应业务。

02 SPA单包认证，真正实现“业务隐身”

远程办公常态化下，企业面向互联网对外发布的业务越来越多，员工、合作伙伴、外包等各种角色均需要访问业务，造成业务暴露面过大，增加被黑客攻击入侵的风险。

如，在某电信营业的办公场景中，业务支撑系统需要开放给分布在20个地级市分公司、90个县级分公司、5000+员工，存在接入位置分散、人员复杂，导致业务暴露面大、缺乏终端安全保护等问题。SPA（Single Packet Authorization）即单包认证机制，默认关闭所有业务端口，拒绝所有访问连接，只对合法用户动态开放端口，让业务实现隐身，这样足以避免绝大多数网络攻击。

03 3+1，打造新一代企业安全访问体系

作为国内率先探索零信任应用的企业之一，网宿基于自身安全产品带来的安全实践经验，全面升级安达SecureLink“3+1”安全能力，为企业构建更安全、更简单、更高效的零信任方案，满足远程办公、移动办公、内网办公等多维度远程访问场景。目前，安达SecureLink已成功为应用于政府、金融、医疗、教育、能源等行业机构提供安全保障。