“SecureLink用了有3个月了，员工只要在电脑或手机上安装一个软件客户端，不管在总部、分公司，还是出差在外，都可以更安全地访问业务系统，总的来说，SecureLink在操作上比较简单方便，在运维上也挺让人省心。”

林工是该企业总部的IT负责人，正在介绍他是如何通过网宿安达SecureLink为企业远程办公提供安全保障。

该企业的总部坐落于福建，总员工数超3000人，在北京、深圳、福州等地都设有分支机构和办事处，经过多年的数字信息化建设，各项工作愈加依赖于网络。

“疫情那段时间，我们有一半以上的员工进入远程办公，VPN的连接数直接飙涨，高峰期经常有员工投诉掉线、访问卡顿，我们之前没实际遇到这么多员工同时使用的场景，一下子有点措手不及，也是想了各种办法紧急调拨VPN设备，投入维护的人力还是比较大的。”IT负责人林工说。

实际上，这种突发的VPN扩容还不是林工最头疼的事。

在过去几年，VPN一直都是员工、供应商、代理商远程访问该企业总部应用系统的主要手段之一，而应用系统多、用户角色/应用关联权限复杂、网络环境开放等因素，也带来了一系列的不便和安全威胁。

● 该企业现有广泛使用的应用系统就超过10个，包括OA、ERP、邮件系统、业务支撑系统等。若应用系统直接暴露在互联网之上，将导致攻击目标明确，采用 VPN则存在漏洞和用户访问体验等问题。

● 当前VPN无法集成SSO系统，访问各个应用系统需要频繁输入用户名口令等信息，大大降低用户访问效率。

● 该企业的组织架构比较庞杂，子公司下又存在多个项目部门，包括行政、业务、财务、研发等，来自全国各地的“裸奔”终端都是通过VPN访问内网，但VPN天生缺乏安全基因，无法检测终端环境安全，存在终端被黑客入侵并作为攻击跳板的风险，严重的将会造成核心数据比如研发代码、设计文档、业务数据等敏感信息的泄露。

解决这些VPN无法解决的问题，就需要一种高安全、轻管控的方案。

林工强调说，“我们是技术型公司，更关心的还是如何让分支机构、异地人员都能安全地访问企业资源和数据，这也是我们选择一个新方案的关键，相比传统VPN，网宿零信任SecureLink产品会更安全、更高效、也便于我们IT人员维护，能够满足日常安全远程办公的需求。”

经过前期的沟通了解，网宿安达SecureLink结合该企业的安全远程办公诉求，为企业设计一套覆盖内、外网全业务、全网络的安全解决方案，保障企业的网络安全和数据安全。

简单来说，就是无论员工何时、何地、采用何种设备都可以安全访问企业的应用和数据。

具体而言，主要体现在以下几个方面：

√ 按需授权、细粒度访问控制

遵循“最小权限”原则，基于不同用户角色的应用访问需求进行细粒度的访问控制，简单说就是把权限控制在不影响业务的最小范围。

通过零信任身份管理及访问控制策略，为企业内部员工及外部用户（合作伙伴、供应商、外包团队）赋予到内部系统的访问权限，不同人员仅能看到和访问自己有权限的应用，避免VPN存在的内网应用横向攻击的问题。

比如只允许人力资源部门访问HR系统，不允许访问财务系统，越权访问会被网关拦截。这样，就避免了过度授权的问题，大大减少网络攻击面，也减少了员工泄密数据的可能。

√ 持续验证，动态授权

简单说就是用户认证登录后，对于登录后的每一次访问行为都会持续检测，当发现用户行为或终端环境（设备、IP、地理位置）等异常时，就可以调整用户的访问权限，进一步降低安全风险。比如销售人员在外面跑客户，设备连接了不安全的网络，就可以降低访问权限，仅可访问密级比较低的业务系统。

除此之外，林工也提到SecureLink在运维管控方面也比之前的方式轻松了许多。

比如，SecureLink可对外提供API接口，供企业ERP系统调用做用户信息管理。当新员工加入时，林工只需要在企业ERP上填入新员工的手机和邮箱信息，就可以自动触发SecureLink的账号创建，几分钟就可以搞定；

也无需要操心分支机构和各个办事处无法管控的局面，SecureLink就可以提供全国一致的上网体验和安全策略；遇到紧急需要扩容的情况，当天就可以完成部署上线，比起调拨、配置VPN设备的效率高很多。

实际上，网宿安达SecureLink能做的还远不止这些。

零信任最重要的一点还是要充分结合企业的实际场景和安全诉求，并与现有的安全建设兼容和匹配，落地到可实操的的产品方案上，网宿安达SecureLink即是基于CSA软件定义边界(SDP)标准规范与零信任安全框架体系的一款轻量、易落地的远程办公安全产品。

目前，SecureLink已经为政府、金融、制造、教育等行业企业机构提供安全保障。未来，网宿科技也将继续深耕零信任安全领域，为各行各业在不同的应用场景提供更安全、更易落地的解决方案。