企业数字化转型浪潮汹涌而来，远程办公成为提升企业办公效率的有效途径。

作为全球最大的工程承包商之一，中信建设集团十分重视自身数字化水平的提升，在市场业务不断拓展及政策引导下，率先将云计算、大数据、人工智能等技术纳入数字化实践，并取得了阶段性成果，堪称行业典范。

而随着数字化进程的逐步推进，尤其是疫情来袭，越来越多的业务系统需要有效支撑来自外部的远程访问，中信建设先后在全球部署了基于边界的虚拟专用网（VPN），为分布在世界各地的员工/合作伙伴/供应商等提供访问支撑。

但无处不在的用户访问需要业务系统更加开放，传统内网流量默认可信的边界暴露出明显的安全缺陷，比如：VPN网关一旦被攻破，没有更有力的安全措施继续阻止攻击到达数字资产，另一方面，复杂的企业网络结构和激增的远程访问需求，给网站系统、应用系统以及运维工作等带来巨大压力，传统基于边界防护的安全防线逐渐瓦解，安全风险激增。

在这种情形下，中信建设迎合技术发展，积极部署零信任安全技术，以应对安全挑战。

网宿科技承接需求，利用零信任安全产品—安达SecureLink为中信建设集团重新构建了安全访问机制，打造零信任安全体系。

安达SecureLink基于“网络隐身、持续验证、动态授权、信任评估、极简运维”等核心能力，以及安全领域十余年的技术和经验沉淀，帮助中信建设构建了远程访问场景下的新一代安全可信访问控制体系，以持续保证业务访问的安全性。

1.56个应用隐身，将内网攻击面降到最低

网宿安达SecureLink实现了将中信建设56个业务系统从互联网上彻底“隐身”。具体而言，基于SPA单包授权对可信客户端进行连接授权，拒绝一切非法访问，只允许合法用户连接，使外部无从扫描与攻击，从而将应用在内网暴露的攻击面降到最低。

2、权限最小原则，弱化安全事件发生的风险

网宿安达SecureLink对访问中信建设系统的用户角色进行细粒度控制，具体到哪些用户可以访问哪些业务系统，只有拥有相对应业务系统授权的用户才能够访问相对应的业务系统，其余业务系统无法访问。

例如，只允许财务部的员工访问财务系统，不允许访问HR系统，越权访问将被网关拦截，这样就避免了用户过度授权的问题，也减少了员工泄密数据的可能。

3、智能信任评分，及时发现异常行为

网宿安达SecureLink在用户接入认证后，基于信任模型对终端及访问行为进行实时评估，对检测到的异常行为、越权行为、威胁检测、终端环境等进行信任评分，动态调整用户的访问权限，及时发现异常行为。

4、可视化统一管控，简化运维工作，提升运维效率

网宿安达SecureLink网关会对异常访问和操作行为进行记录，同时将所有信息上传到管控平台，通过安全风险感知模块对数据进行统计分析，并在控制台呈现各个维度的数据，如风险事件排名、高位用户排名、异常事件趋势图、最新风险展示及行为分析展示等等，为管理员提供安全运维的决策依据。

目前，网宿安达SecureLink在中信建设已经大规模稳定运行超过半年，通过零信任安全接入区，覆盖业务系统达56个，有效保证了远程访问接入业务系统的安全性。中信建设在建筑行业领域率先落地“零信任”理念，是新一代网络安全架构的全新尝试，也是一次敢为人先的创新变革。

网宿科技近年来一直在零信任领域进行深入研究，积极践行零信任安全理念，为企业在不可信的网络环境中构建新的安全边界，提供新一代安全接入服务。目前，网宿安达SecureLink已经成功落地应用于电商、金融、制造、建筑、互联网等众多行业客户，并获得良好口碑。网宿科技凭借在零信任市场先进的技术方案和丰富的落地案例，成功入选《2021中国零信任全景图》，零信任能力获得行业高度认可。