案例丨金融企业数字化转型,如何实现办公安全——银联商务基于零信任构建数字化办公平台解决方案
文 / 银联商务股份有限公司技术中心 吴宇晖 姚佶思
银联商务股份有限公司
技术中心总经理 吴宇晖
2022年3月上海疫情形势严峻,银联商务响应政府防控工作要求,迅速采取行动,3月9日至14日,快速完成从半数员工居家办公到全员居家办公模式的调整。短短一周内利用现有基于零信任的数字化办公平台,有效保障了1000多人的办公体验,安全防护要求同样不松懈。早在2021年,银联商务数字化办公平台就完成技术调研、项目落地、组件联调,2021年12月至2022年1月完成全公司宣贯培训,充分的准备和完善灵活的办公模式,为打好本次疫情攻坚战奠定了坚实的基础。
建设背景及发展目标
数字金融成为近年热议话题,政府工作报告中也明确提出促进数字经济发展,其中强调要促进产业数字化转型。产业数字化是发展数字经济的主引擎,已上升到我国创新战略决策的高度,日益成为数字经济乃至国民经济发展的重要支撑力量。
为响应数字化转型,实现规范化发展,打造企业新的核心竞争力,2020年银联商务提出建设2021~2023年的“三年技术规划”。规划指出,IT条线整体发展将重点围绕“治理与管控”“大IT团队”“小IT团队”的建设及能力输出,形成三足鼎立格局。IT治理将整合公司范围内的资源,加强规划及架构管控、需求统筹、项目群管理、标准化建设和监督,驱动多个部门携手,促进跨部门协同办公方案的落实。
办公安全建设作为数字化转型的重要环节,需要通过新技术新理念进行改造,实现终端交付能力“服务化”、分支访问架构“分布化”、办公空间“平台化”。
然而,随着银联商务业务持续稳定发展,分支接入办公的需求越来越多、场景越来越复杂,以及为应对疫情等不确定因素,随时随地灵活办公的需求也越来越紧迫。如何实现安全办公、保障便捷体验,成为银联商务数字化转型中的重要一环。
金融企业数字化办公转型的挑战
数字化办公作为企业数字化转型的重要环节,即用户利用终端在某个网络位置以一定的权限访问业务并获取数据。银联商务深入分析了当前数字化办公所面临的挑战。
1.缺乏有效身份认证管理体系。银联商务有OA、网上报销、业务统一受理、网服平台、网付系统等众多应用系统,账号体系管理难,安全风险大;同时,大量的账号口令繁杂,日常办公频繁需要输入密码,员工使用体验差,也带来了更多身份认证的安全隐患,且无法关联用户身份与系统访问权限。
2.缺乏终端安全监控。银联商务主要办公人员包含总部、分支、开发测试、外包驻场以及外包非驻场等,人员身份多样,使用的终端类型和终端环境大不相同。常规的准入和VPN等接入手段,并不能对终端环境进行安全基线核查;当终端出现恶意进程、缺少终端杀毒软件时,缺乏有效的手段进行检测和处理,无法保证接入内网的终端足够安全和合规。
3.外网接入场景数据易泄露。移动人员和分支公司从外网接入时,主要使用自带办公终端,业务暴露面大,对内网业务造成了不可预知的安全威胁。同时数据在终端有没有被违规使用或泄露完全不可管控,很难保证数据安全。
4.多元场景下保障使用体验难度大。数字化办公方案要在全司推广,保障员工使用体验是大规模应用的前提条件。由于此次项目实施涉及数据防泄密、分支机构接入、远程办公和运维管理等场景,在解决场景多样化的基础上,如何最大化保证用户体验以及利用终端PC机的生产力来节约人力和设备成本,成为方案的关键。
零信任安全解决方案
助力数字化转型规范高效
银联商务经过大量市场调研、技术验证等,综合考虑方案能够简单有效地落地,并可基于现有网络架构平滑升级,最终选择深信服零信任安全解决方案。通过整合软件定义边界(SDP)和身份与访问管理(IAM)架构,银联商务实现全网身份、权限与应用的统一管理;通过整合终端安全检测响应、安全感知与分析、数据防泄密等能力,并通过与现有IAM结合,银联商务实现全网身份、权限与应用的统一管理和业务访问全流程的安全防护,构建数字化安全办公平台。在基础合规的前提下,通过持续运营,方案的效果和价值能够持续迭代升级。经过有效实践证明,该方案完美契合银联商务全场景安全办公需求。
1.统一身份安全可信。零信任提供统一用户管理,支持管理所有的业务员工账号,同时可以和现有的认证系统对接。通过一人一码的SPA单包授权、增强认证和可信终端绑定等多重认证机制,保证身份安全。
2.终端环境安全可视。零信任可实时动态检测终端环境变化,如有无运行指定软件、系统补丁更新情况、运行进程等,但不满足安全基线时将禁止访问、注销登录或者禁用账号,保证接入终端安全。
3.业务资源安全访问。零信任平台为业务系统提供统一访问入口,能够有效收缩业务系统的暴露面。只有通过零信任验证授权的终端,才可以与零信任代理网关建立访问通道,避免将业务系统直接暴露在网络上,使攻击者无法扫描到企业资产。即使是正常的用户访问,访问主体也必须符合安全策略,才能对业务系统发起访问。
4.业务系统高效访问。在加强安全的同时,提升用户使用体验。首先通过零信任与公司人力系统的关联,实现员工账户全生命周期的管理;其次通过与现有统一身份认证系统对接,实现用户认证的统一;最后再通过零信任的权限梳理功能,对业务系统进行权限的采集、预运行和发布,最终实现“用户—权限—应用”一体化管理。上线管理更高效,权限管控更准确,员工体验更便捷。
5.终端数据安全治理。基于零信任的数字化安全办公平台提供了分级的终端数据安全保护能力,针对不同场景提供不同级别的数据保护,比如对于单纯的B/S业务访问场景,通过水印震慑、审计溯源等方式,实现轻量级数据防泄密的效果;对于内控较强的机密数据的场景,通过桌面云实现数据不落地级的防泄密效果;对于使用笔记本终端移动办公并希望实现数据防泄漏的效果,通过终端安全沙箱构建的安全工作空间,实现低成本数据不落地的防泄密效果。
6.病毒风险安全可控。通过集成终端安全管理系统EDR,增强终端安全感知能力,发现终端风险快速定位,并通过微隔离技术,防止病毒内部横向扩散,降低影响面。
银联商务有效落地零信任的收益
结合零信任的先进安全架构,银联商务奠定了业务安全的数字化底座。
1.整合安全能力,全面提升数字化办公安全效果。基于零信任的数字化工作平台,真正实现了银联商务终端安全管控的统一化标准,同时降低了业务安全和数据安全风险。
2.简化管理与运维,让办公安全管控更简单有效。通过数字化手段在网络层面和应用层面进行限制,从而更有效推动不同类型的员工规范化自己的安全基线。同时新业务、新应用发布将更加轻松,上线即可使用;风险研判、故障诊断和异常恢复更加容易。
3.改善员工体验,灵活释放办公生产力。在上海严峻的疫情形势下,银联商务在一周内完成全员远程办公切换。员工每天通过零信任使用邮箱、OA、法务、商户管理等生产及办公系统进行线上办公,稳定保障了30多个应用的正常访问,日均访问量达11000人次。
4.安全办公持续创新,分步落地。除了基于现有零信任能力扩展使用范围来解决人员身份和权限安全,未来银商还将利用方案优异的扩展性,采用融合云桌面的方式,覆盖3~4级分支公司、数千规模的县级以下员工,逐步实现全公司办公终端的标准化。
银联商务始终坚持以科技作为发展的核心驱动力,持续加强各类服务的科技含量并深入研究云计算、区块链、大数据、人工智能、物联网等领域的新型技术,通过综合支付和商户增值两大服务,助力商户向数字化、智能化、综合化的方向转型,不断强化经营能力。
(栏目编辑:张丽霞)
往期精选:
(点击查看精彩内容)
● 案例丨“云安管控”四位一体:青岛农商银行探索中小银行转型新模式
新媒体中心:主任 / 邝源 编辑 / 傅甜甜 张珺 邰思琪