一、 项目背景

    惠州xx化工有限责任公司是一家专注于化学原料和化学制品制造的领先企业。为了满足业务需求，公司多个业务系统（如邮箱、OA、MES系统等）需通过互联网供业务部门使用PC或手持智能终端（平板等）直接访问。然而，传统的防火墙DNAT目的地址端口映射方式容易遭受外部黑客攻击，而传统SSL-VPN在权限管控方面存在不足，可能导致非法访问和非授权资源泄露。因此，公司亟需一套更安全的互联网外部访问内网系统的解决方案。

二、 如何安全的开展远程办公？

那么要如何安全的开展远程办公，才能在享受便捷福利的同时，也能保障业务访问过程的安全性呢？

答案是要为远程办公访问建立“端到端”的全流程安全保障能力，

1)       合规终端访问：确保访问业务系统的终端设备符合公司安全标准，否则拒绝访问。

2)       身份认证：通过严格的身份认证机制确认访问者身份，防止未经授权的访问。

3)       数据传输加密：对数据传输进行加密处理，防止互联网传输过程中数据被截获或监听。

4)       权限限制：根据岗位职责限制访问权限，例如财务系统仅允许财务人员访问，避免无关人员越权访问。

5)       数据防泄露：确保下载到终端的文件和数据安全，防止机密信息被意外外泄。

6)       访问行为审计：记录访问行为并留存日志，以便在发生违规访问时进行追溯。

三、 建设方案

    通过xx化工有限责任公司现有vxrail超融合一体机上部署零信任VPN虚拟机，对接现有AD域控服务器做用户认证，终端完成认证后会自动进行基线检查，如是否安装公司指定杀毒软件、系统版本与补丁是否满足公司安全要求、是否在符合的地理区域进行登录、是否在合理时间进行登录等一系列基线检查通过后，才放通该用户访问被指定允许的业务系统。

       此外，零信任VPN后台还能详细记录用户的访问信息，包括访问者身份、访问时间、使用终端、认证方式、访问的业务系统以及具体操作等，便于在出现违规行为时进行快速追溯。

四、方案清单

Ø  深信服零信任访问控制系统软件V2.0

Ø  深信服零信任接入授权（授权买断）(200套)

五、方案价值

        通过实施全新的零信任VPN解决方案，惠州xx化工有限责任公司实现了远程办公安全性的全面提升，确保了正确的人使用正确的终端，在任意位置以正确的权限访问正确的业务系统，获取正确的数据。这不仅提高了业务安全性，还优化了用户体验和运维效率，为公司远程办公提供了强有力的安全保障。