*原文來源于：廣州銀行信用卡中心落地零信任的經驗分享

《廣州銀行信用卡中心業務高韌性發展，背后的安全密碼》

“電銷同事們都不能入場辦公了，業務該如何正常開展？”

面對區域臨時管控措施，廣州銀行信用卡中心迅速開展行動。在不改變現有的網絡架構和業務架構的模式下，當天即上線基于零信任架構的安全遠程辦公空間。

短短2天，這套方案覆蓋

2000多中后臺業務人員，

1000多外呼和電銷坐席規模，

催收遠程外呼產能均超92%，

電營遠程外呼各業務項目產能從74%提升到91%。

在常態化遠程辦公期間，業務部門主動反饋：

中后臺的審批效率提升100%，

使用體驗媲美現場辦公。

這一幕幕正在向更多組織單位表明：

常態化遠程辦公安全與業務高韌性發展，

早就不是二選一的關系。

“兩手抓”的背后，是廣州銀行卡中心攜手深信服，落地了一套創新前沿、簡單有效的零信任遠程辦公安全方案，確保了業務一刻未停擺，挽回經濟利益超15億，以科技賦能業務價值。

01

數字化轉型背景下

辦公安全建設迫在眉睫

廣州銀行總行以數字化發展戰略為引領，在2018年就確立了“金融科技賦能”的核心理念?？ㄖ行脑跀底只D型探索實踐中，對內加大資源投入力度，不斷在技術應用方面強化保障和尋求科技賦能。

當前遠程辦公已經內化為企業辦公的常態模式，電銷、催收業務對效能的訴求日益增長，擺在廣州銀行卡中心面前的難關是：如何通過新技術突破，保障安全辦公與便捷體驗，實現業務高韌性發展？

02

呼叫業務場景復雜

遠程辦公安全挑戰重重

廣州銀行卡中心深入梳理了遠程辦公安全面臨的挑戰：

1. 大量呼叫業務遠程質量差。

呼叫業務場景下主要為UDP包，在遠程場景下，傳統技術難以保障外呼業務整體質量與流暢性。

2. 業務暴露面大。

安全邊界被打破，常規VPN 接入手段需要將業務系統直接發布在互聯網上，業務暴露面過大、安全隱患高。

3.遠程環境下缺乏對終端基線的檢測。

一線員工統一配備PC端，但離網場景下難以管控每一臺終端的防病毒軟件、補丁情況，無法保證接入行內的終端安全性。

4. 遠程接入場景數據易泄露。

在傳統遠程接入手段下，數據在終端有沒有被違規使用或泄露完全不可管控，很難保證數據安全。

5. 呼叫業務數據異構。

卡中心現有催收、電銷、客服三條呼叫業務，三大條線技術異構模式并發總數高達1000多坐席量，業務量龐大，包括常規業務發卡、賬單分期、業務咨詢、保險、訴訟等，復雜度可想而知。在遠程接入的模式下，不僅要保證承載瓶頸和通話質量，還要統一接入管理，特別是如何在兼容異構下，保障呼叫平臺和各平臺對于請求和回包的質量。

03

跨越技術難關

如何實現簡單有效落地？

經前期充分調研與準備，廣州銀行信用卡中心選擇與深信服共同打磨有效落地方案：構建一套基于零信任架構和沙箱模式的遠程辦公安全解決方案。

這套方案融合SDP軟件定義邊界和終端數據安全沙箱，基于豐富的認證手段與持續檢測終端安全基線，將終端劃分不同的工作空間，利用網關和控制中心實現強認證以及數據不落地。在充分保障員工遠程辦公體驗同時，滿足遠程接入安全和數據安全。

盡管零信任相關理念已發展多年，據Gartner研究，目前僅有不到1%的大企業真正實現了成熟的、可衡量的零信任計劃。原因在于，零信任落地既要基于現有網絡架構平滑升級，保障簡單有效，又要不影響每一位員工的辦公體驗，需要跨越重重難關。

為了攻克難關，卡中心從中后臺業務到一線業務的對接調研、壓力測試驗證，優化軟電話模式，最終在外呼和電銷業務上逐步實現了零信任的有效落地：

1. 收斂暴露面。基于零信任aTrust的SPA單包授權技術實現業務隱身，為每一個合法用戶分發SPA安全碼，通過“一人一碼”機制實現SPA的順利推廣，有效收斂了電銷、外呼業務在遠程訪問場景下的互聯網暴露面，大大降低安全隱患。

2. 基于認證場景的雙因素認證。如首次登錄、新終端登錄、閑置賬號登錄等場景，針對后臺高敏業務實現按需的雙因素增強認證，在確保使用體驗的前提下最大限度保障安全性。

3. 增加終端認證。催收和電銷業務的員工統一使用行業派發的終端，通過零信任aTrust的終端管理能力，統一收集終端信息，為每一個終端生成唯一的終端硬件特征碼（設備指紋），建立授信終端庫，實現基于終端的認證，避免非授權終端的隨意接入，同時通過授信終端免二次認證等簡化合法終端的認證流程。

4. 提升訪問可靠性。三大呼叫業務架構框架采用的呼叫線路各異，有SIP線路又有E1線路，涵蓋三大運營商，呼叫平臺還存在老舊共用以及傳輸協議不一致等問題。對于前端的接入，除了考慮請求接入質量，還要做好回包鏈路的質量和運營商鏈路分發。方案充分考慮呼叫業務的流量特征，通過底層隧道技術的優化，實現對UDP、SIP協議的適配和流量轉發，轉發模式下統一網關接管了前端入口，在呼叫小包傳輸效率等方面均有一定提升，保障了外呼業務跨互聯網遠程訪問的可靠性與流暢度。

5. 建立業務訪問的安全基線，實現動態訪問控制。在員工訪問業務的過程中，通過零信任aTrust建立安全基線，實時觀測終端環境變化、訪問行為變化，如終端安全軟件的運行狀態、系統補丁更新情況、訪問業務的進程情況等，一旦觸發安全基線處置條件，即可實現對應處置如禁止訪問、注銷登錄或凍結賬號等，確保業務訪問過程的安全性。

6. 實現終端數據保護。通過零信任aTrust的終端數據安全沙箱技術，在終端構建安全隔離的工作空間，實現對終端數據的加密、隔離、防外發、防截屏錄屏等數據泄密防護，同時不犧牲用戶體驗，沙箱以懸浮窗的方式嵌入到現有桌面，極大提高了中后臺交流效率。

04

落地有聲

賦能業務高韌性發展

保障員工體驗，運營數據超出預估指標

通過遠程接入進行業務呼叫，對網絡質量的要求非常之高。同時呼叫業務場景業務敏感度較高，正常的遠程外呼受制于業務人員環境和復雜的業務場景，遠程接入無疑增加了鏈路消耗和對小包處理的挑戰。但卡中心在一周內完成1200坐席和1500個中后臺遠程辦公切換，通過靈活可調的認證策略、懸浮窗沙箱、隧道技術優化等提升員工遠程辦公體驗。疫情期間遠程外呼的單日運營情況數據整體超出預估指標，靈活提高了生產力。

業務接入安全與終端數據防護“兩手抓”

通過零信任SDP軟件定義邊界技術架構，重建訪問安全邊界，從終端、身份、權限、行為到業務發布，實現全流程訪問安全；通過安全沙箱，重建數據安全邊界，實現終端數據落地后的安全保護和防泄密，由此實現業務接入安全與終端數據防護“兩手抓”，保障了兩個月的疫情封控期間的業務連續性。

數據不落地，全面提升業務合規安全

保障業務的前提下，通過安全沙箱確保數據不落地，在資源的授權上快速制定了申請審批指南和要求，對高風險的業務進行了綁定操作，確保遠程辦公的合規安全。

05

持續優化

安全體驗與效果再進一步

為持續探索數字化轉型發展，廣州銀行信用卡中心將繼續優化遠程辦公的管理、流程機制，順應金融監管合規發展，保障員工便捷辦公體驗。

零信任安全建設無法一蹴而就，需要統一規劃、分步落地。未來，廣州銀行卡中心還將利用該方案優異的擴展性，推進內網辦公安全建設，提供內外網一致的訪問體驗，解決內網權限管控腐化等問題，實現基于身份的訪問控制和動態評估，讓安全體驗與效果往前再邁進一步。