近日，2023 第八屆IDC中國數字化轉型年度盛典隆重召開。山東省港口集團有限公司（簡稱“山東港口”）以“零信任多數據中心安全接入”項目，榮獲IDC“未來聯接領軍者”優秀獎。

如何定義“未來領軍者”？IDC表示，領先的企業已準備好利用新興數字技術構建和擴展新的數字化商業模式，與生態伙伴一起打造面向未來的可持續的數字化業務。

山東港口基于零信任理念構建安全接入新范式，以面向未來的超前視野，驅動領先的零信任落地實踐，為多分支集團化企業的移動辦公安全建設，提供極具參考價值的范本。

放眼全球，山東港口投身共建“一帶一路”高質量發展。海外供應鏈安全正成為國家安全的重要組成部分，因而山東港口密切關注通過網絡對供應鏈安全帶來的威脅。

扎根腳下，以數字化轉型打造核心競爭優勢，推進世界級港口群建設、打造“雙一流”企業，山東港口已建設1個數字孿生港口、3大智慧平臺、3大能力中心、4項重點工程，面向客戶、成員單位、員工、生態伙伴、政府部門、公眾等6類用戶，持續深化數字賦能。

順勢而生，山東港口積極融入全球化進程與數字化轉型，由此伴生業務安全接入的挑戰：

數據中心分布廣：集團各業務系統分布在不同的數據中心，員工需要同時移動接入多個數據中心訪問業務系統。

業務數據暴露廣：集團部分業務系統直接暴露在互聯網上，且明文傳輸，存在風險。

人員權限范圍廣：不同港口、不同業務板塊的人員職責不盡相同，難以有效識別身份、區分權限。

終端應用種類廣：集團有大量的H5應用需要通過PC或移動終端訪問，但缺乏統一的門戶入口。

 

聚焦業務安全接入 積極探索零信任技術應用

從有效管理5萬員工身份與訪問權限的角度切入，尤其針對移動辦公對外業務的訪問安全，從2021年開始，山東港口基于零信任的安全理念，統一移動辦公入口，逐步實現隨時隨地安全接入數據中心訪問業務。

大并發高可靠，承載多數據中心接入

在架構設計上，零信任aTrust通過X-Performance 2.0分布式集群技術，支持兩地三中心部署統一運維管理，滿足改造穩定性需求。

山東港口業務分布在青島、日照、煙臺等多個數據中心，通過在集團總部部署深信服零信任控制中心，在集團各分部數據中心分階段部署深信服零信任安全代理網關，滿足員工從互聯網同時安全訪問多個數據中心業務。

收斂業務暴露面，業務訪問更安全

基于零信任代理，集團業務系統收縮對外暴露面，有效減少業務攻擊面，并通過全流量SSL傳輸加密，防止通信數據被劫持解密風險，SSL證書加密密鑰至少為2048位，顯著增大破解難度，進一步保證傳輸安全性。

基于創新的第四代SPA“一人一碼”技術，零信任aTrust還可以隱藏設備自身暴露面，防止惡意掃描、探測。

統一身份管理，內外網訪問體驗一致

山東港口內部員工眾多，角色復雜，并有上下游產業鏈以及第三方運維人員訪問內部業務的需求。

方案引入辦公門戶APP作為內部應用總入口，用戶登錄后即可看到屬于權限內的應用，并新建統一認證平臺，實現所有員工統一身份管理，以及與各個業務系統、零信任網關、服務器等進行單點登錄對接，保障業務安全，兼顧內外網一致的訪問體驗。

實施最小權限訪問，動態訪問控制

通過零信任aTrust配置權限策略，山東港口基于終端環境、網絡位置、用戶身份、用戶行為等多種因素進行信任評估，實現員工權限動態管理，及時識別存在風險的訪問行為，確保業務訪問過程的安全性。

方案支持對用戶訪問業務的情況進行分析，制定用戶訪問權限的有效期，并針對僵尸賬號、僵尸權限及時進行回收，同時支持通過API接口與流程系統進行對接，自動化完成賬號與權限的全生命周期管理。

持續基線檢查，有效規避終端風險

在員工訪問內網業務的過程中，通過零信任aTrust建立安全基線，運維人員可實時觀測終端環境變化、訪問行為變化，如終端安全軟件的運行狀態、系統補丁更新情況、訪問業務的進程情況等，一旦觸發安全基線處置條件，即可實現對應處置如禁止訪問、增強認證等，有效規避因終端風險而對業務造成影響。

支撐數字化轉型升級 體驗領先一步，效果領跑一路

用戶訪問應用資源速度平均提升35%、員工辦公效率提升50%、運維效率提升75%……

一連串的數據表明，零信任安全建設落地，為山東港口構建端到端多維度信任評估的訪問控制鏈條，帶來以下顯著成效：

提升辦公安全效果，助力數字化轉型

辦公安全是企業數字化轉型的重要基礎。山東港口通過零信任安全接入方案建設，全面提升了數字化辦公安全水平。

山東港口綜合業務、安全和場景要求，對身份、終端、網絡位置、行為進行多源信任評估，在靜態權限的基礎上，對用戶訪問業務的過程進行動態訪問控制。

基于對業務形態以及對數據機密程度與流轉的要求，方案實現了不同場景下數據防泄露，最大限度規避因企業數字資產流失所帶來的安全風險。

顯著改善員工體驗，釋放辦公生產力

方案為內外網用戶提供一致性認證與接入體驗，員工可以享受隨時隨地快速穩定訪問業務，同時顯著改善使用體驗，只需要通過掃碼、短信等認證方式，即可訪問具備權限訪問的業務，無需在IT事務中花費大量精力，極大釋放辦公生產力。

零信任的落地，也保障了山東港口面向外包、供應商等上下游安全接入內網業務、安全開展移動展業，拓展數字化的深度與廣度。

簡化運維，建立集中平臺化管理體系

基于統一平臺進行賬號管理，山東港口通過組織架構、用戶組、角色、用戶等多種方式，靈活定義員工訪問權限，并能與流程系統對接，自動化完成身份與權限的相關操作。

通過對終端、資產進行梳理與管理，集團能夠有效監測終端安全狀況，推動威脅處置閉環，并且結合發現的資產逐步擴展零信任的覆蓋范圍。

伴隨企業業務不斷發展，方案以其開放性，能夠適配數據中心橫向拓展與業務云化，實現安全體系的不斷拓展，逐步建立以零信任為核心的安全體系架構，充分利舊并且將新增安全產品納入到零信任安全體系中來，建立集中式平臺化的安全體系。

 

隨著信息化技術的發展，越來越多的組織單位業務數字化轉型，其中必然包含OA、財務管理、人事管理、資產管理等數字化業務系統，服務于日常辦公、生產等各個環節，使用群體涉及內部員工、第三方供應商/合作伙伴等。

深信服零信任為用戶提供全流程的業務統一安全接入解決方案，從業務的安全發布，到訪問過程的持續身份驗證和終端/環境/行為的可信確認、最小化權限管控、訪問行為管控等一系列安全能力，有效規避辦公業務系統被非授權訪問的行為，助力每一位用戶“安全領先一步”。