芯盾时代零信任安全网关助力苏豪控股集团升级远程办公系统

从连云港始发的一列列中欧（亚）班列到南京港停泊的一艘艘外贸货轮，从数字化的茧丝绸产业链到服务中小企业的金融公司，从大手笔的光伏和储能项目到智能化的“AI外贸助手”……苏豪控股集团持续扩张业务版图，成长为江苏省国资委下属的“巨无霸”。

庞大的业务规模、丰富的业务类型、众多的员工数量，催生了巨大的远程办公需求。但是，苏豪控股集团总部所使用的VPN，却成了数字化转型的“绊脚石”：

VPN服务器的IP和端口暴露在互联网上，时刻面临被黑客扫描与攻击的风险；

VPN在攻防演练时是红队的重点攻击目标，关停VPN又影响业务运转；

VPN的认证强度低、权限管理粗放、访问控制能力弱，安全性存在明显短板……

为了提升远程办公的安全性，为数字化转型打好基石，苏豪控股集团选择用芯盾时代的零信任安全网关（SDP）替换VPN，开启了远程办公的“零信任时代”。

关于苏豪控股集团

江苏省苏豪控股集团是江苏省属大型国有独资企业。2023年7月，江苏省委、省政府将5家大型国企重组整合，成立了新的苏豪控股集团。目前，苏豪控股集团旗下拥有380余家各级企业和2.5万名员工，已形成“4+2”的产业布局（四大核心产业：外贸、实业、金融、房地产；两大新兴产业：新能源、数字科技），其核心的外贸业务更是常年位居全国地方外贸企业前列，并在全球15个国家设有研发中心和生产基地，营收规模在江苏省国资委监管企业中高居首位。

方案设计

结合苏豪控股集团的网络架构与实际需求，凭借丰富的零信任安全建设经验，芯盾时代以自主研发的零信任安全网关（SDP）替换 VPN，为其打造了“持续验证、永不信任”的零信任网络访问系统。

客户价值

在苏豪控股集团与芯盾时代的紧密配合下，零信任安全网关（SDP）在业务应用低改造、终端用户无感知、内部员工快上手的情况下顺利上线，不但安全水平更强，员工体验也更优。通过此次改造，苏豪控股集团完成了以下目标，远程办公进入了“零信任时代”：

1.隐藏资源暴露面，有效防范网络攻击

芯盾时代SDP采用应用代理和SPA单包授权技术，由网关统一代理业务应用访问流量，同时对所有连接网关的设备进行预认证，不通过认证不开放端口，实现业务应用和网关双重“隐身”，降低遭受网络攻击的风险。

通过认证后，芯盾时代SDP能在客户端与网关之间建立加密隧道，保证数据通过互联网安全传输。加密隧道采用国密算法，让数据传输更加安全可控。

在用户登录客户端访问内网服务时，禁止其终端设备访问互联网，避免终端设备上网时感染病毒，以该设备为跳板攻击内网服务。

苏豪控股集团使用芯盾时代SDP统一代理业务应用访问流量后，有效收敛了资源暴露面，从根本上消除了遭受恶意扫描的风险。在攻防演练实战中，芯盾时代SDP帮助苏豪控股集团实现了“网络隐身”，避免了“逢攻防演练先关VPN”的尴尬局面，让攻击方无功而返。

2.实施多因素认证，风险访问及时阻断

芯盾时代在IAM市场的占有率稳居行业前三，技术能力行业领先，芯盾时代SDP也由此具备了强大的身份安全能力。芯盾时代帮助苏豪控股集团建立了短信认证系统，将身份认证方式从传统的“账号+密码”升级为多因素认证（MFA），有效提升了身份认证的安全性和便捷性。

同时，凭借设备指纹技术，苏豪控股集团能够通过SDP客户端精准标识设备身份，实现员工账号和终端设备的强绑定，从而识别非常用设备登录、多用户通过同一设备登录等风险行为，还能够在攻防演练中开启设备审批功能，禁止不可信设备接入系统。

在访问控制上，芯盾时代SDP提供多种风险策略模型，苏豪控股集团能够根据自身需求灵活定义模型，综合设备、IP、时间、行为、账号、位置等维度的风险信息，对每一次访问实施动态访问控制，实现“安全访问全程无感，不确定访问强化认证，不安全访问直接拒绝”。

3.软件定义边界架构，组网、扩容更灵活

在架构上，芯盾时代SDP采用软件定义的方式，将控制器与网关分离，在安全性、可用性上具备天然优势。SDP网关支持本地、云上多种部署模式，企业能够用一套系统实现多数据中心、多网络域的远程接入，多、快、好、省的建立远程办公系统。

在先进的架构的支撑下，苏豪控股集团在业务应用低改造的情况下，快速完成了应用、设备与SDP的对接，大幅缩减改造周期，降低部署成本。在后续的信息化建设中，苏豪控股集团可以按照自身组织架构、业务需求，以“1个控制器+N个网关”的方式弹性扩容，满足新增的远程办公需求。

芯盾视点

随着数字化转型持续深入，远程办公需求快速增长，零信任架构的优势日益凸显。利用零信任替换VPN，成为了企业升级远程办公系统的理想选择。苏豪控股集团的此次改造，不但提升了远程办公安全性、便利性，更为后续的数字化转型打下了坚实的基础。