互联网技术消除人与人之间的距离，使得在不同时空维度的人员能够协作沟通。企业职员得益于互联网技术，能够实现在家、异地、汽车等多个不同场所进行办公，而不仅限于固定的办公场所。这种远程办公模式下，企业职员在城市中的办公出行将大幅减少，企业整体的办公效率将得到切实的提升。此外，对于企业来说，远程办公模式可以让其聘用离办公地很远的人才，让其居家办公，而不用为其提供固定的办公室，从而减少办公成本。远程办公模式既便利了企业职员，也能够为企业带来更好的效益，是一种双赢的办公模式。

远程办公模式提供了办公的时空弹性，逐步地被越来越多的国家所广泛接受。远程办公作为一种高效的、无接触式的办公方式，获得企业职员和雇主的一致青睐。即便在新冠疫情逐渐得到缓解之后，远程办公模式也因其灵活性、便利性而被许多企业继续采用。不论是在疫情的当下，还是后疫情时代，纵观国内外的远程办公发展趋势，其都将是维持企业业务平稳运转的一种重要方式。

众所周知，远程办公虽然便利，但是由于其实际上打破了原有的企业网络安全边界，所带来的安全问题是不容忽视的。

为了支撑远程办公，原本只能在内网访问的业务应用将面向互联网开放。企业职员利用NAT转换的业务应用地址或者VPN隧道，就能够从互联网远程地访问到企业内网中的业务应用。远程办公进一步增大了企业的网络暴露面，使得攻击者能够更容易地发起攻击。

远程办公既会导致企业网络暴露面的增加，也会导致入网终端和访问人员变得更为庞杂。远程移动办公允许员工、外包人员、合作伙伴等各类人员，使用家用PC、个人移动终端等设备发起对业务应用的访问。这些终端的系统各异，缺乏企业级的安全管控措施，是攻击者极易侵入的节点。而且，这些访问人员的心态、职能、权限等也各不相同，难以做到统一的业务资源访问管控。

远程办公模式下，庞杂的访问终端、访问人员以及更大的攻击面，将导致企业更容易遭受网络攻击。企业享受远程办公带来业务效率提升的同时，也不得不应对这种工作模式可能带来的网络安全风险。

业务数据泄露是企业施行远程办公模式，比较担忧的网络安全风险。一方面，企业网络安全管控措施较为薄弱的远程终端设备以及不受控的互联网通信链路，会成为攻击者的重要攻击目标。攻击者可以侵入远程终端设备或通过监听互联网通信链路，主动窃取企业的业务数据。另一方面，企业远程办公职员在缺乏监督的办公环境中，容易出于经济、兴趣、政治等一系列内在动机，开展窃取企业敏感信息的操作。企业已有的VPN、IDS、WAF等网络安全设施，对于具有合法身份凭证的企业职员的非法业务应用访问行为是难以监控的。企业职员可以通过滥用合法的业务访问权限，持续地收集业务应用的敏感信息，并将其发送给第三方。

面向互联网的业务应用不能稳定运行，是企业另外一个比较担忧的网络安全风险。攻击者能够通过扫描方式持续地探测暴露在互联网的业务应用或边界网关（例如VPN）存在的漏洞。攻击者基于探测到的缓冲区溢出、越界内存等漏洞，能够执行删除业务系统数据、关停业务应用等操作。此外，攻击者也能够发起网络层面的DDOS攻击，逐步耗尽业务应用系统的计算资源。这两类攻击方式都将导致企业面向互联网开放的应用变得不可用。

为解决远程办公安全性问题，传统做法是采用VPN技术建立远程终端与企业网络之间的加密通道，并对所有接入用户进行身份认证，确保只有合法用户才能通过VPN访问到企业网络资源。这种方式在过去很长一段时期内都是解决企业远程办公安全问题的首选方案。但是，VPN技术具有一定的局限性。

首先，VPN无法动态调整用户的授权。经过身份认证的用户，VPN将授予其特定网络或某一组业务应用的访问权限。用户在后续的访问过程中，其访问权限都将维持不变。这意味着攻击者在会话过程中执行恶意操作，VPN无法进行及时有效的遏制。其次，VPN容易遭受网络攻击。由于VPN缺乏有效的自身安全防控机制，攻击者基于互联网能够直接访问到VPN。攻击者可以利用VPN暴露在互联网上的漏洞发起提权攻击或者DDOS攻击。脆弱的VPN已经逐渐成为攻击者攻击企业的一个重要突破口。再次，VPN无法确认访问实体（用户、客户端、设备）的真实性。VPN可以基于IPsec和SSL VPN技术构建访问通信加密通道。然而，IPsec技术并不认证访问业务应用的用户身份，SSL VPN技术通常并不认证客户端的身份。这导致不受信的访问实体能够访问到业务应用。

基于传统VPN构建的远程办公安全解决方案存在固有的缺陷，企业应重构远程办公的身份认证体系，以确保远程办公模式可以在当前日益严峻的网络安全态势下安全可靠。

2004年，总部设立在英国的耶利哥论坛正式成立。该论坛的安全使命是为了定义无边界趋势下的网络安全问题并寻求解决方案。该论坛的安全理念是要限制基于网络位置的隐式信任，并不能依赖静态防御。而这就是零信任理念最早的雏形。

随着零信任理念的发展，其理念内涵被不断丰富和完善，并被运用到大量的项目中。在远程办公领域的典型例子是Google的Beyond Corp项目。Beyond Corp项目旨在实现“让所有Google员工从不受信的网络中不接入VPN就能顺利工作”的目标。2017年，Google基于零信任构建的Beyond Corp项目正式完成。Google认为“Beyond Corp在不牺牲可用性的前提下从本质上改善了谷歌的安全态势，并且提供了一种不受技术限制地根据策略应用授权决策的弹性基础设施。”

零信任理念为数字时代企业远程办公提供了新的网络安全问题的解决思路。基于零信任理念开发的远程办公安全解决方案的优越性也已经在众多项目中得到印证。可以这么说，零信任理念是网络安全思维进化的必然结果，零信任远程办公安全解决方案是企业解决远程办公风险的最优选择。

远程办公模式下，企业职员会从家里、异地、咖啡馆、汽车等多个不同的场所，在早、中、晚的任意时间点访问企业开放到互联网上的业务应用，而不局限于固定的办公场所和固定的办公时间。

在这种模式下，企业的远程办公业务保障需求主要有以下几点：

1. 企业应提供安全可靠的终端环境和访问业务应用的客户端或浏览器，确保用户能够随时随地发起业务资源的访问；

   
   

2. 企业应在开放的互联网上建一条安全稳定的业务应用访问通道，用于远程办公职员随时随地接入企业的局域网，获取到完成业务目标所需的业务资源；

   
   

3. 企业应简化多种业务应用的人工登录认证过程，实现便捷高效的业务访问。

   
   

远程办公企业之所以发生泄密事件或者遭受网络攻击，根由在于非受信的内外部人员能够正常地访问业务资源。诸如，企业职员滥用业务应用分配的身份与权限、攻击者冒用或者盗用合法的身份凭证开展访问、攻击者能够不受约束地访问到开放的互联网业务资源等情况，难以被识别与管控。

非受信的内外部人员可分为合法人员和外部威胁。合法访问人员是指具有合法业务应用身份凭证，能够访问企业业务应用的内外部人员。外部威胁是指那些避开认证、授权、访问控制等安全机制，直接发起业务资源访问或获取业务请求的外部攻击者。

对于合法人员的可信防控，企业应通过动态的身份认证机制，在合法人员发起业务资源访问时以及访问业务资源的整个会话过程中，持续确认合法人员身份的真实性。未通过身份认证的合法人员，将不允许发起业务访问请求。已经通过身份认证的访问人员，企业应监控访问人员的业务资源访问请求行为，持续评估访问人员的可信度。受信的访问人员将按照最小授权原则，授予其业务资源访问权限。非受信的访问人员，其业务资源访问权限将被收回、业务资源访问请求将被终止。

对于外部威胁的可信防控，首先，企业应默认其为非受信人员，其访问途径为非受信访问途径。其次，企业应通过设置网络隔离机制切断外部威胁直接连接企业业务资源的通信链路。再次，企业还应加密远程业务访问的通信链路，切断外部威胁从通信链路上接触业务资源的机会。外部威胁由于接触业务资源的渠道中断，将难以获取到业务应用的脆弱性，网络攻击将难以发起。

《中华人民共和国网络安全法》第二十一条规定国家实行网络安全等级保护制度，并要求网络运营者应当按照网络安全等级保护制度的要求履行安全保护义务。等级保护标准是企业落实等级保护制度的重要依据。《信息安全技术—网络安全等级保护基本要求》（GB/T 22239-2019）规定了企业要落实的网络安全具体要求。为响应国家网络安全相关政策和实现安全的远程办公，企业应在以下几方面做好安全防护和管理工作：

• 避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段；

  
  

• 采用校验技术保证通信过程中数据的完整性；

  
  

• 保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；

  
  

• 在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；

  
  

• 删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；

  
  

• 对源地址、目的地址、源端口、目的端口和协议等进行检查，已允许/拒绝数据包进出；

  
  

• 能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力；

  
  

• 在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；

  
  

• 在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

  
  

• 对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

  
  

• 采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术实现；

  
  

• 应遵循最小安装的原则，仅安装需要的组件和应用程序。

  
  

综上，企业应将企业职员远程办公所使用的业务应用通过隔离手段隐藏起来，默认拒绝除允许通信请求外的所有业务通信请求，避免为外部威胁所直接访问。企业职员访问企业业务应用的访问请求将首先发送至边界设备，由边界设备代理转发业务资源的访问请求，加密通信链路保障传输数据的完整性，基于IP五元组动态管控业务会话请求的出入，持续审计每个用户的重要会话行为。登录业务应用的企业职员应具有唯一身份标识，并通过双因子认证。发起业务应用访问的终端环境应安全可靠，其上仅安装需要的组件和应用程序。

零信任远程办公安全解决方案采用身份认证机制持续认证访问者身份的真实性，信任评估机制持续评估访问人员的可信度，访问控制机制动态调控访问业务资源的会话请求，确保正常访问业务资源的人员可信、通信可靠以及授权可控。

威努特零信任安全访问控制系统（以下简称“威努特ZTG”）是以零信任理念和架构为底座并以保护数据全生命周期安全流转为设计目标而打造的新一代零信任数据安全解决方案。方案以业务融合、技术解耦的思路来落地数据安全能力原生化。通过此方案，可在业务零改造的情况下，为业务构建解耦的数据安全切面，实现业务访问的私有、高效、安全和智慧，保护业务数据的安全，实现数据的识别、智能控制和可视化呈现。

威努特ZTG以客户端为边界，结合中心端的零信任网关和自适应安全平台，并基于SPA单包认证的网络隐身技术，可构建起一张隐形的零信任安全访问网络，此网络只对“特定的用户+特定的设备”可见，对其他人完全不可见，可极大降低企业核心数据暴露和泄漏风险，有效避免核心应用遭受网络攻击。这种远程办公安全防护技术架构如图1所示：

图 1 威努特零信任安全防护技术架构

图 2 威努特零信任网络隐身

威努特ZTG实现了应用服务器的隐身，基于ZTP协议以及动态iptables的多层安全防护，采用SPA单包授权认证机制，实现“先认证后连接”，有效保护企业应用。认证服务隐藏，非法连接默认丢弃，防止端口嗅探，基于UDP协议进行认证敲门，每一个客户端的TCP端口连接都会先经过授权验证，验证通过后才可访问，不对外暴露任何TCP端口，隐藏业务服务的IP与端口，零信任安全访问控制系统默认“拒绝一切”连接，只有零信任客户端经过敲门技术授权后，才会针对客户端开放访问通道，非授权用户和网络黑客无法看见和探测企业应用，有效减少、规避业务被攻击面。

图 3 威努特零信任数据传输加密

威努特ZTG支持加密隧道方式对数据传输进行保护，确保双向加密通信，用户通过安全隧道访问企业内网业务。采用高强度加密算法和临时密钥机制，一次一密，周期变更，确保数据前后向安全，支持从用户侧操作系统到目的服务器操作系统的端到端数据加密传输，数据在没有到达最终目的的节点之前不被解密，最大限度保障数据传输的安全性。采用国密算法SM2/3/4，支持国密最新标准，满足安全和合规性要求，独创的超轻量加解密技术，保障服务器所有东西向交互都被加密保护，不遗漏任何细节，杜绝“木桶效应”。

图 4 威努特零信任应用安全发布

威努特ZTG支持应用安全发布，可使用无端、ZT和EDP三种方式访问不同应用，并对应用访问的“前+中+后”进行保护。

针对Web类型的应用，零信任可提供Web应用防护，使用行为分析引擎和规则引擎，对主流的30多种Web攻击进行防护，包括爬虫、垃圾信息、路径遍历、ColdFusion注入、LDAP注入、命令注入、SQL注入、XSS、木马访问、webshell、网站扫描、CC等，解决合法身份非法访问的问题。

图 5 威努特零信任智能身份管理

威努特ZTG支持多因素智能身份认证，兼顾合规和安全，保证用户身份和设备的合法性，构建高安全级别的多因素智能身份认证，既满足安全合规性要求，又可保障用户安全、快速的认证接入。

威努特ZTG支持本地和外部两大类认证种类下的多种身份认证方式，为任意场景的用户认证需求提供便利，认证方式自由组合。其中多因素认证包括：“用户名密码+短信”“用户名密码+硬件特征码”“用户名密码+短信+硬件特征码”等方式的认证。另外，还可以与外部认证服务器对接，支持LDAP（openLDAP和AD）的认证方式。

威努特ZTG通过LXR客户端设备绑定功能，确保用户在正确的设备上使用正确的账号登录，同时可以对账户的登录时间、登录设备及IP地址进行严格控制，以防止非法人员非法接入业务系统。

威努特ZTG支持智能身份认证，可根据客户自有认证能力、接入安全性需求、威胁检测、行为检测结果，动态智能选取认证方式组合，无需人工设置认证方式。

威努特ZTG可以远程强制用户下线，锁定或停用账号，有效保障企业员工认证信息在泄露、设备遗失等异常情况下的企业数据安全。

图 6 威努特零信任主机微隔离

威努特ZTG通过在业务系统主机侧部署零信任的HostAgent主机客户端，实现业务主机侧流量的识别、分类、路径绘制和访问控制，有效追踪数据东西向流转路径，防止非法连接或恶意代码从已经受到攻击的主机、程序或进程横向移动感染其他。提供以下几个关键功能：

东西向流量识别与分类

通过HostAgent主机客户端，可拦截发送到本机的网络报文，扫描主机当前正在监听的端口，获取主机所提供服务的端口信息，并对监听端口的进程进行进一步分析，从而识别出精确的流量类型，如WEB应用、数据库应用、文件服务、邮件服务等。

东西向流量访问关系梳理

在网络通信层面即可实现服务器到业务访问关系梳理，利用首包识别技术，可有效识别“主机-工作负载”“主机-主机”“工作负载-工作负载”的访问关系。所采用的技术对服务器的操作系统依赖较低，适应性强，且对业务几乎无影响。

东西向流量控制

利用访问关系的梳理结果，可实现“网络-主机-工作负载-进程”四层访问控制，精细化控制东西向交互流量，规避横向非法和威胁流量。

图 7 威努特零信任动态访问控制

威努特ZTG符合零信任安全访问模型，对用户访问内网基于以下原则，进行最小权限授权：

• 不自动信任网络的安全性（内网 ≠ 可信）；

• 对任何接入系统的人和设备都进行验证；

• 每次访问都要进行身份验证和行为审计；

• 细粒度访问控制策略最小权限原则。

  
  

管理员可以根据用户的身份和具体的需求，在后台合理限制用户可以访问哪些应用。例如，只允许人事部的员工访问考勤系统，不允许访问财务系统，其越权访问会被零信任安全访问控制系统拦截。并且根据访问业务的终端的计算环境安全情况，基于信任评估和风险决策引擎的智能分析和决策能力，可实时、动态地调整访问权限，有效降低合法用户非法访问的问题，降低了业务被攻击的可能性，减少业务数据泄漏的可能性，保障了业务和数据的持续安全。

除了应用的维度之外，还可以对用户的访问时间，访问设备等维度进行限制，并以应用、设备、零信任安全访问控制系统和资源四个维度进行关联追踪，可视化的呈现四个维度的访问关系视图，帮助用户迅速、清晰的进行全网访问关系查询和梳理，避免权限混乱的管理问题。

图 8 威努特零信任访问关系视图

业务访问的核心要素一共四个：用户、设备、零信任安全访问控制系统和应用。其中：

• 用户指的是实体人，比如张三、李四、王五等；

  
  

• 设备指的是实体人访问内网应用所使用的设备，比如surface、MacBook、手机等，一个实体人可能会使用多个设备；

  
  

• 零信任安全访问控制系统是“用户使用设备”访问应用过程中，介于中间的重要要素，它承接了访问主体（用户+设备）和服务主体（应用）之间的访问控制和数据转发；

  
  

• 应用指的是单位内部提供对外服务的各种服务器，比如办公系统、流程系统、订单系统等。

威努特ZTG采集和智能分析以上几个要素之间的关系，形成以用户、设备、应用为维度的不同视角的访问关系视图，以层次化、可视化的方式展示复杂的业务访问关系，同时视图上提供用户、设备、应用、零信任安全访问控制系统等关键组成的详细信息，为管理员进行权限配置和巡查提供更加直观的视角，提高权限分配的准确性、精确性。

图 9 威努特零信任系统运维监控

威努特ZTG可以汇聚各个安全网关以及所有客户端发送过来的日志及审计信息，提供多维度、多视角的系统运行、操作行为及访问行为的可视化运维监控，具体功能包括：

设备状态监控

实时监控服务器设备的CPU、内存、磁盘使用情况，实时检查业务系统，第一时间发现业务应用或零信任安全访问控制系统故障并生成报警信息，降低企业运维压力及风险。

在线用户监控

实时监控在线用户的登录时间、在线时间、访问流量、认证方式等多种信息，支持主动中断在线用户的连接，统计并展示接入终端信息，用户登录日志，包括用户登录、注销，含MAC地址、终端类型、浏览器类型等，并展示用户在什么时间、什么设备、访问了什么资源。

流量统计

用户、应用流量排名支持TOPN排名统计和呈现，支持告警日志的滚动呈现，告警时间包括系统警告等。

行为监控

管理员操作日志，包括管理员登录、接入IP、时间、管理行为、对象等。

图 10 威努特零信任系统概览

图 11 威努特零信任风险事件透视

图 12 威努特零信任攻击事件透视

图 13 威努特零信任网络监控中心

威努特ZTG收集和分析的各种安全相关的关键数据，从多维度多层次的图表和日志两个方面提供数据安全的可视化呈现，方便运营人员进行数据安全关键信息的实时监督、处置，以及支撑数据安全事件的跟踪溯源。其中：

图表方面，可呈现用户级数据访问关系概览图、网络流量监控图、风险事件透视图等多维度视图辅助运营人员决策。用户级数据访问关系概览图可呈现的内容包括用户视角的业务访问情况、设备视角的业务访问情况、应用视角的业务访问情况、展示实时或历史访问关系、关键信息搜索查询展示等。网络流量监控图可呈现内容包括网关流量监控情况、用户流量监控情况、应用连接数监控情况、自定义筛选时间周期情况等。风险事件透视图可呈现内容包括风险事件数量情况、用户视角透视图、自动响应统计数量情况、智能策略响应情况等。

日志方面，可呈现系统运行日志、用户登录日志、访问控制日志、API安全日志等多维度日志供运营人员审查。系统运行日志可监控的信息字段包括管理员的IP地址、操作时间、操作内容、系统运行组件对应的事件/时间/内容等。用户登录日志可监控的信息字段包括日期、用户名、所属组、终端类型、设备型号、操作系统、系统版本、IP地址、物理位置、事件、备注等。访问控制日志可监控的信息字段包括日期、用户名、所属组、终端类型、来源、物理位置、目标、动作、当日次数、访问时间、内容等。API安全日志可监控的信息字段包括日期、用户名、所属组、所属应用、状态码、API路径、脱敏字段数量、API服务质量、访问时间等。

威努特基于零信任的远程办公安全解决方案的网络拓扑如图14所示：

图 14 威努特基于零信任的远程办公安全解决方案的典型部署拓扑

威努特ZTG采用单机旁路模式部署，在单机部署模式下，将零信任安全访问控制系统部署在核心交换机旁或是部署在汇聚交换机旁，无需对原有网络架构与应用进行改造。针对不同接入规模可提供HA和集群方式部署，实现系统性能的手动和自动扩容，提高企业集中化网络管理能力。

威努特提供基于零信任架构的数据安全解决方案，帮助用户轻松应对新IT架构下的新兴安全问题。

利用多维度、多层次、多节点的数据安全切面能力，对企业关键数据进行全生命周期的保护，实现数据的可用不可拿，防止关键数据泄漏。

基于SDN构建的零信任安全大脑，实现策略自适应编排和动态调控，降低运营投入，提升运维效率。

全面满足等保2.0、数据安全法、密码法、个人信息保护法等相关法律法规的要求，协助企业信息化建设合法合规。