热门关键词: 信息安全 云计算 弱電(diàn)工程 机房建设 IT基础架构
日期:2023-03-16 阅读数:524
*原文(wén)来源于:广州银行信用(yòng)卡中心落地零信任的经验分(fēn)享
“電(diàn)销同事们都不能(néng)入场办公了,业務(wù)该如何正常开展?”
面对區(qū)域临时管控措施,广州银行信用(yòng)卡中心迅速开展行动。在不改变现有(yǒu)的网络架构和业務(wù)架构的模式下,当天即上線(xiàn)基于零信任架构的安全遠(yuǎn)程办公空间。
短短2天,这套方案覆盖
2000多(duō)中后台业務(wù)人员,
1000多(duō)外呼和電(diàn)销坐(zuò)席规模,
催收遠(yuǎn)程外呼产能(néng)均超92%,
電(diàn)营遠(yuǎn)程外呼各业務(wù)项目产能(néng)从74%提升到91%。
在常态化遠(yuǎn)程办公期间,业務(wù)部门主动反馈:
中后台的审批效率提升100%,
使用(yòng)體(tǐ)验媲美现场办公。
这一幕幕正在向更多(duō)组织单位表明:
常态化遠(yuǎn)程办公安全与业務(wù)高韧性发展,
早就不是二选一的关系。
“两手抓”的背后,是广州银行卡中心携手深信服,落地了一套创新(xīn)前沿、简单有(yǒu)效的零信任遠(yuǎn)程办公安全方案,确保了业務(wù)一刻未停摆,挽回经济利益超15亿,以科(kē)技赋能(néng)业務(wù)价值。
01
数字化转型背景下
办公安全建设迫在眉睫
广州银行总行以数字化发展战略為(wèi)引领,在2018年就确立了“金融科(kē)技赋能(néng)”的核心理(lǐ)念。卡中心在数字化转型探索实践中,对内加大资源投入力度,不断在技术应用(yòng)方面强化保障和寻求科(kē)技赋能(néng)。
当前遠(yuǎn)程办公已经内化為(wèi)企业办公的常态模式,電(diàn)销、催收业務(wù)对效能(néng)的诉求日益增長(cháng),摆在广州银行卡中心面前的难关是:如何通过新(xīn)技术突破,保障安全办公与便捷體(tǐ)验,实现业務(wù)高韧性发展?
02
呼叫业務(wù)场景复杂
遠(yuǎn)程办公安全挑战重重
广州银行卡中心深入梳理(lǐ)了遠(yuǎn)程办公安全面临的挑战:
1. 大量呼叫业務(wù)遠(yuǎn)程质量差。
呼叫业務(wù)场景下主要為(wèi)UDP包,在遠(yuǎn)程场景下,传统技术难以保障外呼业務(wù)整體(tǐ)质量与流畅性。
2. 业務(wù)暴露面大。
安全边界被打破,常规VPN 接入手段需要将业務(wù)系统直接发布在互联网上,业務(wù)暴露面过大、安全隐患高。
3.遠(yuǎn)程环境下缺乏对终端基線(xiàn)的检测。
一線(xiàn)员工统一配备PC端,但离网场景下难以管控每一台终端的防病毒软件、补丁情况,无法保证接入行内的终端安全性。
4. 遠(yuǎn)程接入场景数据易泄露。
在传统遠(yuǎn)程接入手段下,数据在终端有(yǒu)没有(yǒu)被违规使用(yòng)或泄露完全不可(kě)管控,很(hěn)难保证数据安全。
5. 呼叫业務(wù)数据异构。
卡中心现有(yǒu)催收、電(diàn)销、客服三条呼叫业務(wù),三大条線(xiàn)技术异构模式并发总数高达1000多(duō)坐(zuò)席量,业務(wù)量庞大,包括常规业務(wù)发卡、账单分(fēn)期、业務(wù)咨询、保险、诉讼等,复杂度可(kě)想而知。在遠(yuǎn)程接入的模式下,不仅要保证承载瓶颈和通话质量,还要统一接入管理(lǐ),特别是如何在兼容异构下,保障呼叫平台和各平台对于请求和回包的质量。
03
跨越技术难关
如何实现简单有(yǒu)效落地?
经前期充分(fēn)调研与准备,广州银行信用(yòng)卡中心选择与深信服共同打磨有(yǒu)效落地方案:构建一套基于零信任架构和沙箱模式的遠(yuǎn)程办公安全解决方案。
这套方案融合SDP软件定义边界和终端数据安全沙箱,基于丰富的认证手段与持续检测终端安全基線(xiàn),将终端划分(fēn)不同的工作空间,利用(yòng)网关和控制中心实现强认证以及数据不落地。在充分(fēn)保障员工遠(yuǎn)程办公體(tǐ)验同时,满足遠(yuǎn)程接入安全和数据安全。
尽管零信任相关理(lǐ)念已发展多(duō)年,据Gartner研究,目前仅有(yǒu)不到1%的大企业真正实现了成熟的、可(kě)衡量的零信任计划。原因在于,零信任落地既要基于现有(yǒu)网络架构平滑升级,保障简单有(yǒu)效,又(yòu)要不影响每一位员工的办公體(tǐ)验,需要跨越重重难关。
為(wèi)了攻克难关,卡中心从中后台业務(wù)到一線(xiàn)业務(wù)的对接调研、压力测试验证,优化软電(diàn)话模式,最终在外呼和電(diàn)销业務(wù)上逐步实现了零信任的有(yǒu)效落地:
1. 收敛暴露面。基于零信任aTrust的SPA单包授权技术实现业務(wù)隐身,為(wèi)每一个合法用(yòng)户分(fēn)发SPA安全码,通过“一人一码”机制实现SPA的顺利推广,有(yǒu)效收敛了電(diàn)销、外呼业務(wù)在遠(yuǎn)程访问场景下的互联网暴露面,大大降低安全隐患。
2. 基于认证场景的双因素认证。如首次登录、新(xīn)终端登录、闲置账号登录等场景,针对后台高敏业務(wù)实现按需的双因素增强认证,在确保使用(yòng)體(tǐ)验的前提下最大限度保障安全性。
3. 增加终端认证。催收和電(diàn)销业務(wù)的员工统一使用(yòng)行业派发的终端,通过零信任aTrust的终端管理(lǐ)能(néng)力,统一收集终端信息,為(wèi)每一个终端生成唯一的终端硬件特征码(设备指纹),建立授信终端库,实现基于终端的认证,避免非授权终端的随意接入,同时通过授信终端免二次认证等简化合法终端的认证流程。
4. 提升访问可(kě)靠性。三大呼叫业務(wù)架构框架采用(yòng)的呼叫線(xiàn)路各异,有(yǒu)SIP線(xiàn)路又(yòu)有(yǒu)E1線(xiàn)路,涵盖三大运营商(shāng),呼叫平台还存在老旧共用(yòng)以及传输协议不一致等问题。对于前端的接入,除了考虑请求接入质量,还要做好回包链路的质量和运营商(shāng)链路分(fēn)发。方案充分(fēn)考虑呼叫业務(wù)的流量特征,通过底层隧道技术的优化,实现对UDP、SIP协议的适配和流量转发,转发模式下统一网关接管了前端入口,在呼叫小(xiǎo)包传输效率等方面均有(yǒu)一定提升,保障了外呼业務(wù)跨互联网遠(yuǎn)程访问的可(kě)靠性与流畅度。
5. 建立业務(wù)访问的安全基線(xiàn),实现动态访问控制。在员工访问业務(wù)的过程中,通过零信任aTrust建立安全基線(xiàn),实时观测终端环境变化、访问行為(wèi)变化,如终端安全软件的运行状态、系统补丁更新(xīn)情况、访问业務(wù)的进程情况等,一旦触发安全基線(xiàn)处置条件,即可(kě)实现对应处置如禁止访问、注销登录或冻结账号等,确保业務(wù)访问过程的安全性。
6. 实现终端数据保护。通过零信任aTrust的终端数据安全沙箱技术,在终端构建安全隔离的工作空间,实现对终端数据的加密、隔离、防外发、防截屏录屏等数据泄密防护,同时不牺牲用(yòng)户體(tǐ)验,沙箱以悬浮窗的方式嵌入到现有(yǒu)桌面,极大提高了中后台交流效率。
04
落地有(yǒu)声
赋能(néng)业務(wù)高韧性发展
保障员工體(tǐ)验,运营数据超出预估指标
通过遠(yuǎn)程接入进行业務(wù)呼叫,对网络质量的要求非常之高。同时呼叫业務(wù)场景业務(wù)敏感度较高,正常的遠(yuǎn)程外呼受制于业務(wù)人员环境和复杂的业務(wù)场景,遠(yuǎn)程接入无疑增加了链路消耗和对小(xiǎo)包处理(lǐ)的挑战。但卡中心在一周内完成1200坐(zuò)席和1500个中后台遠(yuǎn)程办公切换,通过灵活可(kě)调的认证策略、悬浮窗沙箱、隧道技术优化等提升员工遠(yuǎn)程办公體(tǐ)验。疫情期间遠(yuǎn)程外呼的单日运营情况数据整體(tǐ)超出预估指标,灵活提高了生产力。
业務(wù)接入安全与终端数据防护“两手抓”
通过零信任SDP软件定义边界技术架构,重建访问安全边界,从终端、身份、权限、行為(wèi)到业務(wù)发布,实现全流程访问安全;通过安全沙箱,重建数据安全边界,实现终端数据落地后的安全保护和防泄密,由此实现业務(wù)接入安全与终端数据防护“两手抓”,保障了两个月的疫情封控期间的业務(wù)连续性。
数据不落地,全面提升业務(wù)合规安全
保障业務(wù)的前提下,通过安全沙箱确保数据不落地,在资源的授权上快速制定了申请审批指南和要求,对高风险的业務(wù)进行了绑定操作,确保遠(yuǎn)程办公的合规安全。
05
持续优化
安全體(tǐ)验与效果再进一步
為(wèi)持续探索数字化转型发展,广州银行信用(yòng)卡中心将继续优化遠(yuǎn)程办公的管理(lǐ)、流程机制,顺应金融监管合规发展,保障员工便捷办公體(tǐ)验。
零信任安全建设无法一蹴而就,需要统一规划、分(fēn)步落地。未来,广州银行卡中心还将利用(yòng)该方案优异的扩展性,推进内网办公安全建设,提供内外网一致的访问體(tǐ)验,解决内网权限管控腐化等问题,实现基于身份的访问控制和动态评估,让安全體(tǐ)验与效果往前再迈进一步。