2022年3月14日 上海

“疫情突发，，幸亏提前半年部署了零信任。
。。。”

深夜，，银联商务IT团队结束一天的忙碌。
。。

如今，
，沪上“疫”散，，，花开人归
，，，

回首战“疫”之路
，，，一切历历在目：

3月9日，
，银联商务主动采取疫情防控措施，
，，

执行半数员工远程办公模式。
。。。

5天打通23个部门718个业务系统，，，，

银联商务平滑切换到全员零信任远程办公
，，
，，

最高2841人同时在线，
，

业务系统日均访问量超11000人次
。
。。

84天
，
，银联商务不停工不停产，
，，，

守“沪”金融服务不中断，，，，

背后的力量，，，

不得不提芯启时光零信任构建的数字化办公平台。
。
。

Part 1 零信任：数字化转型的安全基座

“银联商务把数字化转型作为面向未来的优先战略选择。。。
。”

办公数字化是数字化转型的重要环节，，
，需要打造坚实的“安全底座”。。

从何做起？？不如先捋捋日常办公都有哪些安全隐患。
。

银联商务办公安全现状，，，

精准反映数字化转型下大多数企业“共同的痛”：

如何对接身份、、、、终端信息？
？？？

如何精细化管理访问权限？
？
？？

如何有效收敛暴露面并隔离控制？
？？？

如何动态调整安全基线？？？

银联商务认为，，办公安全建设作为数字化转型的重要环节，，
，，需要通过新技术、
、
、新理念进行改造，，，实现终端交付能力“服务化”、
、分支访问架构“分布化”、、、、办公空间“平台化”。。

基于芯启时光零信任架构，，，银联商务可以简单有效构建数字化办公平台。
。。
。芯启时光零信任通过持续增强事前防护
，
，
，助力安全团队从“不断救火”向“风险监管”“安全治理”转型，
，让安全人员去做更有价值的工作。。。。

更智能的访问权限管理

通过统一身份认证平台实现与人力系统的对接，，，基于不同岗位进行权限划分，
，，结合智能权限管理功能，，将业务系统划分为高、、、、中、、低等不同级别，，快速梳理出超300个应用访问权限。
。

更有效的数据安全保护

结合零信任
、、、、云桌面、、安全沙箱等各类技术，，
，，可基于不同场景，，，，实现分级数据保护和安全合规。
。在分支机构接入场景中，，通过安全沙箱UEM防止数据泄露
，，，减轻IT部门管控压力；在研发远程办公场景中，，通过零信任+桌面云VDI进行安全开发，，，，收缩暴露面的同时
，，实现开发数据不落地。。

更细化的终端基线检查

通过SPA单包授权技术
，
，结合强大的终端安全基线检测能力，，，对终端的合法性和可信性进行约束，，，，若终端不可信则不允许接入，，
，，若终端可信但不合规
，，，，则提示整改，，，
，再通过增强认证方可接入。。。。

银联商务与芯启时光携手，，
，
，从2021年3月开始，
，历经技术调研
、、、、项目实施、
、、组件联调等多个阶段，，，逐步落地。。。。

这个过程，，，，如何让创新“落地开花”？？

Part 2 四步走让创新“落地开花”

“使用零信任就像使用手机APP一样，
，

要让员工在安装和使用过程中觉得便捷
。。。”

制定落地计划过程中
，，

银联商务提出了兼顾安全与体验的双重要求。。

将简单有效带给用户
，，，，也就意味着将复杂的产品逻辑梳理难题留给了芯启时光自己。。

结合当前国内疫情影响的现实需求，，以及多年落地零信任的丰富实战经验，
，，，芯启时光优先从远程办公场景切入
，，
，，逐步深入到内外网混合办公等场景，，
，整体落地分四步走。
。
。。

第一步
：收敛业务暴露面，
，，实现终端安全管控

上线芯启时光零信任访问控制系统aTrust，，，员工访问内网业务必须通过身份认证，
，，，实现访问链条全程可信、
、、最小化授权，，，保障上海
、、武汉总部办公及省分公司超4000人的安全办公。。
。。

上海总部员工终端接入芯启时光终端安全管理系统EDR，，
，实现安全管控，，，，并逐步从总部推广至全集团超10000点。。。。

第二步：对接第三方统一身份认证平台，，降低ACL复杂度

面对超300个应用系统，，
，，权限梳理工作难度太大
、、、耗时太长，，，成为银联商务长久搁置的工作。。。

21天完成身份与权限的自动化统一梳理，，，，芯启时光零信任aTrust兼容对接第三方统一身份认证平台
、、、、银联商务HRM系统
，，员工身份与权限的管理不再混乱。。。。

同时，
，员工也不再需要记住那么多应用系统的密码，，只需要通过统一身份认证单点登录，，即可访问所有应用，，，大大优化办公体验。。。

第三步：联动SIP、
、
、、EDR，
，，增强办公网检测响应闭环能力

引入芯启时光安全感知管理平台SIP，，，联动终端安全管理系统EDR，，，
，增强银联商务办公网安全检测和响应处置能力，
，，实现安全事件响应自闭环
。。

芯启时光零信任aTrust联动SIP、、、EDR，
，，，从网络、、
、、终端、、、行为等不同维度，，，对银联商务办公网进行持续信任评估
，，，通过增强认证、、、智能降权、、、联动封堵等技术手段进行风险处置
。。。
。

第四步：集成自研通讯软件
，，，实现单点登录

集成银联商务自研通讯软件，，员工可通过零信任客户端或通讯软件客户端任意方式接入
，，，
，按需办公，，使用体验更加便捷。。。。

仅花费1个月15天，
，

银联商务已完成前两步落地计划，，
，

解决了身份与终端信息对接、、、

精细化管理访问权限的问题
。。

以芯启时光零信任为基座，，，，

银联商务数字化安全办公平台显露雏形。。。

从2021年11月15日开始，，，

银联商务在全公司范围内开启零信任办公的宣贯。。。。

因此，，，当疫情来得猝不及防之时
，，，，

银联商务仍能全员全情守“沪”。。

“幸亏提前部署零信任”，，，

让企业安全办公防患于未然。。

Part 3 落地有声
，，，，创新不止

当前，，基于芯启时光零信任安全解决方案
，，，银联商务数字化安全办公平台基本解决了总部以及分公司的远程办公安全需求。。

面对银联商务3-4级分支公司、、、、超1000人规模的员工，，在通过零信任架构实现业务访问保护的基础上，，
，，芯启时光零信任还将创新结合桌面云VDI、、安全沙箱UEM等，，，为数字化安全办公平台的基座砌上更坚实的砖瓦。。

1.融合芯启时光全终端安全沙箱UEM技术，，，，扩展数据安全边界，
，，，即使业务数据在终端落地
，，，，也可以实现安全保护和防泄密，，保障全流程办公访问安全。。。。

2.提供“5A+S级”Workspace办公体验，，，构建融合多种不同安全级别应用的数字化工作平台，，在同一工作平台中实现不同密级应用的一站式访问
，，
，点击工作台应用即可自动拉起桌面云VDI
、、、、安全沙箱UEM及普通应用，，，，为银联商务办公安全与员工体验上一份“双重保险”。
。

落地有声，，创新不止。。
。

芯启时光零信任
，，，助力用户数字化转型更简单、
、、更安全。。。

银联商务

国内大型的非银行支付机构，，提供以银行卡收单、、网络支付为基础的综合支付服务，，，以及多样化和专业化的商户增值服务；始终坚持以科技作为发展的核心驱动力
，，，持续加强各类服务的科技含量并深入研究云计算
、、区块链
、、、大数据、、、、人工智能、、、、物联网等领域的新型技术，，
，通过综合支付和商户增值两大服务，
，
，，助力商户向数字化、、、、智能化、
、综合化的方向转型，，不断强化经营能力。。