*原文来源于：广州银行信用卡中心落地零信任的经验分享

“电销同事们都不能入场办公了
，，业务该如何正常开展？？？？”

面对区域临时管控措施，，，，广州银行信用卡中心迅速开展行动
。。在不改变现有的网络架构和业务架构的模式下，，，当天即上线基于零信任架构的安全远程办公空间
。。
。

短短2天，
，，这套方案覆盖

2000多中后台业务人员，，，

1000多外呼和电销坐席规模，
，

催收远程外呼产能均超92%，
，

电营远程外呼各业务项目产能从74%提升到91%。。。。

在常态化远程办公期间
，，
，业务部门主动反馈：

中后台的审批效率提升100%，，，，

使用体验媲美现场办公。。

这一幕幕正在向更多组织单位表明
：

常态化远程办公安全与业务高韧性发展，，，

早就不是二选一的关系。。

“两手抓”的背后，
，，，是广州银行卡中心携手芯启时光，，落地了一套创新前沿、
、、简单有效的零信任远程办公安全方案，，确保了业务一刻未停摆，，，挽回经济利益超15亿，
，以科技赋能业务价值。。

01

数字化转型背景下

办公安全建设迫在眉睫

广州银行总行以数字化发展战略为引领
，
，
，
，在2018年就确立了“金融科技赋能”的核心理念。
。卡中心在数字化转型探索实践中
，，，
，对内加大资源投入力度，
，不断在技术应用方面强化保障和寻求科技赋能。。

当前远程办公已经内化为企业办公的常态模式，
，电销、
、催收业务对效能的诉求日益增长，，，摆在广州银行卡中心面前的难关是：如何通过新技术突破，，，保障安全办公与便捷体验
，，，，实现业务高韧性发展？？

02

呼叫业务场景复杂

远程办公安全挑战重重

广州银行卡中心深入梳理了远程办公安全面临的挑战：

1. 大量呼叫业务远程质量差。。。。

呼叫业务场景下主要为UDP包，，，在远程场景下，，，传统技术难以保障外呼业务整体质量与流畅性
。。

2. 业务暴露面大。。
。。

安全边界被打破，，，常规VPN 接入手段需要将业务系统直接发布在互联网上，，，业务暴露面过大
、
、、、安全隐患高。
。

3.远程环境下缺乏对终端基线的检测。。

一线员工统一配备PC端，，
，，但离网场景下难以管控每一台终端的防病毒软件
、、、补丁情况
，，，无法保证接入行内的终端安全性。。。。

4. 远程接入场景数据易泄露。。。

在传统远程接入手段下，，，，数据在终端有没有被违规使用或泄露完全不可管控
，，，
，很难保证数据安全。
。

5. 呼叫业务数据异构。
。

卡中心现有催收、
、电销、、、、客服三条呼叫业务，，三大条线技术异构模式并发总数高达1000多坐席量，，，，业务量庞大，，，，包括常规业务发卡、、账单分期
、、业务咨询、、、、保险、、、、诉讼等
，，，复杂度可想而知。。。。在远程接入的模式下，
，
，，不仅要保证承载瓶颈和通话质量，，还要统一接入管理，，特别是如何在兼容异构下，，保障呼叫平台和各平台对于请求和回包的质量。。。

03

跨越技术难关

如何实现简单有效落地？？
？？

经前期充分调研与准备，
，，广州银行信用卡中心选择与芯启时光共同打磨有效落地方案：构建一套基于零信任架构和沙箱模式的远程办公安全解决方案。
。。。

这套方案融合SDP软件定义边界和终端数据安全沙箱，
，，基于丰富的认证手段与持续检测终端安全基线
，
，，，将终端划分不同的工作空间，，利用网关和控制中心实现强认证以及数据不落地。
。。在充分保障员工远程办公体验同时，
，满足远程接入安全和数据安全。。
。

尽管零信任相关理念已发展多年，，，据Gartner研究，
，
，，目前仅有不到1%的大企业真正实现了成熟的
、
、、可衡量的零信任计划。。原因在于，，，，零信任落地既要基于现有网络架构平滑升级，
，，保障简单有效，
，
，又要不影响每一位员工的办公体验，，
，，需要跨越重重难关。
。。。

为了攻克难关，
，卡中心从中后台业务到一线业务的对接调研、、、、压力测试验证，，优化软电话模式，
，最终在外呼和电销业务上逐步实现了零信任的有效落地：

1. 收敛暴露面。。。。基于零信任aTrust的SPA单包授权技术实现业务隐身
，，，，为每一个合法用户分发SPA安全码，，，，通过“一人一码”机制实现SPA的顺利推广
，
，，有效收敛了电销、、、外呼业务在远程访问场景下的互联网暴露面
，，，，大大降低安全隐患。
。。。

2. 基于认证场景的双因素认证。
。。如首次登录、、、新终端登录、、、、闲置账号登录等场景，，针对后台高敏业务实现按需的双因素增强认证，
，，在确保使用体验的前提下最大限度保障安全性。。。

3. 增加终端认证。。
。。催收和电销业务的员工统一使用行业派发的终端，，，通过零信任aTrust的终端管理能力，，统一收集终端信息，，为每一个终端生成唯一的终端硬件特征码（设备指纹）
，
，建立授信终端库，，，实现基于终端的认证，
，，
，避免非授权终端的随意接入，
，，同时通过授信终端免二次认证等简化合法终端的认证流程。
。。
。

4. 提升访问可靠性。。
。。三大呼叫业务架构框架采用的呼叫线路各异，，有SIP线路又有E1线路，，涵盖三大运营商，，
，呼叫平台还存在老旧共用以及传输协议不一致等问题
。。
。。对于前端的接入，，除了考虑请求接入质量，，
，还要做好回包链路的质量和运营商链路分发。。。。方案充分考虑呼叫业务的流量特征，，
，通过底层隧道技术的优化，
，实现对UDP
、、
、SIP协议的适配和流量转发，，转发模式下统一网关接管了前端入口，，，，在呼叫小包传输效率等方面均有一定提升，，，，保障了外呼业务跨互联网远程访问的可靠性与流畅度。
。

5. 建立业务访问的安全基线，，
，实现动态访问控制。。。在员工访问业务的过程中，，，通过零信任aTrust建立安全基线
，，
，实时观测终端环境变化、
、、访问行为变化
，，如终端安全软件的运行状态、、、、系统补丁更新情况
、、、访问业务的进程情况等，
，，，一旦触发安全基线处置条件，，，
，即可实现对应处置如禁止访问、
、、注销登录或冻结账号等，，
，，确保业务访问过程的安全性
。。。

6. 实现终端数据保护。。。通过零信任aTrust的终端数据安全沙箱技术，，在终端构建安全隔离的工作空间，，实现对终端数据的加密、
、、隔离、、、防外发
、、、、防截屏录屏等数据泄密防护，，，同时不牺牲用户体验，，，，沙箱以悬浮窗的方式嵌入到现有桌面，，极大提高了中后台交流效率
。。。

04

落地有声

赋能业务高韧性发展

保障员工体验，，运营数据超出预估指标

通过远程接入进行业务呼叫，，对网络质量的要求非常之高。。。。同时呼叫业务场景业务敏感度较高，
，正常的远程外呼受制于业务人员环境和复杂的业务场景，，，，远程接入无疑增加了链路消耗和对小包处理的挑战。
。。。但卡中心在一周内完成1200坐席和1500个中后台远程办公切换
，，，通过灵活可调的认证策略、、
、悬浮窗沙箱、、隧道技术优化等提升员工远程办公体验。。疫情期间远程外呼的单日运营情况数据整体超出预估指标，，，，灵活提高了生产力。。。。

业务接入安全与终端数据防护“两手抓”

通过零信任SDP软件定义边界技术架构，，重建访问安全边界，
，，，从终端、、身份、、、、权限、、、、行为到业务发布，，，，实现全流程访问安全
；通过安全沙箱
，，，，重建数据安全边界，
，，实现终端数据落地后的安全保护和防泄密，，由此实现业务接入安全与终端数据防护“两手抓”，，保障了两个月的疫情封控期间的业务连续性。
。。

数据不落地，
，全面提升业务合规安全

保障业务的前提下，，，
，通过安全沙箱确保数据不落地
，，在资源的授权上快速制定了申请审批指南和要求
，
，
，
，对高风险的业务进行了绑定操作
，，
，确保远程办公的合规安全。。
。。

05

持续优化

安全体验与效果再进一步

为持续探索数字化转型发展，，，，广州银行信用卡中心将继续优化远程办公的管理、、、、流程机制，
，顺应金融监管合规发展，
，，，保障员工便捷办公体验
。。
。

零信任安全建设无法一蹴而就，，
，需要统一规划、、
、、分步落地。
。。未来，，，
，广州银行卡中心还将利用该方案优异的扩展性，，推进内网办公安全建设，
，，，提供内外网一致的访问体验，，，，解决内网权限管控腐化等问题
，，实现基于身份的访问控制和动态评估，，，，让安全体验与效果往前再迈进一步。。。。