企業數字化轉型的過程中，業務的快速迭代和創新給IT基礎設施帶來了許多挑戰，關鍵業務上云成為許多傳統企業的選擇。業務上云幫助企業改變了IT資源不集中的狀況，同時，數據中心內存儲的大量數據信息，也容易受到黑客的攻擊，如何保障云上數據安全成為企業考慮的重點。

上海某新勢力車企通過在華為云上部署聯軟SDP，針對移動辦公、遠程辦公等新興的企業辦公場景，實現用戶動態按需授權訪問，確保內外部員工接入訪問云的安全，保障了關鍵業務系統上云后系統數據安全，有效防止了敏感信息的泄露。

在“移動+云”的時代背景下，傳統的安全邊界逐漸被打破，終端遠程辦公逐漸變成一種常態化辦公模式。作為一家專注于未來智能交通產業的創新制造企業，該車企數年間形成了上海總部加北京、成都、日本等多個研發中心的布局，銷售和服務網絡遍布全國主要城市，并逐步拓展至海外市場。

隨著組織架構的不斷擴大，該車企開啟了關鍵業務系統上云的進程，以滿足高速發展的業務對IT架構高性能、高可用、易擴展和高安全等需求。與此同時，由于制造業工藝繁多，業務復雜，不少業務需要經過第三方合作完成，存在數據泄密風險，這也對云平臺的安全功能提出了更高的要求。

在業務需求的推動下，該車企亟需引入成熟的SDP解決實現方案對不同設備、不同網絡、不同用戶的訪問權限進行管控，防止敏感數據外泄。

1)提供安全可控的沙箱空間，對沙箱內的數據和網絡進行隔離，對進程、數據、網絡進行統一管控。通過靈活的管控策略實現沙箱內數據的流轉控制和審計，結合數字水印及截屏控制，實現全面的數據安全防護。

基于業務現狀，該車企對安全沙箱有著較高的要求，需要完成業務系統的外網權限回收，同時對業務系統下載的文件進行控制。

經過SDP的安全沙箱功能和單點登錄測試并在生產環境中驗證環節，該車企最終使用聯軟UEM后臺，在正常使用SDP沙箱的基礎上，拓展未來適配移動設備的功能。方案采用線性部署，通過負載實現網關、管理服務器、數據庫實現高可用性，并搭建軟負載，并形成負載集群，用于提供網關和負載之間通信使用。

▲現場實施部署架構圖

數據隔離：采用數據重定向方式，對沙箱內保護應用程序的操作請求攔截，沙箱根目錄對沙箱以外的程序隱藏，只有受保護的應用進程可以讀取指定沙箱區域內的數據，并且可通過策略實現根據用戶權限控制沙箱內文件是否允許外發。

剪切板隔離：復制安全沙箱內的受保護數據后，在執行粘貼操作時，客戶端對數據粘貼的位置進行判斷，通過策略靈活配置是否允許使用剪切板功能，不影響個人應用的正常使用。

網絡隔離：安全沙箱客戶端對PC上所有應用軟件的網絡請求進行攔截過濾，最終將符合訪問策略的流量通過客戶端轉發至安全網關，強制只允許沙箱應用訪問企業內網系統，避免個人應用通過網絡獲取企業數據。

加密存儲：所有寫入安全沙箱數據的操作都會經過加密模塊加密處理再到安全沙箱路徑的磁盤，實現文件自動加密存儲在沙箱環境。

單點登錄：聯軟SDP登錄放置于現有OA系統中，實現單點登錄門戶，提供靈活便捷多因素認證方式，保障安全又注重體驗。

為確保在有限的時間內更好的完成項目部署，團隊基于總體規劃、整體設計和分步實施的指導原則，特別制定施工進度計劃，保障工作能合理快速的推進，并針對可能存在的風險制定相應的規避措施和應對方法。

該企業通過對上海地區上千點終端部署SDP客戶端，運用動態的細粒度訪問控制技術、網關隱身單包授權協議、可靠的終端安全沙箱功能，水印追溯，模塊化的平臺架構和開放的生態合作體系，實現用戶動態按需授權訪問，為企業打造統一的終端安全管理中心、統一的安全策略管理中心、統一的應用系統發布中心、統一的端管云安全運維中心。

方案保障了該企業遠程辦公、分支機構訪問總部業務、“一機多用”場景、多云/多數據中心訪問、“內外網”終端統一管理等多個場景下的業務安全，隱藏真實地址與端口，縮小暴露面，解決業務系統在外網暴露的風險，相較于傳統的VPN訪問模式，該方案在收回外網的權限過程中，能對客戶的數據做到隔離和控制，有效避免敏感信息泄漏。

此外，項目采用輕量級解決方案，不改變用戶使用習慣，不影響沙箱外其它應用的正常使用，同時可兼容常見主流應用軟件，包括安卓、鴻蒙、UOS、麒麟等主流國產或非國產操作系統，在確保數據安全的前提下，為用戶提供極致的體驗。

作為中國企業端點安全領導者，國內率先落地基于“零信任安全”產品的廠商之一，聯軟SDP經過了行業和客戶的實踐，在政府、制造、金融、醫療、能源等行業廣泛落地應用，解決跨網攻擊、數據泄露等安全隱患。未來，聯軟科技將持續深耕零信任網絡安全技術的研發與創新，以全網零信任重塑網絡安全邊界，助力更多政企用戶數字化轉型。