*原文(wén)來源于：廣州銀行信用卡中(zhōng)心落地零信任的經驗分享

《廣州銀行信用卡中(zhōng)心業(yè)務高韌性發展，背後的安全密碼》

“電銷同事們都不能入場辦公了，業(yè)務該如(rú)何正常開展？”

面對區域臨時管控措施，廣州銀行信用卡中(zhōng)心迅速開展行動(dòng)。在不改變現有的網絡架構和(hé)業(yè)務架構的模式下(xià)，當天即上線基于零信任架構的安全遠(yuǎn)程辦公空間。

短(duǎn)短(duǎn)2天，這套方案覆蓋

2000多中(zhōng)後台業(yè)務人員，

1000多外呼和(hé)電銷坐(zuò)席規模，

催收遠(yuǎn)程外呼産能均超92%，

電營遠(yuǎn)程外呼各業(yè)務項目産能從74%提升到91%。

在常态化遠(yuǎn)程辦公期間，業(yè)務部門主動(dòng)反饋：

中(zhōng)後台的審批效率提升100%，

使用體驗媲美現場辦公。

這一幕幕正在向更多組織單位表明：

常态化遠(yuǎn)程辦公安全與業(yè)務高韌性發展，

早就不是二選一的關(guān)系。

“兩手抓”的背後，是廣州銀行卡中(zhōng)心攜手深信服，落地了一套創新前沿、簡單有效的零信任遠(yuǎn)程辦公安全方案，确保了業(yè)務一刻未停擺，挽回經濟利益超15億，以科技賦能業(yè)務價值。

數字化轉型背景下(xià)

辦公安全建設迫在眉睫

廣州銀行總行以數字化發展戰略為引領，在2018年就确立了“金融科技賦能”的核心理念。卡中(zhōng)心在數字化轉型探索實踐中(zhōng)，對内加大資(zī)源投入力度，不斷在技術(shù)應用方面強化保障和(hé)尋求科技賦能。

當前遠(yuǎn)程辦公已經内化為企業(yè)辦公的常态模式，電銷、催收業(yè)務對效能的訴求日益增長，擺在廣州銀行卡中(zhōng)心面前的難關(guān)是：如(rú)何通(tōng)過新技術(shù)突破，保障安全辦公與便捷體驗，實現業(yè)務高韌性發展？

呼叫業(yè)務場景複雜

遠(yuǎn)程辦公安全挑戰重重

廣州銀行卡中(zhōng)心深入梳理了遠(yuǎn)程辦公安全面臨的挑戰：

1. 大量呼叫業(yè)務遠(yuǎn)程質量差。

呼叫業(yè)務場景下(xià)主要為UDP包，在遠(yuǎn)程場景下(xià)，傳統技術(shù)難以保障外呼業(yè)務整體質量與流暢性。

2. 業(yè)務暴露面大。

安全邊界被打破，常規VPN 接入手段需要将業(yè)務系統直接發布在互聯網上，業(yè)務暴露面過大、安全隐患高。

3.遠(yuǎn)程環境下(xià)缺乏對終端基線的檢測。

一線員工統一配備PC端，但離(lí)網場景下(xià)難以管控每一台終端的防病毒軟件、補丁情況，無法保證接入行内的終端安全性。

4. 遠(yuǎn)程接入場景數據易洩露。

在傳統遠(yuǎn)程接入手段下(xià)，數據在終端有沒有被違規使用或洩露完全不可(kě)管控，很難保證數據安全。

5. 呼叫業(yè)務數據異構。

卡中(zhōng)心現有催收、電銷、客服三條呼叫業(yè)務，三大條線技術(shù)異構模式并發總數高達1000多坐(zuò)席量，業(yè)務量龐大，包括常規業(yè)務發卡、賬單分期、業(yè)務咨詢、保險、訴訟等，複雜度可(kě)想而知。在遠(yuǎn)程接入的模式下(xià)，不僅要保證承載瓶頸和(hé)通(tōng)話質量，還要統一接入管理，特别是如(rú)何在兼容異構下(xià)，保障呼叫平台和(hé)各平台對于請求和(hé)回包的質量。

跨越技術(shù)難關(guān)

如(rú)何實現簡單有效落地？

經前期充分調研與準備，廣州銀行信用卡中(zhōng)心選擇與深信服共同打磨有效落地方案：構建一套基于零信任架構和(hé)沙箱模式的遠(yuǎn)程辦公安全解決方案。

這套方案融合SDP軟件定義邊界和(hé)終端數據安全沙箱，基于豐富的認證手段與持續檢測終端安全基線，将終端劃分不同的工作空間，利用網關(guān)和(hé)控制中(zhōng)心實現強認證以及數據不落地。在充分保障員工遠(yuǎn)程辦公體驗同時，滿足遠(yuǎn)程接入安全和(hé)數據安全。

盡管零信任相關(guān)理念已發展多年，據Gartner研究，目前僅有不到1%的大企業(yè)真正實現了成熟的、可(kě)衡量的零信任計劃。原因在于，零信任落地既要基于現有網絡架構平滑升級，保障簡單有效，又要不影響每一位員工的辦公體驗，需要跨越重重難關(guān)。

為了攻克難關(guān)，卡中(zhōng)心從中(zhōng)後台業(yè)務到一線業(yè)務的對接調研、壓力測試驗證，優化軟電話模式，最終在外呼和(hé)電銷業(yè)務上逐步實現了零信任的有效落地：

1. 收斂暴露面。基于零信任aTrust的SPA單包授權技術(shù)實現業(yè)務隐身，為每一個(gè)合法用戶分發SPA安全碼，通(tōng)過“一人一碼”機制實現SPA的順利推廣，有效收斂了電銷、外呼業(yè)務在遠(yuǎn)程訪問(wèn)場景下(xià)的互聯網暴露面，大大降低安全隐患。

2. 基于認證場景的雙因素認證。如(rú)首次登錄、新終端登錄、閑置賬号登錄等場景，針對後台高敏業(yè)務實現按需的雙因素增強認證，在确保使用體驗的前提下(xià)最大限度保障安全性。

3. 增加終端認證。催收和(hé)電銷業(yè)務的員工統一使用行業(yè)派發的終端，通(tōng)過零信任aTrust的終端管理能力，統一收集終端信息，為每一個(gè)終端生成唯一的終端硬件特征碼（設備指紋），建立授信終端庫，實現基于終端的認證，避免非授權終端的随意接入，同時通(tōng)過授信終端免二次認證等簡化合法終端的認證流程。

4. 提升訪問(wèn)可(kě)靠性。三大呼叫業(yè)務架構框架采用的呼叫線路(lù)各異，有SIP線路(lù)又有E1線路(lù)，涵蓋三大運營商(shāng)，呼叫平台還存在老舊共用以及傳輸協議不一緻等問(wèn)題。對于前端的接入，除了考慮請求接入質量，還要做好回包鍊路(lù)的質量和(hé)運營商(shāng)鍊路(lù)分發。方案充分考慮呼叫業(yè)務的流量特征，通(tōng)過底層隧道技術(shù)的優化，實現對UDP、SIP協議的适配和(hé)流量轉發，轉發模式下(xià)統一網關(guān)接管了前端入口，在呼叫小包傳輸效率等方面均有一定提升，保障了外呼業(yè)務跨互聯網遠(yuǎn)程訪問(wèn)的可(kě)靠性與流暢度。

5. 建立業(yè)務訪問(wèn)的安全基線，實現動(dòng)态訪問(wèn)控制。在員工訪問(wèn)業(yè)務的過程中(zhōng)，通(tōng)過零信任aTrust建立安全基線，實時觀測終端環境變化、訪問(wèn)行為變化，如(rú)終端安全軟件的運行狀态、系統補丁更新情況、訪問(wèn)業(yè)務的進程情況等，一旦觸發安全基線處置條件，即可(kě)實現對應處置如(rú)禁止訪問(wèn)、注銷登錄或凍結賬号等，确保業(yè)務訪問(wèn)過程的安全性。

6. 實現終端數據保護。通(tōng)過零信任aTrust的終端數據安全沙箱技術(shù)，在終端構建安全隔離(lí)的工作空間，實現對終端數據的加密、隔離(lí)、防外發、防截屏錄屏等數據洩密防護，同時不犧牲用戶體驗，沙箱以懸浮窗的方式嵌入到現有桌面，極大提高了中(zhōng)後台交流效率。

落地有聲

賦能業(yè)務高韌性發展

持續優化

安全體驗與效果再進一步

為持續探索數字化轉型發展，廣州銀行信用卡中(zhōng)心将繼續優化遠(yuǎn)程辦公的管理、流程機制，順應金融監管合規發展，保障員工便捷辦公體驗。

零信任安全建設無法一蹴而就，需要統一規劃、分步落地。未來，廣州銀行卡中(zhōng)心還将利用該方案優異的擴展性，推進内網辦公安全建設，提供内外網一緻的訪問(wèn)體驗，解決内網權限管控腐化等問(wèn)題，實現基于身份的訪問(wèn)控制和(hé)動(dòng)态評估，讓安全體驗與效果往前再邁進一步。