*原文來源于：廣州銀行信用卡中心落地(dì)零信任的(de)經驗分享

《廣州銀行信用卡中心業務高(gāo)韌性發展，背後的(de)安全密碼》

“電銷同事們都不能入場辦公了，業務該如(rú)何正常開展？”

面對區域臨時管控措施，廣州銀行信用卡中心迅速開展行動。在不改變現有的(de)網絡架構和(hé)業務架構的(de)模式下，當天即上線基于零信任架構的(de)安全遠程辦公空間。

短(duǎn)短(duǎn)2天，這套方案覆蓋

2000多中後台業務人員，

1000多外呼和(hé)電銷坐席規模，

催收遠程外呼産能均超92%，

電營遠程外呼各業務項目産能從74%提升到91%。

在常态化遠程辦公期間，業務部門主動反饋：

中後台的(de)審批效率提升100%，

使用體驗媲美現場辦公。

這一(yī)幕幕正在向更多組織單位表明：

常态化遠程辦公安全與業務高(gāo)韌性發展，

早就不是二選一(yī)的(de)關系。

“兩手抓”的(de)背後，是廣州銀行卡中心攜手深信服，落地(dì)了一(yī)套創新前沿、簡單有效的(de)零信任遠程辦公安全方案，确保了業務一(yī)刻未停擺，挽回經濟利益超15億，以科技賦能業務價值。

數字化轉型背景下

辦公安全建設迫在眉睫

廣州銀行總行以數字化發展戰略為(wèi)引領，在2018年(nián)就确立了“金融科技賦能”的(de)核心理(lǐ)念。卡中心在數字化轉型探索實踐中，對內(nèi)加大資源投入力度，不斷在技術應用方面強化保障和(hé)尋求科技賦能。

當前遠程辦公已經內(nèi)化為(wèi)企業辦公的(de)常态模式，電銷、催收業務對效能的(de)訴求日益增長(cháng)，擺在廣州銀行卡中心面前的(de)難關是：如(rú)何通過新技術突破，保障安全辦公與便捷體驗，實現業務高(gāo)韌性發展？

呼叫業務場景複雜

遠程辦公安全挑戰重重

廣州銀行卡中心深入梳理(lǐ)了遠程辦公安全面臨的(de)挑戰：

1. 大量呼叫業務遠程質量差。

呼叫業務場景下主要為(wèi)UDP包，在遠程場景下，傳統技術難以保障外呼業務整體質量與流暢性。

2. 業務暴露面大。

安全邊界被打破，常規VPN 接入手段需要将業務系統直接發布在互聯網上，業務暴露面過大、安全隐患高(gāo)。

3.遠程環境下缺乏對終端基線的(de)檢測。

一(yī)線員工統一(yī)配備PC端，但離(lí)網場景下難以管控每一(yī)台終端的(de)防病毒軟件、補丁情況，無法保證接入行內(nèi)的(de)終端安全性。

4. 遠程接入場景數據易洩露。

在傳統遠程接入手段下，數據在終端有沒有被違規使用或洩露完全不可(kě)管控，很難保證數據安全。

5. 呼叫業務數據異構。

卡中心現有催收、電銷、客服三條呼叫業務，三大條線技術異構模式并發總數高(gāo)達1000多坐席量，業務量龐大，包括常規業務發卡、賬單分期、業務咨詢、保險、訴訟等，複雜度可(kě)想而知。在遠程接入的(de)模式下，不僅要保證承載瓶頸和(hé)通話質量，還要統一(yī)接入管理(lǐ)，特别是如(rú)何在兼容異構下，保障呼叫平台和(hé)各平台對于請求和(hé)回包的(de)質量。

跨越技術難關

如(rú)何實現簡單有效落地(dì)？

經前期充分調研與準備，廣州銀行信用卡中心選擇與深信服共同打磨有效落地(dì)方案：構建一(yī)套基于零信任架構和(hé)沙箱模式的(de)遠程辦公安全解決方案。

這套方案融合SDP軟件定義邊界和(hé)終端數據安全沙箱，基于豐富的(de)認證手段與持續檢測終端安全基線，将終端劃分不同的(de)工作空間，利用網關和(hé)控制中心實現強認證以及數據不落地(dì)。在充分保障員工遠程辦公體驗同時，滿足遠程接入安全和(hé)數據安全。

盡管零信任相關理(lǐ)念已發展多年(nián)，據Gartner研究，目前僅有不到1%的(de)大企業真正實現了成熟的(de)、可(kě)衡量的(de)零信任計劃。原因在于，零信任落地(dì)既要基于現有網絡架構平滑升級，保障簡單有效，又要不影響每一(yī)位員工的(de)辦公體驗，需要跨越重重難關。

為(wèi)了攻克難關，卡中心從中後台業務到一(yī)線業務的(de)對接調研、壓力測試驗證，優化軟電話模式，最終在外呼和(hé)電銷業務上逐步實現了零信任的(de)有效落地(dì)：

1. 收斂暴露面。基于零信任aTrust的(de)SPA單包授權技術實現業務隐身，為(wèi)每一(yī)個合法用戶分發SPA安全碼，通過“一(yī)人一(yī)碼”機制實現SPA的(de)順利推廣，有效收斂了電銷、外呼業務在遠程訪問場景下的(de)互聯網暴露面，大大降低(dī)安全隐患。

2. 基于認證場景的(de)雙因素認證。如(rú)首次登錄、新終端登錄、閑置賬号登錄等場景，針對後台高(gāo)敏業務實現按需的(de)雙因素增強認證，在确保使用體驗的(de)前提下最大限度保障安全性。

3. 增加終端認證。催收和(hé)電銷業務的(de)員工統一(yī)使用行業派發的(de)終端，通過零信任aTrust的(de)終端管理(lǐ)能力，統一(yī)收集終端信息，為(wèi)每一(yī)個終端生成唯一(yī)的(de)終端硬件特征碼（設備指紋），建立授信終端庫，實現基于終端的(de)認證，避免非授權終端的(de)随意接入，同時通過授信終端免二次認證等簡化合法終端的(de)認證流程。

4. 提升訪問可(kě)靠性。三大呼叫業務架構框架采用的(de)呼叫線路各異，有SIP線路又有E1線路，涵蓋三大運營商，呼叫平台還存在老舊(jiù)共用以及傳輸協議不一(yī)緻等問題。對于前端的(de)接入，除了考慮請求接入質量，還要做(zuò)好回包鏈路的(de)質量和(hé)運營商鏈路分發。方案充分考慮呼叫業務的(de)流量特征，通過底層隧道(dào)技術的(de)優化，實現對UDP、SIP協議的(de)适配和(hé)流量轉發，轉發模式下統一(yī)網關接管了前端入口，在呼叫小包傳輸效率等方面均有一(yī)定提升，保障了外呼業務跨互聯網遠程訪問的(de)可(kě)靠性與流暢度。

5. 建立業務訪問的(de)安全基線，實現動态訪問控制。在員工訪問業務的(de)過程中，通過零信任aTrust建立安全基線，實時觀測終端環境變化、訪問行為(wèi)變化，如(rú)終端安全軟件的(de)運行狀态、系統補丁更新情況、訪問業務的(de)進程情況等，一(yī)旦觸發安全基線處置條件，即可(kě)實現對應處置如(rú)禁止訪問、注銷登錄或凍結賬号等，确保業務訪問過程的(de)安全性。

6. 實現終端數據保護。通過零信任aTrust的(de)終端數據安全沙箱技術，在終端構建安全隔離(lí)的(de)工作空間，實現對終端數據的(de)加密、隔離(lí)、防外發、防截屏錄屏等數據洩密防護，同時不犧牲用戶體驗，沙箱以懸浮窗的(de)方式嵌入到現有桌面，極大提高(gāo)了中後台交流效率。

落地(dì)有聲

賦能業務高(gāo)韌性發展

持續優化

安全體驗與效果再進一(yī)步

為(wèi)持續探索數字化轉型發展，廣州銀行信用卡中心将繼續優化遠程辦公的(de)管理(lǐ)、流程機制，順應金融監管合規發展，保障員工便捷辦公體驗。

零信任安全建設無法一(yī)蹴而就，需要統一(yī)規劃、分步落地(dì)。未來，廣州銀行卡中心還将利用該方案優異的(de)擴展性，推進內(nèi)網辦公安全建設，提供內(nèi)外網一(yī)緻的(de)訪問體驗，解決內(nèi)網權限管控腐化等問題，實現基于身份的(de)訪問控制和(hé)動态評估，讓安全體驗與效果往前再邁進一(yī)步。