随着移动办公与多云业务兴起,企业数字化办公面临新挑战,包括:远程办公、办公网动态准入、多云业务接入、终端管理与安全合规、办公网零信任等,飞连在相关场景均有应用。
远程办公 #
飞连具备虚拟专用网络(VPN)模块与身份认证、基线检查、病毒查杀等办公安全能力,帮助企业构建更安全、稳定、便捷的无界办公新模式,保障内网数据对外安全发布并实现业务数据的加密传输。
虚拟专用网络(VPN)模块采用多节点底层架构并支持TCP/UDP双协议,员工只需一键开启即可默认连接当前最为畅通的网络节点;管理员可根据业务需求为节点配置差异化的网络资源,从而实现基于身份的精细化网络资源授权。无总控节点的分布式部署模式,使虚拟专用网络(VPN)突破性能瓶颈,可达到更快部署速度并随业务无缝拓展,免除基于办公区硬件的繁琐配置。
针对远程办公场景下的安全诉求,飞连帮助企业集中管理入网终端,同时具备基线检查、病毒查杀、数据防泄漏等终端安全检测项,还能与VPN权限管理、账号登录状态、通知告警等方式联动处置,实现更灵活、更高效的安全处置方式。管理员可定制化配置企业的动态访问控制策略,确保内网业务资源的安全受控访问,收缩暴露面。
此外,由于远程办公场景下 IT 支持会因地理距离增加而降低服务效率,飞连还加强了客户端 IT 能力,包括网络诊断、DNS重置、帮助中心、一键反馈、一键 Oncall 等服务项提升了 IT 排障能力。
多云业务访问 #
随着业务不断发展,越来越多的企业开始面临多云、多数据中心业务访问需求,传统的内网访问方案需要员工重新登录客户端,以登录分布于多节点上的业务资源,这大大降低了业务效率与员工体验。
针对公有云、私有云、混合云、自建机房等多环境部署需求,飞连可提供一体化 Server 管理控台、RADIUS 扩展节点、VPN 扩展节点、存储节点等多种交付形态,以满足相关组件的高可用和多地用户接入需求。如针对游戏行业全球化的业务接入访问模式与集中管理的运维需求,企业可相应在公司总部部署飞连 Server 节点集中管理,在各接入地区部署独立的 VPN 节点实现资源扩张。根据各业务区的服务内容,各飞连 VPN 节点也可提供独立的业务发布能力,始终保障当地员工和合作方的最佳接入体验。
与其他方案相比,飞连具备建设成本低、方案简洁,既无需额外采购硬件设备,也无需重构网络架构的优势。
办公网准入 #
基于独立的 RADIUS 节点扩展能力,飞连支持对接多职场有线与无线准入认证,并提供集中的策略配置与管理能力。
针对员工入网,提供基于 802.1x 的二层认证方案,避免传统局域网接入场景下的横向威胁扩散风险,并支持基于动态 VLAN 权限管控联动网络设备实时调整员工网络权限,实时缩小风险暴露面,提供基于业务安全视角下的动态控制能力;针对摄像头、打印机等日益增长的哑终端设备,提供基于 MAC 地址的安全接入与管理能力,避免未注册危险终端接入企业内网造成信息泄露;针对访客认证,提供基于 Portal 的三层认证方案,并联动网络设备动态调整访客入网 VLAN,有效限制访客入网权限,降低外部人员违规入网风险。
飞连基于传统 802.1x 准入方案的基础上额外提供持续的终端安全检测能力,能够持续洞察终端及用户的行为风险,在相关用户的业务访问过程中及时收缩网络权限,从而针对性提升目标业务的数据安全。同时,基于一体化产品架构,飞连客户端自身融合病毒检测、敏感数据检测能力,无需额外对接第三方杀软或桌管软件,检测更全面,运维更高效。
访问权限控制 #
围绕无界办公模式下的业务资源访问方式,飞连以身份为中心,帮助企业重塑精细化的动态资源授权模型,包含VPN、Wi-Fi、有线在内的网络资源以及内网业务系统、公网资源等在内的业务资源,均能实现统一管理与分级保护。
为提升业务访问安全性,飞连在每一次访问过程中均默认执行身份认证与全面的终端安全检测,当访问环境的安全状态不符合要求时,则降级或禁止本次访问,通过动态访问控制确保业务安全;此外,与传统安全手段常降低员工办公体验不同,飞连以资源连通性为第一优先,把单点登录SSO、企业门户作为支点,通过“All in One”一体化平台最大化校准安全评估、复用实时结果,巧妙地在安全与效率间取得平衡,最终实现更安全、便捷、高效的“无密码”办公全新体验。
数据防泄漏 #
企业数据与员工个人隐私应当具备明确且清晰的分界线,针对公司设备与公司数据资产,飞连可实现事前敏感数据定义与识别、事中敏感数据流转跟踪,以及事后泄露溯源取证的全流程企业数据安全保护,解决客户隐私数据泄露、企业财务信息泄露、代码和技术文档泄露等办公环境下数据泄露问题。
飞连能够对敏感数据进行覆盖来源判断、流转审计、外发监测的全生命周期追踪。产品支持数百种敏感数据识别字段及自定义正则表达式,帮助企业轻松识别财务数据、员工数据、商业策划等敏感业务信息,并将其划分为高中低等级,为敏感行为判断做基础。在此基础上,管理员可基于文件或终端视角构建敏感数据资产视图,这样一方面在日常审计中,能够定位敏感资产是否符合对应的知悉范围,是否在可控可管理的范畴进行流转;另一方面当数据可能存在泄露风险时,能够快速清理终端上遗留的敏感文件,防患于未然。
对于外发方式,可覆盖U盘、移动硬盘等存储外设,以及IM软件、网盘等常见办公应用,提供文件存档、屏幕截图、明/暗水印等多样取证方式。
办公网零信任建设 #
零信任的核心理念是“持续评估、永不信任”,飞连能够在不可信的网络环境下,以逻辑身份为基础,通过动态访问控制技术确保对应用、接口、数据的最小权限访问,帮助企业完成办公网零信任安全建设。
首先实现控制面与数据面的分离。在用户的整个访问过程中,飞连 Server 不参与数据转发流程,仅负责接入用户与终端的身份校验与权限策略判定,并将策略下发给 VPN 网关和 RADIUS 节点执行。飞连默认不对外开放任何业务端口,用户需通过访问特定的飞连敲门链接后才能够正常访问飞连门户端口,完成身份认证与客户端上线,否则无法访问飞连平台的任何业务端口,有效减少外部攻击风险。
飞连客户端持续采集用户接入终端的环境安全信息,并根据管理员预设的安全基线实时匹配校验,根据评估结果动态调整用户联网、应用访问权限,结合动态 VLAN 能力实现细粒度的办公网动态访问控制。
以“轻量化”为亮点能力,飞连在尽可能保留客户现有网络架构的情况下补充零信任范畴内的“多源信任评估”、“持续检测”等核心能力,有效规避传统方案下的高性能压力与单点风险,最终以更加简洁轻量的方式帮助企业构建内外网一体化的零信任安全接入方案。
