暴露面收敛：信任从零开始

最小化授权：通过权限治理轻松实现最小化按需授权

安全信任评估 - 全网统一的可信身份

安全信任评估-丰富的身份对接和认证支持

安全信任评估-自适应多因素认证

中国核工业集团有限公司由100多家企事业单位和科研院所组成，现有员工多达近10万人，中核集团大力发展核技术应用产业拓展了核技术在医疗、生物、农业、环保等多领域的应用，业务安全成为集团的关键要务之一，面临的主要诉求包括：统一高效管理：集团内部人员数量巨大，业务系统繁多，账号体系混乱，缺乏统一的账号管理和业务访问权限控制。收敛业务暴露面：集团业务部署涉及到公有云和私有云，多云混合接入，业务安全的暴露面收敛急需切实有效的防护方案。追求技术的先进性和有效性：集团对新技术具有极强的敏感性，积极推进基于零信任技术进行创新课题申报以及试点，布局探索零信任在集团全面落地的可行性方案。做到全面动态的安全防御：集团需要通过UEBA联动，能够做到实时对业务、终端、人员等操作行为进行检测，对安全风险零容忍，需要确保风险发现的及时性和阻断的有效性。

依托iOA全功能，对接IAM统一身份认证系统，实现账号统一治理和身份信息全生命周期的管理。联动腾讯SOC，基于UEBA大数据行为检测分析用户异常行为和流量，对于异常用户基于iOA联动阻断。包含模块：终端管理、病毒查杀、漏洞防御、NGN。

提供对全集团账号全生命周期的统一管理，针对员工入职、离职，能快速开通、回收相关账号，提升管理效率。iOA实现了集团内外，多云业务的统一办公网络，员工可在任意地理位置、任意网络位置、使用任意终端在经过严格的可信授权后接入集团网络，访问业务，随时随地开展工作，实现办公效率和办公安全两手抓两手都要硬。风险联动处置，可快速发现异常用户、异常终端、异常访问行为，快速响应，精准处置，做到风险的全局可视化。

面对IT数字化转型和信息化的安全建设，中金公司迫切需要提升办公安全性和办公效率，其核心诉求涉及以下多个方面：远程办公方面：由于当前采用的是VPN方案，需要一种方案能有效替换并解决VPN的远程卡顿、延迟以及VPN面临的安全漏洞问题。办公安全方面：中间公司的终端安全软件采用的是国外的Symantec，在其停止服务，终端安全防护急需有力替补并满足合规性。办公效率方面：业务访问存在内网访问外网时需要频繁切换上网代理服务器，并且内部业务繁多，为每日员工的办公体验带来极大的不便，急需一种兼顾安全性和办公体验的安全办公软件。

采用零信任iOA全功能模块，保障员工在内网办公或远程办公场景下的安全性、办公效率和使用体验，其中以iOA杀毒管控模块实现Symantec的强力替换，安全合规数据作为零信任访问引擎的决策数据源，全面动态判断访问的可信状态，以一个客户端软件解决了之前多个客户端才能达到的安全防护。包含模块：终端杀毒、漏洞修复、终端管控、零信任接入、网络准入。

通过iOA界面定制化功能，iOA成为公司办公的门面，也是企业数字化转型的重要标志和成果。在iOA客户端上内置网盘按钮以及其他业务的跳转按钮。成为办公的统一入口。全员使用iOA远程办公，提升远程办公的体验。使用软件管家功能进行软件的推广，提升软件部署效率及优化运维体验。

华润（集团）有限公司主营业务包括消费品制造与分销、地产及相关行业、基础设施及公用事业三块领域，华润集团下设7大战略业务单元，17家一级利润中心，在香港拥有6家上市公司，在内地有6家上市公司，有实体企业2,300多家，在职员工40万人。在信息化建设的历程中，华润集团面临的巨大挑战包括：终端缺乏安全统一防护：在攻防演练中，暴露出集团终端安全短板，亟需加强终端安全能力建设。孤岛式安全建设：集团下属各个BU,终端安全建设割裂，建设现状参差不齐，安全策略缺乏统一管理，各自为政，极易被单点突破，以点带面，带来极大安全风险。业务繁杂，缺乏顶层安全设计：集团下属BU各自建设VPN,对外发布业务混乱，内网对外暴露面太多，安全风险大。适用于全集团的安全方案：集团各BU的业务必然有自身的特性，也有自身办公使用场景，所以如何根据自身特性打造安全方案，长期持续演进，确保安全基建的常态化和有效性是集团和核心关切。

腾讯与华润成立联合安全实验室，联合开发适用于国央企集团的零信任产品。通过一体化安全客户端的建设思路，对下属BU现有终端安全产品做统一管理，做到整体安全管理一盘棋，提升安全性。包含模块：安全防护、补丁管理、安全管控、零信任接入、信创适配

腾讯与华润成立网络安全联合实验室，为集团的长期安全建设提供的先进性和有效性保障。通过iOA纳管下属BU的终端安全产品，作为统一入口，最终达成一体化安全管控效果，提升用户体验、降低运维复杂性。通过部署腾讯iOA与华润四慧平台以及证书认证体系对接，实现对于软件正版化的管控以及全集团的职场漫游，规避知识产权风险与提升办公效率。

加快数字人社建设是数字政府建设的重要组成部分，江苏人力资源和社会保障厅聚焦企业和群众办事堵点、痛点和盲点，通过培优多元人才，优化窗口布局，“打包”一件事，以数字赋能服务转型、效能提升，全力打通服务群众“最后一公里”。在数字化建设过程中，江苏人社仍面临一些关键问题，其中包括：风险响应和恢复的及时性和有效性：江苏人社和大部分的政企机构一样除了采购IT产品之外，还会采用驻场方式来保障系统的运营安全和信息安全。但不管是软件还是硬件，总有出故障、出问题的时候，如何能快速定位问题，响应恢复，将人社业务影响降至最低，是人社最核心的诉求。远程运维是现场运维的有力补充：江苏人社一直在考虑有没有一种解决方案既能实现快速运维，又必须是安全的。随着2020年疫情突然来袭，超过30家供应商及合作伙伴无法入场提供运维支撑，解决快速运维和安全问题迫在眉睫。 江苏人社迫切需要解决远程安全运维的安全性和有效性。

iOA对接了后台超过100个运维平台及堡垒机。实现不同平台与账号角色的对应访问关系。支持SSO登录及双因子认证服务，远程过程中的流量全程加密，并提供根据远程运维需求弹性扩容。包含模块：安全防护、补丁管理、安全管控、零信任接入。

iOA提供了一个非常快速便捷的访问内网的通道，通过双因子认证保障从互联网到内网的访问安全，这个便捷的通道有效实现了应急的故障处理。对于一线运维人员来说，半夜从床上爬起来跑客户现场也许不再是家常便饭了。大家远程在家里面也可以登陆到现场环境，跳到生产系统、堡垒机，远程拉起各方资源，远程解决问题，在保障问题及时响应处置的同时极大的减轻了运维以及开发工作人员的困扰。

1、解决资产对外暴露，内网资产直接暴露 在公网的问题。2、解决外网病毒肆虐的问题。3、传统远程办公风险太高，VPN稳定性不足，访问控制策略混乱。

取消VPN，个人在家电脑无法接⼊公司网络。有需要在家的场景需携带办公笔记本也可以提供云桌面或者申请电脑。对于未安装零信任客户端的⽤户资产隐身，减少资产暴露面。沿用安全中心策略，不同员工不同系统访问权限。和集团现有安全软件配合，要求所有终端必须安全 该软件才可以访问业务系统。

办公必须使⽤公司电脑，账号和终端绑定，内部员工无法泄露账户密码给外部⼈员。杜绝家庭电脑办公获取公司数据。回收内部业务系统外网访问权限，杜绝外部攻击及数 据泄露。员工内外网权限⼀直，访问体验更优。用户最小化权限访问，缩减业务暴露⾯。

客户需求
1、中国银行客户客户已使用企业微信, 希望通过企业微信控制台对外提供部分 应用服务。2、客户缺乏移动端办公接入方式，希 望通过现用企业微信实现移动端内网业 务系统的安全访问。

解决方案
1、企业应用通过零信任智能网关对外提供应用服务，避免应用直接暴露在公网上； 2、企业微信工作台与零信任网关打通，完成身份信息同步与业务访问。3、通过企业微信工作台打造安全的移动 办公平台。

方案价值
1、企业业务系统对外提供服务的同时不直 接暴露在公网，减少攻击面；2、实现了基于企业微信工作台的移动安全 办公平台；3、零信任网关还可以为客户提供水印、脱敏等安全功能。