低本高效实现企业异地协同办公，蒲公英零信任智慧网络方案

近期，“3+2”混合办公概念的火热以及远程办公受到热捧，异地协同办公这一概念也逐渐深入人心，不少企业开始积极拥抱这一模式。

实话实说，异地协同办公这一模式我们并不陌生，最初多用于企业异地管理分支机构，对于具备一定规模的企业在管理上起到了不错的赋能作用，如今天这样热度高涨的最主要原因在于两点：我国数字经济的不断高质量发展，以及疫情因素催生了更多的需求。

两大原因促成远程协同办公市场火爆

首先在产业大环境方面，我国2020年数字经济规模就已达41.4万亿元，占GDP比重高达38.6%，2021年则进一步增长至47.6万亿元，是经济发展的重要支柱。

数据来源：艾媒数据中心

承载数字经济规模快速增长的是企业的数字化转型大潮，在这一浪潮下软件行业亦得到了稳固且快速发展，软件业务收入增长率常年维持在12%以上，这毫无疑问为远程协同办公的快速发展打下了坚实的基础。

数据来源：工信部、艾媒数据中心

另一方面，疫情的突发催生了大量的远程办公需求，除了个人寻找远程办公手段应急之外，企业也纷纷将远程办公方案的部署纳入日程，以备不时之需。

其造成的客观结果就是，远程协同办公这一手段充分下沉：本来大部分企业只将远程协同办公部署到分支机构这一层级，或者只需要覆盖有特殊需求的岗位（比如远程运维），而现在需要更加精细的部署到具体的每个人；同理，广大中小企业也希望能够以员工为单位部署相对专业的远程办公方案，在方案足够具有性价比的前提下。

上述两方因素形成合力，便有了如今远程协同办公市场的火爆。据艾媒数据中心的统计和预测，2021年中国协同办公市场规模已达264.2亿元，预计在未来两年仍将保持10%以上的增长率，至2023年市场规模达330.1亿元。

数据来源：艾媒数据中心；年份+E表示预测

智能组网成为企业重要选择

强势的市场表现催生出许多具体的远程协同办公解决方案，其中个人可能更倾向于简单易用的方案，比如共享文档、个人版的远程控制服务等；而作为企业，在方案的选择时则更需要考虑到多方面：方案的成本，部署的难易度，以及个人往往不敏感但对企业却是生命线的网络信息安全。

综合上述考虑，许多企业管理者最终会选择一个整体的远程组网访问网络框架作为远程协同办公的基础。该框架需要承载企业对内的业务管理系统，通过智能组网（组建虚拟局域网）的方式让员工可以便捷、高效的使用个人设备异地访问这些系统并开展业务，同时保证业务流转在一个安全的网络环境下进行。

图：虚拟局域网框架梗概

贝锐旗下蒲公英智慧网络解决方案就是其中的代表，接下来，我们就来具体解析一下贝锐蒲公英推出的这款纯软件组网解决方案，他在核心组网功能的基础上，通过引入零信任架构充分满足企业实现异地访问过程中日益增长的安全需求，形成了包括组网、身份认证。统一管理、告警与审计的整体企业远程访问解决方案。

图：蒲公英智慧网络解决方案功能矩阵

蒲公英智慧网络：安全、高效的企业智慧网络解决方案

前文提到过，企业在选择远程协同办公方案时，往往会考虑包括成本、部署难易度、安全等因素，蒲公英智慧网络解决方案（下简称“蒲公英方案”）就针对这三点为企业提供了一个成熟专业的异地办公网络搭建方案。

首先在成本和部署方面，蒲公英智慧网络解决方案作为一个纯软件解决方案，在成本和部署上具备天然的优势，我们无需花费高昂的代价去部署专线网络；在公网IP资源依然相对紧缺的今天，我们只需要安装对应的软件并进行简单的设置即可构建好整个虚拟局域网络，实现基于远程协同办公需求的网络互联互通，而且该方案的部署不会改变企业原有的网络IT结构，这一特性让“多一事不如少一事”的企业IT管理者来说是巨大的福音。

此外，蒲公英方案支持第三方数据的接入，比如企业原本使用的IM通讯录数据等就可以实时同步整合进入整体的网络框架，进一步提升管理的便利性。

引入“零信任”框架，构建更安全的远程协同办公网络

面对日益严峻的企业网络信息安全挑战，蒲公英智慧网络解决方案引入了先进的“零信任”架构，大幅提升了企业在构建远程办公网络时的安全性。

在具体解析蒲公英方案零信任的相关内容之前，我们需要先简单了解一下何谓“零信任”。

在传统的网络安全体系中，安全的边界是相对固定的，而对于企业来说，这一边界的内侧就是我们所熟知的“内网”。通常来说，在传统安全观念下，内容是绝对可信的。虽然内外网物理隔绝的方式确实能够阻断大多数暴力攻击，但如果拥有内网权限的个体/帐号本身有问题呢？可能是帐号被冒用，或者相关人员无意间泄露了帐号，面对这类情况，物理的安全边界意义就很有限了。

而“零信任”这一概念，则是打破“内网可信”的传统安全观念，通过持续不断的身份验证等方式保证整体的网络信息安全。在这一策略下，企业网络将不会默认信任任何来自内外网的人、设备和系统，而是会基于实时的身份认证和授权重新构建网络访问信任体系，身份认证的过程也将不再局限在网络的边界，从而保证访问企业网络的身份、设备、软件均为可信，同时进一步保证企业网络系系统的终端安全，链路安全以及访问控制安全。

“零信任”的好处是显而易见的，它可以有效的帮助企业建设整个网络框架内的安全体系，通过不断的身份认证以及针对性的权限管理增强对企业应用和数据的保护；同样通过对网内成员/资源的权限划分，还可以从根本上减少外部（互联网可发现）和内部（内部威胁）攻击面，即使事故真的发生，这一架构也能将影响有效降低至可控范围。

图：零信任架构参考

蒲公英方案的零信任架构——从身份认证和访问策略入手

回到蒲公英智慧网络解决方案所引入的零信任架构，通过审视这一网络安全框架，我们不难发现其具体功能的搭载确实将核心点落在了身份认证以及访问策略方面，同时紧紧扣住了远程协同办公这一主要场景，是目前远程办公市场风起云涌的当下对于“零信任”概念的一次成功的产品化。

蒲公英方案零信任架构示意图

首先在访问策略的设置上，蒲公英零信任架构采用了多级可自定义的精细化授权，实现最小权限原则，对不同身份的成员授予不同的权限，同时搭载身份验证体系、身份管理体系、以及风险告警和威胁拦截功能，保护敏感数据的安全。

访问策略示意图

而在身份认证体系方面，蒲公英方案帐号认证和终端设备认证两手抓：针对帐号采用MFA多因子帐号认证。根据内网成员帐号安全等级，提供不同安全等级的认证方式；针对设备则支持建立设备信任体系，保持持续验证安全状态，同时内网设备的异常登录、异常访问等状态及时告警提醒。

设备认证图示

与此同时，蒲公英方案支持对角色权限进行精细化的管理，不同角色的帐号对应不同资源的权限，即保障网络内资源安全，更方便管理员对整个组织网络进行分工管理。此外当管理员开启成员安全设置后，成员登录时需进行二次身份认证，登录后也可对终端设备进行信任策略设置，如在一定时间段内信任该设备，即可在有效期内免二次认证，在保障安全的前提下避免了对于正常业务的过度打扰。

而在具体的技术层面，蒲公英方案通过了信息系统安全等级保护三级认证，采用了RSA/AES混合非对称加密算法对数据进行加密，保障在远程协同办公数据传输过程中的安全。