当前，金融机构的业务模式、IT架构都发生了深刻变化。在建设远程办公系统时，金融机构需要面对以下几个方面的挑战：

如何实现“边界模糊化”网络环境下的安全接入？

随着金融机构基础设施云化、业务互联网化和办公移动化，不同角色的人员需要在任意时间、地点，用不同的网络和设备，访问业务资源。在分支机构组网、内部员工远程办公、运维人员远程运维，以及外包人员远程开发、合作伙伴远程访问等场景下，人、业务、数据开始走出内网，内网与外网之间的安全边界逐渐模糊，业务资源在互联网上的暴露面增大，带来了新的安全风险。

以VPN为代表的传统远程接入解决方案，一则IP、端口公开，无法帮助金融机构收敛资源暴露面，二则存在过度信任、静态授权的问题，无法实现细粒度的动态访问控制。在此背景下，金融机构需要重新构建网络安全边界，并基于新的边界实施动态访问控制，以保障远程办公安全。

如何确保终端设备安全可控？

在移动展业、远程办公中，金融无法完全掌控员工使用终端设备的安全状态，BYOD的普及更是使这一问题雪上加霜。一旦分支机构、内部员工、外包人员使用的终端设备被攻破，将成为黑客进入企业内网的跳板，让企业难以防范。

近年来，金融机构积极推进信创建设，引入了大量信创终端设备。这加剧了终端设备的碎片化，造成终端安全部分产品存在不适配的问题，增加了终端安全的不可控性。

由于传统的远程办公方案终端安全能力有限，金融机构要么强制要求终端设备安装EDR、杀毒软件等安全软件，要么在客户端中集成其它厂商的杀毒软件，导致占用资源过度，影响终端设备性能，使得员工的操作体验不佳。

如何保证敏感数据不被泄露？

金融机构的业务应用、数据库中，存储着海量的敏感数据，时刻被黑客所觊觎。为了保障这些数据的安全，很多金融机构部署了数据防泄漏（DLP）产品，包括终端侧的EDLP和网络侧的NDLP。但是，传统DLP主要关注数据的外发行为，忽视了数据在访问、传输、存储中的安全问题。

在数据访问场景下，金融机构无法实现数据访问的“最小化授权”，精准控制数据的访问范围，也难以追溯数据资源的访问行为，实现闭环管理。在数据传输上，难以对数据进行加密传输，保证信息的完整性、机密性。在存储上，难以保证敏感数据在终端中的安全存储，防范终端侧的数据泄露。

如何满足金融行业合规要求？

近年来，我国的网络安全和数据安全法律法规体系不断完善，金融监管部门的执法力度与频率不断加大。金融机构既要遵守《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的要求，还有执行金融行业的《金融行业网络安全等级保护实施指引》、《金融数据安全 个人金融信息保护技术规范》、《关于加强银行业保险业移动互联网应用程序管理的通知》等行业规章和标准，合规压力不断加大。2023年以来，多家金融机构因网络安全、数据安全问题被处以行政处罚，给全行业敲响了警钟。

与此同时，金融行业的信息系统是关键信息基础设施，是攻防演练重点关注的行业。如何在攻防演练中保证远程办公正常开展，避免远程办公系统被攻破，已经成为金融机构必须妥善处理的问题。

预告：明天分享芯盾时代远程办公解决方案的新选择