如何确保外包人员只能接触到其工作所必需的特定系统和数据，而不能在企业网络内“横向移动”-解决方案//世耕通信全球办公专网专线

如何确保外包人员只能接触到其工作所必需的特定系统和数据，而不能在企业网络内“横向移动”-解决方案//世耕通信全球办公专网专线

为确保外包人员在其工作范围内安全访问，并严格防止其横向移动，可以结合世耕通信全球办公专网专线的特性，构建一个多层次、纵深防御的解决方案。

以下是该方案的详细阐述：

面向外包人员的零信任网络访问解决方案

本方案的核心思想是：“从不信任，始终验证”。默认不信任企业网络内外的任何人员、设备或系统，访问权限必须基于严格的身份验证和最小权限原则进行动态授予。

一、 网络层隔离与分段

这是第一道，也是最基础的防线。

1. 专用网络通道： 利用世耕通信全球办公专网，为所有外包人员建立一个独立的、逻辑隔离的虚拟网络组。这个组与企业内部员工所在的网络组在底层实现隔离。外包人员从入职并首次连接开始，就被强制划入这个专属网络区域。

2. 严格的网络微隔离： 在该外包人员专属网络内部，继续进行更细粒度的微隔离。

• 将外包人员需要访问的特定应用服务器或数据库服务器，划分到独立的“资源区”。

• 在网络策略上，默认拒绝所有流量。然后，仅配置允许从“外包人员网络组”到“特定资源区”的特定端口和协议的访问规则。例如，只允许访问应用服务器的443端口，而禁止任何对内部文件服务器、数据库管理端口或其它业务子网的访问。

• 禁止互联网直接出口： 通过世耕专网的集中管理平台，配置策略，确保外包人员的网络流量只能访问其被授权的特定内部系统，而不能通过企业网络随意访问互联网。这既保证了数据不落地，也防止了通过互联网隧道进行横向移动。

二、 精细化的访问控制

网络隔离后，需要在访问入口处进行精确的身份和上下文判断。

1. 强制身份认证与设备合规性检查：

• 所有外包人员必须通过统一的强身份认证才能接入网络。

• 在接入时，系统应对其设备进行合规性检查，例如检查操作系统版本、杀毒软件是否安装并更新等。只有符合安全策略的设备才被允许接入。

• 外包人员通过统一的、安全的门户访问应用。

• 网关作为中间人，代表用户与后台应用交互。这样一来，外包人员完全看不到后台服务器的真实IP地址和内部网络结构，从根本上切断了其向其他系统发起连接的可能性。

三、 终端与数据安全

控制网络和访问入口的同时，终端本身也是需要管理的对象。

1. 企业安全客户端的强制部署： 在外包人员用于工作的设备上，强制安装统一的企业安全客户端。该客户端负责执行VPN连接、设备合规性检查、并可能包含主机防火墙等功能。

2. 主机防火墙策略： 通过组策略或移动设备管理工具，在外包终端设备上配置严格的主机防火墙。除必要的工作软件外，禁止所有入站连接和绝大多数非必要的出站连接。

3. 数据防泄露措施： 对于其接触到的敏感数据，通过水印、禁止复制粘贴、禁止打印、禁止下载到本地等措施，降低数据被非法带出的风险。所有对其访问和操作数据的行为，都应被详细记录和审计。

四、 持续的监控与审计

安全是一个持续的过程，而非一劳永逸的状态。

1. 全流量日志记录： 世耕通信的专网管理平台应能记录所有用户的接入、认证和访问行为日志。这些日志需要被集中收集和分析。

2. 异常行为检测： 部署安全分析系统，实时监控外包人员的网络行为。一旦检测到异常，例如尝试连接未授权的IP地址、访问频率异常、在非工作时间访问等，系统应能自动告警，并可联动控制平台即时中断其会话或降低其权限。

3. 定期权限审计与回收： 定期审查外包人员的访问权限，确保其权限仍然与当前的工作内容匹配。在其项目结束或离职时，必须立即、彻底地回收所有访问权限。

典型场景工作流

假设外包人员张三需要访问一个名为“项目X管理系统”的内部应用。

1. 接入： 张三打开电脑，启动企业安全客户端。客户端通过世耕专线连接到企业网络，并提交其身份凭证和设备信息。

2. 验证与授权： 认证服务器验证其身份，并确认其设备合规。随后，授权系统根据其“项目X外包成员”的角色，动态下发策略：允许其访问“项目X管理系统”的应用网关地址，并禁止访问其他任何内部地址。

3. 访问： 张三在应用门户中只能看到“项目X管理系统”一个图标。他点击进入，全程无需知道该系统的真实后台地址。

4. 工作与监控： 张三在该系统内进行授权操作。同时，安全平台持续监控他的会话，确保没有异常行为。

5. 断开： 张三下班断开连接。其所有访问权限随之冻结，直到下次通过完整的认证流程再次获取。

通过以上层层递进的防御措施，可以有效地将外包人员“禁锢”在其工作所必需的“数字围栏”之内，最大程度地降低因外包人员接入而引入的内部网络安全风险，实现安全与效率的平衡。

如您需要申请对国际线路和世耕通信全球办公专网专线感兴趣或有相关网络需求，欢迎联系我们获取更多信息和支持。

世耕通信联系方式

• 即时通信：18601606370

• 咨询热线：021-61023234
  

• 企业微信：sk517240641

• 官网：www.1010ch.cn

我们可以根据您的具体需求,为您定制最优化的网络加速解决方案，共同打造高效、安全、可靠的跨国跨境办公网络环境。

二、如何确保外包人员只能接触到其工作所必需的特定系统和数据，而不能在企业网络内“横向移动”

网络数据传输是关键问题；企业办公系统服务器部署在国内云平台，在海外亚太，中东，南非，北美，欧洲等国家，跨国间互联互通，得网络延迟不可避免。网络连到办公系统服务器上传和下载抖动和丢包较大，数据传输卡住了。

三、世耕通信全球办公专网产品：

世耕通信全球办公专网 产品是本公司充分利用自有网络覆盖以及网络管理的优势，为中外企业客户开发的具有高品质保证的访问海外企业应用数据传输互联网的产品。　　

跨国企业 全球应用专网产品特点：

1、   迅速访问全球互联网云平台资源

2、   稳定、低时延的全球云端视频会议

3、   方便快捷的使用国际互联网资源共享云平台(OA/ERP/云储存等应用

产品资费：