对于多数企事业单位来说，外包服务是一个避不开的话题，小到系统运维，大到软件程序，众多的企事业单位在享受外包服务带来的便利的同时，对于外包人员的网络访问权限管理，也成为“老大难”问题：管的松一点，外包人员和单位员工相同权限，容易引发误操作、数据泄露等多种安全风险；管的紧一点，外包人员访问内网受限，工作不好开展，无法及时高效解决问题，完全是因噎废食，得不偿失。

还有类似的情况，客户是某一大型政府单位，整体网络规划时存在严重缺陷，业务服务器与内网没有防火墙等边界设备，更有多个下级部门托管的服务器，加之多年的网络维护、设备更新……，整体网络环境极度复杂，难以梳理。用户希望在不影响现有业务访问的前提下（也就是不能添加边界防火墙等阻断设备），加强对外包人员的权限管理，该怎么解决呢？有没有一种两全其美的方式呢？

用北信源动态访问控制系统，完美解决该用户的需求！

北信源动态访问控制系统，，由环境感知代理系统、环境感知系统以及零信任网关共同组成。产品以“零信任”理念为基础，对数据和功能核心资源访问的行为进行精细化访问控制，通过对终端多维度属性进行感知和风险评估，与安全访问平台联动实现动态鉴权访问控制，说的简单一点：

• 零信任网关旁路部署（旁路常规网关）：不需要结合防火墙（也就是只需要统计外包人员必须访问的业务资源，包括URL、端口、协议等，其他设备安全无需纳入管控）；
• 仅限制安装客户端的终端设备：不装客户端或者客户端连不上零信任网关，走常规网关，不影响日常访问（这一点最重要，对于非外包人员，完全没必要安装客户端）；装上客户端而且连上零信任网关，新建通信隧道，只能访问指定的URL或API；
• 用户身份验证：对于核心业务的访问，直接关联到具体用户，责任到人；
• 多维度持续评估终端安全性能：如果终端本身不安全，有病毒感染或其他安全隐患，主动降低终端安全评分；
• 动态权限分配：随着终端安全评分的变更，自动调整核心业务访问权限，始终保证访问权限最小化。
• 客户端本身防卸载，且开机自检，守护进程及时上报异常；

技术原理上符合客户预期，经过与客户协商，客户同意进入测试流程，经过多轮验证，只需以下简单几步就能实现用户增强外包人员权限监管的需求：

• 外包人员初次接入内网时，强制安装客户端软件；
• 如果需要访问核心资源，首先必须要使用自己的账号登录客户端；
• 其次，必须要对终端环境进行评估，包括但不限于：是否安装杀毒软件、是否存在系统漏洞等；在不达标的情况下，可利用客户端提供的接口或提示信息，通过安装杀毒软件、打补丁等形式，提升设备安全等级；
• 在完成身份认证和环境评估的基础上，外包人员可访问核心资源；
• 访问期间，客户端会在后台持续对终端环境进行评估，如果出现安全等级评估不达标的情况，自动降低访问权限，甚至断开连接。外包人员必须修复不达标项，才能重新建立访问连接。

目前，北信源动态访问控制系统已经完成采购部署流程，正式在客户现场上线了，完全有望成为外包人员权限监管的“守门员”。

北信源

北京北信源软件股份有限公司（股票代码：300352）创立于1996年，注册资本14.5亿，是中国信息安全领域首批A股上市企业之一，是终端安全管理市场领导者，领先的网络与信息安全解决方案提供商。 历经二十余年跨越式发展，公司现已形成了信息安全及信创、移动办公及安全通信应用、智慧社区及健康医疗三大核心板块，涵盖信创安全、移动办公及安全通信、大数据运维、工控安全、应急处置及指挥调度五大业务领域。 迄今，北信源形成了覆盖三十多个省市的营销服务网络体系，为政府、军队、军工、金融、能源等重要行业累计数万家单位，提供涵盖网络与信息安全的软件开发、解决方案、运维管理以及系统集成在内的体系化信息服务。累计14年实现中国终端安全管理市场占有率第一，致力成为5G时代智慧安全的全面解决方案提供商。