导读

当数据成为企业重要的生产要素，核心信息泄露几乎成为所有供应链企业经营中的“达摩克里斯之剑”。为此，不少企业不惜将工厂变成现代化“堡垒”，员工需凭安全卡进入工厂、保安用指纹扫描仪交叉检查员工身份、警卫在员工离开前用金属探测器进行搜查等措施不一而足。

但在泛化的网络环境下，数据流转途径繁多，想要在每条流转路径中设置拦截来达到数据保护目的，效果并不乐观。那么，在新技术层出不穷的当下，企业内部安全治理有没有更有效的措施？答案是肯定的，这篇客户案例，我们走进果链企业A，看看数篷科技如何帮助它实现核心数据的安全流转。

客户需求

作为苹果集团重要的供应链企业，企业A为其代工耳机、手表和手机等多产品线的产品。通常，拿到样品后，A企业需要先用工业级扫描设备对样机进行多个精度的扫描建模，获得数据再进行生产。这其中，样品及样品数据的经济价值极大，尤其是高精度的数据。

在生产场景中，客户A经常面临的问题是，工业级扫描设备具备多个扫描精度，但无法实现让负责低精度扫描的员工禁用高精度扫描功能，扫描后的零件模型也容易被上传到任意的NFS（网络文件系统），这会导致不同精度的扫描数据在终端上存储混杂，并且员工可以任意获取高精度的零件模型。这种现状给企业带来较高的安全风险，也不符合苹果集团对于供应链企业的生产管理要求。

部署DACS前的客户业务架构

同时，当混合办公成为疫情常态化下的企业办公现状，对传统的制造企业A来说，如何实现办公场景的安全远程办公成为新的难题。此前，客户A的办公室办公人员的终端仅使用企业级杀毒软件作为安全保障，终端的权限管控依赖域控制器实现，安全性不高，再加上办公场景业务系统通过内网可以直连生产场景的业务系统，甚至访问生产线的产品数据。因而，疫情严重时，如果这些员工使用传统的VPN进行远程办公，那么企业的核心数据就会被置于极大的安全风险中。

基于以上现状，客户A提出以下需求：

在日常办公场景：

1希望对办公场景的业务系统做区隔，实现员工权限最小化访问控制；

2对日常的企业数据进行保护，既防止企业数据无序使用，也对终端进行安全加固。

在一线生产场景：

1负责低精度图纸的员工仅可以使用工业级扫描设备的低精度功能，对于擅自使用高精度功能的行为，需要追溯到设备使用的人和时间。

2区隔存储不同精度图纸的NFS，不同权限等级的员工仅可访问对应等级图纸所存储的NFS。

方案设计

经过分析，数篷科技认为，客户A的需求本质上是要实现数据分级分类，这正是关注数据全生命周期安全的它天然支持的场景。基于零信任理念，数篷科技打造数据安全平台，为企业提供开放环境下的数据动态安全保障，其产品DACS（零信任终端安全空间）的零信任安全网关可根据员工职位职级分配适配的权限，实现对敏感数据的精确访问控制，而新一代安全沙箱则可承载数据的安全储存、运算和传输，落实对敏感数据的有效隔离管控。

理想情况下，部署DACS后，客户A生产区域内同一台公用电脑可以同步对不同员工工作安全域进行网络访问控制，保证零件扫描后的数据模型只能保存到对应的NFS中，进而实现数据分类获取和保存。

部署DACS后的客户业务架构

价值与效果

部署数篷科技DACS后，客户A的诸多问题得到解决，其核心数据在企业内部得以安全流转、远程接入的安全性和体验性也显著提升。主要体现为以下几个方面：

1接入安全提升：DACS支持多因素认证、支持客户端准入基线检查、支持设备安全性检查，只有符合基线的设备、合法的用户才能够使用DACS进行日常办公，这提升了企业终端安全管理水平。

2内外网无差别接入办公体验：客户A的办公室人员不管是在企业内部还是企业外部，均可通过DACS实现业务系统接入，在安全沙箱中进行办公，办公灵活性和办公效率得到改善。

最终，基于DACS平台的部署，客户A的生产场景彻底发生改变。工作终端和工业扫描器的直接连接被限制，产线工作人员只能通过DACS安全域内的客户端连接指定的扫描设备对零件进行扫描，扫描后的数字模型也只能上传到对应的NFS。通过不同安全域区隔存储不同精度图纸的NFS，不同权限等级的员工仅能访问各自对应等级的NFS，客户A实现了图纸的分级存储。

总体来看，通过引入DACS，客户A改造了一线生产场景数据的获取和保存流程，规范了一线员工的设备使用和数据保存路径，使其具备了数据分级分类管理的能力。这种内部管理能力的增强不仅更好地满足了甲方客户对其生产管理的要求，也为其获取更多业务增长打下坚实基础。

数篷科技

数篷科技是数据安全技术创新公司，为企业提供符合零信任架构标准的下一代解决方案，产品被证券、保险、银行、电商、高端制造、游戏、互联网等众多行业客户采纳，获得客户高度评价。数篷科技核心成员来自百度、腾讯、谷歌、SAP等全球知名企业，具有基础架构、前沿安全技术和企业服务的丰富经验。 数篷科技现已推出DACS（零信任终端安全工作空间）与DAAG（零信任应用访问网关）两款产品，企业可以根据自身的信息化水平、现有网络框架、对数据安全等级要求等因素来选择匹配的产品。