全球文创巨头【得力】：全网零信任如何让办公安全更得力？

在全球化与数字化双轮驱动下，企业对远程办公效率与数据安全的诉求日益提升，如何在确保灵活接入体验的同时构建坚实的安全防线，成为业务持续演进的关键课题。

得力集团通过引入零信任安全访问体系，实现了“互联网暴露面收敛、替代VPN访问、全球加速访问、全网统一安全访问管理”的目标，推动办公安全迈向真正的“无边界”。

自1981年创立以来，得力集团的产业布局已从文具扩展至办公设备、数码打印、智能办公、云科技与智慧互联等24大门类。得力集团以全域与精准为目标，构建了分销、B2B、电商和海外四大业务渠道，在国内建立156家分公司，海外设立了8大区域营销总部，22家海外分公司，产品及服务遍及140多个国家和地区，展现出了强大的全球市场拓展能力，并成为在全球拥有广泛知名度的办公文具品牌。

随着业务的不断拓展以及数字化程度的加深，得力集团的全球化布局稳步推进，跨区域、跨国的远程办公需求日益增长。过去，集团内部采用多种接入方式并行，包括传统VPN和面向海外的SD-WAN接入方案，以支撑全球各地员工与合作伙伴的办公需求。

然而，在多样化的办公场景下，传统VPN的局限性愈发明显。例如，硬件性能受限、无法弹性扩展，在设备性能较低时易出现卡顿现象，影响终端用户的办公体验。与此同时，内网应用暴露面广也给安全防护带来了更大压力，因此，得力集团希望在SASE架构下实现全网零信任，彻底解决“访问难、防守难”的双重痛点。

统一安全视角下

全网零信任推进思路

得力集团以“全网零信任”为核心理念，逐步构建统一、高效、可持续演进的安全体系。在推进过程中，聚焦暴露面收敛、访问通道统一、全球访问提效、最小权限控制四大核心方向，逐步落地全网零信任，实现精细化访问权限管理的同时，以员工无边界的办公体验，赋能企业数字化提效。

收敛暴露面，降低防守压力

收敛百余个暴露在互联网的企业应用，包括企微工作台应用、对外协作的应用API、上下游合作伙伴应用平台、员工办公平台等4大类应用，统一通过零信任访问，不再对互联网暴露服务端口。

平滑替代VPN，提升员工访问体验

以零信任取代传统VPN，避免因 DNS、路由异常等问题造成访问失败，结合自动启动、自动认证、自动连接、隐蔽运行、不限并发、最小引流等逻辑设计，大幅度提升员工办公访问效率。

支持全球业务发展，统一安全访问通道

融合企业现有与第三方通信资源，通过全球就近 PoP 点接入与就近防护。动态调整与优化访问链路，提升全球访问速度与连接稳定性，同时结合用户身份验证、终端基线检测与数据访问行为分析，持续动态评估访问身份与风险，保障连接安全。

落地全网零信任，构建统一可控的安全体系

终端接入企业网络后，默认仅开放互联网访问，所有内网资源须经零信任授权访问。基于“最小权限”原则，全球统一实施精细化访问权限控制。

SASE筑基

零信任安全体系稳步落地

得力集团基于日益复杂的全球化业务需求，结合私有化部署策略与SASE架构能力，实现了架构平滑切换与安全治理的持续演进。

1. 私有化集群为主，极端场景秒切换SaaS应急灾备

基于SASE架构在全球范围内部署多个PoP节点，通过控制器智能调度，确保客户端实时探测网络状态并动态选择延迟最低的接入点，从而实现就近访问与链路优化。在高并发、弱网络等复杂环境下，依然能够保持稳定、快速的访问体验，显著提升全球访问质量及员工办公效率。

为了保障核心业务数据的私密性与安全性，得力集团的核心网关、应用系统及资源均部署在本地私有化环境中，形成高可用多活集群架构。在极端故障场景下（如本地IDC不可用），系统可自动切换至亿格云在公有云部署的应急网关节点，借助全球分布的SASE网络快速恢复，切换过程无需人工干预，秒级完成，确保远程访问不中断，保障业务连续性。

考虑到得力集团海外基地分布广泛，若分别建设海外线路及代理节点，不仅成本高昂，且运维复杂。因此，海外基地可通过接入亿格云在全球部署的公有 SASE 网络节点，实现对内网应用的安全远程访问。既显著降低了海外网络基础设施的投入成本，也为未来在全球多个区域的业务拓展提供了更加灵活、弹性的网络支持。

2. 访问安全，动态授权全场景适配

通过引入零信任体系，得力集团彻底取消了内外网之间的传统防火墙规则，除To C应用外的所有办公机协同将内网应用与IM工作台无感融合，无论在总部、分支、出差还是居家等办公场景，员工无需改变工作习惯，所有流量会引导至零信任网关进行动态访问控制。

访问权限可根据具体办公场景实现API级别的精细化分配，员工/第三方伙伴可通过客户端或零信任门户进行身份验证后访问应用，对第三方应用API调用则实施IP白名单管理。所有访问基于用户组、岗位、资源组等维度进行自动化权限梳理与调整，确保访问控制始终与最新的组织结构和业务需求保持一致。

3. 应用管控，防泄机制全链覆盖

针对得力集团的敏感应用，全面强化对敏感数据的访问与操作安全。可区分场景进行管理：

① 员工访问场景（公司设备）

对于公司设备，考虑到通常具有较高的访问权限，因而进行了严格的安全策略设计，例如必须安装零信任客户端、对所访问的应用敏感数据数据进行必要的下载审计、水印附加等措施。

② 员工访问场景（个人设备）

员工的个人设备出于隐私顾虑，往往不愿安装零信任客户端。因此，从得力集团实际业务场景出发，我们将零信任访问能力及安全能力与企微工作台深度集成，无需二次开发、在不改变员工体验的基础上，实现对业务系统的安全访问。在访问相关敏感数据时，系统可基于页面返回、文件下载、数据敏感性等规则，灵活配置访问权限，包括允许下载、禁止下载、预览权限、在线编辑权限等，实现“数据不落地”的安全目标。

通过增强访问请求的可信校验机制，如源 IP、用户代理、请求头等信息的强校验，并引入终端与身份信息的一致性校验，有效防止潜在的伪造访问与数据泄露风险。同时，禁止复制和下载文件、对下载的文件添加水印标注能力，进一步保障数据安全。

系统还支持对四层、七层流量及敏感 API 的访问日志进行全面采集与分析，便于实时掌握访问动向，实现可视、可追踪、可审计的安全管理闭环。

安全价值

130+暴露面收敛

将130+互联网暴露面收敛至零信任节点，有效提升应用漏洞及脆弱性的防护能力。

访问线路提速与优化

自动测算网络延迟并择优接入，多云环境统一入口，无需人工切换即可远程办公。

版本兼容性优

支持跨版本稳定使用，减少频繁升级维护，保障终端体验一致性。

全网零信任的实现，让得力集团的全球化办公不再受限于地域与架构，也让安全成为真正助力业务发展的基石，为全球员工和合作伙伴打造了稳定、安全、无感的办公体验。