跨国企业中国区总部
研发区微隔离 + 供应商 JIT。
SPA、设备信任评估、微隔离与特权访问管理(PAM)。
本专题「园区办公网零信任改造」适用于跨国企业中国区总部、研发密集园区。方案设计遵循现行国家标准与行业最佳实践,在设计前期完成需求基线与风险评估,输出系统架构说明、接口规格书与联合调试大纲;重点衔接土建、装修、供配电与消防专业的预留条件,避免二次开孔与净高不足。弱电间、竖井与桥架容量按终局点位上浮 20%~30% 预留,光缆与铜缆分层敷设并做好防火封堵。
身份为主轴:SSO+MFA;设备 posture 检查补丁与 EDR。应用隐藏于 SDP 网关之后;东西向微隔离基于工作负载标识。供应商限时访问与 JIT 权限。
设备选型坚持可验证的合规路径(CCC、型式检验、入网许可、信息安全认证等视场景而定),同一关键链路推荐两家主流厂商短名单并配置备件包。实施阶段开展工厂接样、现场 POC 与隐蔽工程影像记录;竣工验收同步移交竣工图、配置备份、账户权限清单与质保接口人,并建议建立不少于三年的维保与扩容滚动规划,确保系统可运维、可审计、可持续演进。
| 设备名称 | 主要参数/规格 | 推荐品牌(参考) | 备注 |
|---|---|---|---|
| SDP 控制器 | 集群 3 节点 | Zscaler ZPA / Palo Alto Prisma Access | 国产化备选 |
| IAM 平台 | OAuth2/OIDC | Okta / Ping / Authing | 国密算法 |
| 终端 EDR | 行为分析 | CrowdStrike / 亚信安全 | 离线策略 |
| 微隔离 | 主机防火墙编排 | Illumio / 山石云·格 | 标签化 |
| PAM 堡垒机 | 会话录像 | 齐治 / CyberArk | 双人授权 |
| 日志 SIEM | UEBA | Splunk / Securonix | 180 天 |
| 802.1X | 证书 + EAP-TLS | ISE / ClearPass | 访客闭环 |
| 漏洞扫描 | 周期基线 | Qualys / 绿盟 | 闭环工单 |
施工准备:依据现有 AD/LDAP 与无线控制器策略备份完成后编制专项施工方案与安全技术交底,核查预埋管、桥架、洞口及接地干线;材料进场查验合格证与检测报告,线缆抽检阻燃与绝缘。路由施工严格执行分层分槽,弯曲半径、牵引力与绑扎间距受控;室外与潮湿环境加强防水防潮与铠装保护。
设备安装:机柜、屏体、摄像机、传感器等按厂家说明书扭矩与安装方位固定,接地汇聚至机房等电位端子;上墙与吊装节点经结构或幕墙专业确认。接线采用压接端子与耐久标识,光纤熔接或铜缆端接按验收等级留存 OTDR/福禄克测试记录;通电前复查相序、极性与绝缘电阻。
调试与验收:按子系统划分测试用例,覆盖功能、性能、联动与故障恢复;与消防、安防等监管系统接口实测并留存日志。组织业主、监理签字移交,开展不少于合同约定学时的实操培训,提交备品备件与应急预案;质保期内建立巡检与重大活动保障机制。
研发区微隔离 + 供应商 JIT。
SPA + 敏感应用水印溯源。