摘要

　　某全球领先的新能源创新科技公司能源业务稳居全球第一，为了实现高效协同并满足对身份安全的需求，A企业搭建身份安全底座，并在身份底座的基础之上，将原有身份与协同办公平台打通，实现公司内部工作方式的变革。本案例旨在为其他需要提高协同能力和协同效率并保证身份安全和数据安全的制造业企业提供经验借鉴。

　　关键发现

　　企业实现内部员工、合作伙伴、供应商之间多方联动的基础是统一身份安全底座，基于身份安全底座，企业可以搭建高可靠、高安全、高可扩展性的协同办公平台和应用开发平台，提升公司的自动化、高效化办公水平；

　　通过安全网关（SDP）和统一身份认证（IDP）两大模块可以解决企业员工使用信任设备登录使用协同办公平台。SDP打通内网到公网服务的访问链路，免除繁重的运维工作量，IDP打通可信域用户登录协同办公平台的认证链路，提升用户可信终端身份使用的安全性。

　　分析师建议

　　制造业企业在数字化转型过程中，除了提升业务流转效率外，网络安全和身份安全都是至关重要的基础设施；

　　当前市场上主流协同平台的服务都在云上，而大型企业在部署协同平台时基本选择本地化，因此，企业在选择供应商时需要确保本地数据和云上服务模式的安全性。

　　01 企业案例

　　某全球领先的新能源创新科技公司（以下简称A企业），其研发中心及生产基地遍布全球，企业员工约7万名左右，年营收逾千亿元，主营业务横跨电力、能源、制造三大行业，能源业务是其核心的业务增长点，并稳居全球第一。

　　近几年，A企业业务增长迅猛，由于行业壁垒的存在，A企业对数字化平台的要求高，在数字化转型的过程中，对协同效率、数据资产的安全性、信息化建设各方面的指标等都提出了更高标准。

　　02 业务挑战

　　随着新能源汽车行业的气势高涨，近几年A企业的业务和员工都大幅增长，内部协同与外部协同越来越重要，在大型企业、跨区域、多地办公的情况下，如何实现“在线的高效协同”是A企业面临的也是必须解决的课题。

　　A企业过去自研了一套协同平台，但在高效协同的过程中无法满足企业对身份安全的需求。具体来看：

　　第一，外部市场高速发展倒逼内部协同升级。新能源汽车市场需求量大，行业发展前景好，A企业市场规模占有高，业务的流转速度和员工的增长速度非常快，推动内部升级迭代，A企业需要加强与外部供应商、合作伙伴之间的联动性；

　　第二，原有平台无法满足快速迭代的内部协同。业务高速发展使得人员流转速度高，新建生产基地需要与原有体系内的应用实现打通，提高协作便捷、友好性等，原有协同平台无法进行更多的拓展；

　　第三，原有平台无法满足安全管理诉求。A企业所在新能源行业的技术壁垒较高，A企业需要保障企业内部重要数据不外泄，保证数据资产在内部协同流转过程中的安全性，现有平台无法满足企业信息化安全诉求，无法实现内外员工的隐私隔离。

　　因此，A企业计划建设新的办公平台，使内部员工、合作伙伴、供应商等都能够通过办公平台实现即时通信联动、视频会议联动以及OA、ERP、CRM等各类业务应用的联动。

　　实现多方联动的基础是统一身份安全底座，在身份底座之上，实现原有身份与办公平台的打通。

　　在统一身份认证底座的支持下，A企业最终目的是搭建一个高可靠、高安全、高可扩展性的协同办公平台和应用开发平台，提升公司的自动化、高效化办公水平，进而实现公司内部工作方式的变革。

　　03 解决方案

　　在选型阶段，A企业深入了解了国内第一梯队的协同平台供应商，POC阶段进行多种技术验证和方案验证，从选型到POC测试结束历时5个月。

　　由于当前市场上主流协同平台的服务都在云上，如何确保本地数据和云上服务模式的安全性是A企业在选型时考虑的关键因素。

　　最终，A企业选择由钉钉和九州云腾完成协同平台和底层身份认证底座整体项目的落地交付。九州云腾是阿里云全资子公司，是阿里云IDaaS应用身份服务提供方，也是首家进入Gartner访问管理魔力象限的中国企业。

　　由于前期POC阶段的方案调研和验证相对完善，A企业的协同平台及身份安全底座项目仅2个月时间就实现落地。身份安全底座的落地时分为4个阶段：

　　第一阶段：调研。摸清A企业数据流和主数据字段情况，以及想要达成的最终使用流程和认证方式；

　　第二阶段：实施。打通数据，包括打通从HR到工作台、DLP的身份数据，拉通工作台服务的网络白名单，打通使用多个域身份登录到钉钉工作台，并实现数据分批上线；

　　第三阶段：试运行。数据流、网络逻辑单通、认证流打通后小范围试运行；

　　第四阶段：上线。系统正式上线使用。

　　在项目落地过程中，A企业和九州云腾各自搭建专项小组，双方协作以保证落地效率。

　　九州云腾通过安全网关（SDP）和统一身份认证（IDP）两大模块解决了A企业员工使用信任设备登录使用钉钉办公平台。SDP打通内网到公网服务的访问链路，免除了繁重的运维工作量，IDP打通可信域用户登录到钉钉工作台的认证链路，提升了用户可信终端身份使用的安全性。具体的应用场景如下：

　　场景一：网络联通安全

　　A企业内的钉钉办公客户端是本地化的，但钉钉的服务都在云上，需要保证网络通信安全。传统方式是在内网和外网之间的防火墙内配置白名单，但钉钉云上服务依赖的IP众多（万级）且动态调整，防火墙手动维护几乎不可能。九州云腾通过安全网络限制，打通限定通道，解决A企业“数据本地、服务云化”的这种模式。

　　具体来看，九州云腾在A企业内网中部署了SPG安全网关，通过网关访问钉钉中心云的流量，通过SPG服务进行路由，相当于拉通内网客户端，自动加白，企业外网防火墙只需开放来自SPG服务的端口即可。

　　场景二：数据资产安全

　　在日常工作中，A企业需要保证核心数据资产不外泄。引入钉钉后，钉钉与A企业原有数据防泄漏平台之间无法打通。对此，九州云腾提供DLP集成组件，实现钉钉与数据防泄露平台之间的联动。

　　A企业员工在钉钉客户端发送文件时，文件会上传到A企业本地OSS，DLP集成组件会监听钉钉的文件发送事件，并与数据防泄露平台联动，数据防泄露平台在本地OSS中根据安全策略对文件进行扫描判断合规性，扫描完成后返回action code给DLP集成组件，组件回调给钉钉服务端，根据code对文件发送行为进行控制。

　　场景三：用户身份安全

　　A企业内部定义了7个域控为可信域，九州云腾与域控之间进行打通，拿到身份后再联动钉钉办公平台，打通A企业本地身份与钉钉办公平台的身份认证后，只有加入域控的电脑且域控中有合法身份的用户才能登录钉钉客户端，实现设备可信和身份合法。

　　04 价值与效果

　　A企业原来使用自研协同工具，只在部分内部员工中使用，外协人员、伙伴无法进行沟通协同，而且无法解决数据外露的问题。上线“安全网关+统一身份认证+钉钉”方案后，在网络策略不发生改变的情况下，A企业实现了数据本地化、服务云化、且打通了现有身份的线上线下充分融合。

　　A企业所有内部员工、合作伙伴、供应商等角色都可以在同一个平台上协作，包括通讯录、视频会议的那个，各类业务应用通过身份认证底座集成到钉钉工作台上，提高协同能力和协同效率的同时，保证身份安全和数据安全。

　　通过安全网关自动维护和打通钉钉外网服务，免去了上万个钉钉动态IP白名单维护，在保障安全的前提下降低了运维压力。

　　用户在无法访问外网的情况下正常使用本地钉钉客户端，使用本地域身份免密登录到钉钉，并且在工作台可一键登录到内网应用，使用过程的所有文件受DLP的检测，整个过程有管控、有审计。

　　5、经验借鉴

　　制造业的行业壁垒较高，保证关键技术和数据资产不外泄是制造业企业运营的基本。

　　在数字化转型过程中，除了提升业务流转效率外，网络安全和身份安全都是至关重要的基础设施。对于网络安全，既要保证网络的连通性，也要保证网络连通的安全性；对于身份安全，则需要兼顾安全和便捷。

　　除了身份安全以外，业务的快速增长对开放性提出更高要求，身份安全底座需要支持不同的业务场景，同时，在保证开放性的过程中，也需要确保生产沟通协作过程安全可控，减少网络暴露面和增强设备可信度，保证企业重要数据资产不外泄。