随着经济的快速发展和信息的频繁交互，汽车制造与销售集团面临着多分支、上下游统一管理以及远程接入带来的混合办公挑战。在此新形势下，如何找到一个帮助企业提高管理效率，保障企业信息安全的企业数据安全解决方案，成为了汽车制造与销售集团的首要任务。

作为面向数据安全基础架构的创新公司，一知安全与一家领先的汽车制造与销售集团紧密合 作，共同设计和实施了零信任数据安全保护系统——山河安全工作空间。这一解决方案不仅具备访问安全的能力，还通过技术创新将系统安全能力提升至数据安全级别，帮助该集团实现了终端数据保护、权限管理及数据安全传输等关键需求。

这一解决方案通过一知安全专业的技术支持，成功建立了一个强大的安全防线，从业务入口侧打造安全的接入与访问，从终端数据侧确保其敏感信息和数据免受未经授权的访问和泄露。

这项创新的安全解决方案不仅帮助集团解决了业务发展问题，避免因数据泄露、网络侧威胁造成的竞争力下降，还为集团提高品质的汽车产品和优秀服务提供了强大助力。

然而，在引入山河安全工作空间前，该集团在内部安全建设上面临诸多挑战。例如，员工在处理业务时需要通过终端接触互联网，而原有系统针对终端数据的管控不足；内部业务系统繁多，员工存在越权访问业务系统、敏感信息泄露、外部威胁等风险。为此，一知安全通过对该集团整体架构的分析，发现以下的潜在问题：

终端多、难管理：原有内部系统使用人数超十万人，且公司涉及大量员工、供应链成员和远程接入的4S店终端人员等，使得终端管理变得十分复杂，无法进行统一管理。

终端被劫持攻击业务系统：4S店终端一旦被劫持，存在业务系统被攻击的情况，业务数据安全无法保障。

终端数据易泄露：原有系统存在大量业务数据和客户个人信息，一旦数据不慎落到终端上，存在较高的数据泄露风险。

运维需求：集团人员、4S店、上下游供应链等，涉及接入人员多，终端种类复杂，管理运维人员不足，管理难度大。

此外，对于集团主营业务——4S门店来说，面临着更为严峻的安全挑战。门店运营主体不同、执行力差；安全隐患影响面大；运维管理难；内部数据易泄露等问题给该集团的运营带来了更多的风险隐患。

基于以上问题，一知安全为该集团定制了一套专属的山河安全工作空间解决方案：

第一步：通过山河安全工作空间重构了终端环境，在终端上构建了一个与本机完全独立的工作空间，并且安全空间与本地空间在应用、数据、网络、用户会话、注册表、IO及操作系统底层的内核模块完整隔离，然后对工作空间进行安全管理，只管控与公司相关的数据、应用及网络访问，增加安全管控措施，防止员工主动、被动的泄密。

第二步：搭配零信任的接入能力，收敛业务中心在网络中暴露面，对外端口进行隐藏，防止黑客直接从互联网进行攻击，同时安全工作空间进行业务接入时可以有效屏蔽掉之前终端上存在的病毒，黑客劫持终端后无法查看到工作空间内容，防止威胁在业务系统中扩散。同时针对员工进行身份认证、权限管控、行为鉴权等验证手段，最终实现可信的人使用可信的设备通过安全的软件利用网络访问后端受保护的业务资源。

统一终端管理平台：使用安全工作空间，实现对所有终端的集中管理和监控。提供远程处理、应用白名单、网络白名单等功能，策略下发，实时生效，兼顾安全的同时简化终端管理工作。

强化终端安全防护：通过加密技术、隔离技术、访问控制和权限管理等手段，加固终端的安全性，防止被劫持或恶意攻击。同时，定期对空间进行信息采集和安全评估，最终收集日志便于处理、分析，及时修补和强化安全措施。

数据分类与加密保护：根据数据敏感性进行分类，并对敏感数据进行加密保护。确保数据在终端存储和传输过程中的安全性，防止泄露风险的发生。

该解决方案的价值体现在以下六个方面：

更安全的终端环境：通过在终端上建立安全工作空间，有效提升了终端的安全性，防止了终端被劫持或恶意攻击的风险，确保终端与业务系统的安全连接。

数据保护和防泄密：通过对敏感数据进行分类和加密保护，防止数据在终端存储和传输过程中的泄露风险，从而确保了企业敏感信息的安全。

统一终端管理：通过安全工作空间，实现对所有终端的集中管理和监控，从而简化了终端管理的工作，降低了管理成本。

防止业务系统被攻击：安全工作空间的使用，帮助集团隔离了业务系统与外部环境，阻止黑客直接从互联网进行攻击的可能性，有效保护了业务系统的安全性。

降低安全威胁扩散风险：通过隔离工作空间，即使终端被黑客劫持，也不会扩散威胁到业务系统，从而保护了整体业务环境的安全性。

适应混合办公和远程接入：安全工作空间为集团提供了安全的远程接入与访问和数据防泄漏等功能，有助于集团适应混合办公模式和远程接入的挑战。

一知安全山河安全工作空间解决方案，通过提高管理效率、保障信息安全、灵活的部署方式、强大的协同能力、优化资源分配以及提供定制化服务，帮助企业适应新形势下的混合办公挑战，助力企业实现更高的效益和更长远的发展。