188金宝博,金宝博官方网站,金宝博APP下载

　　天弘基金管理有限公司(以下简称“天弘基金”或“公司”)响应国家信创战略与行业监管要求，针对超2000台终端(涵盖信创、Windows、苹果系统)及多元化办公场景带来的安全管理挑战，系统性地推进终端一体化安全建设，进而破解终端管理标准不统一、资产信息更新滞后、远程接入风险突出三大痛点，通过构建三级组织保障体系与一体化技术架构，实现了终端安全管理的体系化、标准化与智能化转型。

　　项目实施后，终端资产信息准确率提升至99%、违规入网终端占比下降80%，累计阻断远程异常访问千余次，勒索病毒零感染，安全事件处置时间缩短至1小时。本实践为公募基金行业在复杂终端环境下实现高效、自主可控的安全管理提供了参考路径。

　　随着《网络安全法》《数据安全法》《个人信息保护法》及《基金管理公司网络和信息安全三年提升计划(2023-2025)》等法律法规的深入实施，国家网络安全战略持续深化，信创[1]作为保障关键信息基础设施自主可控、打破国外技术垄断的核心举措，已成为金融行业高质量发展的重要方向。从国家层面部署到行业实践落地，信创转型不仅是实现技术自主可控的必由之路，更是公募基金行业构建安全可靠办公环境的战略举措。

　　天弘基金终端设备类型多样、规模庞大，涵盖信创、Windows及苹果三类终端超2000台，并需要支持移动办公与远程接入场景，传统终端管理模式面临诸多挑战：首先，终端类型差异导致安全策略碎片化，难以实现统一防护；其次，资产信息依赖人工维护，更新滞后严重影响策略匹配有效性；最后，传统远程接入方式缺乏对环境安全性的动态评估能力，难以应对日益严峻的外部威胁。这些痛点不仅影响日常运营效率，也为公司网络安全带来实质性风险。

　　基于上述痛点，天弘基金明确一体化安全办公建设的核心目标：通过构建“多平台终端协同防护”的终端一体化安全架构，实现“三重价值”。一是完成信创终端规模化替代，达成办公底座100%自主可控；二是建立全场景安全防护机制，降低勒索病毒、数据泄露等风险；三是平衡安全与效率，支撑业务连续性。

　　围绕信息技术应用创新推广与终端安全一体化建设，构建“决策-管理-执行”三级组织体系与配套制度流程，打破“技术部门单打独斗”的传统模式，成立由公司总经理牵头的信创与网络安全决策小组，统筹资源与战略规划；下设工作管理小组与跨部门执行小组，明确权责、协同推进。同时，配套制定并动态修订《信息技术应用创新工作管理办法》等制度文件，形成覆盖终端全生命周期的制度体系，为项目实施提供坚实的组织与制度保障。

　　针对信创终端与非信创终端并存、终端管理标准不一的现状，天弘基金采用“分类部署、逐步过渡”策略，通过“管理标准化+工具一体化”双轮驱动，推动终端类型从“混合共存”向“统一管控”升级，核心目标是拉齐信创与非信创终端的管理水位，构建安全与效率并重的办公体系。

　　针对“终端底数不清、资产信息混乱、更新滞后”等痛点，天弘基金通过构建统一的标准化终端资产数据库，以明确设备“唯一编码、硬件配置、操作系统版本、采购与质保日期、使用责任人、部门归属”等关键属性，为后续安全管控提供准确数据支撑。

　　建立终端资产基础管理规范，通过系统化明确终端的资产登记、信息更新、定期盘点流程，建立流程复核节点，确保每台终端“底数清、责任明”。

　　通过“终端资产平台”实现基础信息统一查询、统计与审计，为后续准入控制、动态监测提供精准资产数据，避免因“资产信息不准”导致安全策略错配。

　　作为保障终端接入安全的核心技术手段，我们通过构建统一的准入基线与零信任体系，解决“终端入网安全难统一、远程接入风险高”问题。

　　物理入网安全管控：入网前依据终端资产平台信息进行设备识别，非公司设备入网将被拦截。办公网认证采用密钥动态轮转方式，所有终端接入办公网前，必须通过双因子方式完成身份认证，入网的同时进行终端基线健康检查；不满足条件的终端自动划分至“隔离区”，仅开放部分网络访问权限，修复完成并二次核验通过后方可入网，从而确保信创与非信创终端均遵循同一安全基线，杜绝了“因终端类型不同降低安全标准”的漏洞。

　　远程接入零信任防护：通过零信任网关实现远程网络统一接入，依据“永不信任、始终验证”原则，所有类型的终端均需完成“密码+动态认证”双重验证；网关与终端资产平台实时联动，结合“用户身份可信度(历史操作行为)、终端安全度(资产合规状态)、接入环境安全度(IP归属地/网络类型)”三维因子评估信任等级，动态分配最小网络访问权限。

　　权限实时联动管控：零信任网关与账号管理平台实时同步权限数据，终端账号权限调整时，立即自动阻断或下调其入网/远程访问权限，解决传统VPN“一次认证、永久信任”的风险，确保终端接入全场景安全可控。

　　全部类型的终端均部署了自研Agent，定期采集硬件配置、软件状态、系统参数、账户信息等数据，并同步至SOC平台[2]。SOC平台自动将采集的数据与基础资产数据库比对，发现不一致项时，立即触发分级告警并推送至管理员，同时联动内部工单系统推送整改工单。若异常变更影响终端安全，SOC平台将同时联动准入系统，临时限制该终端接入网络。

　　管理员核查处置结果后录入系统形成管理闭环，并会定期编制《终端资产动态一致性报告》，该报告会作为安全审计与策略优化依据，以解决资产信息滞后而导致的安全策略失效问题。

　　天弘基金打破“信创与非信创终端分开防护”的壁垒，围绕“防护标准统一、工具协同、策略联动”目标，构建覆盖信创、Windows、苹果终端的一体化安全防护体系。

　　统一基础防护工具：全终端安装统一品牌的安全防护套件，实现“病毒查杀、恶意行为拦截、补丁管理”功能统一；病毒库每日同步更新、每周统一开展全盘扫描，确保防护能力保持一致。

　　统一MDM管控策略：所有终端纳入同一MDM系统[3]管理，统一下发“屏幕锁屏时间、密码复杂度、U盘管控、应用安装白名单、磁盘加密”等配置策略，避免发生“信创终端管得严、非信创终端管得松”的情况。

　　统一安全运营协同：SOC平台集成终端安全模块，汇聚三类终端的安全日志，实现“一处告警、全域响应”，完成“个性防护不缺失、全局管理无死角”的闭环运营管理。

　　天弘基金下一步将构建“信创+云桌面”的内网办公架构，以全面实现信创化。公司计划以信创终端为核心、云桌面为辅助，推进非信创终端的全面替代，并将云桌面系统纳入终端资产平台，建立终端-云桌面关联台账，实现信息同库和流程联动。同时，优化终端与云桌面在入网、使用及回收等环节的协同校验机制，确保权限匹配与行为可追溯。此外，通过深度融合信创终端安全能力与云桌面防护组件，结合零信任网关，构建“终端-桌面-网络”协同防御体系，最终形成自主可控、安全高效的新型办公架构。

　　通过上述“组织保障筑基、技术架构提能”的系统性建设，天弘基金在复杂办公环境下的终端安全管控成效显著，既落实了有关《基金管理公司网络和信息安全三年提升计划(2023-2025)》的监管要求，又实现了“安全与效率”的协同发展，具体体现在以下三方面：

　　“决策-管理-执行”三级组织架构，打破了传统终端安全“技术部门单打独斗”的困境。明确总经理(决策小组组长)为信创与终端安全工作第一责任人，首席技术官协同分管，将信创与终端安全纳入公司战略层面推进；通过三级小组联动高效解决业务适配抵触、预算审批延迟等跨部门问题，为后续基础资产梳理、准入零信任部署等能力建设提供了高效组织支撑，助力终端安全建设与业务发展同频共振。

　　依托“基础资产管理+动态资产感知”的双重能力，终端资产数据实现从混乱到可控的质变：全终端基础信息准确率从改造前的无统计数据提升至99%，信创与非信创终端的资产台账实现“编码统一、维度统一、更新统一”，每台终端的硬件配置、使用责任人、合规状态均可通过“终端资产平台”实时查询；通过定期生成《资产一致性报告》，累计发现并处置资产违规问题100余起，较改造前减少60%；资产盘点效率提升100%，从原人工盘点需5个工作日缩短至系统自动盘点1个工作日，既降低人力成本，更为安全策略制定、风险溯源提供精准数据支撑。

　　“准入零信任+全端一体化防护”的技术架构，让复杂终端环境的安全防护能力大幅增强：每日物理入网环节不合规终端占比从5%下降至1%以下，降幅80%(2024年日均拦截不合规终端1.2台)；远程零信任网关2024年累计阻断异常访问1000余次，实现“连续365天内网安全零事故”；全终端统一的杀毒软件与MDM管控，使勒索病毒感染实现“零感染”，违规软件安装量从改造前的月均500次降至月均5次，下降99%。

　　此外，安全运营协同机制大幅提升风险处置效率，安全事件从发现到处置的平均时长从改造前的4小时缩短至1小时，有效应对了信创与非信创终端并存的复杂风险。

　　复杂办公环境的终端安全涉及多终端、多部门、多场景，单靠技术部门难以推进。实践证明，由高层牵头的领导小组能有效打破“部门壁垒”：协调人力资源部开展信创技能培训(2024年累计培训12场、覆盖800人次)，有效解决了“信创终端使用率低”的问题；联动内控合规部建立终端安全合规检查机制，解决了“业务部门抵触安全管控”的问题。只有将终端安全管理一体化纳入公司战略层面，才能确保资源投入与执行力度到位。

　　办公环境“复杂性”背后，潜藏着终端技术依赖、安全策略被动调整的风险。因此，安全架构必须锚定“自主可控”核心，通过信创终端替代打破硬件与系统依赖，依托国产软件解决办公适配难题(信创终端软件适配率从70%提升至98%)，以自研安全Agent与国产SOC平台构建防护体系。

　　信创终端全面替代需构建“分层负责、协同联动”机制：高层牵头的领导小组统筹决策与资源保障，破除跨部门协同壁垒；信息技术部门聚焦技术攻坚，解决适配难题，按“先非核心、后核心”推进；需求部门提报需求、配合适配测试；风险管理与合规部门监督合规性与成效并推动经验行业分享。各部门权责清晰、各司其职，才能在保障业务连续的同时，实现办公底座自主可控。

　　在现有云桌面基础上，进一步提升云桌面平台的安全性与灵活性：引入分布式架构增强容灾能力，单节点故障后业务恢复从30分钟缩短至5分钟；部署智能负载均衡算法，实现信创终端、移动设备等多终端接入时的资源动态分配(资源利用率提升30%)；强化云桌面与信创终端的深度融合，采用符合国密SM4标准的信创安全传输协议，提升数据传输效率(传输速率提升20%)与加密强度，使云桌面成为信创生态的“弹性延伸”。

　　[1]信创：信息技术应用创新，核心是通过国产软硬件替代实现关键信息基础设施自主可控。

　　[3]MDM系统：移动设备管理系统，可远程管控终端配置、软件安装权限的工具。