多端融合、高效安全办公的飞连有多硬核？

随着企业数字化转型的不断深化，远程办公 & 运维、移动办公逐渐成为新常态。据中国互联网信息中心（CNNIC）公开数据显示，截至 2020 年 12 月，我国远程办公用户规模达3.46 亿，占网民整体的 34.9%。 在复杂多变的办公环境下，企业在办公安全的保障上有了新的挑战：

对于企业 VPN 安全而言 ，当办公地点不再局限于办公室，当家庭、咖啡厅、地铁等均成为新兴办公场所，办公边界被无限扩大，而每一个办公节点都意味着企业网络的延伸。随着终端接入数的增加，对组织资源的控制减少，如何保障每个接入设备的安全性，避免企业数据资产的泄露？这将是办公安全需要考虑的重点之一。

对部分企业使用 Wi-Fi 来说 ，会存在 Wi-Fi 密码强度过低，甚至全员共用一个密码的情况。同时，也存在企业有多地办公分支的情况下，员工需要反复输入账号密码的场景。这无论是对企业数字资产的保护，还是对用户体验的兼顾，都不甚友好。

针对 IAM（身份权限管理）权限管理 & 动态安全的效率问题 ，由于远程、移动办公形态多样，仅仅采用防火墙或杀毒软件无法解决所有办公安全的问题。为满足安全办公的多样化诉求，员工需要下载拥有 Wi-Fi、VPN、防病毒等功能的多个软件。但是，往往这些软件各自独立，对于员工而言，需要分别登录，熟记多套账号密码，IT 人员也需要同时运维多个客户端，无论对于员工的使用体验还是 IT 人员的运维难度，都起了负面作用。因此，企业急需减少办公期间系统层面的不便，降低维护成本，提高办公效率，让通路建设更容易、更便捷。

最初，字节跳动曾尝试使用商业化产品解决以上痛点，但经过长时间的测试，发现市面上的已有产品很难达到要求，难以解决多端资源占用导致维护成本高、移动端体验差、高并发高可用等问题。 因此，针对办公安全的诸多痛点，字节跳动经过 3 年多的钻研，潜心打造了“飞连”产品。

作为数字化转型下的企业级办公安全产品， 飞连成为贯穿身份认证（IAM 身份权限管理）、远程办公工具（企业 VPN）、办公网络管理（Wi-Fi 连接、有线连接）、终端安全（防病毒、数据防泄漏）和统一管控协调能力（动态安全）于一体的数字化办公平台 ，为企业构筑新一代网络安全架构、提升办公安全和效率提供有力支撑，成为字节跳动内部生产环境和合作企业的办公安全产品首选。

任何一款产品，实用有效才能经得起时间考验。飞连有多强大？究竟拥有哪些核心产品能力？能够解决用户哪些痛点？下面一一为大家解读。

IAM（身份权限管理）

身份安全是信息安全的基石，从互联网诞生之日起，身份安全就受到重视。身份一旦被盗用，就意味着风险将至，而风险的大小也与系统的价值密切相关。IAM 关乎用户的身份验证 （登录）和权限配置问题，需要保证用户在适当的身份和权限下使用。

飞连打通了 常见的企业 IM（即时通讯） ，支持 常见协议的单点登录 ，具备 多因素认证能力 ，以及 敏感系统校验能力 。飞连通过应用管理、身份验证、角色管理的结合，确保用户实现“一次登录，在合理的权限范围内便捷访问”的能力。在员工不同的工作周期（入、离、调、转），实现权限的动态调整和及时回收，确保无权限溢出。

应用接入层面，飞连支持多种认证协议接入企业内部应用。接入后，我们通过飞连管控平台即可完成基于人员、部门、角色的应用权限访问控制。飞连还支持应用访问二次认证及账号防暴力破解，保证用户内部应用访问的便捷和安全。

在登录方式上，为保证企业员工接入飞连的便利性，不改变企业员工原有的认证方式，产品支持对接主流第三方认证平台，员工可用已有账户直接登录飞连产品安全地访问内网应用。第三方对接支持飞书、钉钉、企业微信、AD 域、LDAP 等多种认证源。

此外，飞连支持主认证与辅助认证等多种组合认证方式，保障用户身份认证的合法性。在员工输入账号口令后，辅以短信验证码或 OTP 校验，支持手机端扫码登录和推送确认等功能，在确保安全的基础上，实现了高效登录。

企业 VPN 管理

飞连为了更好的支持企业远程办公和保护企业的网络安全，推出虚拟专用网络（VPN）功能，能避免企业暴露内部服务在互联网上从而被黑客攻击，同时保护企业员工远程办公的数据安全，防止中间人攻击和被窃听。飞连提供远程办公能力，其传输效率、访问时延、加密性能相比 OpenVPN、IPsec 协议性能更优。

在 2020 年疫情爆发情况下，飞连为字节跳动员工提供远程办公基础服务，期间运行 网络波动小、延迟低，带宽峰值 50Gbps，覆盖员工所在国家超过 30 个，支持日并发量 10 万 。在如此巨大并发的情况下，硬件、软件和维护成本均没有增加。

疫情在家办公期间，抖音、今日头条、西瓜视频等业务线审核量突增，大量审核人员需要连接 VPN 进行审核操作，飞连在 3 - 4 小时内，通过镜像安装的方式快速 实现服务器扩容 ，高效支持激增的业务量，保障不受影响。此外，飞连支持 Windows、Mac、iOS、Android、Linux 多类终端，支持 UDP 及 TCP 双协议 ，并根据用户网络情况，通过多维度参数计算，自动选择对用户体验更好的传输协议和节点，保证通信过程的流畅性。

Wi-Fi 管理

飞连产品提供 Wi-Fi 安全接入能力，保障接入无线用户 一人一账号 ，提供 复杂度较高的密码 ，无论用户出差到哪个分支地点，都可使用该账号密码 一键连接 Wi-Fi ，避免额外记忆和反复输入。

除此之外，飞连也支持 访客 Wi-Fi 申请。员工提前为访客申请访客 Wi-Fi 的账户和密码，访客连接访客Wi-Fi，触发 portal 页面后，员工可以帮助访客填写账户密码或者直接帮助访客进行扫码，服务端完成访客账户密码认证后，访客即可完成 Wi-Fi 连接。这种方式交互简单，又能避免 Wi-Fi 密码泄漏风险，严格控制访客账号有效时间和访问权限。

动态安全

事实上，传统的商业化产品对安全的管控能力比较单一，缺乏灵活的自适应能力。 网络权限“一刀切” 便是典型问题之一。在“一刀切”方案下，产品不会判断你的权限是否高危，但凡是有问题的网络连接，都会采取直接切断网络的方式，这种操作缺乏对权限的灵活收缩能力。

其次，传统的产品 网络准入的判断维度较为单一 ，一般采用通过终端基线、身份认证的方案。但实际上，企业除了安全基线检测外，很多员工行为也需要进行管控。市面上满足以上全部功能往往需要多个产品组合，同时各类产品本身的兼容性、对系统资源的消耗，都是令员工和 IT 人员头疼的问题。因此飞连采用动态安全方案，既解决了多种安全问题，同时又规避了系统资源过量消耗以及软件间兼容性问题，为员工提供了更加高效的终端办公环境。

飞连集终端基线、数据防泄漏、终端防病毒能力于一体 ，通过检测终端的基线信息、软件安装情况、恶意文件、数据泄漏行为， 持续评估用户设备的安全状态，动态调整终端的网络访问权限 。如针对非高危的操作，飞连可支持权限降级。降级的维度可支持用户自定义，包含有线、Wi-Fi、VPN 的数据访问权限。根据不同检测结果，飞连能通过决策引擎进行鉴权，实现动态网络权限调整，为用户提供应用级访问控制，以达到保护企业资源的目的。当某个员工终端存在风险操作时，能够快速进行权限收缩，防止影响面扩大。

在核心功能之外，飞连很好地继承了字节跳动 C 端产品的基因，拥有简单而流畅的 产品体验 。比如：飞连客户端支持一键连接 Wi-Fi、一键连接 VPN 和 VPN 快捷小组件，无需做额外配置和证书操作。VPN 支持全局模式和极速模式快速切换，更利于远程办公场景下，内部资源的快速访问。飞连针对移动端进行适配性开发，具有 iOS、Android 系统的快捷组件功能，支持让员工无需进入 App 内部即可完成 VPN 连接，方便快捷。

数字化办公时期，找到一个靠谱的适合企业自身的工具，才能事半功倍。在可预见的未来里，飞连将持续纵深发展，同时联动行业生态伙伴，共同助力企业网络安全体系和产业数字化的转型升级。