“我们要过等保 2.0,员工还在用家里电脑连公司内网,这块怎么整改才不扣分?”——最近做等保测评的中小企业老板和 IT 负责人常这么问。今天我把等保 2.0 对远程办公/远程接入到底有哪些硬要求、常见的扣分点、以及中小企业怎么低成本整改到位讲清楚。
等保 2.0 对”远程接入”到底要求什么
等保 2.0(GB/T 22239)在安全通信网络、安全区域边界、安全计算环境几个层面,对远程访问内网都有明确条款。落到中小企业,核心就这几条:
- 身份鉴别:远程登录要有双因素/强身份认证,不能只靠一个账号密码
- 访问控制:按需授权,谁能访问哪些系统要可控,不能一连上就进整个内网
- 通信加密:远程传输全程加密,防窃听篡改
- 安全审计:谁、什么时间、从哪、访问了什么,要有留存可查的日志(通常要求 ≥6 个月)
- 边界防护:内外网边界要有访问控制设备,非授权设备不能接入
为什么”传统 VPN / 境外组网”常在这里扣分
| 测评关注点 | 传统 VPN | ZeroTier/Tailscale |
|---|---|---|
| 连上后权限 | 一进全通,难按需 | 虚拟大二层,粒度粗 |
| 审计日志 | 看设备,常缺细粒度 | 控制面在境外 |
| 数据/控制面落地 | 自建可控 | 境外,过境存疑 |
| 双因素认证 | 需额外采购 | 弱 |
简单说:老 VPN 的”一进全通”违背等保要的”按需访问”;境外组网工具的控制面和元数据过境外,审计和数据合规这关不好过。
中小企业怎么低成本整改到位
不用上几十万的大厂设备。中小企业最划算的路线是用零信任(ZTNA)方案替代远程接入这一环,正好对上等保的几条硬要求:
- ✅ 强身份 + 单设备登录 → 满足身份鉴别,账号被盗也难横向
- ✅ 按用户授权子网/IP/端口 → 满足”永不信任、按需访问”
- ✅ 全程加密 → 满足通信加密
- ✅ 访问日志留存 → 满足安全审计可追溯
- ✅ 控制面在国内机房、已备案 → 数据/元数据不过境,合规无硬伤
我们自研的 sTrust 零信任就是按这个思路做的:SaaS 开通、不用买硬件、5 分钟上线,把远程接入这块从”扣分项”变成”加分项”。已服务东方通等企业,数据在阿里云北京机房,审计日志默认保留。
常见问题
Q:只整改远程接入,等保就能过吗?
A:不能。等保是体系性的(主机、网络、管理制度等都要),但远程接入是中小企业最常见的扣分项之一,把这块用零信任补好,能去掉一大块硬伤。其余项我们也能配合测评机构一起梳理。
Q:整改要停业务、改造内网吗?
A:基本不用。零信任是叠加在现有网络上的接入层,员工换成新客户端登录即可,内网结构不动,平滑切换。
Q:这事会取代我们 IT 的工作吗?
A:不会。我们是配合企业 IT 一起把合规这块落地——出方案、配策略、对接测评,IT 该管的还管,我们当外援补安全这块短板。
要过等保,远程接入这块想一次到位?
sTrust 零信任,控制面全在国内、可过等保、带审计日志。免费试用 5 人 30 天:strust.siwenlide.com,电话 400-686-2011。