文章总结： 该文档介绍了虎符网络为万人企业实施OA暴露面收敛的实践案例，对比了传统客户端零信任方案的高成本、复杂部署和用户体验问题，提出WEB隐身盾解决方案。通过DNS和反向代理层实现三端统一保护，无需客户端安装和身份改造，3天完成部署，56天零故障运行，拦截攻击69万+次，综合成本下降93%。关键发现包括弱密码检测、护网期间高效拦截和IT工单减少40%，建议OA/WEB场景采用更轻量的暴露面收敛方案。 综合评分： 85 文章分类： 解决方案,应用安全,网络安全,安全建设,终端安全

传统零信任之困:一个万人企业的OA(PC/WEB/APP)暴露面收敛实践

原创

虎符网络 虎符网络

虎符网络

2026年5月25日 15:14 日本

在小说阅读器读本章

去阅读

3天部署，10000人覆盖，56天零故障，拦截攻击69万+次。这是我们为一家万人规模企业完成OA暴露面收敛后的真实数据。

一、客户找到我们时，客户端零信任方案已经“跑不动了”

这家客户是一家万人规模的集团企业，OA是全公司最核心的协作平台，8000-9000多人每天都在上面跑流程、看报表、审合同。

两年前他们为了收敛OA的暴露面上了客户端零信任方案，采购成本30万+，部署加推广前后花了三个多月，IT部门三个人全程跟进。客户端零信任确实能收敛业务暴露面，逻辑上是没问题的。

但问题是，采用客户端零信任收敛OA暴露面的方式，付出的代价极高。

客户的信息安全负责人跟我们说了一句很直白的话：“我们花了30多万上了客户端零信任，结果用户天天骂、运维天天忙、出差天天断，安全没出事但体验先崩了。”

二、我们看到的三个典型问题

接触这个客户后，我们做了详细的现状调研。发现的问题非常有代表性——几乎所有用客户端零信任保护OA的企业，都会遇到类似的困境。

问题一：三重成本叠加，OA安全不该这么贵

客户端零信任的成本不只是采购那30万，真正的负担是“三重成本叠加”：

• 采购成本：30万+的License，按用户数和终端设备计费，人和设备越多越贵

• 落地成本：部署和推广了3个多月、3人全程投入；OA的PC客户端、APP端、Web网页端都要分别适配和集成SDK；还要做身份对接（或者让用户维护两套账号）

• 维护成本：客户端持续推更新、证书续期、策略调优、兼容性排查、每次OA升级都要联调

三项加起来，第一年综合投入早已远超30万。对于“保护OA”这一个具体场景来说，投入产出比严重失衡。

问题二：PC端、APP端、Web端，每个入口都是一道坎

OA有三个入口：PC客户端、手机APP、Web网页端。客户端零信任要保护这三个入口，意味着：

• PC端：必须安装零信任客户端，开机自启，占系统资源，偶尔和杀毒软件冲突

• APP端：需要集成零信任SDK，每次OA APP升级都要重新打包测试，版本发布节奏被拖慢

• Web端：走零信任认证网关，多一次跳转，加载速度明显变慢

身份体系更是绕不开的难题。这家客户最终没做身份对接（改造成本太高），选择了让用户维护两套账号。结果就是8000多人记两套密码、密码策略不一致、IT服务台电话响不停、新员工入职开两个号，离职销两个号。

业务部门的反馈很直接：“自从上了这个东西，OA变难用了。”

问题三：隧道模式在复杂网络下不稳定

零信任客户端依赖隧道连接，在网络环境复杂的场景下问题很大：

• 出差场景（酒店WiFi、高铁、手机热点）下隧道频繁断连重连

• 手机在WiFi和4G/5G之间切换时隧道中断，APP端白屏或报错

• 某些安卓机型集成SDK后经常闪退、后台被杀、VPN权限冲突、耗电量剧增

• iOS大版本更新后偶发连不上，要等厂商出兼容补丁重新集成

用户的第一反应永远是“OA又崩了”。IT服务台每周十几条“OA连不上”的工单，排查下来全是零信任客户端相关的问题。

三、我们的方案：同样收敛暴露面，但换一种方式

客户的核心诉求很明确：OA暴露面要收敛，但不能以牺牲用户体验、堆高运维成本为代价。

这正是WEB隐身盾要解决的问题。零信任和隐身盾都能收敛暴露面，但实现路径和用户侧的体验完全不同：

针对这家客户的OA场景，我们方案的三个核心优势：

1.三端统一保护，一次部署全覆盖

隐身盾工作在DNS和反向代理层，不管用户从PC客户端、手机APP还是Web浏览器访问，走的都是同一个域名，统一收敛，不需要分别装客户端、集成SDK、做适配。

2.零身份改造，复用OA原有账号

隐身盾直接识别OA自身的登录行为和会话状态，不需要对接第三方身份源，不需要用户记第二套密码。用户登录的还是原来的OA账号，体验完全不变。

3.无隧道依赖，彻底解决断连问题

隐身盾是标准的反向代理架构，用户请求走普通HTTPS，不存在隧道断连、重连的问题。出差、弱网、WiFi切4G——所有场景下的体验和直接访问OA完全一致。

四、落地过程：3天完成，1人部署

我们和客户信息安全部一位同事配合，总共花了3天：

上线第一天，全公司8800多人正常使用OA，没有一个人发现有任何变化。

没有通知、没有培训、没有客户端安装、没有SDK集成、没有身份对接——就这么无感地完成了切换。

对比之前上客户端零信任的过程：2周部署、3人协作、3个月全员推客户端、APP重新打包、身份体系讨论两周最终放弃对接……这次的落地效率，客户自己都觉得不可思议。

五、56天运行数据

部署完成后我们持续跟踪了56天的生产运行数据：

安全拦截

• 累计拦截外部攻击：695,700+次

• 高危攻击拦截：7,500+次

• 弱密码/弱口令拦截：4,000+次

• 暴力破解拦截：460+次

• 漏洞利用拦截：133次

• SQL注入拦截：7次

• 护网期间高危拦截：900+次

这些数字说明一个事实：之前客户端零信任方案在位时，这些攻击一直在发生，只是没有被检测到。客户端零信任不做Web层的攻击检测，攻击流量直接打到OA上，全靠自身的安全补丁在扛。隐身盾上线后，这些威胁第一次被完整地看见和拦截。

业务稳定性

• 56天零故障、零投诉

• 日活跃用户8800+，高峰期无明显延迟

• 零“OA连不上”“OA变慢”的反馈

• 出差、外网、移动端场景全部正常——没有隧道，就没有断连

成本对比

• 零信任方案（之前）：采购/年费30万+；部署周期3个月；部署人力3人；应用改造SDK集成+身份对接；客户端推送10000+终端；日常运维1人大半精力

• WEB隐身盾（现在）：采购/年费x万/年（x小于3）；部署周期3天；部署人力1人；应用改造零改造；客户端推送无需；日常运维基本免维护

综合成本下降93%以上。

六、客户反馈的几个意外收获

除了安全提升和成本下降，客户反馈了几个我们也没预料到的变化：

• 弱密码问题终于有数据了。隐身盾上线第一周就检测出4000多次弱密码登录，客户之前一直知道有这个问题但没有数据支撑，现在终于有依据推动全公司密码策略升级。

• 护网不再是全员加班。以前每到护网季OA就是重点被打的对象，这次护网期间隐身盾拦截了900多次高危攻击，OA全程安全。客户说“第一次在护网期间睡了个好觉”。

• IT服务台工单量下降40%。没有了零信任客户端，就没有了“连不上”“密码过期”“手机装不了”“出差用不了”这类工单。

• APP发版节奏恢复了。之前每次APP升级都要和零信任SDK做兼容测试，版本发布经常被卡。现在隐身盾和APP完全解耦，想什么时候发就什么时候发。

七、我们的思考：OA/WEB安全需要“对症下药”

做了这么多OA暴露面收敛的项目，我们越来越确信一个判断：OA/WEB场景和客户端零信任方案之间存在结构性的错配。

• 成本错配：OA/WEB安全是一个具体场景，不需要30万+的全套零信任架构

• 体验错配：OA有PC客户端、APP、Web三个入口，零信任要逐个适配装客户端/集成SDK，用户体验被严重拖累

• 身份错配：OA本身有完善的账号体系，零信任再建一套是重复投入

• 稳定性错配：OA用户量大、使用场景杂，隧道模式在弱网下的不稳定会被放大成大面积投诉

客户端零信任不是不好，它在远程办公接入内网、多云环境统一管控、终端精细化准入等场景下依然是正确选择。但对于OA这类有独立账号体系、多端访问、用户量大的Web应用，需要一种更轻量、更贴合场景的收敛方式。

WEB隐身盾做的就是这件事：同样实现暴露面收敛，但不装客户端、不改应用、不改身份体系、不依赖隧道。把安全做在用户看不见的地方，让防护像空气一样存在。

如果您的企业也在用零信任保护OA，遇到了类似的成本、体验或稳定性问题，欢迎扫描下面二维码联系我们。

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：虎符网络 虎符网络 虎符网络《传统零信任之困:一个万人企业的OA(PC/WEB/APP)暴露面收敛实践》