《安全牛：現代企業零信任安全構建應用指南研究報告（2021）（59頁）.pdf》由會員分享，可在線閱讀，更多相關《安全牛：現代企業零信任安全構建應用指南研究報告（2021）（59頁）.pdf（59頁珍藏版）》請在三個皮匠報告上搜索。

1、5G 融合云計算、大數據、人工智能技術催生了眾多互聯網新興業務，數字化轉型成為國家經濟發展的重要抓手?！靶禄ā笔菄覐慕洕L遠發展角度提出的新經濟、新技術、新產業的國家戰略，它是5G、人工智能、大數據中心、工業互聯網等科技創新領域的基礎設施?；ヂ摼W業務的訪問不再一個個孤島似的的網絡連接，而是更細度的端到端的遠程訪問，數據價值水漲船高，引發了外網 APT 攻擊持續高發。同時，利用端到端連接構造的 APT 攻擊也更加多樣化，勒索病毒、郵件釣魚、0day 漏洞利用讓我們目睹了邊界防御對端到端遠程連接訪問時夾帶威脅的無奈。剛剛過去的 2020 年，快速爆發的疫情對各行各業都是一個極大的挑戰，然而 2

2、020 年已經過去了，疫情并沒有結束。這讓我們意識“新冠”不是第一個也不會是最后一個影響人類傳統生活模式的自然災難，與病毒共生成為全人類的共識?；ヂ摼W遠程工作、端云協同成為企業持續發展的必要條件，并成為當代人們生產生活的常態。剛需之下，我們看到了傳統 VPN 網絡在遠程辦公訪問重壓下的蒼白，設備癱瘓、利用漏洞繞過驗證、設備失陷等等。邊界防御在業務和安全的雙重重壓下備受挑戰，“可信網絡”成為傳統安全防御架構演進的嚴重瓶頸和障礙，“零信任”成為探索新基建網絡安全建設的重要理念和實踐。本報告中部分圖表在標注有數據來源的情況下，版權歸屬原數據所有公司。安全牛取得數據的途徑來源于廠商調研、用戶調研、第三

3、方購買、國家機構、公開資料。如不同意安全牛引用，請作者來電或來函聯系，我們協調給予處理(或刪除)。報告有償提供給限定客戶，應限于客戶內部使用，僅供客戶在開展相關工作過程中參考。如客戶引用報告內容進行對外使用，所產生的誤解和訴訟由客戶自行負責，安全牛不承擔責任。引 言免責聲明 本次調研發現，78.9%國內用戶認為零信任還處于概念熱度期，但對運用零信任安全相關解決企業數據中心遠程訪問、云計算服務訪問、邊緣計算、5G、新興互聯網等場景下的安全問題充滿信心。超過 80%的調研用戶表示有零信任應用計劃，其驅動因素包括有外來的互聯網風險、業務發展及疫情影響。零信任構架是融合了網絡安全、認證、加密、計算環境

4、安全、數據安全等技術構建的基于熵減的開放的安全系統。構建零信任網絡的核心組件和支撐組件都可以因地制宜，但身份驗證是所有零信任實踐的基礎。訪問策略決策點前置，其安全能力和信任策略的可用性、有效性、可靠性將會成為新挑戰?；谠频牧阈湃卧L問方案可以快速構建企業安全能力，幫助企業降低安全部署成本。零信任技術可以將安全延伸到端，將成為未來端、邊、管、云融合協同應用中端到端連接的新安全賽道。目前用戶認為零信任還沒有技術/行業標準支撐，沒有標準化的信任基線和通用的訪問控制模型，企業規劃沒有可衡量的尺度，是零信任體系建設的主要挑戰。另外，安全產品缺少開放標準，不同廠家的產品之間沒有開放接口和互聯互通，盡管市場

5、上產品非常豐富，但多是各自孤立的系統，難與零信任核心組件有機融合。部分用戶認為零信任體系建設周期長、開發成本高，零信任投產上線后防御能力的增強和引入的風險不清晰，其效益無法量化評估，建設是否能得到公司領導層的有力支持是個挑戰。最后，零信任架構技術復合度高，安全運維的復雜度也是用戶擔心的主要問題之一。報告關鍵發現 第一章 零信任(Zero Trust)簡介.1 1.1 基本概念.1 1.2 驅動因素.2 1.3 發展歷程.3 1.4 市場調研分析.4 1.5 技術成熟度.8 1.6 標準化現狀.9 1.7 總結.9 第二章 核心能力和技術實現.10 2.1 零信任架構.10 2.2 技術實現.1

6、1 2.3 能力模型.16 2.4 總結.16 第三章 典型應用場景.17 3.1 云計算應用.17 3.2 遠程辦公應用.18 3.3 遠程會議/協同應用.19 3.4 特權訪問應用.20 第四章 企業零信任能力構建指南.22 4.1 企業零信任需求評估.22 4.2 遵循的基本原則.22目 錄 4.3 架構設計的建議.23 4.4 舊系統遷移的建議.24 4.5 新系統的建設建議.24 第五章 行業應用實踐.26 5.1 銀行遠程辦公的零信任應用.26 5.2 制造企業權限管控的零信任應用.28 5.3 流動數據管控的零信任應用.30 第六章 建設的挑戰.32 6.1 政策環境.32 6.

7、2 安全效益.32 6.3 系統融合.33 6.4 實施過程.33 6.5 運維管理.33 第七章 演進趨勢和未來展望.34 相關參考文獻.35 附：行業代表性零信任安全廠商.36 A 奇安信科技集團.36 A.1 產品簡介.36 A.2 系統架構.36 A.3 系統特色.36 A.4 方案價值.38 A.5 典型組網框圖.38 A.6 綜合能力說明.39B 深信服科技有限公司.39 B.1 產品簡介.39 B.2 系統架構.39 B.3 系統特色.40 B.4 典型組網框圖.41 B.5 綜合能力說明.42C 新華三集團.42 C.1 產品簡介.42 C.2 系統架構.42 C.3 平臺特色

8、.43 C.4 典型組網框圖.43 C.5 綜合能力說明.43D 深圳竹云科技有限公司.44 D.1 產品簡介.44 D.2 系統架構.44 D.3 平臺特色.45 D.4 典型組網框圖.46 D.5 綜合能力說明.46E 數篷科技（深圳）有限公司.47 E.1 產品簡介.47 E.2 系統架構.47 E.3 系統特色.48 E.4 典型組網框圖.49 E.5 綜合能力說明.49F 中興通訊股份有限公司.50 F.1 產品簡介.50 F.2 系統架構.51 F.3 系統特色 .51 F.4 綜合能力說明.521 零信任(Zero Trust)簡介1.1 基本概念Forrester是最早提出零信

9、任(Zero Trust,ZT)概念的組織。其定義是：零信任是專注于數據保護的網絡安全范式。面對邊界安全的局限性，它提供了一組相對折衷的安全思想：在信息系統和服務中對每個訪問請求執行精確的且最小的訪問權限，來最小化數據訪問風險的不確定性。默認不授予任何訪問信任，而是基于對訪問程序的不斷評估動態授予執行任務所需的最小特權，從而將資源限制為那些僅需要訪問的資源。來源：NIST 800-207 Zero Trust ArchitectureNIST 定義了零信任架構(Zero Trust Architecture,ZTA)。認為零信任架構是基于零信任原則建立的企業網絡安全架構，包含了組件、流程和訪問

10、策略。旨在防止數據泄露和限制內部橫向移動，是企業實現數據端到端安全訪問的方法。內容來源：NIST 800-207 Zero Trust ArchitectureGartner 進一步發布了零信任網絡訪問(Zero Trust Network Access，ZTNA)建設指南。將零信任網絡訪問定義為是一種圍繞應用程序或一組應用程序創建基于身份和上下文的邏輯訪問邊界的產品或服務。在零信任的網絡訪問中應用程序是隱藏的，不會被發現，并且通過信任代理對訪問的客戶資源進行限制。代理在允許訪問或禁止網絡中其他位置的橫向移動之前，驗證指定參與者的身份、上下文和策略的遵從性。這在公網可見性中隱藏應用程序資產，可

11、顯著減少攻擊面。在2020年的ZTNA的市場指南中，增加了用于應用程序訪問的傳統VPN技術，消除了以往允許員工和合作伙伴連接和協作所需要的過度信任。建議安全和風險管理的高級管理層使用ZTNA快速擴大遠程訪問，或作為安全訪問服務邊緣(Secure Access Service Edge,SASE)戰略的一部分。內容來源：2020 Gartner Market Guide for Zero Trust Network Access綜上，網絡安全范疇里的“信任”等于“權限”，零信任的實質是通過在網絡中消除未經驗證的隱含信任構建安全的業務訪問環境?！皬牟恍湃?，始終驗證”是零信任的核心思想，權限最小化是

12、基本原則，在不可信網絡中構建安全系統是零信任的終極目標。圖 1 零信任概念演進21.2 驅動因素在國家“新基建”政策的推動下，云計算、大數據、物聯網、移動通信等新興技術快速發展，互聯網應用場景變多。千人千面的業務需求下，海量的人、設備、應用接入了互聯網，用戶類型、設備種類、應用端點越來越多。設備管理難度增加，訪問關系變得極度復雜，各種身份的人、各種類型的設備、應用程序在不同環境下錯綜復雜的糅合在了一起。云計算顛覆了傳統的邊界防御架構?；ヂ摼W技術發展使基于數據中心、云服務的數據共享成為企業戰略新的業務范式，開放的應用和數據部署在本地及多云計算中心的虛擬機上，不再全部運行在企業自己的硬件設施上。用

13、戶訪問云計算中心開放的 IaaS，PaaS 或 SaaS 服務，業務數據從云延伸到端，使得邊界難以劃分，邊界防御實施越來越難。因此每一個應用和數據的安全訪問成為了企業關注的重點。圖 2 邊界防護安全模型數字化轉型使業務的暴露面越來越大。數字化轉型帶來的是資源開放和共享，越來越多的企業應用部署到云端，企業數據通過云服務共享，資產暴露面變大，受攻擊維度也就越多。外部嚴峻的網絡威脅態勢。隨著業務數據含金量提高，黑客不再滿足低效的網絡層的流量劫持和 DDOS攻擊，轉而采用效力和隱蔽性更強，針對特定對象、長期、有計劃、有組織的定向攻擊方式。2018 年以來全球 APT 攻擊持續高發，勒索事件高居不下，大

14、量的 APT 攻擊利用電子郵件進入員工主機投毒、安裝惡意代碼、注入木馬，通過反連、控制、加密等手段使該主機失陷。其攻擊能力已超越了傳統網絡安全的防御能力，黑客可以很容易繞過網絡訪問策略進一步攻擊應用程序基礎結構?；谖恢眠M行內網訪問不再可信。訪客、供應商、合作伙伴甚至企業自己的員工攜帶 BYOD 設備訪問企業網絡以完成必要的任務，使企業內網的風險持續升高。如，眾所周知的棱鏡門事件，2018 年的特斯拉生產系統機密數據泄露事件，2020 年的 Twitter 賬號劫持事件，都有效說明“最堅固的堡壘總是從內部攻破的”，訪問位置不能說明訪問可信。企業內部，子網劃分安全域的隔離方式不能滿足細粒度業務訪

15、問的安全需求。利用網絡策略漏洞滲透到內網的惡意軟件，通過對同網段的主機端口掃描在網內橫向移動獲取特權賬號登陸憑證，提權后竊取敏感信息。3另外，對多個應用部署在同一物理機上的情況，黑客利用某個應用的 WEB 或數據庫漏洞向系統植入惡意代碼，會影響系統內其他業務的安全運行。因此，僅依據網段劃分安全域的隔離方法不能有效抵御這類橫向滲透攻擊，需要更細粒度的隔離手段。內外威脅夾攻之下，2020 年的新冠疫情使遠程辦公、遠程協作成為剛需。在遠程訪問連接的重壓之下，傳統的 VPN 不堪負重，且多業務場景中的細粒度訪問需求無法滿足，利用 VPN 漏洞的成功攻擊層出不窮。在上述眾多因素的重重重壓下，“可信網絡”

16、成為邊界安全防御架構演進的重要瓶頸和障礙，“零信任”成為探索新基建網絡安全建設的重要理念和實踐。1.3 發展歷程零信任的理念源于美國國防信息系統局(DISA)和國防部的一個稱為“黑核”(BCORE)的企業安全戰略，其目標是從邊界安全轉移向單個事務的安全。1.3.1 國際的發展歷程2004 年，Jericho 論壇基于網絡位置和單一信任局限性正式提出“消除邊界”的思想；2010 年，Forrester 升華了“消除邊界”的理念，正式提出 zero trust；2014 年，Google 在;login:雜志上陸續發布了 BeyondCorp 論文,全面介紹 BeyondCorp 的架構和谷歌從

17、2011 年至今的實施情況；2017 年 7 月，O Reilly 出版了 Zero Trust Networks；2018 年，Forrester 發布零信任拓展生態系統 Zero Trust eXtended(ZTX)研究報告；2019 年 9 月，NIST 發布 SP800-207 Zero Trust Architecture（草案）；2020 年 5 月，CSA 發布了 Software Defined Perimeter(SDP)and Zero Trust；2020 年 7 月，Gartner 發布了 Market Guide for Zero Trust Network Acc

18、ess；2020 年 8 月，NIST 發布 SP800-207Zero Trust Architecture 正式版；2020 年 10 月，美國國防信息系統局發聲全軍向零信任架構演進。圖 3 國際的發展歷程41.3.2 國內的發展歷程2018年9月，在第六屆互聯網安全大會（原中國互聯網安全大會），中國安全廠家首次提出“安全從0開始”的主題，其第一層含義是“零信任”架構；2019 年7月，零信任安全技術-參考框架作為行業標準在 CCSA TC8 立項；2019 年 8 月，Zero Trust Networks一書，首次由奇安信身份安全實驗室翻譯為中文，在國內引進出版；2019年9月，工信部

19、公開發布指導意見 關于促進網絡安全產業發展的指導意見（征求意見稿）中，將“零信任安全”列入需要“著力突破的網絡安全關鍵技術”；2019 年 9 月，中國信通院發布中國網絡安全產業白皮書(2019 年)中，首次將零信任安全技術和 5G、云安全等并列列為我國網絡安全重點細分領域技術；2020 年 6 月,在中國產業互聯網發展聯盟標準專委會指導下，成立了“零信任產業標準工作組”，并于 8 月正式對外發布國內首個基于攻防實踐總結的零信任安全白皮書零信任實戰白皮書；2020年8月，中國信通院聯合奇安信集團，在網絡安全新技術和應用發展系列發布了 零信任技術 報告；2020 年 8 月，由奇安信牽頭的信息安

20、全技術零信任參考體系架構作為國家標準在 WG4 立項，成為首個零信任安全國家標準；2020 年 9 月，由騰訊主導的“服務訪問過程持續保護參考框架”國際標準成功立項，成為國際上首個零信任安全技術標準。圖 4 國內的發展歷程1.4 市場調研分析1.4.1 用戶調研本次調研通過對用戶零信任能力、價值、應用場景、技術成熟度、驅動因素等維度的了解反映了國內零信任網絡安全的市場期望。用戶覆蓋了金融、消費互聯網、能源、制造企業、交通運輸、政府/公共事業單位、電信運營商、教育等領域，其中 1000 人以上的大型企業占 60%，中、小規模企業各占 20%左右。5根據統計數據分析，我們看到用戶對運用零信任安全能

21、力解決企業數據中心遠程訪問、云計算服務訪問、邊緣計算、5G、新興互聯網等場景下的安全問題充滿信心，遠程訪問和交付安全、安全合規、行為追蹤和事件溯源是主要訴求，但很少人（約 4%）會認為它能完全替代邊界防護。其中，80%的調研用戶表示有零信任應用計劃，其驅動因素包括有外來的互聯網風險、業務發展及疫情影響。如圖 5 所示，調研用戶 24%來自金融領域，14%來自安全行業，消費/服務、互聯網及能源行業用戶各占 10%，電信、政府和制造業的用戶各占 8%，交通行業用戶占 4%，教育占 2%，其它行業 2%。圖 5 調研用戶行業分布 如圖 6 所示，用戶認為零信任在訪問控制、動態防御和規避傳統 VPN

22、漏洞方面會有明顯增強。圖 6 能力和價值6 圖 7 安全訴求 圖 8 構建計劃1.4.2 國際廠商根據最新的Zero Trust eXtended Ecosystem Platform Providers報告，國際處于領導者地位的零信任安全廠商以美國居多，主要有：Akamai、Appgate、Cisco、PaloAlto Networks、Illumio、MobileIron。其中，Akamai 是全球最早最大的 CDN 服務提供商，零信任能力的代表產品有 ETP，EAA 及 Kona Site 如圖 7 所，用戶對零信任的安全訴求會比較集中在資源安全訪問、安全合規和事件回溯 3 個方向。企業

23、對零信任架構建設計劃的調研，如圖 8 所示。7Defender。Illumio，是美國網絡安全初創企業，零信任能力的代表產品為 Illumio Core，Illumio Edge。Cisco，是傳統網絡設備供應商，零信任產品為 Duo Beyond，Tetration，SD-Access。Appgate，是一家 20 余年致力于遠程訪問安全解決方案的供應商，零信任產品為基于軟件定義的 Ap-pgate SDP。MobileIron 是移動 IT 解決方案廠商，零信任產品為 MobileIron Zero Trust Platform。其它，Okta 是出身于云計算卻致力于為云訪問接入提供身份認

24、證管理平臺，在零信任領域處于卓越表現者地位，代表產品為 Okta Identity Cloud。CyberArk，是以色列一家特權管理軟件廠家，2019 年 5 月收購身份安全的初創廠家 Idaptive，致力于打造以身份為中心的零信任的解決方案。Citrix，是一家虛擬化技術為主遠程接入解決方案的供應商，2018 年以來其產品 VPN、虛擬化桌面陸續暴露出嚴重漏洞。2020 年該公司加入了 Google BeyondCorp 聯盟，在 Citrix Workspace 交付的應用程序中嵌入 BeyondCorp 的訪問控制和執行策略，旨在為其代理的應用提供零信任訪問。1.4.3 國內廠商零信

25、任在國內公開提出是 2018 年的互聯網安全大會，會議主題是“安全從 0 開始”，其含義之一是“零信任架構”，默認不相信任何人、任何設備，哪怕曾經有過授權。國內廠商零信任產品化的起步時間相對國外滯后并不太多，但國內云計算產業發展略微滯后，身份信任領域的廠商較少，是影響零信任應用成熟度的主要因素。本次報告中，我們從用戶反饋、公開技術信息、產品資料、研發能力等維度，評估篩選出 6 家有較完善零信任安全技術能力和方案特點的廠商進行調研，分別是奇安信、深信服、新華三、竹云科技、數篷科技、中興通訊。分別代表了國內的網絡安全廠商，傳統通信設備廠商，身份管理廠商及安全技術創新企業。奇安信和深信服為代表的網絡

26、安全廠商，零信任理念核心是以身份認證為基礎、安全訪問控制為目標，結合既有安全組件和能力的優勢，構造了各具優勢特性的零信任安全解決方案。如，奇安信的特點在于“持續信任評估和動態訪問控制”，而深信服的特點是“智能權限、極簡運維”。新華三和中興通迅作為傳統的綜合通信設備廠商，利用通信設備在 5G、云計算、運營商、工業互聯等領域生態建設的優勢拓展新的領域，開啟零信任安全架構在不同場景下的落地實踐。竹云科技為代表的身份管理和訪問控制廠商，利用全面身份化、融合認證、特權管理的優勢能力，打造了細粒度持續驗證鑒權的零信任訪問控制解決方案。數篷科技為代表的安全技術創新公司，則以虛擬化和云計算相關技術為著力點構建

27、了計算環境隔離為主的零信任解決方案。81.5 技術成熟度1.5.1 國際零信任技術成熟度據 Gartner Hype Cycle for Network Security,2020報告，零信任的技術成熟度正在接近泡沫破裂期的谷底。根據曲線，未來 1-2 年內將越過谷底的拐點，市場泡沫衰退之后，零信任相關技術的應用會趨于成熟，產品成熟度將進一步提高并步入穩定增長階段。圖 9 Gartner2020 網絡安全技術成熟度曲線1.5.2 國內的零信任技術成熟度根據安全牛調研，國內用戶 80%認為零信任還處于概念熱度期，20%認為已進入了穩步爬升階段。這與國內企業的互聯網化狀態幾乎一致，反映的分別是傳統

28、數字化轉型企業和新興互聯網企業的安全現狀。在另一份調研中，我們看到國內部分用戶已開始了零信任的研究和實踐。整體來看金融行業步伐較快，走在了整個行業的前面，主要表現為投融資、消費金融和保險。如，中國銀行在 2018 年已啟動零信任的研究；全球化金融科技企業 AmberGroup 已從實踐步入了常態化應用階段。其次，帶有強互聯網基因的騰訊科技在2016 年左右就開始通過 iOA 系統踐行“訪問權限最小化”原則。而數字化轉型中的傳統企業如信息化基建、交通行業、智能制造行業還多處于觀望和初級起步階段。9 圖 10 國內零信任的技術成熟度1.6 標準化現狀1.6.1 國際標準2019-2020 年，NI

29、ST 推出 2.0 版本 SP800-207零信任架構1.6.2 國內標準2019 年 7 月，行業標準零信任安全技術-參考框架在 CCSA TC8 立項2020 年 8 月，國家標準信息安全技術零信任參考體系架構在全國信息安全標準化技術委員會WG4 組立項1.7 總結根據國外發展歷程可以看出，盡管零信任概念提出得很早，但演進周期較長。以 Google BeyondCorp 為代表的探索和實踐有力推動了行業零信任理念的落地、標準化和產業化。產業的真正快速發展是在 2019 年NIST標準化組織發布 零信任架構 草案之后，該標準的發布同時也助推了美國國防部下一代安全架構的演進。根據國內廠家、聯盟

30、組織、標準化方面的進展情況，可以看出零信任已經引起了國家相關部門和業界的高度重視，行業涌現出的新興廠家也較多。網絡安全是國家空間安全戰略的重要組成部分，政策、標準化是企業安全構架部署的重要依據。國內零信任的標準化已在路上，行業監管要求、產品能力的第三方驗證評估、行業互通還有待產業生態的驅動和完善。10 第二章 核心能力和技術實現2.1 零信任架構從國外到國內零信任的架構演進出多個版本。根據分析，架構核心思想一致，核心組件和支撐組件根據國內外市場安全產品的成熟度有一些區別。美國國家標準與技術研究院 NIST 發布的 SP800-207 零信任架構中的框架，分為 3 大核心組件和 8 大支撐組件。

31、如圖 11 所示，核心組件包括策略分析引擎、策略管理器、策略執行點；支撐組件有 CDM 系統、身份安全基礎設施、安全事件管理系統、威脅情報、行為日志、合規性要求、PKI 系統、數據訪問策略八個組件。圖 11 NIST 零信任架構國內以信通院為代表發布的 零信任技術白皮書 中的架構，更具國內特色:核心組件中的策略執行點（PEP）具體化為訪問代理，支撐組件以身份安全基礎設施為主，安全分析平臺列為其他。訪問代理可以有多種工作模式，使用反代模式可以隱藏訪問客體的真實身份，代替客體與訪問主體建立連接，訪問主體的原始流量不需要進入企業內網。圖 12 CAICT 零信任架構總體框圖11在 NIST 下屬的

32、NCCoE（國家網絡安全卓越中心）的實踐中，我們看到 NIST 的核心組件未變，8 大支撐系統替換成 4 個：數據安全、端點安全、身份與訪問管理（IAM）、安全分析，使零信任系統構建更具可行性。圖 13 NCCoE 正式版架構（2020 年 10 月發布）所以 NIST SP800-207 的架構并非放之四海而皆準，但這一對比也給了我們一些思考，架構在實踐中應具有指導性并經得起檢驗。2.2 技術實現基于應用遠程訪問的業務特性決定了零信任網絡訪問本身就不是某個點或某個網絡的安全防護，而是基于業務完整性的、跨網絡連接的立體范疇的防護。這也決定了零信任的構建無法依賴某一種特定的技術實現，而是融合了網

33、絡安全、認證、計算環境安全、加密、數據安全等技術構建的基于熵減原則的開放的安全系統。零信任理念提出后，在業界引起了極大的關注，出現了多種技術實現。其中，“SIM”(SDP,IAM,MSG)是零信任理念踐行中具有影響力的 3 種技術。為保證業務完整性，還需要包含與傳輸過程、訪問環境、資源管理相關的必要的支撐技術，具體體現為流量加密和認證、資產識別和威脅感知。我們將其與 SIM 技術一起，搭建了目前階段零信任網絡構建的基礎技術，如圖 15 所示。圖 15 零信任網絡構建的基礎技術122.2.1 基于 SDP 的 ZTA 實現SDP 是 2014 年由 CSA 聯盟提出的軟件定義邊界，是 ZTA 實

34、現的一種標準方法。它是一種基于身份驗證和授權的網絡訪問控制架構，要求端點在獲得受保護服務器的網絡訪問之前先進行身份驗證，根據授權在請求系統和應用程序系統之間創建加密連接。SDP 架構包括 SDP 主機和控制器兩部分，訪問流程如圖 16 所示。技術特點：采用控制面和數據面分離的模型，基于身份驗證授權主體訪問的資產范圍。SDP 將應用與不安全的網絡隔離開來，為應用程序所有者提供了邊界的防護能力。在網絡被訪問之前，每個企業資產都會隱藏在遠程訪問網關設備后，用戶必須向該設備提供身份驗證的授權憑證，才能看到授權服務并提供訪問。其優勢具體體現在：通過控制面和數據面的分離，保護企業資產和基礎設施不被黑客攻擊

35、，減少攻擊面 默認啟用“deny-all”策略，對未授權用戶隱藏所有資產，在允許訪問資源之前必須進行身份驗證 單包授權策略，提供細粒度的訪問控制 提供一種基于安全架構的連接，在控制連接基礎上還可以預先審查連接，如，從哪個設備連接到哪個服務、基礎設施等 可追溯審查攻擊過程，通過 SDP 對連接的集中控制可以改善合規的數據收集、報告和審核 增強 IT 系統操作敏捷性，使業務響應和安全需求變得更敏捷風險點：SDP 類似一個柔性的訪問控制網關，訪問一旦被授權，請求主體與被訪問資源間建立直接鏈接，訪問流量進入企業內網，隨之也會給內網帶來一定風險。因此，應用中需要考慮終端的訪問是否安全及是否在安全的環境下

36、發起訪問連接。另外，部署和建設中需要考慮單點故障，以免引起整個企業資源無法正常訪問。如，最近谷歌的云訪問控制器由于 ACL 策略配置故障引起洲際斷網，在主要故障恢復后仍造成 VPN 用戶長達 8 小時停運。圖 16 軟件定義邊界132.2.2 增強身份治理的 ZTA 實現增強身份治理的 ZTA 是基于參與訪問主體的身份創建訪問策略。通常采用基于網絡可訪問的身份認證服務或系統，其網絡層對所有訪問用戶是可見的，但企業資源的訪問權限僅限于具有適當訪問權限的主體。與傳統 IAM 的區別在于：訪問者本身的權限需結合使用的設備、資產和環境狀態等因素計算，綜合判斷是否授予最終訪問權限，其中每一個因素都可以直

37、接影響主體的信任分值甚至最終的授權。該方案在網絡層連接上有個缺點，由于總是會有惡意行為攻擊者試圖進行網絡層的偵察，或者有不可信的第三方從網絡內部發起拒絕服務攻擊，所以，基于該方案部署零信任的企業仍然需要在網絡層采用相應的防御措施對這些行為進行監視和應對。圖 17 增強身份治理2.2.3 基于微分段的 ZTA 實現微分段與網段的概念相似，是基于權限最小化的思想將安全域延伸到虛擬化部署環境中。采用虛擬化部署的方式將一個或一組資源放在隔離的空間中實施保護，核心能力是通過微分段將安全策略精細化的實施到具體的應用，避免東西向非必要和未經允許的橫向流量?；谖⒎侄渭夹g的組件可以是傳統的網絡隔離設備，如交換

38、機、防火墻、網關設備，也可以是安全容器、安全沙箱等虛擬化技術。作用都可以實現應用程序間的防護，區別在于技術實現方式不同，前者是采用虛擬化和訪問控制技術，將應用與周邊的訪問流量旁路到虛擬化安全組件，從而監管應用間的橫向數據流動，與應用14程序獨立部署。安全容器和沙箱采用微分段和虛擬化融合的內生安全技術，在計算環境層面上使操作系統或應用從宿主機中分離出來，使受保護應用和數據在一個相對獨立且受控的系統內運行，多以虛擬機或容器的方式部署。根據形態不同，該安全組件可以是單個組件也可以是網關和 agent 組合的多個組件。前提是需要有一個基于身份治理的系統對這些組件進行管理、配置和策略下發。因此，微分段的

39、設備多應用在策略執行點上。優勢在于：適用范圍廣，能在網絡、終端、服務器上部署，實現不同安全域、服務間的隔離，用戶可根據資源的劃分由粗到細逐步細化。風險可能會存在于：黑客通過非隔離系統滲透后啟動惡意軟件對物理內存等硬件組件進行旁路攻擊是導致隔離系統數據泄露和被盜的風險之一。圖 18 微分段&安全沙箱2.2.4 重要的支撐技術（1）流量加密和認證數據在網絡傳輸過程中的機密性、完整性和可用性是網絡安全的基礎要素，沒有流量安全就不能構建零信任網絡。因此，端到端數據面連接的認證和加密對零信任是非常必要的。通過認證和加密提供的數據完整性、不被篡改和抗抵賴特性可最大化提高數據流動過程中的信任指數。策略執行點

40、與訪問主體和客體間如何建立安全的數據面連接，網關模式還是代理模式、采用隧道還是傳輸層加密、哪種認證和加密算法、密鑰如何保護或交換，根據應用場景和安全需要有不同組合方案。密碼技術能為零信任可信能力構建提供多種方案。15（2）資產識別資產識別的目的是通過資產量化為用戶建立可信資產清單，是權限最小化策略執行的基礎。企業資產數量龐大并且變更頻繁，硬件增加或銷毀，服務器上下線，證書失效或更換對零信任策略的有效執行、安全運維、業務運營都有直接影響。資產識別自動化與零信任策略管理的有機融合是保障零信任架構落地的重要手段。（3）威脅感知威脅感知系統類似零信任系統的神經元，它利用采集、監測、比對、分析等技術手段

41、對訪問過程中各環節的安全風險進行檢測和識別，量化個人行為、網絡環境、資產的風險變化?？刂平M件依據威脅輸入信號、設置的策略、授權計算模型自動計算訪問權限，適時調整授權的決策，同時將決策執行精確到具體的人、設備和某一個/部分業務系 統，保證企業資產的暴露面始終處于相對安全的訪問環境。沒有感知系統的情報輸入，零信任系統感應不到企業面臨的環境威脅，動態策略執行缺少依據，就無法完成企業安全決策。威脅感知系統的建設要根據企業資產不同維度風險的權重具體定制。實現上可以采用企業現有的事件分析、威脅檢測、態勢感知類的設備或系統，將風險結果作為輸入信號反饋給零信任評估引擎，系統按照預置的策略和計算模型執行自動化動

42、態控制，持續保證授權決策在可控的風險范圍。與威脅感知系統組合聯動，能幫助企業實現更高效的零信任安全，是零信任架構安全能力的重要體現。圖 19 零信任的感知系統162.3 能力模型零信任提出的初衷是解決互聯網環境下端到端連接廣泛應用場景中，傳統邊界防護架構中默認信任引入的安全隱患惡意代碼可以無障礙的穿透防火墻通過橫向移動向企業內網滲透。根據技術實現，可以看出多種技術手段和管理方法組合共同構建了零信任的價值，如圖 14 所示：特權訪問控制、減少資產暴露面、避免惡意代碼橫向移動、數據安全訪問是零信任的核心價值。零信任是一個開放的系統，它可以隨云、大、物、移等新興互聯網技術的發展持續演進，這也是零信任

43、理念非常重要的隱性價值。圖 14 零信任能力模型2.4 總結通過以上零信任架構和技術實現可以看出，構建零信任網絡的核心組件和支撐組件都可以因地制宜，但身份驗證是所有零信任實踐的基礎。另一方面，訪問策略決策點前置，其 安全能力和信任策略的可用性、有效性、可靠性將會成為新挑戰。17 第三章 典型應用場景在新基建引領的數字化轉型的互聯網業務場景中，零信任的應用具有普適性。根據調研，零信任的典型應用中，遠程辦公和云計算應用的占比相對其它場景有明顯增加。圖 20 典型應用場景我們總結了以下幾個典型應用進行說明：云計算環境的安全訪問 員工遠程辦公 企業分支機構或異構組織間遠程協同 企業內部資源特權訪問3.

44、1 云計算應用云計算賦能企業創新，業務云化遷移成為企業重要的商業戰略，企業業務不再部署在自己擁有的服務器上，資產的風險和暴露面逐漸變大。首先，云計算環境下基礎資源共享，不同商家的業務在共享的虛擬化系統上部署，但底層就可能與不安全的應用部署在同一臺物理服務器上，惡意代碼很容易通過橫向移動進入相鄰的業務系統中。其次，業務在云端共享后訪問主體的類別變得復雜，根據2020 年云安全報告的調查，未經授權的云訪問成為云平臺的 4 大威脅之一。不同身份的訪問用戶，商家不同角色的管理者，云平臺的配置人員，系統間開放的 API 都需要獨立的訪問權限，權限劃分需要更加細致和安全。18零信任能很好幫助企業構建云業務

45、的安全交付網絡，是云計算的原生安全解決方案。如下圖所示，在云服務環境下，用戶訪問請求不會直接連接到云業務的目標服務器，而是在云數據中心邊界，采用 CDN 網絡構建的分發節點代理目標服務器與請求用戶建立連接，由云端訪問控制器對訪問請求進行驗證、最小化授權，保證訪問用戶只能看到授權范圍的服務頁面，最后由緩存服務器響應用戶的訪問請求。在 CDN 分發網絡中，最小訪問權限原則能保證每一個訪問權限范圍與其角色匹配，減少資源過度開放，減少攻擊面，減少交叉配置錯誤導致服務異常。在云數據中心，應用部署時利用虛擬化和微隔離技術，保證應用在一個相對安全的計算環境中運行，阻止不同應用之間的數據流動，避免惡意代碼在東

46、西向橫向滲透。圖 21 云計算的零信任模型3.2 遠程辦公應用 遠程辦公是零信任架構標準化的應用場景。2020 年全球疫情驅動遠程辦公常態化，企業不同分支的員工協同工作，需要遠程訪問集團內部的辦公系統、資源服務器，需要企業通過互聯網開放更多的敏感資源和應用，以完成企業的商業戰略。這種應用場景中，員工的訪問行為會遵循公司專屬的辦公行為曲線，訪問模型簡單，訪問策略相對固定，19零信任實現比較容易。（一）安全識別用戶。包括用戶的組織名稱、角色、權限，不同部門不同崗位角色不同，權限要因人而異。不管內網還是外網訪問，每個員工都要配發一套完成工作的最小訪問權限，同時根據業務的不同敏感級別考慮采用多因素對身

47、份有效性持續驗證。（二）安全識別設備?？赏ㄟ^設備是配發的、BYOD 的、移動的及操作系統是否符合要求等識別設備安全性，確保員工正在使用安全的設備訪問企業資源。（三）識別訪問環境因素。辦公場景中訪問行為會遵循某一時空特性，登錄的位置和訪問時間是判斷企業員工是否正常訪問的重要依據。圖 22 遠程辦公的零信任框圖BeyondCorp 的實踐就是基于受信任的設備和用戶而非網絡本身構建的移動辦公應用的零信任安全架構，不需再通過傳統的 VPN 連接進入企業網絡。3.3 遠程會議/協同應用遠程協同與遠程辦公的訪問模型相似，但相比遠程辦公的應用在身份驗證和權限分配上有自己特殊性。如線上學術交流、培訓，上下游廠

48、商的臨時協同，其特性表現在訪問主體的身份、角色、所用設備、訪問權限、甚至接入人數都不固定，沒有特定的規律。這類臨時的、動態的、時效特性強的場景無法采用靜態策略進行驗證授權，臨時身份的驗證，臨時設備的管理，臨時權限的發放和及時收回，留存數據清理都是遠程協同訪問場景中安全管理的挑戰。對于臨時和動態接入的場景，不能完全依賴靜態策略自動授權，可以通過遞進驗證的零信任策略，如自動準授權+人工驗證組合。20（一）環境特征可作為靜態策略進行準授權，包括：有效工作時間、人員地域特征、行業特征、設備系統屬性等。如，外包協同時可以將接入設備類型、系統類型作為接入安全的過濾條件，對非手機終端，非android 系統

49、，或者必需在安全隔離域內發起的訪問連接進行準授權；學術交流會議場景下，時間、位置、職稱特征更具代表性。（二）對給了準授權的訪問人群再進行人工篩查，對無法枚舉的個體特征進行二次身份識別，如單位名稱，人工評估與訪問資源和會議的匹配度，從而拒絕不符合條件的訪問請求。（三）最后，可結合外部威脅等級和企業原有的風險情報系統與圖 23 的零信任基礎設施融合組成風險反饋的一體化動態訪問控制系統。圖 23 遞進驗證授權的訪問流程3.4 特權訪問應用特權管理的安全與企業生存息息相關，遠程訪問需求越多，特權資產的開放度也會越高。如，運維人員掌管著公司信息化系統配置特權，高管掌管著公司的機密文件的密鑰權限，研發的配

50、置管理員掌管著公司代碼庫的更新和維護。這些權限遭到攻擊或被提權，都會給企業造成嚴重的經濟損失甚至是致命的影響。特權訪問(Privilege Access Management,PAM)的應用場景是對公司內部重要/核心資源的訪問管理，敏感度越高的資源對訪問主體身份驗證的要求就越高。傳統的特權訪問使用共享的特權賬號訪問，在訪問者切換到該特權賬號后，就會丟失訪問主體原始的身份信息，無法追溯訪問者的真實身份。零信任的特權保護，首先收回所有特權應用的訪問密碼放在 PAM 的密碼保險箱內，再將公司重要/核心資源的訪問驗證交給 PAM。PAM 密碼保險箱中的密碼會定期輪換，以保證對認證通過的訪問請求采用一次

51、一密的方式授予特權訪問憑證。PAM 通過“無密碼化”確保沒有人能掌握特權應用的密碼，避免特權濫用；對利用 APT 攻擊提權的行為21能起到很好的防御；同時經 PAM 執行的所有訪問都將被記錄和審計，有效提高整體零信任架構的安全性。特權訪問作為 IAM 系統的增強，是“永不信任，持續驗證”原則的一種體現。圖 24 PAM 特權的訪問流程22 第四章 企業零信任能力構建指南萬物互聯的安全態勢下，零信任架構的優勢相對傳統邊界防護是顯而易見的，并且是經過國內外互聯網用戶實踐，被產業驗證過的安全理念，它將引領企業的下一代網絡安全架構。4.1 如何評估企業需要零信任安全沒有銀彈，任何一種架構都沒有辦法解決

52、所有的網絡安全問題。建設前，用戶需要先評估企業是否需要零信任的安全架構。首先，零信任建設必需要與企業的數字化轉型保持同步。順應企業發展的需求會事半功倍。關注企業的新型業務，會更容易發現傳統架構安全能力的瓶頸。對傳統安全防御的痛點嘗試運用“零信任”的理念。比如，在遠程辦公的應用場景中，尋求比 VPN 更靈活和細致的替代方案。其次，正確識別企業內部的業務場景，保證安全建設能更好服務于企業業務。安全需求屬于企業分支互聯、遠程辦公、遠程協同、互聯網用戶遠程訪問、特權訪問、移動終端管控、固定資產的管理等。分析具體場景中的網絡風險帶給企業的影響，對必需消除或抑制的風險，評估是否可以通過“拒絕所有，允許例外

53、”方式消除或控制。再次，基于業務識別外部威脅。結合行業屬性，按業務先主次、數據價值高低、應用場景范圍分別識別數據暴露面，包括業務部署方式、訪問用戶規模、訪問方式、數據敏感程度、被攻擊概率及嚴重級別等。評估外部威脅是否可以通過“拒絕所有，允許例外”的方式消除或控制。企業依據以上在戰略、業務、風險三個方面的評估，可以規劃符合自已數字化轉型的零信任體系建設規劃，包括架構設計、覆蓋范圍、建設方案、建設周期、分步實施計劃等。4.2 遵循的基本原則架構設計中，以下零信任的基本原則需要遵循：原則一從不信任，始終驗證默認對所有互聯網的訪問請求或連接執行 deny，拒絕所有、允許例外。對從內網發起資源訪問的請求

54、也要求按零信任的原則強認證。原則二 以可驗證的信任作為授權憑證通過增強身份驗證、多因素驗證技術構建訪問主體的“信任”策略。不能再單一依賴人的身份信息，還要考慮到設備信任、應用信任、流量信任、環境安全因素。原則三 以訪問權限最小化原則實施訪問策略以數據為中心，對被訪問資源實施細粒度權限劃分和管控策略，權限的分配以完成工作所需的最小集為原則，避免不必要的資源暴露。如，只授權應用層訪問權限，而不授權底層網絡的訪問權。23原則四 以安全的方式發起業務訪問請求業務安全訪問是零信任理念的隱式原則。以安全的方式發起訪問請求，并采用數據加密的方法保證端到端數據在不同網絡傳輸過程中不被竊聽、篡改，是保障數據機密

55、性、完整性和可用性的重要手段。原則五 輔助威脅檢測和識別技術動態調整訪問策略通過偵聽、檢測、情報比對、行為分析等技術手段持續監測訪問過程中是否存在可疑活動并評估安全風險，給訪問控制引擎提供決策依據，動態調整訪問權限。4.3 架構設計的建議不同行業面臨的風險不同，安全防御能力的要求不相同，相同行業具體的業務模式有差別，企業內部的運營流程更是千差萬別。對零信任架構設計，我們給出以下建議供參考：（1）架構先行，做好全局規劃無論是全新架構建設還是舊系統遷移，都需要做好全局規劃，包括未來需要支持業務的安全能力，不能頭痛醫頭，腳痛醫腳。（2）架構設計務必要結合企業的業務模式和發展戰略因地制宜依據自身業務的

56、評估，遵循零信任的基本原則，參考行業經驗案例，設計符合企業發展戰略的零信任架構。架構設計優先考慮核心組件，再考慮支撐系統。核心組件需要區別選用代理模式還是網關模式。面向消費類用戶的服務，訪問請求量大，群體復雜，請求主體的信任特征不明顯，建議采用反向代理的方式代理訪問請求和響應，避免訪問流量直接進入目標服務器。對遠程辦公這類訪問主體可驗證的企業用戶，訪問的業務除 WEB 服務訪問外，可能還需要考慮 PC 客戶端應用和主機的遠程訪問，這種情況采用網關模式部署會更方便，經過強認證后將數據轉發到內網與目標服務器直接通信。云或企業數據中心內部，業務部署需要考慮東西流量的隔離和可視化。如，采用微分段技術對

57、虛擬化或容器進行安全隔離和流量控制，對東西方向的橫向滲透攻擊進行監管和控制。中心與邊緣設備或服務的連接，需要考慮南北流量的傳輸安全，采用滿足業務安全級別的認證方式、加密算法或隧道模式保證通信傳輸安全。移動或非授信設備應用場景中，數據的安全可考慮基于計算環境安全的沙盒技術，保護敏感應用或數據在非授信環境下的安全和合規使用。威脅的維度決定了支撐系統的復雜度。訪問負載大小決定了系統性能的要求。24（3）架構設計要遵循經濟學原理安全是業務發展的保障，任何網絡安全的建設都要遵循經濟學原理，安全投入和企業效益要務必平衡。企業可以參考業務的覆蓋范圍和支出成本評估自建或者選擇零信任的 SaaS 服務來構建企業

58、的零信任安全能力。4.4 舊系統遷移的建議傳統企業數字化轉型是企業發展的必經過程。這些企業多數傳統的邊界防御設施也還有效，老舊資產沉重，同時新業務要持續增長，網絡安全架構遷移會顯得更加復雜。根據調研，主要會有兩個方面問題：（1）舊業務如何平滑遷移；（2）舊架構能力如何與新架構能力融合。首先，傳統安全架構的基礎設施也是新架構能力必要的支撐組件，如身份認證系統，檢測/防御系統、日志審計系統等，與傳統安全系統的有機融合能最大化網絡整體的安全能力。其次，羅馬不是一天建成的，同樣零信任架構的能力也不是一蹴而就的，策略和與業務在運行中需要經過磨合、調整才能同步演進。具體建議包括：（1）可以考慮以合理的成本

59、采用新舊系統雙模架構運行，如構建零信任核心組件，同時保持原有安全架構和新的安全架構；（2）關注新業務場景，從新業務的安全需求著手。新的應用采用新的安全架構，或尋找最佳時機將某個業務遷移到新安全架構上試運行；（3）對舊的業務或應用，需要 case by case 逐個施加到零信任的安全能力上；（4）在過渡期設定試運行時間，在該時間段確保舊業務可通過新的安全架構訪問，同時在此過程中識別和修復不符合遷移要求的業務；（5）確定業務在新架構的策略下穩定運行后，再考慮將原有的安全設備作為零信任能力增強的支撐組件融合到新架構上，逐步完善形成可共同演進的有機整體。4.5 新系統的建設建議對于新興互聯網企業，傳

60、統防護設施不多，陳舊資產包袱不那么重，業務權限梳理清晰后，可以考慮直接過渡到零信任架構。在新賽道上安全保障比傳統企業的步伐走的快些，能有效支撐企業業務快速發展甚至彎道超車。以下幾點建議，供新系統建設的企業用戶參考：（1）遵循零信任原則，根據業務場景做好全局安全規劃，劃分好業務安全級別，分步驟落實。（2）核心組件選擇有幾以下個要點：技術先進性。選擇具有代表性的先進技術，保持技術領先性，這一點對企業新系統建設很重要，如系25統支持基于屬性的訪問控制(Attribute-Based Access Control,ABAC)，能支持與主流的 SSO,CAS,Oauth2 等第三方身份認證系統對接。核心

61、組件的最小業務容量?？刂泼婧蛿祿嫘枰謩e評估，控制面參考訪問請求的用戶數量，數據面參考共享業務或應用的數據流量。根據業務增長系數留有一定比例的冗余，以保證潛在的或未來一段時間內業務擴容的需求?？笵DOS攻擊的能力。訪問決策點前置后會直接接收訪問請求流量，控制系統抗D能力是需要考慮的，該指標需結合業務受攻擊的概率和行業內相似訪問規模企業受網絡攻擊的經驗值。核心組件的可靠性?？煽啃缘脑u估對企業零信任體系建設非常重要。零信任架構與傳統防御架構一點重要區別是：傳統的安全設備可以旁路，但零信任架構需要與業務強融合，要將業務流量串聯到系統里，其可靠性會直接影響業務的正常運營，需要考慮避免出現單點故障。產

62、品結構上控制面和數據面是否分離是企業選擇產品時需要考慮的。部署的方式的考慮。選擇基于云服務的零信任架構還是自建基礎設施，要根據業務的分布方式和部署方式決定。（3）支撐組件的選擇參考企業業務的暴露面和外部的攻擊風險綜合評估。（4）最后，需要注意的是零信任的架構是一組安全產品有機組合的系統，不是靠某一款設備實現的。安全產品的開放性決定了與核心組件及未來規劃的支撐組件融合的有效性。26 第五章 行業應用實踐在行業的應用和實踐方面，國外 Google BeyondCorp 研究論文、NIST NCCoE 發布的實現零信任架構，都有實踐經驗的分享。調研中，我們也收集了國內企業在零信任應用中的實踐案例，并

63、做了分析，供用戶參考。5.1 銀行遠程辦公的零信任應用5.1.1 案例背景某銀行行內主要是以辦公大樓內部辦公為主，員工通過內網訪問日常工作所需的業務應用。為滿足員工外出辦公的需要，之前主要的業務流程是：用戶申請 VPN+云桌面的權限，在審核通過后，管理員為員工開通權限范圍內的應用；遠程訪問時，員工采用賬號密碼方式登錄 SSL VPN 客戶端及云桌面撥入行內辦公網絡，訪問行內辦公系統。隨著該行業務發展以及數字化轉型的需要，遠程辦公已經成了行內不可缺少的辦公手段，并日漸成為該行常態化的辦公模式。同時，經過新冠肺炎事件影響，使得行內有些業務必須對外開放遠程訪問。為了統籌考慮業務本身發展需求以及類似于

64、此類疫情事件影響，該行著手遠程辦公整體規劃設計保證遠程訪問辦公應用、業務應用、運維資源的安全性。圖 25 客戶業務現狀其安全挑戰體現在：（1）用戶遠程訪問使用的設備存在安全隱患員工使用的終端除了企業統一派發的終端還包括私有終端，安全狀態不同，存在遠控軟件、惡意應用、病毒木馬、多人圍觀等風險，給內網業務帶來了極大的安全隱患。（2）VPN 和云桌面自身存在安全漏洞VPN 和云桌面產品漏洞層出不窮。尤其是 VPN 產品，攻擊者利用 VPN 漏洞極易繞過 VPN 用戶驗證，直接進入 VPN 后臺將 VPN 作為滲透內網的跳板，進行肆意橫向移動。27（3）靜態授權機制無法響應風險當前的網絡接入都是預授權

65、機制，在應用訪問過程中發生用戶使用非常規的設備、地理位置、訪問頻次、訪問時段進行異常操作、違規操作、越權訪問、非授權訪問等行為時，無法及時阻斷訪問降低風險。5.1.2 解決方案為應對上述安全挑戰，同時滿足客戶遠程訪問的要求，基于“從不信任、始終驗證”的零信任理念，構建了“以身份為基石、業務安全訪問、持續信任評估和動態訪問控制”的核心能力。從設備、用戶多個方面出發，采用立體化的設備可信檢查、自適應的智能用戶身份認證、細粒度的動態訪問控制、可視化的訪問統計溯源、模型化的訪問行為分析，為客戶提供按需、動態的可信訪問，最終實現訪問過程中用戶的安全接入及數據安全訪問。同時，結合客戶現有安全管控的能力，與

66、客戶現有的網絡安全分析系統進行安全風險事件聯動進一步提供動態訪問控制能力。圖 26 遠程訪問的零信任解決方案如圖 26 所示，可信終端通過 agent 對訪問請求終端全方面安全掃描（設備信息、病毒掃描、漏洞掃描、補丁檢測、運行軟件）和持續監測，不滿足檢測要求的終端禁止訪問?？尚艖么?TAP 將云平臺中數千個桌面云徹底“隱身”，不對外暴露桌面云的 IP、端口。同時，TAP 采用 SPA 單包授權技術，默認情況下全端口全隱身（連不上、ping 不通），只對合法用戶合規終端開放網絡端口。訪問策略上，遵循最小權限原則，基于場景化應用對業務人員進行細粒度的訪問控制?；诮巧?、訪問上下文、訪問者的信任

67、等級、實時風險事件動態制定訪問策略。通過自適應多因子認證能力，根據人員、終端、環境、接入網絡等因素動態調整認證策略，兼顧安全與易用，訪問過程中，根據風險情況，持續驗證用戶身份是否可信。最后，通過在零信任產品內置的 WAF 能力，有效避免漏洞注入、溢出攻擊等威脅，內置 RASP，可抵御基于傳統簽名方式無法有效保護的未知攻擊，同時具備基于自學習的進程白名單和驅動級文件防篡改能力。285.1.3 方案價值（1）將業務隱藏在 TAP 之后、收縮暴露面，減少了攻擊目標和漏洞利用；（2）按需授權、細粒度訪問控制，避免不必要的資源暴露；（3）根據環境變化 持續驗證訪問用戶身份是否可信，避免賬號被提權；（4）

68、與現有的網絡安全管理融合形成聯動，提升了動態訪問控制能力；（5）通過可信終端檢查確保終端所處的環境安全；（6）通過應用安全手段進行主機安全加固，防止設備被打穿。5.1.4 案例點評案例來源：奇安信科技集團該應用場景是在遠程訪問常態化背景下幫助用戶邁出零信任第一步的有力抓手。采用樂高化的場景擴展和能力疊加設計理念，聚焦了業務安全需求和端到端風險，立足零信任架構的“以身份為基石、業務安全訪問、持續信任評估、動態訪問控制”四大關鍵能力，順應數字化轉型時代的遠程訪問需求：確保任意人員、任意終端、從任意時間、地點、場景訪問任意業務。為企業提供更安全、更易用的遠程訪問體驗，滿足企業日益復雜的遠程訪問業務需

69、求，能有效助力企業數字化業務開展，同時對云計算、大數據中心、物聯網等新興互聯網應用場景也具備普適性。5.2 制造企業權限管控的零信任應用5.2.1 案例背景國內某雙創試點高科技生產制造企業，在數字化轉型的過程中，也逐漸暴露出了信息安全建設方面的薄弱環節，包括：（1）業務快速發展，信息化部門迅速擴張，部門幾乎全員超級權限，缺少有效權限控制機制，存在敏感數據泄密風險；（2）權限維護機制流程繁瑣，外包、實習等人員為了方便辦公，可通過獲取高權限賬號并共享等方式訪問關鍵業務，造成權限逃逸；（3）缺少對數據泄露、權限濫用等行為的追溯及治理，企業迫切需要對數據資產安全全面稽查；（4）缺少對終端環境訪問、敏感

70、協議（如 RDP、SSH 等）訪問的防護機制，需要制定有效的安全基線來保障數據訪問安全。5.2.2 解決方案29（1）針對信息化部門權限放大帶來的安全風險，提供精細化的授權模型，通過自動化的權限梳理工具，實現訪問權限的流程化自動梳理，幫助客戶在最短的時間，實現每個用戶的最小權限化；同時也幫客戶解決了原計劃落地零信任架構時，碰到的梳理暴露面太難的首要障礙，有效縮小內網暴露面；（2）權限逃逸的問題上，通過權限規范化機制，在保障為每個用戶的申請完成工作的最小訪問權限同時對賬號制定相應的安全基線，對權限的授予、使用、回收進行全生命周期的管理，執行賬號權限逃逸稽查策略。在鑒權控制中，對賬號登陸使用的設備

71、信息、位置范圍、訪問頻次、時間等制訂安全基線檢測策略，設置異地登錄限制或者進行二次認證等；在權限管理中，識別分析賬號權限過大、訪問空閑占比異常、轉崗異動等行為，通過自動回收+決策建議輔助權限回收進行管理，如冷權限定期回收、異常權限及時分析提醒等。（3）數字安全方面提供輕量級的數據防泄漏能力，如 Web 水印、越權防護等；（4）在數據訪問安全方面，零信任提供的安全基線工具，可基于終端環境、敏感協議訪問等進行多維的評估。制訂應用級的準入基線，可針對不同敏感粒度的應用，制定多維且不同安全級別要求的安全策略，達到持續評估，實時調整，實現最小可信；（5）方案能夠靈活拓展應用到如移動辦公、內外網統一訪問控

72、制等場景。圖 27 權限管控的零信任應用5.2.3 用戶價值（1）幫助企業為內部應用建立了規范化的權限訪問機制。該案例中采用了權限基線梳理的工具，通過學習采集、最小化權限收斂、自助申請的方式比較好的將權限進行了最小化收縮，又不至于影響到業務人員的使用；（2）實現了數據訪問安全。為不同敏感度業務提供不同準入和安全控制策略，保護特權數據，有效減少高敏數據非法訪問；（3）該安全架構與企業業務擴展可以同步演進，能有效支撐企業數字化轉型過程中業務的高速發展。305.2.4 案例點評案例來源：深信服科技有限公司大型企業在數字化建設的過程中，內網的權限管理成為越來越突出的問題，特權賬號、超級賬號、臨時賬號給

73、企業的管理代來了極大的挑戰。該項目發現了大型企業在數字化建設中的痛點，幫助用戶實現權限自動梳理和權限最小化，縮小了訪問權限，減少業務暴露面，同時有效規避了權限濫用問題。5.3 流動數據管控的零信任應用5.3.1 案例背景國內某大型金融券商，在全國各地都設有分支網點，雇用大量外包員工，工作涉及到跨組織機構，跨地域的人員協同。該場景下如何信任建立，數據資產如何保護成為企業關心的重要問題。另一方面，因業務需要，業務人員需要攜帶終端設備為客戶采集個人隱私信息開辦賬戶。采集過程中終端設備暴露于各種環境中，面臨物理風險、人為過失、網絡入侵等諸多高危風險。綜合來看，企業數據面臨著跨組織、跨終端、跨地域的流動

74、需求，數據已經不僅僅存在于企業內部，而是廣泛地存在于整個網絡空間里，流動數據保護成為難點。5.3.2 解決方案上述場景涉及 2 個安全訴求，一是外包人員需使用企業提供的或 BYOD 終端訪問企業內網，企業敏感數據會隨之留存在個人終端上不能及時清除，外包人員不在企業管轄范圍，無法保證數據不被非法利用；二是員工外場采集的個人敏感信息留存在移動終端上容易通過網絡或物理接口外發到不應出現的場合。下述方案使用了終端安全空間的技術，將企業的網絡邊界延伸到終端和用戶，實現了對終端敏感數據的精確訪問控制和有效隔離管控。終端安全空間的方案中包括服務端和客戶端兩部分。企業管理者可以根據業務需要在服務器端創建、編輯

75、一個新的終端安全工作空間，例如案例中的外包員工工作空間、數據采集工作空間；再通過軟件定義的方式對該工作空間可訪問的應用范圍進行配置；然后，將外包員工加入創建的工作空間。外包員工在個人設備上下載終端安全空間的客戶端，使用客戶端程序登錄，即會在終端系統上自動創建出屬于該工作空間的安全計算環境?？蛻舳蓑炞C用戶身份并對終端環境進行檢查，登錄成功后外包員工即可訪問屬于該工作空間的特定企業資源。在安全空間訪問的企業資源或數據下載后，會存儲在該終端的安全空間里，與終端原生的操作環境隔離。工作完成后企業只需關閉賬號，員工終端上的安全計算環境隨即銷毀，無需擔憂數據泄露風險。31 圖 28 流動數據管控的零信任應

76、用同樣，針對數據采集的場景，在終端設備上安裝安全工作空間的客戶端，員工通過強認證進入安全工作空間后采集數據，這樣數據在采集時便落入安全空間內，該安全空間與操作系統深度隔離，安全空間內的數據無法通過微信、郵件、U盤、復制粘貼等任何方式轉移出去，保證數據不泄露，使客戶信息得到全生命周期的保護。5.3.3 用戶價值（1）通過終端安全空間為企業解決了使用非授信網絡環境或使用非授信設備訪問內網時，數據留存到不可管控終端上的風險問題，避免用戶的敏感信息在動態流轉中被非法利用；（2）解決了企業現場移動終端數據采集時數據安全管控問題，避免了流動數據泄露。5.3.4 案例點評案例來源：數篷科技（深圳）有限公司該

77、方案基于新一代沙箱的微隔離技術，集成強認證、高性能網絡隧道、軟件定義邊界、AI 安全策略引擎等核心技術，將企業的零信任的網絡邊界延伸到終端和用戶。支持員工隨時隨地安全訪問企業內網，保證數據“可以用，但不可以拿”，在任意時間點可將數據回收，達到“閱后即焚”的效果。滿足了企業終端應用的零信任訪問安全需求，在此基礎上還幫助企業實現了數據流的安全管控和流動設備的數據管控，有效地控制數據的流向和使用范圍。32 第六章 建設的挑戰盡管零信任在行業的實踐已經開始，但大部分企業在應用落地中仍存在諸多困難。根據用戶方的調研，挑戰來源有以下幾個方面：圖 29 應用挑戰以下從政策環境、安全效益、系統融合、實施過程、

78、運維管理幾方面結合廠商的調研針對建設挑戰分別進行分析。6.1 政策環境國外零信任架構對國內企業實踐的指導性不強，國內各廠商零信任架構又過于個性化，零信任的規劃安全還缺少標準化支撐，企業實施缺少依據。安全牛：2019 年開始，零信任安全已經引起了國家相關部門和業界的高度重視。9 月，工信部公開征求對關于促進網絡安全產業發展的指導意見（征求意見稿）的意見，零信任安全首次被列入網絡安全需要突破的關鍵技術；同月，中國信息通信研究院發布中國網絡安全產業白皮書（2019年），首次將零信任安全技術和 5G、云安全等并列列為我國網絡安全重點細分領域技術。2020 年 8 月，全國信息安全標準化技術委員會組織的

79、國家標準信息安全技術零信任參考體系架構，已經正式獲得立項。6.2 安全效益根據調研，部分用戶認為零信任體系建設周期長、開發成本高，系統投產后防御能力帶來的效益和新架構上線后引入的風險不清晰，其效益無法量化評估，建設是否能得到公司領導層的有力支持是個挑戰。33安全牛：安全沒有一勞永逸，零信任架構也不是一蹴而就的，試圖從點解決面會給后續帶來一系列的兼容和改造成本。所以，零信任架構的構建推薦做好全局解決方案，整體規劃，然后從小規模起步按基礎能力、增強能力、全面轉型三個階段分步實施。在方案實施中根據用戶體驗調整適配，能有效規避風險，運營和決策層的壓力也會比較小。6.3 系統融合單個產品不能形成整體的零

80、信任方案，國內不同廠家的產品之間缺少開放接口和互聯互通的標準，系統的有效融合是個挑戰？安全牛：在調研過程中，我們看到了有部分零信任廠商開放了自己產品的零信任安全框架，通過 SDK和 API 開放了部分零信任核心能力，通過對接測試推進與支撐系統的互聯互通，促進行業內的深度融合。6.4 實施過程實施中，陳舊資產識別和合理的權限劃分是很多傳統企業數字化轉型的難點。專家建議：訪問權限最小化劃分原則需要從企業的業務和安全需求出發，確定訪問主體應該有哪些資源訪問權限：（1）首先用戶訪問可細分為應用級訪問、功能級訪問、數據級訪問，然后基于場景化和業務需求構建靜態權限基線，同時結合主體屬性構建動態權限策略；（

81、2）針對訪問客體，則可將業務劃分為不同的安全等級，安全級別高的業務采用多因素強認證，安全級別低的業務身份驗證要求低；（3）針對訪問主體，將訪問者的身份屬性、設備屬性和上下文通過綜合分析和計算，評估其信任等級；（4）最后，通過 ABAC 的訪問控制方式配置主體信任等于或高于客體信任等級時，才允許訪問，否則拒絕訪問。安全牛：為更好實現零信任架構落地，縮短企業的建設周期，提高運營效率，企業需要依賴智能輔助工具幫助企業進行資產和業務分類、分級，如業務流程學習、網絡資產發現等；其次，零信任與業務強耦合的特性，相比傳統安全架構的建設在實施中需要更多公司業務部門的支持。因此，實施前務必要得到公司高層、決策者

82、的支持，通過相關溝通機制取得業務相關人員的信任和理解。6.5 運維管理大多企業安全運維能力有限，零信任需要與業務強耦合，因此安全人員即要具備一定水平的技術能力，又要熟悉業務邏輯。因此，需要依賴廠商積極的配合，才能使零信任架構為企業運營發揮更好的價值。安全牛：新業務上線、舊業務更新、下線、注消等使資產狀態變更頻繁，是企業普遍存在的現象，同樣設備也會有新增或銷毀需求帶來啟用/停用的變化，這類資產生命周期的管理與零信任的策略有直接的關系。良好的運維體驗在這方面能有效提高安全管理人員的工作效率，幫企業減少運維成本。因此，資產狀態的管理、安全事件管理、甚至政策環境與零信任策略管理按合理的邏輯建立關聯關系

83、，并能自動化執行對零信任網絡的有效運維很重要。34 第七章 演進趨勢和未來展望零信任是隨互聯網廣泛應用而衍生的具備可持續演進能力的安全框架。它增強了傳統 VPN 技術的應用訪問能力，消除了員工和合作伙伴之間連接和協作的過度信任。根據調研，有 28%國內用戶認為零信任會影響傳統的 VPN 產品。44%用戶認為會替代傳統的用戶身份的訪問控制，41%用戶認為會與傳統的安全防護并存，15%用戶認為零信任與未來 SASE 會很好融合。圖 30 零信任演進的調研在應用上，自動化、智能化技術能更好提升零信任的用戶體驗毋庸置疑。因此，更好的利用人工智能、大數據建構提升零信任能力將會成為發展趨勢之一。在方案上，

84、對接入容量和帶寬需求波動較大的用戶，基于云的零信任訪問方案可以快速構建企業安全能力，降低安全部署成本，對用戶來講也是非常經濟的一種選擇。數字業務轉型是個全球性話題，邊云協同發展是必然趨勢，零信任已將安全延伸到端，必將成為未來端邊管云融合/協同應用中端到端連接的新安全賽道。35 相關參考文獻NIST.SP.800-207-Zero Trust Architecture SDP_Specification_1.0Software-Defined-Perimeter-and-Zero-TrustThe Forrester Wave :Zero Trust eXtended Ecosystem Pla

85、tform Providers,Q3 20202020 Gartner Market Guide for Zero Trust Network Access谷歌 BeyondCorp 研究論文合集零信任網絡：在不可信網絡中構建安全系統36 附：行業代表性零信任安全廠商A 奇安信科技集團A.1 產品簡介云計算和大數據時代，信息技術得到了快速發展，但同時也給信息安全帶來了新挑戰：企業內部外部威脅愈演愈烈，導致傳統的邊界安全架構正在失效。奇安信零信任身份安全解決方案，通過“以身份為基石、業務安全訪問、持續信任評估和動態訪問控制”這四大關鍵能力，應用身份管理與訪問控制、訪問代理、端口隱藏等技術，基于對

86、網絡所有參與實體的數字身份，對默認不可信的所有訪問請求進行加密、認證和強制授權，匯聚關聯各種數據源進行持續信任評估，并根據信任的程度動態對權限進行調整，最終在訪問主體和訪問客體之間建立一種動態的信任關系。A.2 系統架構 圖 31 奇安信零信任架構模型A.3 系統特色奇安信零信任身份安全解決方案，通過全面化的身份認證能力、動態化的用戶授權、傳輸數據的加密與攻擊防護能力，智能化的訪問行為數據分析能力，全方位、全時地保障企業數據訪問的安全性；以自動化的方式實現統一的身份管理、用戶認證與授權能力，減少了企業 IT 人員工作量及人為出錯幾率，大大降低了安全運維成本；同時解決方案為用戶提供了可隨時隨地訪

87、問業務數據能力，同時通過終端環境自動感知、一站式門戶訪問、單點登錄，減少用戶訪問認證的繁瑣操作，實現無縫式的訪問體驗，有效提高用戶工作效率，有效提升了體驗與安全的平衡。37（1）以身份為基石零信任的本質是以身份為基石進行動態訪問控制，全面身份化是實現零信任的前提和基石?；谌嫔矸莼?，為用戶、設備、應用程序、業務系統等物理實體建立統一的數字身份標識和治理流程。（2）業務安全訪問在零信任架構下，所有的業務訪問請求（包括用戶對業務應用的訪問、應用 API 之間的接口調用訪問等等）都應該被認證、授權和加密。（3）持續信任評估零信任架構認為一次性的身份認證無法確保身份的持續合法性，即便是采用了強度較高

88、的多因子認證，也需要通過度量訪問主體的風險，持續進行信任評估。例如，主體的信任評估可以依據采用的認證手段、設備的健康度、應用程序是否企業分發、主體的訪問行為、操作習慣等等；環境的信任評估則可能包括訪問時間、來源 IP 地址、來源地理位置、訪問頻度、設備相似性等各種時空因素。（4）動態訪問控制在零信任架構下，主體的訪問權限不是靜態的，而是根據主體屬性、客體屬性、環境屬性和持續的信任評估結果進行動態計算和判定。傳統的訪問控制機制是宏觀的二值邏輯，大多基于靜態的授權規則、黑白名單等技術手段進行一次性的評估。零信任架構下的訪問控制基于持續度量、自動適應的思想，是一種動態微觀判定邏輯。圖 32 奇安信零

89、信任身份安全解決方案典型架構基于以上四大核心特性，奇安信零信任身份安全解決方案進一步將安全理念落地為具體的安全能力，為企業提供構建零信任安全體系的基礎產品組件和整體解決方案，助力企業遷移到零信任安全架構。38A.4 方案價值（1）革新安全架構，樹立行業標桿奇安信零信任身份安全解決方案，采用領先的零信任安全架構，重構企業信息安全邊界，從根源上解決了數據訪問的安全性問題，幫助客戶樹立行業實踐標桿。（2）提升安全能力，應對實時風險解決方案通過全面化的身份認證能力、動態化的用戶授權、傳輸數據的加密與攻擊防護能力，智能化的環境安全狀態、訪問行為數據分析能力，全方位、全時地保障企業數據訪問的安全性。（3）

90、實現自動管理，降低運維成本以自動化的方式實現統一的身份管理、用戶認證與授權能力，有效減少了企業 IT 人員工作量及人為出錯幾率，大大降低了安全運維成本。（4）提高工作效率，提升用戶體驗為用戶提供了隨時隨地的訪問企業內部數據能力，同時通過終端安全自動感知、一站式門戶訪問、單點登錄，減少用戶訪問認證的繁瑣操作，實現無縫式的訪問體驗，有效提高用戶工作效率。目前，解決方案覆蓋了政企行業用戶的典型應用場景，如遠程訪問場景、數據交換場景和服務網格場景等；在大型部委、金融、央企等頭部行業，奇安信零信任身份安全解決方案已經全面落地。A.5 典型組網框圖 圖 33 典型組網框圖39A.6 綜合能力說明 奇安信集

91、團在大數據與安全智能技術、終端安全防護技術、安全攻防與對抗技術、安全運營與應急響應等領域，取得了多項技術成果，產品和服務覆蓋 90%以上的中央政府部門、中央企業和大型銀行等行業和領域。奇安信在零信任安全發展方向做出的領先投入，填補了國內網絡安全在該領域的空白，契合國家對于新基建的政策要求。奇安信集團作為國內先進的零信任架構的踐行者，擁有專注“零信任身份安全架構”研究的專業實驗室奇安信身份安全實驗室，致力于解決國內“企業物理邊界正在瓦解、傳統邊界防護措施正在失效”的新一代網絡安全問題，并推出“以身份為基石、業務安全訪問、持續信任評估、動態訪問控制”為核心的奇安信零信任身份安全解決方案。該團隊結合

92、行業現狀，大力投入對零信任安全架構的研究和產品標準化，牽頭發起了首個國家標準信息安全技術零信任參考體系架構的制定工作，并積極推動“零信任身份安全架構”在業界的落地實踐。目前，該奇安信零信任安全解決方案已經在在政府、部委、金融、能源等行業進行廣泛落地實施，為客戶的大數據中心、核心業務資產等進行保護，支撐整體安全架構的變革，得到市場、業界的高度認可。B 深信服科技有限公司B.1 產品簡介深信服作為國內較早探索零信任應用的企業之一，致力于零信任安全解決方案和產品的研究。深信服零信任安全方案基于“以身份為中心，構建可信訪問、智能權限、極簡運維”的理念，通過網絡隱身、動態自適應認證、全周期終端環境檢測、

93、動態業務準入動態訪問控制、多源信任評估等核心能力，幫助用戶實現流量身份化、權限智能化、訪問控制動態化、運維管理極簡化的新一代網絡安全架構轉型。B.2 系統架構 圖 34 深信服零信任系統架構40該架構分為控制器、安全代理網關、客戶端軟件三大主要組件，也可與公司的統一身份管理平臺、安全感知平臺、終端檢測與響應平臺等產品聯動形成組合型方案。其中核心組件 aTrust 產品采用了 SDP 控制面與數據面分離的架構，既增強了架構的安全性，又提供了可擴展性，對于多云、多數據中心場景可實現分布式部署和安全代理網關的靈活擴展。終端側由 aTrust 客戶端（僅隧道應用必須）進行數據引流、加密傳輸和終端環境檢

94、測與準入。網關側，由 aTrust 安全代理網關實現代理訪問、票據檢查、數據采集、策略動作執行等?？刂浦行膶崿F策略管理、信任評估、權限管理、自適應認證等功能。B.3 系統特色（1）更安全的身份安全認證能力。深信服零信任安全解決方案以身份為中心，結合多因素身份認證，具備高強度身份認證機制，同時也可與第三方統一身份認證平臺平滑對接，默認支持 OAuth2、SAML、CAS 認證協議，支持與 AD/LDAP 服務器進行認證對接。采用動態自適應身份認證，實現認證安全增強。根據零信任的基礎“先認證、再連接”使得業務服務器隱藏，保障了用戶接入的安全性。其次，根據一些機制設置動態認證能力，如當用戶訪問使用弱

95、密碼時需進行增強認證；當用戶在異常時間段登錄時需進行增強認證；當用戶在異地登錄時，必須進行增強認證。在登錄時使用智能圖形校驗碼防爆破，同名用戶連續登陸錯誤鎖定用戶，同IP用戶連續登陸錯誤鎖定IP地址。同時，實現安全與體驗的最佳平衡，如用戶在授信的終端上登錄可以免輔助認證、采用客戶端一鍵登錄，不需要再輸入訪問業務地址和賬號密碼。更全面、更動態的認證機制，對接入的用戶進行身份驗證。（2）動態可信訪問保護核心業務對終端環境實施全周期地實時動態檢測，包括用戶登陸時、登錄后訪問業務期間；還可根據業務的重要程度制定高要求的終端準入規則，如訪問官網等非敏感業務不需要安裝殺毒軟件，而訪問財務系統必須安裝EDR

96、 軟件并且規則庫更新到最新版本。另外可設置黑白名單，只允許終端上特定的進程接入訪問業務，對終端進行一系列的動態控制，達到高安全終端接入訪問。結合用戶實時的身份信息、終端環境信息和應用敏感度，能實現對不同安全要求的應用，以及不同范圍的用戶進行不同安全力度的應用準入，實現動態訪問控制。通過第二代 SPA 機制實現網絡隱身，最大程度縮小暴露面，只有特定攜帶安全票據的客戶端才能進行訪問請求連接，可以避免對外暴露端口，防止任何人都可以發起訪問鏈接，進而避免黑客的掃描探測、漏洞利用攻擊等，降低入侵風險。支持 B/S 業務系統自動增加水印，水印內容可以包括用戶名稱、時間，用于防止截屏、拍照帶來的泄密，并起到

97、威懾效果，提升員工保密意識。支持記錄用戶的訪問日志，并支持通過 Syslog 日志服務器對接給審計服務器，實現安全審計。（3）細粒度的智能權限降低異常行為風險對業務進行智能權限梳理，確保最小化權限的同時，有效減少用戶原本權限梳理的管理成本，并設置基于41業務系統細粒度準入規則，不同業務制定不同的準入基線，可以靈活地將業務與終端環境、用戶行為、認證方式等進行配置，滿足企業的安全訴求。當終端環境、身份、行為發生變化時可進行動態訪問權限控制，可通過收縮或阻斷用戶的訪問權限，降低被攻擊入侵的風險，助力企業從區域邊界粗粒度訪問控制走向的細粒度訪問權限控制，實現最小暴露面。通過 UEBA、提供 API 與

98、第三方安全能力集成，實現多源信任評估，更準確地識別異常行為和未知威脅，保護業務系統，形成統一的安全防護體系。針對異常的行為可以增加二次認證，實現灰度處置，不再只是直接阻斷或者記錄行為放行的粗暴方式。支持智能權限基線，對于遠程辦公人員眾多的企業，利用權限基線工具，能夠幫助 IT 運維人員更快速地梳理清楚各角色的訪問權限，確保提供員工最小化權限的同時，也能有效減少IT 人員權限梳理的管理成本，不必過多進行重復繁瑣的運維工作，為企業減輕壓力。（4）極簡的運維體驗降低管理工作量在終端使用體驗升級上，深信服零信任安全解決方案使用戶訪問 B/S 業務可以免除客戶端登錄，通過瀏覽器即可訪問業務，提升使用體驗

99、；業務從互聯網收縮到內網后不改變用戶原有使用習慣，不改變原有訪問域名和訪問體驗，內外網訪問一致體驗，無論在何地辦公，都能獲得一致的訪問體驗，對于用戶而言易用性高、上手快，同時也大幅降低 IT 人員在用戶終端側的管理和運維壓力，也更易于整套遠程辦公平臺的推廣。針對WEB 應用技術改良、隧道應用技術改良，傳輸技術優化，保障更優的用戶訪問體驗，減少更多的終端運維工作。同時，在權限管理上提供智能權限工具，如用戶自助申請權限，大幅降低 IT 管理人員賬號開通、權限審批等繁瑣工作投入。提供終端自助工具對當前終端的基本環境進行掃描和一鍵修復，降低運維人員在終端的運維工作，提升運維體驗。B.4 典型組網框圖

100、圖 35 深信服信任典型組網框圖42B.5 綜合能力說明深信服 2018 年即開始零信任的研究及布局，早期便孵化了 ISSP 業務，同步也在研究布局 ZTN、CASB 業務領域。深信服零信任業務研發團隊骨干成員，來自于移動辦公安全領域、終端數據安全領域、身份安全領域架構師、資深規劃、開發人員。零信任整體解決方案，由多產品線共同投入資源，如終端安全部門、態勢感知部門、身份安全部門、行為安全部門等，形成以 aTrust 產品為核心的零信任解決方案。深信服零信任方案及相關產品組件面向廣泛客戶、行業設計，力求構建盡可能通用化、標準化的零信任方案，并以此來降低各行業客戶建設、實踐零信任的難度。深信服零信

101、任方案按照分場景、分階段建設的落地指導思路，已在金融、運營商、能源、教育、制造業、政府、醫療等多個行業落地了大量案例。深信服零信任產品的價值主張為“以身份為中心，構建可信訪問、智能權限、極簡運維的零信任安全架構”。產品研發設計理念圍繞著“可成長、易落地、輕而美”的設計理念，幫助客戶構建零信任安全防護體系。C 新華三集團C.1 產品簡介新華三在 2018 年下半年就啟動了零信任領域方案和產品的研發。以主動安全理念為指導，構建主動安全體系為目標，具體方案以用戶需求為主，落地以質量管控為首，以最先進的 IPD 開發流程為支撐，為用戶打造適合企業特點的零信任解決方案。新華三零信任安全解決方案基于持續性

102、分析檢測、動態授權、最小化原則零信任安全的核心思想，利用自身在云、網絡、安全、大數據、AI 方面的技術積累，開啟了零信任安全架構在不同場景下的落地實踐。C.2 系統架構 圖 36 新華三系統架構43新華三零信任安全方案主要由三個部分組成：身份和權限系統、安全統一管理系統、可信業務控制系統。新華三可以為客戶自研的提供身份和權限系統，同時可以通過改造客戶已有的 LDAP、4A 系統來滿足零信任建設的需求。安全統一管理系統是零信任的大腦。信任中心通過采集設備的環境信息，設備的日志信息，用戶訪問應用的行為日志信息等、通過大數據、AI 的技術手段，綜合判定用戶訪問特定應用或業務資源的權限，并給出安全性評

103、分，作為策略系統是否建立用戶與資源訪問連接的依據?？尚艠I務控制系統屬于零信任的信息中樞?？尚艠I務控制包含策略執行點和策略引擎，策略執行點負責完成應用的代理、策略的執行；策略引擎包含用戶的認證、權限的檢驗?？尚艠I務控制通過和身份權限系統、安全統一管理系統一起實現用戶訪問應用通路的建立或阻斷。C.3 平臺特色新華三零信任安全解決方案的核心優勢在于以身份安全為基礎構建可信網絡，并輔以 AI 能力實現動態授權，時刻監測異常行為。同時，以攻防為視角，提升用戶全方位的融合安全防護能力，做到安全問題的及時發現和及時處置，與整體安全防護體系形成統一策略聯動。新華三也在零信任多場景應用方面進行了積極的探索，目前

104、新華三零信任安全方案支持數據中心場景、遠程辦公場景、智慧園區場景和云場景。C.4 典型組網框圖 圖 37 新華三典型組網框圖C.5 綜合能力說明為適應網絡安全形勢的變化，新華三集團依托完整的數字基礎設施能力，云計算、大數據及 AI 的能力，以及創新開放的生態建設，構建了”主動發現、預知未來、協同防御、智能進化”的主動安全防護體系，實現44了”全棧感知”、”意圖分析”和”使能驅動”?；谥鲃影踩睦砟?，新華三集團已在零信任安全、5G 安全、物聯/工控安全、多媒體內容安全、領域全面布局，展示出新華三的持續創新能力。目前，新華三在政府、金融、運營商、教育等諸多行業積累了豐富的應用實踐成果，為客戶提供

105、了多維度安全能力交付和等保合規安全服務，助力保障數字經濟發展。D 深圳竹云科技有限公司D.1 產品簡介竹云零信任安全訪問平臺將人、設備、服務、應用等不同類別的實體抽象為統一身份，實現全面身份化。并在身份統一自動化管理基礎上，實現對風險動態發現和全面鑒權，從而實現風險度量化和授權動態完成。產品包含用戶身份全生命周期管理、認證管理、權限管理、終端融合安全、可信環境感知服務、可信接入代理、業務審批服務、業務審計服務，該體系可以綜合調度安全體系資源，并實現主動實時安全預警和防護。D.2 系統架構通過竹云零信任安全訪問平臺，以現代 IAM 技術打造零信任的全信任鏈條安全體系，并構建零信任智能決策中心，實

106、現數字身份全面化、業務訪問安全化、信任評估持久化、訪問控制動態化。圖 38 竹云零信任安全訪問平臺系統框圖45D.3 平臺特色（1）現代 IAM 服務現代身份與訪問控制管理（簡稱“IAM”）服務是將設備、人、應用等全面數字身份化，圍繞身份、權限、環境、活動等關鍵數據進行管理與治理的方式，確保正確的身份、在正確的訪問環境下、基于正當的理由訪問正確的資源。（2）自適應風險識別服務通過自適應風險識別機制，對用戶、設備、應用、流量進行持續、實時、全面的信任評估，對風險事件進行計算，并基于該計算模型主動收集相關數據進行建模分析，實時告知企業訪問控制、身份、權限存在的潛在風險，真正意義實現事前智能風險防范

107、。（3）融合認證服務融合認證服務基于 PAM（Pluggable Authentication Module）插入式認證技術，認證服務即插即用，旨在為企業動態訪問控制提供認證支撐，可根據不同的業務、風險等場景智能調度認證方式。（4）統一權限服務統一權限服務聚焦信息系統權限資源集中管控和統一鑒權。一方面提供信息系統靜態業務權限的集中授權和鑒權管控能力，支持上百種差異化權限模型，能夠快速實現企業內各類異構系統的權限整合，另一方面對零信任體系中的資源訪問行為提供動態鑒權能力，持續評估當前訪問行為的風險變化情況并動態調整訪問者的訪問權限。最終在一個一體化平臺內解決信息系統權限“開通難、查詢難、回收難、

108、管理難、建設難、動態風險管控難”六難問題，保障企業業務的安全訪問。（5）安全監控大屏內置風險監控大屏，基于UEBA、用戶畫像技術，打造千人千面的監控模型，并以圖形化實時展示風險態勢，幫助企業實時掌握當前安全態勢，為企業安全運營和安全決策提供客觀依據。（6）安全接入網關安全接入網關接管包括 PC、瀏覽器、C/S 程序、服務器、移動設備等各類終端所有受保護的流量，對外隱藏應用和資源的訪問方式，實現對流量加解密與解析，通過決策管理引擎的評估與可信代理控制服務，實現身份驗證和鑒權并取得訪問策略，按需分配資源并授予執行任務所需的最小權限。（7）終端安全代理終端安全代理將訪問者通過終端訪問應用和資源的流量

109、導向安全接入網關，建立可信訪問連接，提供可信終端設備管理、終端設備的用戶身份認證、多因素認證、本地憑證與令牌校驗等服務，同時作為策略執行點執行控制中心下發策略，實現終端的可信訪問。46D.4 典型組網框圖 圖 39 竹云典型組網框圖D.5 綜合能力說明竹云專注于零信任、身份安全與訪問控制管理（IAM）以及云應用安全領域，完全自主可控的國產化技術。國內率先將 IAM 理念和方案技術產品推行落地的中國國家高新技術企業。具有全棧的 IAM 產品線，從 PC 端、移動端、互聯網到云端，從 2E（Employees）到 2B（Business Partners）到 2C（Customers）到 2IoT

110、，平臺產品具備很強易用性、兼容性、擴展性、可靠性，產品架構支持線下私有化、線上公云、線上專屬云、混合云，多種選擇，滿足不同的業務場景客戶需求。承擔國家級平臺建設，包括：國務院國資委、國家發改委、國家信息中心、信用中國、國家衛健委、生態環境部、國家市場監督管理總局、中國氣象局、國家藥品監督管理局、國家信息中心等國家部委以及眾多政務領域項目。央企總部市場份額已超過 30%，中石化集團、中核建集團、中國五礦集團、兵器裝備集團、中國中鐵集團、中信集團、中檢集團、三峽集團、國投集團、國藥集團、中冶集團、華僑城集團、東風集團、中海油、東方電氣、東方航空、南方航空等近 30 家央企。2020 年竹云“基于零

111、信任現代 IAM 技術的智慧城市安全管控平臺”入選工信部智慧城市安全領域示范項目、竹云“基于安全大數據和零信任的工業互聯網安全防護平臺”入選工信部工業互聯網安全領域項目。2016 年中石化替換 IBM，并以特大型企業統一身份治理方案獲得中央企業網絡安全與工業互聯網十佳解決方案第一名，以及金融科技安全以及全球身份管理創新服務等行業眾多重要獎項。是華為在全球 IAM 領域的供應商、戰略合作伙伴，完成智慧城市以及一帶一路國家項目建設，是華為安全聯盟核心成員，牽頭智慧城市IAM標準建設。承擔國務院國資委在線監管平臺統一用戶與權限管理模塊標準建設。CSA 大中華區 IAM 工作組組長單位，牽頭制定國內

112、IAM 標準規范及技術白皮書。連續 2 年（2019、2020）上榜安全牛中國網絡安全 100 強信息科技企業。47E 數篷科技（深圳）有限公司E.1 產品簡介DataCloak 零信任終端安全工作空間（DACS）是業內領先的零信任安全解決方案。DACS 采用輕量可信計算、軟件定義網絡邊界，以及 AI 技術，為企業打造軟件定義的安全工作空間，在安全、效率、成本中取得極佳的平衡，確保企業數據安全的同時，可以有效降低部署的復雜度，降低企業的總體擁有成本，提升辦公效率和用戶體驗。DACS 將安全防護邊界從網絡延伸到終端和用戶，實現對敏感數據的精確訪問控制及有效隔離管控，幫助企業一步提升到符合零信任架

113、構標準的最高等級零信任數據安全架構。E.2 系統架構 圖 40 數篷 DACS 系統框架（1）終端管理層 終端沙盒模塊。該模塊運行于終端設備上，提供企業可自主管控的數據安全計算環境，它能保證數據應用在正?？捎玫那闆r下，數據無法逃逸出數據安全計算環境；同時，在終端安全計算環境內的所有數據計算過程被完全監控與審計。所有數據在沙盒環境內被高強度加密。終端網絡邊界管理 該模塊運行于終端設備上，將終端沙盒模塊內部與企業內網連通。它支持使用廣域公共互聯網作為承載網，提供安全計算環境到企業內網（端到端）之間的加密鏈路。同時，它可以管控各安全計算環境的網絡可達范圍，保障不同安全級別的數據安全計算環境可達的網絡

114、區域符合企業安全策略要求。48（2）網絡接入層該模塊部署于企業內網入口處，負責與終端網絡邊界管理模塊對接，提供企業內網對終端安全計算環境的接入功能，是端到端的加密鏈路進入企業內網的入口。同時，基于鏈路對端的終端安全計算環境的上下文信息，該模塊可依據安全策略決策結果，對該鏈路限制可達網絡范圍，保障數據安全計算域邊界的落地管控，實現零信任網關功能。（3）安全管理層該模塊層是一系列平臺后端核心功能模塊，保障提供高效的安全服務，支撐整個平臺的正常運轉，包含零信任策略決策中心功能。該模塊層包括：配置管理、賬戶管理、認證管理、權限管理、密鑰管理、數據分析、加密網盤等。以圖形化管理模式提供一系列應用支撐整個

115、平臺的管理運營。E.3 系統特色（1）終端安全計算環境隔離DataCloak零信任終端安全工作空間（DACS）在終端運行客戶端程序，創建企業自主管控的安全計算環境，在安全環境內企業數據業務進行正常的數據計算。安全環境內的數據無法通過任何手段逃逸出該環境，安全環境內的所有數據計算活動均被完整監控，計算活動可以進行事中及事后審計。DACS 保障環境內的一切活動均符合企業安全預期。而且，每個終端設備上根據業務需要可以同時創建多個企業環境，如：開發環境、財務環境、人力資源 HR 環境、企業外包環境等。（2）軟件定義網絡邊界數據安全計算域的管理員在管理后端可以對該安全計算域可達的網絡范圍進行配置，如對I

116、P端口的方式、網段以及域名的方式進行配置。配置完畢后，各個終端上對應安全計算環境內的應用程序網絡訪問行為將符合上述網絡邊界定義的意圖。一般情況下，只有在個人環境內，用戶可以訪問公共互聯網，而在個人環境內，用戶被禁止訪問存儲敏感數據的企業內部網絡。通過采用軟件定義的網絡邊界，企業敏感數據以自然方式落地存儲于終端上的企業環境，而不是存儲于個人環境，從而形成自然隔離。與此類同，企業內部的不同安全等級的數據安全計算域之間的數據流動也符合信息流安全要求。（3）終端安全持續驗證DACS 實時監控數據安全計算域內的各種數據計算活動，同時支持管理員自定義各種類型的告警策略規則，以及智能發現異常。DACS 能夠

117、對于各類疑似安全事件進行告警，并且支持與企業已有的告警流程進行對接。告警策略可根據企業需求制定，例如：暴力破解告警、高危程序運行告警、數據竊取企圖告警、異地登錄告警、非正常時間活動告警等。結合 AI 技術，DACS 還可以根據事件序列進行事件背后的意圖分析。（4）AI 驅動自適應安全基于上述靈活細粒度的管控手段，DACS 可以獲取到深度關鍵數據用于支持態勢分析，如數據安全計算域49之間的東西向流量、安全計算環境內的數據計算細節等。這些高質量的數據對自適應安全策略的構建和自適應安全閉環的形成具有極高的價值。結合獨特的 AI 引擎，DACS 對從狀態信息采集監控到的安全事件進行分析處理，再更進一步

118、完成自主學習，最終形成自適應的主動免疫系統，智能地適應企業業務場景，隨業務態勢改變安全策略，主動式地發現問題，修復問題，驅動安全流程，形成整個安全管控的閉環。（5）強大的智能運營能力DACS 作為業內領先的零信任產品，其魯棒性具有顯著優勢，可有效降低企業遷移成本，完成方案過渡，在過渡期可與傳統架構有機融合。而且，為了應對千變萬化的互聯網環境和網絡架構，數篷科技專門為管理后臺建設了一套可視化的一鍵智能運營系統，可以合理高效智能地控制和響應風險變化，這也是零信任產品的硬核實力之一。E.4 典型組網框圖 圖 41 數篷科技零信任典型組網圖E.5 綜合能力說明（1）企業服務框架圍繞公司產品和解決方案，

119、數篷服務團隊提供售前、售中、售后、定制開發等完整服務，主要服務內容如下：信息安全系統咨詢與測試服務50 信息安全系統集成與實施交付服務 信息安全系統軟件開發服務 信息安全系統維護服務 信息安全運營與支持服務 信息安全行業擴展與培訓服務 產品售后保障與支持服務 企業服務行業目前，我們的產品與解決方案已經在多個行業的若干應用場景中得到應用和驗證。主要行業包括：銀行與保險行業房地產與中介行業政府智能單位與軍工單位游戲開發行業軟件開發行業硬件制造與機器人行業醫藥化工行業旅游與餐飲行業 已經覆蓋的應用場景包括：源碼與機要資產保護跨區域遠程協同辦公數據安全采集與應用運維系統加固與優化呼叫中心防隱私泄露外包

120、服務與安全管控(3)企業服務網絡目前數篷基于以北上廣為中心，并向四周進行輻射的企業戰略格局，建設了以深圳為主要研發基地，集合上海，北京等大城市作為產品銷售與技術支持的服務網點，可以快速響應在中東部地區的客戶需求。同時，我們采用靈活動態的人員組織架構，將技術人員進行資源優化配置，根據項目需要來適應和平衡地區客戶需求的差異，為客戶提供高效與便捷的專業技能服務。F 中興通訊股份有限公司F.1 產品簡介中興通訊在 2017 年開始研究零信任安全技術，在 2018 年基于 FlashGate（閃門）創新技術啟動零信任安全平臺的研發工作。中興通訊零信任安全平臺面向云網融合和行業應用場景，基于“安全平面”的

121、新理念和“軟件定義安全”的新型防御體系，采用三點一面的架構，由安全控制器、安全分析器、安全執行器組成，以資產為安全新邊界，實現了網絡和資源的全面數字化、風險可度量、授權動態化和管理自動化，構建可信網絡，并基于動態化授權機制、動態防御機制打造的自適應安全服務。51F.2 系統架構中興通訊提出零信任安全解決方案，其核心是中興零信任安全平臺。圖 42 中興零信任系統架構零信任安全平臺采用“三點一面”的網絡安全模型，旨在構建靈活、動態、可擴展的新架構，支持健壯、有序的安全網絡。三點：根據網絡安全功能的不同特性和角色，以及控制轉發分離的思想，將網絡安全功能分為安全控制器、安全分析器和安全執行器三個角色，

122、其中：安全控制器：安全策略集中管控、編排、協同控制單元，實現資產管理和以資產為中心確定安全策略，是全網安全控制中樞，實現端到端安全策略的自動下發，安全資源的動態調度，靈活組合以滿足不同業務的需求。安全分析器：安全威脅、異常流量感知和分析單元，收集網絡的安全事件，感知、實現全網安全事件集中處理，發現和定位各種攻擊來源，并上報給控制器，通過策略聯動，實現端到端的閉環控制。安全執行器：安全策略執行單元，在控制器的統一調度下，執行具體的安全功能，如vFW、vSSL等。在安全執行器中，還有一類比較特殊的執行單元，安全加速器，是安全功能硬件加速單元，如加解密加速卡、智能數據轉發網卡等。通過三點，構成穩定的

123、安全鐵三角，分工協作，完成一個特定、完整的安全功能。由于采用了轉控分離的理念，并且引入安全分析器，形成閉環控制，提高系統的擴展性和靈活性，同時能夠增強的準確性和及時響應性。一面：即安全平面，基于安全視角定義安全視圖，按照安全策略實現有序的業務分割和管控，將散布在網絡中的安全功能進行抽象，從資產價值、信任關系、業務權限等安全屬性進行安全考量。在此基礎之上進行自頂向下的網絡連通性構造和網絡安全設計，包括安全域的劃分、網絡連接的構建、服務的訪問控制等。通過安全平面的抽象，以及安全定義網絡的技術，不但可以使訪問關系有序化，安全策略得到簡化，同時也使得網絡具備相應的內生安全防護能力。通過三點模型提供特定

124、的網絡安全功能，同時作為網絡安全平面的元素，以三點模型組建安全平面，從而由點及面，形成具有持續擴展能力的安全平面，從而構建一套以資產為中心，由安全策略控制、安全服務編排、安全功能執行、安全態勢感知組成的零信任安全體系。F.3 系統特色中興通訊結合自身對網絡安全理解和積累，參考業界的研究，給出了對零信任安全的技術解讀，提出了面52向資產的零信任安全的理念：“以資產為中心，按需最小授權，持續安全評估，動態訪問控制”；以指導零信任安全解決方案和產品的研發，旨在為企業網絡的復雜場景提供確定的網絡安全服務。圖 43 零信任安全技術特征相對于業界普遍提出的以“身份”為中心，我們提出以“資產”為中心，這里資

125、產除了通常意義的用戶、設備等比較具體的資產以外，還包含更為廣泛的資源，如切片、安全域、連接、數據等，其目的把復雜的系統進行分解，從而以資產為中心構建零信任安全，面向資產的零信任安全，首先采用化繁為簡、化整為零的方式，將系統合理劃分或抽象為資產，以資產為粒度，定義資產的屬性和安全策略，對資產的行為進行管理和控制，打造零信任資產。然后在系統層面以零信任資產為元素，面向這個網絡，進行統一管理和整體協作，筑造零信任安全平面，從而構建針對復雜系統的零信任安全體系，實現端到端的安全防護。同時方案具備足夠的擴展性，滿足分步部署、逐步建設的要求，并且具備不斷演進的能力。F.4 綜合能力說明中興通訊是全球領先的

126、綜合通信解決方案提供商之一，為全球 140 余個國家和地區的 500 多家電信運營商提供高性價比的創新技術與產品解決方案，并堅持以市場為驅動的研發模式進行自主創新，在安全領域重點關注 5G 端到端安全、云計算安全、云網融合安全和工業互聯網安全，并不斷拓展新的領域。在安全架構層面，持續加強創新思想、創新技術的研究，基于安全屬性的全新安全設計理念和架構，實現安全與網絡同行的設計模式，采用了“基于安全平面設計網絡”的安全伴生思路，將安全設計融入到網絡體系結構和運行流程中。在系統平臺層面，對安全功能進行虛擬化和服務化重構，構建電信級的高速安全處理轉發平臺和軟件定義安全資源池，創新型設計了面向電信云網的安全與網絡融合編排體系，提出安全即服務的安全模型，對安全功能進行編排和調度，實現按需部署的業務鏈。在產品層面，基于安全平面設計網絡的思路以及系統平臺，提出三點一面的內生安全架構，并基于該架構構建零信任產品，實現動態、隱匿網絡模型，按需構造隱藏的且只允許合法的用戶以最小權限訪問的網絡。中興通訊實施“以人為本”的人才戰略，建立了一套引進、培訓、使用、激勵全球人才的機制，建立了專業化的安全人才隊伍，為企業研發和在安全領域拓展提供了強大后盾。