構建企業第一重“安全感”，聯軟科技以零信任重塑網絡安全邊界

發表于

由中國網絡安全產業聯盟（CCIA）、科技云報道共同主辦的“解碼2022中國網安強星”活動正式拉開帷幕。本次活動以“網安力量 照見未來”為主題，邀請榮獲“2022年中國網安產業競爭力50強、成長之星、潛力之星”的企業高層做客直播間，從行業、技術、市場等多角度探討網安相關話題，探究企業背后的創新力量和安全實力。

伴隨新一輪科技革命和產業變革深入發展，各行各業將新型數字技術與實體經濟集成融合，加速業務優化升級和創新。

然而，隨著企業加大數字化的投入，應用越來越復雜、接入越來越多元、邊界越來越模糊、安全暴露面不斷增加，傳統的邊界安全架構已經不堪重負，企業迫切需要新一代的安全架構以應對數字化時代的多元復雜挑戰。

零信任架構作為一種網絡安全防御架構，使更細粒度和更高效的安全訪問控制成為可能，成為企業保障業務連續性和應對不確定性的關鍵。

8月11日，聯軟科技聯合創始人張建耀做客“解碼2022中國網安強星”直播間，與大家分享如何為企業構建零信任安全邊界。

從網絡準入控制先驅

到零信任安全領跑者

網絡安全市場正走向一個全新的大時代，這是整個國家、社會、企業在發展過程中必然經歷的過程。

基于此，早在十多年前，聯軟科技就已洞察到了這一變化趨勢，并率先提出了“構建可控的互聯世界”的愿景。

憑借18年的積累，聯軟科技在客戶的真實場景中不僅總結出豐富的實踐經驗，還打磨出有深度、有生命力的系列化產品，比如：網絡接入設備快速自動發現與定位技術、旁路式/準旁路式準入控制技術、基于擺渡技術的網間數據交換產品、矢量水印技術、AI防病毒引擎等，形成了既高且厚的競爭壁壘。

近年來，在疫情這只“黑天鵝”的影響下，網絡安全走到了變革的十字路口，行業開始重新審視安全問題。

作為全球較早的網絡準入控制廠商，聯軟科技早在2004年就開始做網絡準入控制，其NAC產品的動態訪問控制思想，和零信任的核心思想一脈相承。

2016年，聯軟科技基于“構建可控的互聯世界”的愿景，提出“可信數字網絡架構TDNA (Trusted Digital Network Architecture)”理念，采用零信任安全方案大幅減少風險暴露面，通過對抗性技術加大攻擊難度和攻擊成本，降低部署維護成本，幫助企業實現安全高效辦公。

目前，聯軟科技的安全產品已在銀行、保險、證券等金融各細分領域得到廣泛應用，在端點安全產品在金融領域市場份額居行業前列，并在制造業、運營商、黨政軍、醫療、能源和交通等行業構建了較強的市場影響力，已服務超過3000家高端行業客戶。

在端點安全、邊界安全、云安全、零信任等安全領域的不斷深耕，讓聯軟科技獲得行業高度認可，已連續三年入選中國網絡安全產業聯盟(CCIA)“中國網絡安全競爭力50強”。

保持戰略定力

 聚焦優勢技術領域單點突破

早在2010年，Forrester分析師John Kindervag就首次提出關于零信任安全的三大觀點：一是不再以清晰的邊界來劃分信任或不信任的設備；二是不再區別信任或不信任的網絡；三是不再有信任或不信任的用戶。

因敢于應對行業痛點，零信任安全從一誕生即吸睛無數，但囿于時機尚不成熟，并未迅速落地生根。

直到后來Google BeyondCorp項目成功驗證了零信任安全在大型網絡場景下的可行性，越來越多的廠商躬身入局，包括金融業在內的諸多基于零信任安全的行業解決方案也逐漸增加，才吹響了整個業界全面實踐的號角。

張建耀介紹，聯軟科技發力零信任安全，并不是追求技術熱點的盲從行為，而是基于自身技術優勢自然而然的結果。

從聯軟科技18年的發展歷程來看，并沒有像大部分安全廠商最后都進入到“全家桶”式的集成安全解決方案這同一條河流，而是保持一定的戰略定力，聚焦在了一些細分技術方向，比如終端安全、數據安全以及零信任等領域，將自身的“長板”變得更長。

聯軟科技從2004年成立以來，就找準了準入控制和終端安全管理兩大領域，是國內第一家涉足準入控制的廠商。

目前，聯軟科技這兩個領域在中國金融行市場的總體市占率位列第一，其中在證券、基金、期貨等行業市占率達到80%左右，在銀行業市占率達到60%以上。

2019年，聯軟科技與魔方安全合并，獲得了以攻擊者視角對全網暴露面進行主動持續監控與管理的能力，正式進入網絡攻防領域，以改變現階段攻防力量不平衡的網絡安全環境。

在談到聯軟科技為何要涉足零信任領域時，張建耀表示，近年來網絡基礎設施發生了巨大變化，傳統的內網、外網、專網、互聯網等網絡邊界十分清晰。

在新的網絡架構和云計算出現后，網絡邊界日益模糊，網絡接入控制需要適應這種技術上的變化，所以就自然地進行平滑升級，切換到了零信任安全接入產品和解決方案這一賽道。

這從一定程度上也延續了聯軟科技在準入控制和終端安全管理的技術積累，使其能夠在零信任安全領域發揮出更大優勢。

在實際落地過程中，只要有網的地方，就有零信任。

張建耀表示，零信任適用于任何需要打破辦公內網、外網和互聯網的混合場景，比如從內網到外網、從外網到互聯網、互聯網到內網，或者多云之間的場景。

因此，零信任不僅限于某些行業，在政府、金融、制造業、醫療、運營商等行業都有著非常多的應用。

外部環境的急劇變化也為零信任邁向縱深創造了條件。

云計算基礎架構的異構化和混合化加速了邊界消失的進程，云網邊端不再涇渭分明，在業務實際運行中渾然一體。

與此同時，大數據、物聯網、5G等技術的迅猛發展，不斷催生遠程辦公、業務協同、分支互聯等應用場景，企業基于邊界的傳統安全架構不再可靠，零信任成為必然之選。

結合聯軟科技涉足領域，張建耀表示，目前零信任主要有四類應用場景。

第一，遠程場景。 包括遠程辦公、遠程運維、遠程開發等一系列場景，不同的場景由于客戶痛點各異，需要解決的安全問題也不盡相同。

第二，全網零信任場景。 雖然企業能夠解決從外網到內網訪問的安全問題，但還需要在從外網切換到內網時，可以做到安全無縫切換。

因此，內網也需要用這樣的機制來進行零信任接入，這時就形成了全網零信任場景。

第三，多云訪問場景。 由于現在很多企業會用到公有云、私有云、混合云，在各個云之間切換時，這個場景也會用到零信任技術方案。

第四，安全防御和合規場景。 考慮到零信任架構安全性較高，很多企業會把零信任應用在一些 安全防御和合規的場景 ，比如抗DDoS、暴露面收斂等場景。

秉承NIST零信任理念

一體化解決方案重塑信任體系

2020年8月，美國NIST（美國國家標準技術研究院）發布了《零信任架構》標準。

在張建耀看來，一個優秀的零信任方案應該是NIST模型中闡述的零信任網絡架構。

首先，NIST模型中最關鍵的核心組件，可以理解為零信任網關的能力，決定了策略的管理和執行質量。

其次，NIST模型還有四個擴展功能。

一是，端點安全的能力?？梢岳斫鉃橥ㄟ^連接非常多的終端， 比如PC、移動端，甚至很多類似于物聯網設備的亞終端，都需要進行零信任的訪問，終端能力必不可少。

二是，數據安全能力。 企業需要把業務上的一些資源開放給終端進行訪問，終端會對這些數據進行處理。根據統計，企業80%的數據會放在終端處理。 因此，數據一旦到了終端，數據安全就變得非常重要。

三是，身份和訪問管理能力。 目前很多廠商會做身份識別和訪問的精細化管控，需要跟業務系統做非常多的對接來實現這種能力。

四是，安全分析能力。終端采集到的大量數據，需要通過大數據分析能力來研判終端的安全屬性，并判斷當前終端能夠訪問的業務資源。

NIST所提出的零信任架構，正逐漸被各家安全廠商探索、完善和應用到產品之中，并服務于多個行業和領域。

聯軟科技的安全產品就很好地采用了其中的關鍵能力。

比如在端點安全領域，聯軟科技的安全實踐非常符合NIST的零信任理念。

基于RBAC(Role-Based Access Control，角色的訪問控制)，聯軟科技推出NAC網絡準入控制系統，NAC強調先驗證身份，再連接網絡，設備安全基線不符可強制下線修復，這也是動態訪問控制的思想，和零信任的核心思想一脈相承。

到了“云+移動”的時代，傳統網絡邊界被打破，SDP(Software-Defined Perimeter，軟件定義邊界)順勢出現，實現更靈活和細粒度的動態訪問控制，聯軟科技在設計EMM產品架構時就采用了APN網關，強調服務隱身和應用層安全隧道。

2019年，聯軟科技推出SDP產品，2021年，推出UEM的ZTNA零信任網絡訪問產品和方案，這些產品和解決方案都是基于NIST零信任架構理念，專注終端和網絡結合下的安全問題，堅持永不信任、持續驗證的動態授權理念。

在零信任接入與管理方面，聯軟科技也進行更為極簡的設計，通過后臺系統將全部零信任方案打通，企業在接入零信任方案時，只需通過EMM系統即可，大大提升零信任接入效率。

對于之前已經應用聯軟科技網絡準入控制系統的企業，只需對SDP產品進行升級，就能夠具備管控外網設備接入的能力。

零信任建設應循序漸進

重塑企業安全體系進行時

對于已經構建起網絡安全基礎設施的企業，如果要落地零信任方案，是推翻重建還是可以利用原有基礎設施？

張建耀表示，在實現零信任的過程中，很多企業已經具備了相關的安全能力，比如網絡準入、防火墻等，因此在實施零信任項目的時候，除了VPN的安全性已經不能滿足要求需要進行優先替換之外，其他零信任核心組件都是可以與原來的安全設備進行無縫銜接。

經過多年的實踐和摸索，聯軟科技目前已經形成了一套完整的零信任落地實施方案。

首先，引入零信任安全的最佳時機，要跟企業的數字化轉型進行同步，因為一切IT技術的變革都是來自于業務的變革。

如今由于移動化辦公的興起，這種需求反過來推動零信任的發展。

第二，在建設零信任方案時，要采用漸進式的實施部署方式。

如果把原有系統全部顛覆改做全網零信任，落地實施難度非常大。

落地實施步驟是很關鍵的，首先要做好整體規劃，要制定零信任的安全戰略，然后再逐步進行遷移。可以先從遠程辦公、遠程運維、遠程開發這類應用廣泛的場景出發，然后再過渡到全網零信任改造。

第三，零信任方案的難點在于數據安全。

今年，包括聯軟科技在內的安全商業聯盟成員聯合Forrester咨詢公司，對中國零信任市場及行業實踐進行了調研，訪問了208名大中型企業及機構的信息安全決策者，并發布《零信任最佳實踐》白皮書。

白皮書指出，在CIO眼里，數據安全是零信任中的最大難點之一。

數據一旦到了終端，通過怎樣的方式進行管控？如何保證數據不會外泄？這些都是擺在CIO面前的緊迫問題。

所以，在建設零信任方案的早期，一定要重點考察零信任產品方案是否具備數據安全的能力。

張建耀表示，零信任不是一個結果，而是一個長期的過程。

從理念到架構，零信任安全已贏得行業充分認可，但要完成實質性的跨越，還應在場景化落地方面更上層樓。

零信任場景紛繁復雜，不同場景對應的解決方案也存在較大差異，因此不能一味貪求大而全，還需要找到適合企業自身的路徑。

零信任架構體系也不光包含安全產品和技術本身，還涉及到信息基礎環境、端點、網絡、業務系統、應用開發、流程和策略等，整個體系很難依靠單一廠商構建起來，只有形成標準化組件并建立開放合作機制，才能實現技術的良性循環。

聯軟科技也將和企業用戶、應用軟件開發廠商、云安全廠商等一道，共建零信任生態，共繪網絡安全新藍圖。