十位安全行业专家解读：零信任安全如何从概念

受疫情的影响，以及办公软件频发的安全事件，十年前提出的“零信任”安全理念在2020年再度成为社会焦点，但如何将“零信任”这种能兼顾办公协同、效率、安全和体验的理念根植在企业安全建设中，却始终无法达成共识。

端午节前夕的一场线上发布会尝试给出答案。中国产业互联网发展联盟秘书长雷晓斌以及中国移动设计院、腾讯、深圳网安、天融信、任子行等多家机构相关负责人和技术专家在「零信任产业标准工作组成立暨腾讯零信任安全管理系统iOA 5.0版本发布会」上，围绕零信任产业标准、落地实践、应用趋势等展开探讨，为零信任从概念走向实战提供参考样本。

零信任落地要关注哪些问题？

在新基建和疫情的双重刺激下，企业数字化进程进一步提速，这也意味着零信任的落地过程中需要考虑更多新场景、新技术与新要求。

例如面对逐渐“飞入寻常百姓家”的5G技术，中国移动通信集团设计院有限公司5G+创新业务所副所长杜雪涛认为，5G网络安全架构下，整个安全防护的重点是安全边界的防护。在安全边界变得越来越模糊的情况下，进一步驱动了零信任架构的引入。但是，在这两个技术融合的过程中，需要解决什么是身份、如何提升超级时延的决策能力、如何保护敏感数据等三大挑战。

天融信科技集团技术总监刘治平则从目前网络安全的发展趋势剖析了零信任的发展抓手——网络安全方面呈现出国产化、行业化、服务化、智能化四大趋势，在零信任的应用上，天融信将在四种趋势的推动下持续落地零信任理念，帮助用户完成在零信任产学研用生态链中“用”的建设。

如何做好安全合规同样是零信任的关键任务。深圳市网安计算机安全检测技术有限公司技术总监洪跃腾认为，零信任的这种安全理念代表了新一代的安全思路，其在落地过程中，与等级保护测评中要求的边界防护、身份认证、访问控制、个人信息安全保护等方面关系密切。例如在边界防护中，要保证这种跨越边界的访问和数据流，通过边界设备提供的接口进行通信。在这种基于零信任的系统中，数据流通只有安全认证和合法授权后才可以接入目标资源和系统。

在聚焦到企业如何从现有的安全架构向零信任理念迁移的场景中，任子行网络技术股份有限公司技术总监王先高结合自身实践经验，提出了三点思考：落地的成本是否是低于传统VPN的解决方案？业务的切割能否做到平滑的过渡？用户的习惯是否可以体验更好？基于此，王先高建议采用最小化的应用先落地进行体验，卸载掉传统VPN历史包袱，采用小步快跑的思路去迭代零信任方案的部署。

国内首个“零信任产业标准工作组”的成立将带来什么改变？

发布上，腾讯联合共16家发起单位，在中国产业互联网发展联盟标准专委会下建立了“零信任产业标准工作组”，致力于为成员单位提供技术交流、专家指导、市场开拓、产品测评、人才培养等平台，并助力各行业用户基于标准化的方式重构网络与安全应用，建立真正有效的网络安全架构。

中国产业互联网发展联盟秘书长雷晓斌在发布会上表示，与传统的安全防护机制相比，零信任安全的新理念更有优势，也催生了行业内越来越多零信任概念安全产品的涌现。如何能真正有效地推进零信任网安全的落地，各类产品和解决方案到底要达到哪些核心的安全技术要求，这是必须通过标准去探索和规范的；零信任产业发展也需要具有先进性、前瞻性的标准去牵引，才能真正成为网络安全发展的驱动力。

腾讯安全总经理王宇表示，作为零信任产业标准工作组的发起单位，腾讯将秉持合作共赢理念，开放自身在零信任领域的能力和资源积累，与“零信任产业标准工作组”合作伙伴共建产业标准生态，推动行业标准研制、测试评价、市场活动与成果转化，为客户提供高质量的零信任产品和服务，促进零信任产业规模化发展。

毫无疑问，零信任产业标准工作组的成立为零信任真正融入企业、走进场景提供了框架式的规范。在腾讯安全管理部标准中心副总监黄超看来，零信任目前已经展现出了良好落地实践效果，包括远程安全办公场景、混合云安全运维管理场景以及服务端之间安全访问场景。但同时，黄超也提出，从技术维度上看，零信任在真正落地时，需要适配更多的终端和通信协议；通过一些技术手段去打造智能化、自动化的目标；通过零信任来实现细粒度的、动态的安全和访问控制；平衡用户体验、用户实际使用之间的矛盾；以及零信任这种新的理念和架构，如何和已有安全产品和服务兼容和集成，都需要产业上下游携手探索和优化。

零信任的“腾讯实践”如何炼成？