零信任是一种理念，以“持续认证、永不信任”为核心，能够帮助企业降低网络边界泛化带来的安全风险。过去几年，Google、IBM、Cisco、腾讯、阿里巴巴、奇安信等公司纷纷投身零信任的研发和实践，有的在企业实现了内部部署，有的则走出“自用”，实现了百万终端的落地。

　　当Forrester分析师John Kindervag在2010年使用术语“零信任模型”表示更严格的公司内部网络安全计划和访问控制时，跨多市场经营的公司尚未遍地开花，“云计算”还是个初出茅庐的新概念，大多数担心网络风险的企业和机构仍采取传统的安全理念保护自己，减少意外损失。

　　互联网和相关的数字工具将世界推向了一个前所未有的局面：企业在物理空间和网络空间中形成结构复杂的内部网络，云计算服务无处不在，“全球化”一路狂奔，企业与企业之间密切的网络合作。这些发展为用户提供了便利和高效的商业服务，但企业也承担更多的未知风险，居心叵测的网络黑客游荡其中，寻找可乘之机，轻则破坏企业正常经营，重则窃取企业利益。

　　非常规的网络连接方式，如IoT，则让网络的安全环境变得更糟糕。2017年，一家美国赌场遭遇了数据泄露，黑客通过赌场一个花里胡哨的联网鱼缸侵入了公司内网，窃取了约10G的数据，尽管这家赌场的业主在安装时，特地把鱼缸的控制系统隔离在了公司网络中的一个特定部分，远离所有敏感系统，仍难逃厄运。

　　新冠疫情期间，成千上万的企业员工无法前往办公室，从家中，酒店等地接入办公网络，脱离了传统本地基础结构保护，每一个员工的终端都成了可被攻击的目标，对于精于此道的黑客来说，难度不值一提。

　　企业不断增加新的安全产品，采买安全服务，招募安全人才，加强IT和安全运维的力量，对安全风险进行围追堵截。

　　零信任安全，也称零信任架构、零信任网络架构、ZTA 、ZTNA等，还有时称为无边界安全（perimeterless security），此概念描述了一种IT系统设计与实施的方法。零信任安全模型的主要概念是“持续验证，永不信任”，即不应默认信任设备，即使设备已经连接到经许可的网络（例如公司局域网）并且之前已通过验证。

　　全球范围内，Google是最早实践零信任理念的企业之一，2011年提出名为BeyondCorp的零信任安全模型，并开始在内部实践，到2017年，BeyondCorp已经融入到了大部分Google员工的日常工作中，无论从效率、安全性和用户体验，较之以往都有大幅提升。Beyondcorp成为当时零信任领域教科书级别的存在，但Google并没有将自身成功的实践经验变成一个商业化产品，投入市场。直到2021年，Google才推出适用于第三方企业的商业化零信任产品BeyondCorp enterprise。

　　在中国，除了传统安全厂商和具备安全能力的科技公司，许多初创公司在近几年也加入到零信任的实践之中。据统计，目前中国零信任行业已有将近百家企业参与其中。

　　腾讯是最早实践零信任安全理念的企业——腾讯从2015年就开始自主设计、研发零信任架构，基于身份可信、应用可信、设备可信、链路可信的4T原则打造出腾讯iOA，并在2018年底，将腾讯的企业内部网络和远程办公网络全部采用零信任方案进行了重构，这也为2020年初保证全体员工远程办公的安全奠定了基础。

　　与Google一样，腾讯iOA起初也只是腾讯内部一个自用的产品，用以保证分布在全球各地的腾讯员工安全高效地开展工作。一些听闻了腾讯iOA内部使用效果的公司，打听这个产品是否有商业化版本。随着类似的问询逐渐增多，腾讯iOA团队认真考虑了商业化的可能性之后，2019年决定将腾讯iOA形成商业化产品对外输出。

　　高灯科技是一家财税科技公司，以发票数字化为基础，通过构建去人工化、在线化、科技合规的行业专业云设施，面向企业和监管提供财税合规及交易合规管理平台，并构建了“以纳税人数字化”为底层的合规服务平台。

　　高灯科技在2020年初正式在内部部署腾讯iOA产品，随后因业务需要不断扩大部署，至今年5月，成为腾讯iOA第一百万终端部署所在企业。主导了这次合作的高灯科技副总裁，同时也是公司安全负责人莫晓盛将公司选择腾讯iOA的原因总结为以下几点。

　　首先是外部因素影响，主要指疫情影响，远程办公对办公网络和内部资源访问的需求增加。传统的VPN一方面存在高危漏洞，威胁企业安全。另一方面，扩容不方便，且成本较为高昂。并且需要培养专门的人解决问题。

　　其次是企业发展的需要，这是主要原因。高灯科技成立于2017年，近几年业务发展非常的快速，已在全国多地设立分公司，拥有超过1000名员工。用户、数据和资源分布在全国各地，难以快速、安全地连接起来。

　　最后是数据安全。作为一家做财税服务的企业，高灯科技对数据安全高度敏感，其业务对数据依赖程度很高，是影响公司生存的核心要素，再考虑到最近接连出台的相关政策法规，数据安全的重要性不言而喻。

　　传统的办公网络安全依靠VPN、防火墙、上网行为管理、堡垒机、后台服务等产品组合，类似链路模式。每个员工的PC端上要装多个客户端，由于这些产品来自不同的厂商，之间无法联动，没有办法发挥最大的安全效果。

　　腾讯iOA是一个端到端的、整体的、轻量化的零信任解决方案，带来的不仅仅是功能，是一个集合了防病毒、安全管控、零信任接入、数据防泄露等多套系统综合性平台。表面上看起来它是一个终端的形态，但实际上它的后台非常丰富而且饱满。

　　零信任的实践得到了市场认可。咨询机构Gartner发布的2021年企业网络技术成熟度曲线，表示零信任已走过了低谷期，进入了稳步爬升的光明期。该机构预测，到2023年，60%企业会逐步淘汰虚拟专用网(VPN)方式，采用零信任方案来进行远程访问。

　　过去几年，海外已有多家零信任公司登陆资本市场。2017年上市的Okta，在上市第四个年头，股价最高曾达到370美元，涨了10倍之多。

　　中国的零信任行业也成为安全行业里最受资本关注的细分领域，无论是获得融资的企业数量，还是融资数额，都超过其它细分领域。

　　2019年，英国国家网络安全中心（NCSC）建议网络架构师考虑对新增IT部署采用零信任措施，尤其是计划大量使用云服务时。

　　美国白宫在2022年初发布了一项战略文件，要求联邦政府能在未来两年内逐步采用“零信任”安全架构，以抵御现有威胁并增强整个联邦层面的网络防御能力。

　　如前所述，零信任是一个理念。各家的实践虽然遵循其倡导的基本原则，但是在实际研发和应用的过程中，因各自所面临的实际情况不同，又各有偏重。

　　许多行业专家表示，美国零信任市场活跃的一个重要原因是，2019年，美国国家标准技术研究院(NIST)发布《零信任架构》草案，初步建立了标准。而后几经完善，成为美国零信任安全实践的重要指导文件。

　　在ICT（信息通信技术）领域，标准往往决定了技术的壁垒，产业生态可扩展的边界和市场能到达的容量。因此标准的竞争一向激烈，如人们耳熟能详的3G、4G、5G移动网络通信标准，总是伴随着激烈的竞争。国家相关指导部门和国标委对中国企业参与推进先进技术的国际标准化工作向来非常支持。

　　但标准并非“私有”，而是由对某一理念、技术、原则有共同认识，并践行和捍卫的集体所共享，换言之，只有符合这一集体，具有普适价值意义的，才能称之为“标准”。

　　2019年，腾讯开始将自用的零信任产品投放市场时，客户对零信任的认知各异，有人认为零信任是一个身份认证系统，或者是一个动态令牌，有的认为是一个沙盒，也有的认为是上网行为管理系统。而且由于缺乏标准，许多产品没法联动，需要改造。

　　于是，标准的建设之路开启了。在2021年7月，腾讯牵头起草中国第一部《零信任系统技术规范》，填补了国内零信任领域的技术标准空白。2021年11月，腾讯牵头的全球首个零信任国际标准——《服务访问过程持续保护指南》，由ITU-T国际标准正式通过发布，从而推动了全球零信任标准化应用。

　　一位标准工作组的工作人员表示，零信任一定会是一个开放体系，工作组在成立当年便发起了零信任产品兼容性互认证计划，促进不同厂商间零信任相关产品的互联互通，目前已经为18个行业产品颁发了接口兼容认证。

　　零信任当下的实践集中在网络安全领域，但其对企业的作用可能不会仅仅局限在“安全”，在推动混合办公的发展方面，亦能有所贡献。

　　有关于混合办公对于企业吸引优秀人才，推动组织健康发展的作用总是被提起，但由于一些限制，混合办公被一些观察人士诟病为“一种不切实际的向往”，他们撰文提到当员工经历了“酒店破旧的电脑无法接受，也不可能加载多个用于支持远程办公的终端产品。糟糕的VPN连接导致工作效率大打折扣，甚至因此而失去一笔订单”之后，会纷纷选择回到办公室。

　　腾讯iOA产品总经理杨育斌表示，类似于iOA这样的端到端的轻量化产品，不仅可以避免复杂的安装工作，在老旧设备上也可以流畅运行，而且效果不减。而作为一名用户，高灯科技的王凯表示，在使用过程中，腾讯iOA这样的产品“持续认证、永不信任”的过程由系统自动完成，用户是感知不到的。

　　除了提供便利高效的连接，零信任相对于传统方案也能降本增效，高灯科技莫晓盛表示，总结而言，传统的企业办公网络安全系统，管理上特别复杂，产品使用体验不好，需要专门培训一些人进行后期支持。

　　“我们在iOA上花了一点钱，但同时能够释放掉原先冗余的IT和安全资源，其实是人工转换成了自动化，成本没有明显增加，从长远来看，其实这部分成本是缩减的。”特别声明本文为澎湃号作者或机构在澎湃新闻上传并发布，仅代表该作者或机构观点，不代表澎湃新闻的观点或立场，澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。

上一篇：客户群体面临压力 金蝶中国助理总裁林法成：但明年“再造一个金蝶”目标不变 下一篇：中山东升镇管家婆软件授权中心、重磅！管家婆云ERP助力中小企业数智化转型