2022零信任产业发展论坛原创

尊敬的各位领导、各位嘉宾、媒体和观众朋友们，大家好，欢迎大家观看由腾讯安全主办的第二届零信任产业发展论坛，我是腾讯安全市场部的负责人付荣杰，也是本次论坛的主持人。首先我仅代表主办方腾讯安全对各位的关注表示热烈的欢迎以及由衷的感谢。2021年，腾讯安全联合中国信息通信研究院产业互联网发展联盟举办了第一届零信任发展趋势论坛，共同探讨了零信任的技术演进与发展趋势。如今，零信任已经逐步从理念的普及走向了应用的落地，所以第二届零信任产业发展论坛，我们将聚焦零信任在中国落地的实践和经验展开探讨。今天，我们还将在共同见证2022年腾讯零信任ioa新品的发布，腾讯与garner合作2022年混合办公白皮书的发布，同时呢，我们也将同您信任产业生态联盟的众多企业一起，迎来联盟升级这一重要时刻。

在此基础上，还有多位重量级的嘉宾在本次论坛为大家带来零信任趋势以及实践的分享。好，在此让我们对各位到来的嘉宾也表示热烈的欢迎。接下来让我们有请第一位上台的嘉宾腾讯安全副总裁方斌为本次论坛致开幕词。有请方斌总。尊敬的各位嘉宾、媒体朋友们，大家下午好。欢迎观看此次零星产业发展论坛的直播。全国疫情此起彼伏，给线下的办公会议带来了很多的挑战，不过疫情的两年来，我们也深切的感受到了远程会议的便捷和高效。今天我们相约云端，一起林先生，这个话题得契合。

信任就是要实现无论何人在何时何地何网络都能安全的访问。在疫情的背景下，数字化让经济展现出了强大的韧性，不过也让触网的终端数量和种类呈现爆发式的增长，网络安全威胁日益多元，所以传统基于边界的网络安全防护体系已经无法应对数字化时代的安全要求，而基于无边界理念的零信任技术模型在这几年成了全球企业关注的重点。在国内，腾讯是最早实现零信任的大型厂商之一。在2020年疫情期间，腾讯IOA稳定高效的支撑了全网10万终端的全类型办公，并且实现了零安全事故。与此同时，我们也在加快腾讯自身安全能力和经验的输出，探索信任对各行各业企业发展的助力价值。就在今年早些时候。

腾讯I的部署终端已经突破100万，成为国内首个落地百万的零产品，这也意味着我们产品的商业成熟度和交付能力得到了客户的认可。这个过程中我们也有自己的一些思考和观察。第一个。是零信任正在展现新价值，成为企业参与数字化竞争的核心能力之一。比如说我们第一个百万吨的客户高科技，在2020年疫情期间，他们使用传统的VP无法支撑增的远程办公需求，并且高危漏洞频发。部署腾讯LV之后，高端科技实现了终端安全一体化，增强了合规机械的检测和数据安全的管控能力，保证了公司业务稳定高效的进行。第二个观察是，零信任加速落地，正在步入更多的新场景。这两年，随着数字化的深入，零信任已经从最初的互联网行业逐渐应用到了金融、地产、物流、教育、工业等场景。

比如北京的一家三甲医院，通过部署腾讯IV，不仅实现了远程医疗协作网络的顺畅运行，还极大的保障了患者的数据安全，还有一家钢铁集团，腾讯帮助他立了传统的安全架构与安全架构结的式信安全体系，数字型保驾护航。第三。点是零信任，未来发展需要新生态。从2019年开始，腾讯就致力于国内、国际标准的建设，与行业伙伴一起推动零信任行业的标准化、体系化发展。目前，腾讯零信任标准工作组制定的接口标准已实现了18个行业安全厂商的对接。如今，零信任步入2.0时代，它的未来发展需要更开放的生态。我们希望各厂商能携手共建，在标准的基础上深化协同与商业合作，深挖落地场景，开放接口等等，这样才能为客户提供功能更完善、体验更好的年轻人解决方案，推动年轻人在中国的加速落地。以上就是我的几点思考，再次感谢大家的支持与参与，谢谢大家。

感谢方斌总的致辞。正如方总所言，在数字化进程加速的背景下，零信任正在步入更多的新场景，也将成为企业参与数字化竞争的核心能力之一。零信任2.0时代需要我们携手共建更加开放的零信任新生态。那么，在2.0时代，零信任产业将迎来哪些机遇和挑战呢？接下来，让我们有请中国信通院云计算与大数据研究所所长何宝红先生为我们分享零信任发展观察，有请。大家好，我是来自中国信通院的何宝红，很高兴能有这个机会与大家分享一下我和我的团队关于零信任的目前发展的一些情况和一些思考。

那么我的介绍大概是四个方面，介绍一下林线的起因，一些关键的技术组成啊，目前的一些典型的在我们所看到的一些应用的场景，以及生态，尤其是我们国内的目前零星的这些生态的发展情况，最后的谈一下大家在使用零星的之后面临哪些挑战和问题，我们知道我们人类社会啊，一直在有个信任之矛，我们现在整个社会。越来越多的转向了相信技术，相信算法，由人工智能或者大数据等等做出的一些决策，我们日常的也很有感触，对吧，我们呃购物经常是推荐算法，我们这个出门基本上是导航给我们推算法等等，那么所以算法做决策在我们的线中越来越重要，所以我们实际上我们决策，我们信任转向了我们的数字技术就是云，让我们相信计算的力量，人工智能让我们相信算法和创造智慧，大数据让我们相信数据会产生新的价值了，让我们相信啊相信，相信让我们能够认为能够创造信任。

对吧，现在又流行源宇宙开始让我们相信人，还有一个数字人生等等，当我们越来越多的讲我们的信任转向数字技术，做数字决策的时候，我发现当你依托信任越多的时候，信任的问题越来越突出，这些年呢，我们对数字技术越来越依靠，那么也产生的信的问题越来越多，比如说我这边简单的在这边梳理一下，那么基础设施层面的，比如因为移动办公，云化这个自带设备等等，产生联系人也是今天我们的会议的一个主题啊，当然还有算法层面的些问题啊，算法的提示，杀熟诱导等等，我们所以我们全世界都在做算法的治理，我们还有内容层面的一些问题啊，我们的生成式的AI产生的深度伪造等方面的一些问题啊，还有价值方面的些任问题啊，比如说我们搞区块链，搞隐私计算等等，价值传递的控制问题啊，还身份的吸收器等等，所以你会发现在不同层面上都已经出现了一个数字性的一些问题啊。

当然今天我主要聚焦在基础设施层面问题，尤其是聚焦在基础设施、云计算等引发的联系的概念，因为联系人的这个词到目前为止主要还是狭隘的聚焦在基础设施层面，而不是在更大的一个层面，这后面谈的是主要是基础设施啊。那么零系的概念已经提出来了十多年了，从概念的提出到用户侧的一些方案，供应商一些方案，包括可视化，包括软件定义的信任安全等等，经过十余年的发展，可以说。走到这两年出现了一种爆发式的发展状态，主要我认为啊，确实是，那么我们不同机构的理解最终走向了融合，走向了一致啊，大家对联系人形成了一些共识啊，当然主要是由我们现在用的比较多的远程办公的对，所以下面有个刚才来预测，明年会有60%的企业的VPN会被淘汰啊，这个因为我非常敏感，是因为我20年前就做VPN的，这样写过几本书，现在我当年做的技术又要被我今天研究的技术所淘汰了，这是个自然规律的问题啊。

那么灵性基本原则大家很多很多了，我就简单的搞一下，是我把它总结成半信半疑，我们原来做信任，实际上是位置决定信任，你在这个边界里面就值得信任的，你在边界外面就是不值得信任，所以今天是不由位置决定信任关系，不预设任何条件，默认一切都不可信，最小授权，即使你在我里面呢，我也要按需分配，时刻监控，动态访问控制，持续安全防护。所以把它。总结是叫半信。办医时刻监测就是睡在，尤其是要盯放你的隔壁啊，我们原来的信任和安全主要针对是外部的一些恶意的用户，恶意的呃使用者等等，现在你注意到越来越多的信任问题转向了内部，防自己，防合作伙伴，这不仅仅是我们今天讨论联系的这些东西的架构的东西啊，我们实际上能看到，我注意到刚才看到包括区块链，包括隐私计算，其实越来越多的是伙合作伙伴之间的信任问题，如何通过技术手段来解决，对吧？我们这个零信任在这个里面也是同样概念，我们原来主要是防止外部的人。

的一些恶意行为，现在是要解决合作伙伴之间的一个信任，靠技术问题啊，那么联信任的话，经过这些年发展啊，刚才也提到，那么它的技术架构的话，已经稳定下来了，这个是list啊提出的，这美国国家标准研究院提出的关于零信任的一个架构，大分为控制层面，数据层面。这个概念的，其实我觉得还是很有意思啊，我们以前在我看来啊，安全领域啊，安全主要是通过管理频率，通过配置来解决的，而不是通过控制来解决。因为在。

呃，这个通信里面经常是控制平面，管理平面和数据，平面经常是分开的调动啊，分开的，我们经常做计算机经常是随路的，就是这个控制和管理和数据经常在一个面上。然后安全越来越多，今天也要搞这个东西啊，控制和数据平原分离啊，这里面当然在我看来的话，就是在历史的标准框架里面还缺我少画了一个管理面，因为经经典的画法是管理面，控制面和数据面，所以这块缺点，但是当然也是技术进步啊，已经。在零线内已经将控制和数据面分离了，这是一个很大的一个进步啊，这种进步往往这种分离啊，往往意味着这个东西越来越复杂了，所以我们需要有单独的控制面，当然这里面那些价构核心就是以身份为核心的定义企业的it，定义企业的安全，这是那系的一个标准定义，List的相关概念定义啊，这是个想法，注意灵系人是一个框架，是一个概念，是一个想法，不是指具体的一个技术。

这个时间关系我就讲这么多，那么联系与传统防护之间是有明显的差别的，我这边做了一个简单的一个对比啊，一个是原来是靠边界来防护的，现在是边界内外都不可信，就是你这个隔壁老王啊，是不能信的啊，原来住在隔壁就差不多了啊。原来是我们做防护的产品，安全产品之间，安全产品和我们业务之间是相互鼓励的，现在是要联动的，因为要联合起来，所以从这个角度来讲，我们的联系不紧。是以用户身份为中心的一种讨论，也是要将我们的安全，将我们的信任网络化。将我们信任网络化原来是基本上是单点信任，点对点的信任，现在用来做的网络化的一种信任关系。原来信任是固定的，现在要动态调整，这就是为什么在历史的标准定义里面要将数据平面和控制平面分离的原因，因为我们需要对信任或者安全的策略实时动态的做调整，你只能是通过协议，通过proto来解决这问题啊，不能通过简单的手工的配置和管理做不到。当提到网络转中心。

那么无论如何，灵性解决很多问题，同时也需要跟传统防护进行相互协同，特别简单的数量灵性里面的一些重要几个特点，第一个就是说我们联系人将数据、应用、负载、人员等都视为资源，而不是仅仅将网络视为一种资源。所以。可以说是对信任的力度变得更细了。第二的话，对我们的相关内部的资源对外要求是隐身，对吧，我们不能直接暴露出来，暴露出来容易受到攻击，所以需要相应的隐身网关是简单画了一个示意图，包括应用层面的网络层面等等啊，当然。

控制面是在没有画出来啊，屏蔽安全策略，这个安全策略的话也需要动态的分配啊，捆绑屏蔽等等，当然最后说以身份为中心，这个已经强调了好几遍了。灵性涉及到的相关的一些这个核心技术啊，大概有三个方面，那么第一个就是策略，呃，引擎和控制引擎的相关的，这个实际上是对应的刚才的一些控制面的问题啊，因为这一块的话，我们在这个做通信人把它叫做新量，搞互联网经常叫协议，对吧，我们这个搞安全经常是一些安全策略，大概是一个意思啊另外一个。关键就是安全网关等相关的这些代理技术啊，一个是外部的代理这些技术等等，这是偏啊，应用层的，当然往下还要隐身的问题啊，因为安全的策略之一就是你隐身了以后，大家就不容易找到你了，对吧？第三还有网络层面的，就是安全代理网关，不能仅仅是应用层的网关，也需要网络层的一些网关等等，呃，第三个大的方面就是网络本身的安全，安全隔离等等。

我不能说。因为有了零信任，我们就啊，没有以全人传统安全就没用了，或者说这个意义不大了，刚才就反复强调我们的灵系需要跟传统安全相结合，用机的结合，所以我们仍然要做隔离，只不过这种安全隔离的力度比原来细多了，我们是基于虚拟机的，转向机容器的等等，越来越细致，就精细化的，更好的管理网络资源，因为网络。本身也是资源，就是身份的一些管理问题啊，身份的一个确认啊，管理单点登录，目录服务等等，还是多因素等等等等，所以说这四个与灵性相关的，在我们看来是一些核心技术。除了那些相关的核心技术之外，还有一些相关的边缘性的一些技术啊，比如与此密切相关的，因为。

任何一种技术，任何一种安全技术都是不能独立存在的，它一定是与其他的安全技术，与其他技术相互配合的，形成一个生态。所以灵性除了自己的核心技术之外，还有一些其他的相关技术，包括数据的安全，一定的安全，终端的安全，负载的安全，然后安全的管理等，大概五个方面的配套的技术啊，这几个技术其实跟我们传统的安全技术之间没有太大区别，只是说针对那些需要做一些配合、优化和调整。所以小结一下，我们联系的是一个核心。五个关键核心是数字身份，一是就是是要以身份为中心，而不是以位置或者说以边界为中心，给所有的资源，不仅仅是网络资源，我们所有资源都需要赋予一个数字身份，这是它最核心的一个。理念，当然除此之外还有一些关键的就是刚才提到网络安全问题，刚才提到终端的安全问题，尤其是远程办公的时候，对吧，我们知道有些疫情新冠期间，我们很多时候远程办公自带办公设备，对吧，这在以前的话就说办公设备都是公司。

统一配发的对吧，这个办公设备就是办公设备，家用设备就是家用设备，现在用来多的走向了一个啊，走向了一个，所以特别零星要关注终端的安全问题，因为终端因为不知道是谁的工作负载的问题，因为负载之间尤其很小，工作负载问题啊，这个容器层面的，API层面的，对吧，这个相关的安全问题跟非常突出功能负的数据保护，当然当刚才也提到数据层面的这个防护控制问题，还有管理问题等等。好，刚才介绍一下我们的技术企业的呢，现在主要介绍一下我们林县的目前的一些啊场景和大致的一用生态，这是我们大概梳理一些情况，首先是我们能看到各国一些政策标准已经纷纷的开始讨论和支持零性的相关的一期啊，比如说美国，尤其是美国，英国，加拿大，新加坡的相继的话，围绕着林系推出了一些政策，尤其美国国防创新委员会发布的关于灵性的安全之路，还有灵性的架构建议等等，还有安全委员会啊，美国国家安全局等等都有很多的相关的一些推进，可以说在这方面确实很领先的，除了这些以外，我们国家也在政策大力推动零信任的一些相关的政策啊建议啊，一开，比如说我们能看到。

安全产业的高质量发展三年行动计划里面就有这方面的工作，关于促进网络安全产业发展指导意见里面也有联系安全等等，这是政策方面，在标准方面，我们的IPO的中国企业主导的第一个零系国家国际标准的发布，对吧，还有国家标准，行业标准等等，可以说我们国家也是在从。政策和标准两个层面上也在大力推动灵系人在我们国内的发展，那么灵系人的理念哈，也正在迅速渗透和安全领域啊，就是灵性人刚才就反复讲的是一种理念，思想架构，所以他需要落到具体的安全领域去实现它，去体现这种思想，这种理念，比如说。

我们以传统的安全人员身份。安全问题。终端。负载网络数据管理对吧，刚才你提到这六个方面，所以灵性本身首先是在安全自身领域在快速的渗透，因为它是一种理念，再次强调。它的一个场景也已经变得越来越清晰啊，我典型场景我把它分成第一技术类的一些场景对吧？一个是多云混合云的接入场景，在这种场景下是边界模糊的，与用户访问的时候，经常这种语言为多个数据中心页里面同时连接和统一权限控制等等，所以这个时候要有用灵性的技术来解决跨云多场景情况下的接人问题。那么还有物联网场景，因为有多种代理设备的并存问题，计算。

拓扑的易购问题等等，这需要联系人等等，因为大家时间不详，就指了嘛，因为我们的不断的快速的迭代，我们的一些软件一些策略，那么对应的也要灵性啊，那你三天两头老变，我刚把那编辑放到你右面了，对吧，所以需要灵性，就是理念，就是技术的支持，还微服API等等，反复动态调用啊等等这种数据。爬虫啊，撞库啊，内容篡改等等的微服务，就是这个原生微服务方面的安全防护等等。第一个是技术场景，第二是我们的工作场景下，我们也提到，就是尤其是远程办公场景啊，大家刚才已经反复提到这个，其实林先人最早就从这么来的，因为员工接入地点和时间的复杂哈，员工自带设备，然后内外网之间数据流动越来越频繁，就有了这些。

远程办公和远程运营维护对吧，运维实际上。本质上是远程运营维护和远程办公关系是一样的，对吧？运营维护本身就是办公的一种特例，运营人员的办，运营维护人员办公就是远程办公，就是运营维护，对吧？远程分支场景的肌肉对吧？原来的VP啊，专线等等，现在越来越多的基于软件的或软件定义的。需要联系到第三方协作的一些场景的，就是场景二的，就是我们工作办理，第三个是业务的持续，就是我们越来越多的我们的数字产品服务化，而且这种业务服务和业务场景的这种运营，它是不能中断，平时是不能中断的，所以在就是你第一要工作。还要不断的测试，还要不断的做一些东西。所以业务数据场景的一些。保护，那还有一个是攻防演练场景下的相关的一些工作，包括策略的一致性等等，还有合规的我们的密码的一些应用场景等等，都需要我们灵性来支持他的一些工作。根据我们的最新的调研，目前为止我们国内使用联系人最多的场景就是远程访问，占46%，是当前其实联系人的主要的驱动和优先的一些选择，远程办公，分支结构的接入，远程运维等等啊，就是远程访问。

啊，是目前联系用的最多的，右边是大概的统计图啊大这个一个统计图，大家都用它来干什么东西啊，所以这对我们下一步的发展产品和服务非常重要的一个指导意义。根据我们的研究啊，国内已经有很多企业在做临系这些工作，也参加了我们很多政产啊，腾讯是非常积极的一个参与，参与方我们能看到哈，已经有不少的企业围绕着联系人在做，我们的观察里面有三个特点，我们国家的联系人生态啊，第一综合性的或者聚焦联系人能力更有优势，有的人是叫综合性联系人，有的这只是聚焦，对吧用根据用户的业务场景，安全基础，我们可以这个有大部，有新建的，有改造等等，那么大家都会有这种场的情况。第二的话，我们看到国内的产品发展啊，有两条关键的路径或者思不太一样，一个是围绕用户访问的数据中心的内外流量的授权控制，一个是围绕工作负载的一些访问这个联系人的管控，第三个特点是身份和网络安全方面的呢，就围绕着林系的身份安全。

网络安全的能力相对来说比较成熟一些，这是我们简单梳理了一下我们的联系人供应生态的大概一些情况，那么很多企业都在做，无论是传统的安全厂家，还是新兴的云方面的一些厂家等等都在做。那么当然林希人的发展还比较这个比较初期的一些阶段，因为它毕竟是一个理念的思想啊，出现的时间虽然有十余年，但真正的相对成熟也就这两年的时候，根据我们第二年我们围绕联系人的话，用户还是有些问题的。

前期早期用户的顾虑是什么呢？第建设门槛还比较高，不知道如何下手，比如说如何推动落地，不知道需要投入多少人力物力财力，不知道如何达到十年的目标，另外概念也很多，对吧？经过11年的发展之后，兼容性比较弱，大家之间不能集成在一块儿啊，互相还不兼容。第三个呢，传统安全我已经投入这么多了，你说你又要搞个零细人对吧，那个那我如何给你并存，或者说我把我些安全怎么办对吧，终端安全怎么办等等，用户在使引入灵性之前有很多顾虑。不仅如此，即使用户下定决心做了系，在建设中期，用户也会面临一些挑战和问题啊，我们梳理一下，大概是，第一，已有的信任技术和灵性之间关系问题，比如说我们现在传统性也有什么远程浏览器的相互隔离，可信浏览器等等这一类技术跟我们今天的。

所推广的灵性之间是什么关系，运营商的多个团队之间的共同的转型问题，因为你要搞灵性是涉及到内部的多个职能部门，业务部门之间的业务调整，架构调整，这就比较麻烦了。第三个企业架构落地的时候的这个规划。怎么做怎么做这个问题啊，规划栏的问题等等，这是用户在建设中期啊，用上了一些人之后，用户也有一些思考问题啊，那么用户我们调查的么，对零性以全方位企业私有云护哈，大家觉得这个价值是很明显，能够做到我们调研的啊，有些企业已经有近90%的业务已经上使用了灵性等等，那么但是他会发现我们使用灵性了，尤其是微隔离的运营维护啊等等，这个成本比较高，这是完全理解的。就当你把你的业务运营搞成一个个的微服务的时候，那服务和服务之间的安全，它的信任如何，做运营后它就是指数就变复杂了。所以微服必然。

面临很大的挑战就是运营维护的安全性友好性的问题啊，那么针对这些问题啊，我们跟腾讯的一直在努力啊，我们大概做了三方面的工作，第一，落地性的指南，我们这个共同的联合大家企业一起来做更加细化的实指南，帮助用户更好的能理解，更好的够实施，更细化的实施联系。第二，深化行业的一些又要聚焦目前需求量比较大的一些行业，尤其是。政务和金融的呢，那么结合行业场景的这种系的安全需求，精细化的一些发展，另外一个的话，针对系目前还存在的一些技术挑战啊，产业化的问题啊，产学也有我们共建联系，实验上我们跟腾讯的一起相互协作，开放接口，共享资源，进一步的推动我们国家的应系的进一步的发展和前进。

好的，我今天的介绍就这么多，谢谢大家，感谢何宝红所长带来的精彩解读。正如何所长所言，人类社会的信任之矛正在转向数字技术，世界日益数字化，技术也要越发的零信任。近几年，在疫情的催化下，混合办公成为了大势所趋。今年，腾讯安全、腾讯产业研究院联合gardenner机构共同合作撰写了2022年混合办公白皮书，围绕着混合办公的新特征、安全风险、安全要素等维度展开技术解读，希望能够为行业带来一些借鉴和参考。作为撰写单位，腾讯副总裁司晓、腾讯安全副总裁方斌总也献上了他们的祝福和寄语。接下来，让我们共同见证2022年混合办公白皮书的发布。

感谢各位嘉宾真挚的祝福，作为国内最早实践零信任的大型厂商之一，腾讯零信任ioa的技术演进路线是什么样子的呢？在零信任2.0时代，腾讯零信任IOA产品将带来哪些功能的升级呢？接下来让我们有请腾讯安全产品总经理杨玉斌带来2022年腾讯零信任新产品发布。大家好，欢迎来到腾讯零信任产业发展论坛，我是来自腾讯零信任产品团队的杨玉斌。今天我会跟大家共享一下腾讯关于零线2.0的理念和我们的新产品，我的介绍会分两部分，第一部分呢，会介绍一下腾讯离线技术演进的一个路线。

然后呢，我会介绍一下我们新一代的基于腾讯零线2.0理念的LV产品。首先我介绍一下我们腾讯离线技术演进的一个过程。整个过程呢，是分了三个阶段，那最早呢，是从2016年起，我们开始实践在公司内部实现零线的整体的一个体系建设。到了2019年，我们将我们的实践心得对外发布，形成了我们对外的商业版4D访问全程联系人。到了2011年，2012年，我们将我们的零线提升到2.0。提倡安全、一体化和自信的遴选体系。那大家应该很好奇，腾讯零线的产品叫LV，那LV代表什么呢？L是三个英文字母的简称，IntellIgEnt office assistant，也就是办公助手。那么其实IA呢，最早的目标呢，是作为呃桌面的一个办公工具啊，但是桌面的办公工具大家知道一定需要有些安全底座的，那我们就将我们的办公工具和安全基座打成了一套。

在2016年呢，腾讯基于呃，Google b call的一个实践经验呢，对职场内部进行了整个安全的全方位的一个呃这样的一个保护，那么我们对所有的这个内网一个终端都安装了LV代理，同时呢，启动了内网准入和终端反入侵的这样的一个功能，那在实现完端点的安全之后呢，我们也对业务系统进行了一个IM的接入，那么我们对这个上万个业务系统进行了这个身份系统的打通和单点登录的实现，那么在此同时呢，我们也支持端点的多因素认证，那基于分散职场还有很多的运维不便利的一个原因呢，我们对VPN技术进行了重新的审视，觉得需要一个新的体系来替换VPN。那因此呢，我们逐步对远程运维的工作和分散职场接入到总部办公以及海外办公进行了替换，通过零线接入网关全面替换VPN，并且实现了全球加速。

当连成一片大网之后呢，安全管理问题又浮现出水面，那这时候呢，我们将离线的整个体系呢，跟SOC的体系进行了一个联动，大数据和AI手段进行风险的控制，实现了一个风险的自动化响应。在2020年疫情初的时候呢，腾讯的零线呢，是完成了全网六万多员工，十多万设备的全负荷工作，日均承载流量20G，峰值35G，在这一期间呢，也创造了一系列的产品出来，那么呃，腾讯的员工通过临星人办公的这样的实现了啊，实现了类似腾讯会议这样的优秀产品的创造，在这个阶段呢，腾讯的零星人IV是等于办公助手，再加上整套的端到端的明显的安全体系，第二个阶段呢，我们将我们的最佳实践呢，向外面的合作伙伴进行了一个商业化的一个输出。

啊，我们称之为商业化1.0时代，那我们输出的目标呢，就是一个4A的愿景，Anywhere anywhere device any any，任何地点，任何设备，我们都可以接入，进行一个无缝的办公。那么在IV商业化的过程中呢，我们实现了非常多的行业的一个拓展。在今年我们也实现了落地100万终端的一个目标，推进了各行业落地。那LV的这个整体目标呢，是构建业务安全的一个最小化访问，那么从身份体系开始，我们在终端验证实现了身份体系的一个实名和无抵赖的一个认证，那另外呢，在终端方面呢，无论是PC或者是自带的这样的一个设备呢，我们都可以进行一个可控的一个安全校验，经过任何的一个网络位置，无论是在分分子公司，还是在这个呃，公共的WiFi场所，我们都可以啊这个规避网络的一些风险，实现全程的加密以及落网的一个接入环境，同时在接入到业务系统之后呢，实现最小化的授权和持续的监控，那整个这个LV的商业化产品提倡的是4T，也就是可信身份，可信终端，可信应用和可信链路，对全链条进行一个持续的验证和最小化授权。

通过IV的商业化产品设计，我们实现了全程访问控制安全，无论是从终端还是身份，亦或是从网络的链路加密或者应用安全评估，整个横向的链路是全程的安全可控的。那么这个安全可控呢？主要是通过我们的一个策略控制平台，通过这个动态策略的评估，实时的监控网络上的任何的一些可疑的行为和可疑的身份。

那这个时候呢？LV已经进化成全程零信任安全平台。那经过两年的这个落地实践呢，我们也得到了上百个这个标杆客户的认可，包括了账户行业的，政府的，快递行业的，大学的，互联网的，以及类似银行和很多的一些大型的一些企业的认可。那在今年呢，我们也实现了100万终端的一个落地目标，实现了零信任落地部署的一个小突破，在此同时呢，我们也得到了一些权威分析机构的认可，包括伽马、forest IDC CS media都对我们的这个技术路线和落地实践进行了调研。我们知道这个远程办公室越来越普及，但现在有个趋势，从远程办公到混合办公的一个趋势，伴随着企业数字化进程的推进，混合办公逐步成为了主流。那混合办公的特性有什么呢？它的访问位置越来越多，那它的设备类型也越来越多。

在这个业务侧呢，业务资产会越来越分散，比如说在数据中心，在私有化云，在公有云，在边缘云业务的复杂度也越来越复杂，那比如说CS的应用，BS的应用，PH5等各类的这些应用都会同时的上线，在这个过程中呢，合作的角色会越来越多，除了公司员工，还有像供应商、合作伙伴、运维人员，那这时候该如何保障混合办公的整个环境安全？因此呢，在零信任1.0落地的过程中呢，我们也碰到了混合办公下的一些问题，在混合的环境下，数字化的业务支撑需要更加容易落地，低摩擦以及更加有效的全程安全风险可控，那这里面呢，在1.0落地的时候，那么呃，有一些问题，比如说在实施难度方面啊，在落地跟合规体系，跟这个it管理体系的一个摩擦的呃情况，那包括数字资产该如何保护，那么风险的可信度，以及权限自身的安全，融合安全等等的问题，这里面最为突出的有四个问题，第一个挑战呢，是混合办公的访问的风险与效率问题，那第二个挑战是最小权限该如何有效的管理。

第三个挑战是对泛端、泛数据、泛应用如何有效的进行管理，那第四个挑战是访问过程中的风险怎么样才能提前的发现，并且及时的进行阻断？在2019年，腾讯联合国家互联网应急中心、中国移动通信集团设计院等单位在国际电信联盟标准化组织立项了一个标准，这个标准名字叫做。服务访问过程持续保护指南，那么2021年呢，这个指南正式发布，那这个指南呢，将我们的零线的一个创新理念呢，是呃，提高到一个国际标准的一个高度，那么这个创新理念就是在整体的一个安全防御的整个过程中，无论是在事前、事中和事后，都需要对访问的主体、客体以及环境进行持续的监控和持续的保护，那么这个阶段呢，我们称之为离线2.0自适应离线阶段，那么在今年呢，我们将我们的1.0提升到安全一体化，以接防管控联合体系，实现一个一体化的零线，全自动的一个防御。

在自适应安全方面呢？我们融入到XDR的一个联动检测响应体系，实现全程风险的可视可控以及自动化响应，这个时候IV已经演变成自适应零信任安全平台。那下面呢，我会着重介绍一下我们新一代的零先人IV解决方案，那零线从1.0过渡到2.0呢，是实现了从4T到接防管控全程的这样的一个知识性安全。那么接防管控该怎么解释呢？接是指接入安全，主要是指接入效率、安全和权限治理各个方面的一个综合的考虑，那么使得落地的成本更低。防呢是指威胁防御，这里面更加着重去保护的是场景化的防护，包括像勒索攻击的防护，高级入侵的行为以及用户异常行为的防护。

那管呢，是指整体的一个终端，泛端，泛数据、泛应用的一个统一管理，在混合办公环境下，这么多的端，这么多的数据，这么多应用，该如何进行一个有效的安全的管理，那控呢，是指风险可控，风险该如何提前发现，如何进行一个闭环的响应处置。首先讲讲接，那接第一个方面是接入效率的提升，那么刚才讲到了在落地过程中是有一些这个啊，实际的这样的一个部署难度在，比如说业务系统分散在不同的云，那么比如说访问的这个。

终端会多种多样，那么我们有三个举措来提升端到业务的便捷接入能力，针对各类业务场景，帮助零信任体系快速部署落地。那第一个举措呢，就是在端上实现泛端的客户以及免客户端的一个接入模式，使得客户可以无感的接入到业务系统。第二个举措呢，是在交付模式上，是支持公有云、私有云以及混合云结构来交付。那第三个举措呢，是通过业务连接器，那不改变原有的企业的网络托普的情况下，能够快捷的接入到企业的业务系统。那接着第二个层面就是接入的安全，那么这里面呢，我们做了一个SDP安全架构的一个增强，对SDP的安全架构实现一个全隐藏，同时升级访问控制引擎，提升动态风险评估能力，提升业务访问安全性。

这里面我们从三个方面去入手，去解决架构的安全问题，第一呢，是从udp敲门到支持TCPCNP敲门的协议，那提高了连接的成功率。第二方面呢，是我们实现了全隐藏，在将控制台藏在网关之后，那么实现了无端口的一个暴露。第三个层面呢，是动态访问控制，我们会根据业务的敏感程度，制定自适应的一个访问策略，比如说对高敏的业务，中敏的业务和低敏的业务实施不同的策略，并且动态的进行监控，防止从业务侧出现一些高敏和中敏低敏的一个看法，或者是这个呃跨权访问的一些问题。接着第三个层面是动态授权治理，是我们在最新版本的一个新功能，动态呃授权治理呢，是将最小化授权提升到动态权限治理的这样的一个层面，三个步骤去解决授权管理难的问题，这三个步骤呢，分别是首先进行一个全网的权限梳理。

那么第二呢，将访问的一个记录进行一个聚类分析，并且根据用户访问的场景推荐出最合适的一个授权的一个方案，那对于第三步呢，是对于超过一定天数未使用的僵尸权限或未被合理使用的权限呢，我们进行一个回收机制，通过这三个步骤呢，实现了权限治理难的问题，在威胁防御方面呢，我们针对三个场景进行了一个增强，那么第一个场景呢，是针对勒索攻击。那么在勒索攻击对抗层面呢，我们有四大举措，从落地的源头，病毒的启动，病毒破坏过程以及文件恢复四个环节进行了检测和响应，特别是文件保护方面呢，针对事前进行文件的备份，那么事后进行文件的解密和文件找回，进行了一些增强的功能。防的第二个场景是对呃，类似APP的一些高级威胁的这样的一个防御，那么这里面呢，我们是从入侵者的视角去考虑，围绕攻击链的四个关键环节，分别是侦查阶段、突破阶段、横向移动阶段和后渗透阶段。

进行了一个加强和检测，那么重点对钓鱼和横移检测进行识别，在钓鱼识别除了结合情报数据之外，我们对文件特征和敏感行为进行了一个增强的一个识别能力。反案的第三个场景呢，是异常行为的一个分析，那么我们基于用户、设备、应用环境和行为等维度进行持续的异常发现，对访问主体进行持续的性能评估，我们会根据登录的一些行为特征，按时间窗口进行数据清洗，比如说访问敏感业务的时长，尝试访问无权业务的频次，上传下传的流量等各种组合，进行一个智能的一个防御。那管方面呢，第一个提升呢，是对终端接入的一个管理，特别是泛端接入，那目前呢，我们已经支持了市面上所有主流的系统，包括了Windows Mac OS和Linux。信创系统以及在移动。

政测的安卓和iOS等系统，那么所有的终端的这个UI和使用体验是非常的呃一致的，那么使得客户可以进行一个无感的呃泛端的一个切换，同时呢，在端上呢，我们也呃进行了统一身份的认证和认证体系的打通，那管的第二个层面呢，是对风险数据风险的管理，大家知道无论是远程办公或者是在混合办公环境下，数据是一个特别大的一个风险问题，那么如何在这个啊远程办公的环境下保障数据安全，数据不被泄露出去或者不被误用，那么我们会根据使用场景和数据形态的不同，应用不同的数据安全模块进行有效的组合，去解决场景化的一些痛点，那比如说通过水印技术进行一些事前的威慑和事后的追踪。

那通过工作沙箱在PC或者在移动端进行一个虚拟化的一个工作空间的一个设置，让实际的这些工作应用和数据跑在工作沙箱里面，那个人的啊，这样的一些应用呢，跑在沙箱外，这样呢，我们可以拒绝公司混用，既保障了数据安全，又保障了个人隐私。那同时呢，我们还可以通过透明加解密的一些灵活组合，以及外发文件的监控啊，U盘加密防复制等手段进行数据风险的一些管理，那安全管理的第三个层面呢，是对软件风险的管理，那现在呢，盗版的软件或者软件一些不正确的一些使用，会给企业造成一定的一些损失，比如说如果有一些不遵守规矩的员工在电脑上随意安装盗版软件，那么可能会导致公司产生知识产权的一些纠纷，那么这时候呢，对盗版软件的一些监控和识别就成为一个企业的痛点，那我们在了解到这个痛点之后呢，也在这个功能上做了一些加强，在终端上呢，我们加强了识别风险软件一些能力，那么同时呢，在终端管控层面呢，可以禁止安装黑白名单。

对于管理员来说呢，他可以对终端上的一些软件的这种风险进行统一的一个监控和管理，那最后呢就是在风险控制层面，那么风险控制层面呢，我们采取了大数据智能分析的手段，那么通过一系列的的AI建模，对用户实体等关键对象的行为进行多维度的持续分析，以提升安全运营中的威胁提前发现的能力。比如说我们通过AI引擎图分析引擎对入侵的入径和入侵的这些行为可以进行一个这样的追溯，那么同时通过内部用户实体的画像，对用户的一些违规行为也可以提前的发现，那风险控制的第二个举措呢，是联合XDR进行全程的联动响应。

那么RV的终端呢，是自带EDR能力的，那么可以与网络侧的NDR以及在云端的云原生安全形成端网云的叉DRR的SDR的一个风险检测响应闭环，那么使得整体的业务从端到到业务的访问都是闭环可控的。同时以安全云脑为中枢，建立自适应安全，一旦发生风险，可以联动在端点上或者在网络侧的各种设备进行阻断响应，那么这里面呢，是我们是遵循的是戛纳的塔塔的模型，对全程进行一个自适应的一个检验和响应，那我们即将发布的IV7.0版本是基于零线2.0防护体系打造的新一代的零线安全管理平台。

那么我们刚刚提到的像接、防、管、控四个层面的能力都会在七点零一起发布，接的目标是提升安全接入的能力以及效率，防的目标是增加三大安全场景的防护能力，使得防护更接地气。那管的能力呢，是对泛端资产应用数据进行一个全面的风险可控的管理，那控的层面呢，是对威胁进行提早发现，并且联动SDR进行威胁处置。那同时呢，IV7.0呢会兼容所有的平台，在端测呢，会覆盖企业PC设备和自带设备，实现一个这个无缝的管理，7.0产品矩证呢是包括了SaaS版，是可以针对中小企业，他们需要订阅模式，那么针对这些行业的大型客户呢，我们也推出了一体化版，那么一体化版呢，就是复刻了IV在腾讯内部实践的一个成功经验，那么将接房管控各个方面的功能都融合到了一块，那第三个版本呢，就是终端的一个管控版，对泛端的管理以及泛端上的各种数据风险和业务风险的管理进行了增强。第四个层面呢，就是我们也推出了一些增值模块，那么可以让我们的合作伙伴和我们的生态的一些产品，在这些增值模块里面呢，去为我们的客户提供更完善的安全保护，这里面包括了这个终端准入数据房泄露云桌面。

箱啊，以及一些高效工具，除了IV的自身的一个产品闭环，我们也携手合作生态，那么共同去打造生态体系，腾讯牵头离线产业标准工作组，目前已经有近60家合作伙伴，那覆盖了身份认证、威胁防御、it管理、能力评测、行业标准等五大体系。

那我们希望有更多的同行加入到我们的行列里，为企业、为客户创造价值，让我们一起迈入零线2.0时代，捍卫美好，谢谢。感谢于斌总的解读和分享，这是腾讯首次对外披露零信任的技术演进路线图，希望能够给正在研发和实现零信任架构的企业一些技术和经验参考。正如刚才玉斌总所言，目前呢，腾讯零信任IOA已经广泛应用于放户、医疗、物流、教育、金融等十大行业数百家企业，并且部署终端已经突破了100万。今天呢，我们也很有幸邀请到了第100万终端的客户，高登科技带来分享。高登科技是一家财税科技公司，在2020年首次部署了腾讯零信任ioa，随着公司业务的拓展，近期进行了第二次扩容，成为我们第100万终端的客户。

在部署的过程当中，他们有哪些实战经验和实用的感受呢？接下来有请高登科技信息安全专家王凯带来以零信任构建网络安全新范式的演讲。大家好，我是高端科技的王凯，接下来很高兴为大家分享高端科技的零信任安全建设的一个心路历程和建设实践。希望呢对大家有所借鉴和帮助。我分享的题目是高端科技，以零星构建网络安全新范式。这次的分享呢，从三个方面展开，首先带大家认识一下高登科技，然后向大家介绍一下整个零星人项目的介绍背景与对应需求分析，最后是高登零信任项目的具体建设实践与价值收益。第一部分呢，先带大家了解一下高登科技，高登科技成立于2017年五暂是一家以发票数字化为基础，通过构建去人工化、在线化、科技合规的行业专业云设施，面向企业和监管提供财税合规以及交易合规管理平台的一个财税科技公司。

用科技联合监管和企业之间的鸿沟呢？一方面助力监管利用科技的手段去主动参与企业创新经营之中，另一方面助力企业用科技的手段主动构建合规管理体系。然后第二部分呢，我们切入主题，一起来看一下高端科技在2020年做零星的项目建设背景与需求分析。在2020年的时候啊，我们都知道一场新冠疫情席卷全球，这时远程办公需求猛增，在高层使用传统边厂商爆出高危漏洞，存在极大的安全隐患。除此之外呢，在我们审视自身的网络安全建设的过程中啊，也发现存在很多问题。第一个问题呢，就是终端安全方面，高通没有统一部署终端杀毒产品，员工使用自己免费的杀毒产品来造成终端安全管理混乱。终端安全产品呢，和传统的VPN产品建设是割裂的，造成远程接入无法联动终端安全，安全运营无法闭环，存在极大的一个安全风险，一个员工终端上面要装几个安全软件，体验非常不好，而且同时容易出现兼容性影响问题。

管理员呢，也需要维护多个后台，只能通过推进人力来解决，这种情况下的话，我们的办事效率就会比较低。第二条呢，高登自身属于互联网基因，公司重视数字化带来的生产效率提升，最近两年通过业务上云提升效率，而使用传统的VPN将业务分布分散，会造成暴露面扩大，而且变得更加复杂，业务和安全形成一个对抗的关系。第三条，在后卫型时代，远程办公常态化需要经常应对，业务弹性负载传的VP难以频繁扩充，平台稳定性也欠佳。基于以上的挑战呢，传统的网络安全建设方案已经无法满足。

新背景下的安全建设要求，这时，零星人安全进入我们的视野。最后，我们就开展了零信任的方案的了解与调研。然后，在讲具体的方案调研之前，我们对自身的安全建设做了归纳与分析，分别是以下四点。第一点，远程办公场景替换，解决高危漏洞利用安全的这样的一个隐患，这是我们当务之急，也是必须要尽快解决的问题。第二点，网络暴露面治理，网络接入安全性提升。因我司业务具有较高的一个安全性的要求，此前使用传统VPN产品，每天都会面临黑客端口多次扫描摊，存在极大的一个安全隐患。第三点，需要一体化终端安全建设，形成安全运营建设闭环，最大化安全建设效果。同时最好是一个客户端可以解决我们所有的一个终端安全问题，用户体验与管理效率。第四点。

应对业务弹性，具备数据安全方案演进路线，后性时代更好的应对业务弹性，产品需要具备动态扩容以进一步方案引进的路线。同时呢，我们这里也对产品成熟度与稳定性提出了一个很高的要求。通过以上四点的需求进行分析啊，我们认为第一点和第二点属于重要而且紧急，需要我们尽快来处理的一个问题。第三点呢，属于重要但不紧急的一个问题，但是说能尽快解决最好，解决不了在产品方案建设时要具备对应的一个扩展能力。最后一点呢，属于相对更加紧急的一个方案，基于此项目数据安全，可以放在后期建设，但要具备的一个能力。最后呢，是高落地，零星的项目建设过程的收益与价值。在做完了需求分析以后啊，我们开始了市面上零星人方案的调研工作。因为当时年轻人处于一个风口，市面上做零星人的厂商很多，琳琅盲目，但也都处于起步阶段。如何挑选适合高档的产品方案是我们重点要制定的一个问题。通过内部讨论，我们将调研工作主要从两个维度来开展，分别是产品的成熟度以及方案的匹配度。

产品成熟度方面，首先采用的产品必须是经过真实环境验证的成熟产品，保证产品的一个可用性和稳定性，其次，整体方案的匹配高我们的需求。在2020年，市面上的零信任安全厂商大概分为三个类型，第一个是传统的安全厂商，他们普遍通过原有产品技术构建零信任方案，产品成熟度较高，但是对于高中的需求匹配一般。第二个是互联网厂商，一般是内部安全建设实践的一个输出，但能力参差不齐，既有腾讯这样的一个零星高度成熟的产品，也有部分厂商刚刚开始推向市场的一个产品。第三类是初创公司，他们多半刚成立公司不久。

产品能力感觉很强，但是缺乏时间验证。我们这几家厂商产品做了调研以及POC认证得出来的表的结论大家可以简单看一下，所以说互联网厂商可能对我们的匹配度会更高一些。最终呢，我们通过综合的对比选择了腾讯，主要是因为腾讯在产品成熟度和方案匹匹配度方面的一个优异表现。产品成熟度方面，腾讯最早在一六年就开始在自家企业I推广了零信任产品L，每天承载了腾讯10万以上员工，15万上设备的一个稳定运行市场化产品呢，是自身产品的一个商业化输出。同时在2020年，当时已经有多个超过五万点的W模案例使用了，腾讯也是国内外零星人接受的先驱者和权威，主导制定了很多国际国内领先任行业标准，获得了get和的认可。这里我们认为产品成熟度非常重要。

因为产品能力后面可以补齐，而产品成熟度呢，不是一朝一夕就能完善的，就像盖房子，如果没有一个很坚实的基础，上层再好的花园呢，也是空中楼阁，就中花水中月。在匹配度层面呢？腾讯零信任产品秉承终端安全一体化的理念，具备终端安全、身份安全、应用安全、链安全四大方面的能力，建立起混合办公零信任安全闭环，符合我们企业安全建设理念，符合我们公司现状需求与未来规划。接下来我们看看高端零确认安全建设的整体方案情况。在终端层面呢？零确认保屏内外网差异，不再存在默认确认区，零客户端支持Windows ma Linux、信创等多种PC端操作系统。终端iOS。安卓操作系统涵盖范围比较广，功能方面，用户仅需要安装一个客户端即可解决终端杀毒、五金管理、终端监控、零信任接入等传统需要三到四个客户端才能达到的功能效果。

而且各个模块之间联动。网络层面。联系人通过端口隐身技术，真正做到了内部业务对外发布的网络隐藏，极大提升了黑客的工具成本。后台方面，联系人做到数控分离，数据层面可以支持多云部署，快速扩容，业务系统也无需改造，可快速接入使用，最终通过零信任IV的终端安全一体化、网络隐身、动态权限访问控制等手段来落地零信任安全的持续验证，永不信任的理念。构建涵盖终端可信、身份可信、链可信、应用可信的4G可信安全系统。打动混合单位办公的生命周期，安全业务访问的整个过程进行持续、动态、全面的权限控制和安全检查，实现终端在任意网络环境中安全、稳定、高效的访问企业资源。

方案建设规划和引进方面呢，根据此前需求分析中的紧迫程度，我们将整体方案分为三期来推进，第一期建设主要解决迫在眉睫的问题，替换VPN，解决高危漏洞风险，建立终端安全一体化，出行方便，后续扩容加底。同时呢，收敛网络暴露面，解决网络安全暴露封面的一个风险。二期建设主要聚焦于身份与权限治理方面。首先通过联动对接企业微信，做到身份信息同步认证对接扫码登录与相应的认证等，提升安全访问级别，通过动态访问控制能力来配合落地，最小化权限比例。其四，在多云上进部署零系任网关，纳入接入更多的业务。单期建设集中于数据安全建设，通过零信任PC端沙箱，以移动端emm能力构建数据围栏，加强数据安全建设，同时呢通过零信任拓展网络准入，在一期设备安全基线实现应用及准入的基础上面增加网络准入建设，通过建设零信任方案呢，我们的整体网络安全方面建设方面整体上的一个新的一个台阶，首先网络安全方面，我们通过零信任替换解决传统VPN问题，解决了我们高危漏洞利用带来的一个安全隐患，通过零信任网络隐身技术呢，做到了对外网络暴露面的收敛与隐身，在攻防维度进一步提升了网络接入的一个安全性。

终端安全方面，介入终端安全准入体系，将终端安全与系人接入打通，通过终端安全一体化理念呢让安全建设更全面、更智能、更便捷和更高效。零信任客户端具备勒索病毒防御专项能力，依托腾讯安全实验室的安全能力，基于事前、事中、事后。构建勒索病毒防御体系，目前已经支持100多种常见勒索病毒的一个解密能力，通过防钓鱼、防洪向，将可能遇到的安全隐患降到最低。腾讯零确认客户端呢，还具备一些很多实用的一些小工具，比如软件仓库。

管理员可以将员工日常使用的常规软件提现，准备好合规版本然后上传，方便员工使用，提升安全合规性。文档时光机除了可以防止勒索病毒、封锁文档以外呢，还可以充当防误删、强力恢复等工具，在高档的实际使用中，对于财务、法务部分的关键级文件规范有着很好的应用。在数据安全层面呢，通过屏幕水印、打印水印建立起一个数据溯源体系，让信任客户端还具备桌面管控的这样的一个功能，可以做到外设管控与文件访问审批的能力，后期还可以扩展PC上箱以及移动端em能力。业务效率方面，通过零信任安全建设，我们建立起一套后性时代混合办公的安全治理体系，形成安全管理的一盘棋。涵盖多种终端类型，更多后台业务联动企业微信实现更高效的一个使用，结束生产以及安全的一个对抗关系，最终呢，实现降本增效的这样的一个需求。

谢谢大家，我的分享到这里就结束了，希望对您有所帮助。感谢王凯先生带来的高端科技经验分享。正如王凯所说，腾讯零信任L不是一个软件，更多的是一个综合性的平台，它囊括了防病毒、终端管控、零信任接入DLP等多项功能，不仅提升了高登科技的安全管理能力和效率，还极大的降低了安全运维成本。实际上，腾讯零星人LA部署终端突破100万，对于腾讯安全来讲更是一个新的起点。未来腾讯安全不断升级LA的产品能力，用更好的解决方案服务于、信赖于我们的客户。实际上，腾讯零信任L部署终端突破100万，对于腾讯安全而言更是一个新的起点。未来腾讯安全将不断升级L的产品能力，用更好的解决方案服务信赖我们的客户。

接下来，让我们把视野放到国际，看看国际上零信任的发展是什么样的。让我们有请csa大中华区主席李宇航带来零信任与数字安全、国际趋势与实践的分享，有请。尊敬的各位领导、专家学者和参会嘉宾们。大家好。我是国际云安全联盟csa大中华区主席李宇航。首先感谢主办方腾讯安全对零星的高度重视，并给我们提供一个产业交流的机会。零信任是从零开始建立信任。零是起点，信任是终点。上周。

CA在旧金山rsa大会上举办了首届Co信任会。信任之父，CA大中华区研究院顾问。全球领先的零信任厂商和甲方企业负责人们云集一堂，分享了零信任的海外实践。在美国，继去年5月拜登签署零新任相关的总统令后。今年1月，美国白宫正式发布了联邦政府零信任战略。这是全球首个零星国家战略。四月，美国网络安全局又发布了企业移动计算中应用零信任原则的指导书。从2020~2026年的零信任市场与预测来看。美国将从196亿美元增长到516亿美元，符合增长率17.4%。

美国的老牌安全厂商都在积极拥抱零信任。OC等新兴零星厂商迅速成为独角兽，市值进入全球前列。微软基于零信任理念打造安全产品线。年度营收在2021年达到150亿美元。这都说明了零信任发展之势不可阻挡。在欧洲，三年前零信任还几乎是空白。今天，18%的欧洲组织机构建立了基于零信任的企业安全战略。93%的欧洲组织机构实施了至少一项对应零信任理念的解决方案。最近，欧盟就为关键行业组织实施共同安全标准的新立法达成了政治协议，欧盟网络信息系统安全法规n is指令将升级。

A is2.0指令纳入了以零信任为首的安全新要求。并责成欧盟各国把他们在21个月内写入法律。涵盖在关键领域运营的大中型组织，包括公共电子通信服务、数字服务、废水和废物服务、关键产品制造、邮政和快递服务、医疗保健和公共管理的供应商。从2020~2026年的零信任增长率预测来看，德国为17.6%，英国为18%，法国为19.7%。西班牙为21.6%。

欧洲的主要零星提供商目前几乎都是美国公司，包括微软、谷歌、思科、IBM、克曼。我希望今后能够看到中国厂商的名字。在俄罗斯上周举办的国际信息安全大会上。我在主旨演讲中向上合组金砖国家集安组织的国家500多位国家领导和企业it负责人介绍了零信任。他们非常认可这个理念，也将开始战略规划和实施行动。中国工信部网络安全产业高质量发展三年行动计划中有零信任框架开发要求。腾讯是国内最早实践零星的互联网大厂之一。今年5月，腾讯IA0信任解决方案已经突破了100万终端的部署，是国内首个突破百万终端的零信任产品。

为什么零信任在这几年加速发展？这跟新冠疫情爆发、数字技术突飞猛进，推动了数字经济发展是强相关的。大家知道，今年1月15号，习近平总书记在求是杂志发表了做大做优做强我国数字经济译文，强调统筹国内国际两个大局。发展安全两件大事。数字经济被誉为第四次工业革命的钥匙，已经成为全球经济复苏的新引擎、国家发展新型的助推器和国家级战略。在这一进程中，虚拟世界与物理世界融合，安全威胁与安全需求在发生变化。

传统的安全产业在理上落后，产品碎片化、厂商同质化，这些都适应不了在数据时代数字经济发展保驾护航的需求。因此，网络安全向2.0升级是大势所趋。这个升级版可以称为数字安全。C、大中华区2019年向联合国汇报了这个。2020年联合国秘书长发布数字合作路线图，手提数字安全。今年3月，联盟、联合国授权发布了数字安全的定义和框架。中国的安全专家们也有今年是数字安全元年的说法。对于数字安全来说，零信任更加重要。在产业数字化和数字产业化的所有应用场景中，零信任能够业务带来价值。

CIC大中华区为了帮助国内的企业落地零信任，做了大量的零信任研究、人才培养和宣传活动。例如，这个画面上展示的零星任SDP技术标准、中国零星全景图、中国零星案例及零星任认证专家、CP课程、零星任研究报告、SP攻防大赛等。借此机会，我邀请大家参加联盟今年将主办的第三届国际零信任峰会。展望未来，我认为零信任在国内需要引起更加足够的重视。在战略层面，政府与企业都应该以零信任为理念做数字安全战略，在法律层面，基于零信任的安全要求应该写进更新的网络安全与数据安全法。

在标准层面，灵性的设计、实施、测评等系列标准需要制定。在技术层面，更多的数字技术如人工智能、物联网、区块链等需要与零信任解决方案融合。在产业层面，安全厂商需要围绕林星任进行产业协同，满足客户的总体需求。在人才方面零信任，有足够的理由成为专业专岗。技术原理无国界，零星任。尽管起源于美国，但中国也必须搞，这样才能成为网络强国，提升数字安全能力。

数字经济召唤着护卫利器。零信任，践行天下SDP。苍穹。谢谢，感谢李宇航主席的分享。腾讯作为零信任工作组参与单位之一，一直以来呢都在积极的联合csa大中华区，从零信任技术、标准、架构、指南、应用场景等多方面开展人才培养，为零信任行业不断输送人才。不仅如此，在2020年的六月，腾讯还牵头成立了零信任产业发展联盟，并不断推动标准的制定、生态的建设。随着零信任步入2.0时代，零信任的发展也需要新生态。今天我们将在中国产业互联网发展联盟常务副秘书长陈胜喜先生的见证下，与众联盟成员单位一起迎来联盟升级这一重要时刻。现在我们可以看到各个联盟代表也纷纷发来对本次联盟升级的祝福。我仅代表零信任产业。

发展联盟宣读零信任开放生态倡议一、拥抱开放，共促零信任产业良性发展。二、共建标准，支持零信任技术规范发展。三、加强合作，深化企业间的技术协同与商业协作。四、支持国产，提升与国内芯片、操作系统等兼容能力。五、服务客户，深化场景，助力客户在零信任的应用和落地。我郑重宣布，零信任产业联盟升级仪式正式启动。

同时，我也宣布零信任产业联盟标准兼容认证正式启动。未来零信任联盟将基于全面、开放、生态的理念，打造行业内最具全威的零星人产业联盟，通过加强合作，共建标准，深化企业间的技术协同与商业协作，共同促进零信任产业的良性发展，让我们共同期待。接下来，有请联盟成员单位代表、绿盟科技解决方案负责人刘红丽带来用零信任构建数字化转型的信任体系的分享。大家好。我是绿盟科技刘红丽。

今天呢，我给大家分享的议题呢，是用零信任构建数字化转型的信任体系。首先说呢。数字化转型呢，是这两年的一个重要的一个主题，包括RA的大会也是以transform转型作为它的议题的一个主题，那么数字化转型呢，其实就是利用了一些现代化的一些数字技术，比如说像云计算，大数据。互联网5G等等，那我们在十四五规划里面，我们也提到了，像数字化转型，更多的提到的是上云，用数复制。数字化转型呢，必不可免的碰到安全问题，比如说你的业务都上云了，你用了一些大的数据，大数据的一些平台，那么你这个风险就增加了，因为什么呀？因为你的暴露面增多。而且边界是模糊的，那你用PC也可以访问，用移动设备也可以访问。另外呢，就是随着疫情呢，这个老是反复啊，我们这个远程办公。

要在家里办公，那么我们首先呢，要连接到这个办公场景或者数据中心，要进行操作，要访问我们的应用，因为我们数字化转型，我们的业务都上了，业务系统都上了这个电子化，那么我们这个风险也增大了，就随着这个远程办公的这个场景。那么我们就需要有一种新的方式，实际上我们安全一直在建设，但是一直出现各种问题，比如说像勒索软件，这个是最大风险的一个安全的问题，还有呢，挖矿软件，这都属于恶意代码，另外呢，像这种APP攻击呀。DOS攻击，还有数据泄露，这些呢，也都是我们常见的一些风险。那么这么多风险，这么多年，那我们有没有更好的一种方式呢？那实际上这个就是零信任被提出来的一个原因，它有很长的一个历史，我就不介绍了，那么我们说了一个零信任，它的一个核心理念是什么呢？

那在我们这个标题里面，是我们用零信任来构建一个可信任的一个体系，怎么去构建呢？那就是说你去访问这些应用，访问这些数据的时候，你保证自己是可信的。你的终端是可信的，你用的设备是可信的，不管是PC机还是移动设备，还是你的人，还是你的访问行为都是可信的。那么在这个横向上面呢，就可以说是一个通路，是从这个用户的一个环境到这个业务环境，那么在中间呢，要有一些检查，有一些执行的点来判断你是不是可信的，如果你不可信，那我就有一些手段来进行控制。那么这个呢，就组成一个零信任的这样的一个理念。横向是访问，那纵向呢是做这种决策和判断，那联盟科技呢，就是利用这个零信任的这个理念呢，打造了一个端要端的这个零信任的一个安全访问的这么一个模型，那它更多的强调的是多方的一个一个可信认证，然后对应用呢进行隐藏。

然后呢，要对这个用户的访问行为持续的评估，出现问题呢进行响应，那这是整个这个等信任端坐端的一个管理的一个模型，那么怎么来实现这个可信终端，还有这个访问控制，还有分析呢，那接下来呢，我会给大家一一解释，那首先来看呢，这整个方案它的模块，它的模块呢，是包含了像终端，终端这块呢，在每一个PC机或者是移动设备上面需要有一个STP的一个认证的一个客户端，然后到这个网络上面呢，在我们的这个资源前面会有一个STP的一个认证网关，那同时呢，还有这个CA的平台，或者说I'm的平台，这个呢，主要是用户啊，用户的身份认证，主要是他的一个模块，那最后一个呢，就是零信任的一个管理控制的一个平台，那这个主要是做什么，做这个。呃，零信任的一个行为分析。那么接下来呢，我给大家介绍分别介绍一下这个内蒙科技零信任解决方案的它的一些呃关键特性，首先说呢，是这个第一个呢，就是叫SPA，呃，首包验证，首播认证，那这个呢，是通过udpa这种方式，那么当你这个客户端启动了，那么他就要到这个控制中心去获取他是否可以访问SDP网关的，呃这么一个动作，那么这个呢，是通过udp这种发包，然后同时带了他的一个客户端的一个认证信息，当认证通过，那这时候才会允许他。

访问这个我们这些数据或者资源，前面的这些认安全网关，这样的话呢，它就可以进行这个用户的认证，那这个是主要是鼠包认证的这么一个目的，这样的话呢，就是不是说所有的这个客户端都可以访问这个认证网关，那只有你经过这个单包认证通过的这个客户端，你才可以接着往下去访问，才可以进行这个用这个用户名密码这种认证方式来访问。

这是手包手包认证的一个一个特性。第二个呢，就是多环节的一个信任验证与访问控制，那这个呢，主要说的是说你在这个终端上面需要是可信的。比如说呢，我们要检查你终端上面是不是有这个满足了安全基线。有没有这种补丁，那我们知道像wanna cry这个勒索软件，当时呢，就是因为这个，呃，幺七杠幺零。这个补丁没有打，那么出现了这个W大面积感染这个勒索的一个事件，那么林先生这个方案里面对客户端的一个认证的时候呢，就可以对这个客户端它是否。打了某些这个重要的这种补丁，弥补了这个漏洞，进行检查。当然了，还有其他一种方式，比如说你是否安装了一些软件企业要求的软件，是不是有一些盗版软件啊，或者说一些进程是不是可信的，有没有可疑的进程，还有像这个防病毒软件。

有没有安装EDR软件，有没有安装防病毒的，这些病毒码有没有更新到最新，这些都是可以进行认证的，那同时呢，对这个用户身份进行认证，还有用户的权限，那这个呢，其实也是多环节信任验证啊，然后如果你这些不满足，那我就不允许你访问，所以这个呢，就是多环境验证，然后呢进行这个访问控制，那还有一个呢，我们这个零信人呢，不仅仅是说是这个访问，还要进行安全的访问啊，那同时呢，要给这个访问者有一个这种很好的一个访问的一个体验，用户体验也很重要，所以我们说一个账号，如果你实现了这个多因素认证，并且呢实现了这个单点登录，那么对用户来说就是相对友好，就是他通过认证之后呢，那给到他的是一个集中的这么一个抛。这样的话，他进来之后就可以看到所有他可以访问的这些应用。这实现了什么一个账号打通所有的这种这种应用，并且呢，统一的这种应用的一个入口，他注销的时候呢，也是那这样的话，他所有的这个应用都不能访问了，这样他也也相对来说认证和这个注销都是很简单的。

那我们在这个统一入口这块呢，可以看到啊，就是如果你是普通用户，那么你进来之后呢，就是根据你的权限分配你什么样的一个应用，在一个通用的这么一个应用的一个小的一个port上面来展示。那如果你是管理员的话，那你看到的可能就是跟这个后台的是管理的一些系统，比如说像Windows主机，像这个unix Linux或者数据库这些主机，那么也是同时都给你开放了。这个呢是我们说是一个访问便捷，那同时还有有多个数据中心或者多个链路，那么它也可以自动进行切换，因为都是网络上的连接啊，所以这个用户体验是比较高效的。那还有一个呢，就是我们也专门对数据安全进行了一个防护，尤其是在这个移动终端，那我们打造了一个个人空间，还有工作区空间这样的一个区隔两个这个域呢，来进行这个。

个人的这个访问，还有工作的一个访问，那么你可以实现这项，这个在工作空间里实现一些。工作文件的一些隔离，一些数字水印，一些这种防考评，可以进行审计等等这些方式。那这个是在这个移动设备上面做了一些增强，一个双域隔离这样的一个概念。那么我们说零信任里面是说持续的一个评估，对访问行为也要评估，不仅对于账号，对授权，对终端，还有对访问行为，这个呢我觉得是和以往的这种认证最大的一个不同，就是你要持续的分析用户访问行为，并且做出决策，这个呢和之前的访问控制的方案是最大的一个不同，那么它也利用到了一些UEBA的一些技术，那么主要是分析这个用户，呃，用户访问的一些行为，比如说你用户访问上来之后呢，是不是这个扫描的一些有一些扫描的行为，那么这个怎么来实现呢？

那就是通过你网络上面的一些流量，一些入侵检测的一些告警，然后收集这些信息呢进行分析，那么这里用到了像UEBA的一个模块，或者像态势平台上面的这个这个用户访问的一些模块，来看这个账号是不是异常了，终端是不是异常，然后你的访问行为是不是异常。当出现这些行为呢，你就可以给到呃，这些网络设备或者说终端上面发送指令，然后切断，或者说是进行隔离。那实现这种动态的访问控制。那这个呢，就是动态访问的控制的一些动作啊，比如说像阻断，放行，封堵，锁定，隔离，或者进行二次认证，或者再增加一次认证，或者对他的进行这个权限做一些调整，所以我们在这个腾讯牵头这个灵新联盟里面也有一个倡议啊，我们在这个零信这个生态，我们也呼吁这个联盟的各个厂家呢，可以这个对自己的这些，尤其是探针网络上面的设备呢，可以有这种开放的一些接口。

这样的话呢，在这个零信任的这个生态里面呢，我们就可以用这种异构的这种模式来打造一个完整的一个方案，这个用户呢，他是有自己的一个选择，用不同的这种产品，也可以组建一个零信任的一个方案，以开放的心态来拥抱的一些标准，实现这些标准所要求的一些功能。就能打造这样的一个生态系统。那最后一个呢，其实我们要提出就是说我们这个零信任呢，是为了保护，为了提升这个安全的，比如隐藏我们的这个应用和资源，隐藏我们的数据，减少这种攻击面，同时呢，增强这个对终端，对用户，对访问行为的一个可信的多环节的一个认证，提高一个这种体验，那么我们零信任这些组件也要是安全的，用多重的这种措施来保证零信任整个方案这个各个模块的一个安全。

那避免什么？避免自身成为一个突破口，那么大家都知道这个安全理念里面有一个水桶原理，那么你安全是决定是。整体的安全性决定于最短的那块木板，那么我们零信任不能成为这个最短的模块，你本身是安全的设备，结果你成了一个不安全的，那这是肯定是不能接受的。所以要有对这个各个模块呢，要通过一些技术手段来进行这个自身的一个安全能力的一个加固。那刚才我给大家介绍的就是内蒙科技这个零信任落地之后呢，我们有一些关键的一些特性。那么这个零信任在哪些场景下得到应用呢？我们发现呢，就是说。呃，各个行业都是可以应用的，尤其是什么，尤其是在攻防演练期间，因为这时候呢，呃，你在对于攻击队，对于攻击者而言呢，就是我们要减少我们这个攻击的一些暴露面，那这个零信任这个理念就是把这个后台的资源和数据隐藏在这个网关之后。

那么如果你要访问的，那你要经过一笔道道的手续来验证自己是这个可信的，并且对这个访问行为也是可信的，我们我们要随时进行这个访问行为的一个验证，并且做出一些决策。第二个呢，就是远程办公，远程办公场景主要是因为疫情的原因，那么我们既要实现这个网络连接，不管是访问这种。办公的环境，还是说访问这些数据中心，云中心的这些场景，那都是可以用零信任来进行这个访问的加强。那运维场景其实就是更多的是给我们的这种系统管理员或者数据库管理员，还有呢，开发测试人员提供的这样的一个场景。那么数据安全场景呢，就是其实零信任本身呢，也是保护这个数据安全的，那除了数据安全治理本身的这些能力之外呢，其实对用户的一个认证访问，访问控制其实是一个重要的一个一环。

那我们在这个纵深防御里面，其实网络上面的防御，然后像这个用户身份防御，然后再到这个数据治理，比如像数据加密啊，数据脱敏，数据泄露防护等等，还有这个数据风险评估。数据的这个分类分级，那这些都是数据本身的，那么在这个零信任这个场景下，解决了这个对应用和数据的一个访问的这样的一个场景。那S场景呢？其实S是更广阔的一个零信任，更泛化的一个零信任的场景，因为它集成了零信任，还有SE这些远程访问的一些机制。那各行各业都是有这种零信任的一些一些这个应用场景。那最后呢，我们来看一个企业的一个零信任的一个真实的一个案例，那么这个用户呢，他这个痛点呢，就是说啊，他把自己的这个网络进行升级，有一部分这个数据库呢，是在云端，是在这个云的一个环境，然后有一部分这个比较保密，比较核心的这个资源呢，是在自己的一个数据中心，那么它的业务痛点呢，就是第一个是传统网络能力的一个增强，一个升级，这个是他非常希望的，那主要是体现在什么呀？他希望把自己的资源数据隐藏在后面，把应用系统隐藏在后面，就是减少攻击面，减少攻击面。

第二个呢，它还有远程办公的一个场景，那我们那个方案呢，就是提供他一些模块，比如说在一些这个运维人员和办公人员，他的客户端上要装这个SCB这个客户端，然后在他的应用前面部署SCB网关，然后后面呢，是有他自己的一个身份认证平台，然后我们就加上了这个零信任的一个分析控制平台，这样实现了一整套的一个零信任的方案。那么不管是对于运维人员还是这种办公人员，访问后台的服务器，访问后台的应用，那他他都需要首先呢，需要一个首播认证，认证通过之后呢，打开一个页面，这样的话，它这个SCP客户端，打开这个用户登录的一个页面，输入用户证密码，同时有一个二次认证这样的方式来实际上前认证，那么在它进行这个访问过程中呢，还要对他的这个访问行为进行这个分析和研判，当它出现一些可疑的行为之后呢，那这STP控制中心就可以来给STP网关发送一些指令，那要求这个封堵或者截段这种访问行为。

那么出现了这种问题呢，就让这个客户端呢，进行修复，是出现什么原因了，比如说你的客端上存在一些风险，比如说有一些一些异常的进程或者异常的访问行为，那这个呢，就实现了零信任，整个这个环节，比如说像多次认证，单点登录，还有呢，像这个访问行为的一个多环节的这么一个分析，那用户呢，远程办公，不管你是PC还是这个移动设备，也都可以访问它的后台的应用系统，那在移动设备上有这个双翼隔离。

然后它可以有这个个人的办公，还有这个工作的一个空间来实现这个双域，那对这个数据也是一个办公数据的一个保护，那这个呢，是在企业里面我们一个零信任的一个案例，那到这里呢，我今天的这个分享也差不多结束了，那简单回顾一下呢，我们今天呢，还是给大家介绍了一下，呃，整个离线的一个理念，那么它是随着这个数字化转型，对这种网络安全的一个提升，尤其是这个远程办公这个场景，还有减少攻击面这些场景，那么它的核心理念呢，还是说是对这个用户的一个身份，以这个为中心来实现这种多环节的一个认证，然后持续认证这样的一个理念。那么我们也给介绍了内蒙科技的原先人解决方案落地的一些关键特性，比如说像一些这种首包认证，多环节的这么一个认证方式，验证与访问控制，还有呢，就是一个用户友好的一个一个访问体验，双翼隔离，还有智能化分析，然后动态访问控制，那么最后也给大家介绍了一个案例。

那么今天呢，我给大家分享就到这里，非常感谢大家。谢谢，感谢刘洪利先生的精彩分享。正如刘总所言，数字化时代，网络安全面临重重挑战，零信任安全架构，在不可信的网络中构建安全信任能力，是应对数字化时代的全新战略。接下来，让我们有请下一位联盟成员单位代表宁顿的CEO刘英葛先生为大家带来主题为创新组织后疫情时代高效办公身份最佳实践探讨。大家好，很荣幸参加林信任产业发展论坛，我是林顿CEO刘英哥，很高兴今天给大家带来的主题叫创新组织后疫情时代高效办公身份最佳实践。

我的演讲包括四个部分，第一部分就是疫情对于组织的变化，那接下来去阐述新的it建设对于身份的一个变革，包括我们和新的身份的一些看法，以及和腾讯之间的联合的一些方案，包括落地的一些案例。那第一部分就是疫情对于组织发展的变化，那大家知道最近一段时间，全国包括上海、北京都有比较大的疫情，那在疫情期间的话，包括我在内有比较多的感同身受，就是疫情对于组织的发展的一些变化，我们的办公室从原来的线下办公室搬到线上去了，我们更多的是借助于企业微信和客户进行交流，包括飞书进行内部的协作。那么我们也看到了组织为了去服务客户，那有些客户，尤其是To B的一些大型客户还不得不去面对客户，那这些客户在外地也考虑尝试在全国有多个分支，那去进行联合的办公。

到客户现场，有些高科技的企业，那包括像游戏，新零售，生物和芯片这些行业，他们在开始在全球化的办公啊，包括服务他们的客户和本地的研发。那另外疫情也催生的这个企业越来越注重它的投资回报率，市场上的钱变得越来越值钱了。所以说大家。把原来购买资产的逻辑，组部的变成租赁的逻辑，那越来越节约他的资金，包括他希望他投入的一些核心的一些业务，快速的能够受到收益，那这是我们看到疫情对于组织的一些发展的变化，那么今天来看的话，It对于这个组织的变革起到了至关重要的一个作用，组织在谈数字化转型，包括组织的进化来看，都会啊，需要it来支撑，那么具体的我们看到的一些啊，小的一些啊，点在于第一。

过去从it从传统的网络逐步的过渡到零新人的网络，那第二个是从线下的往线上的这个办公室和会客厅进行迁移，那在线下的时候啊，我们大家强调的社交和交流，那么对于线上来讲，我们更加突出的是实时性和敏捷性，那信息系统从过去的这个建设以I'm为中心，逐步的过渡到以业务为中心，那它的迭代的效率会更加的这个提高，我们可以看到今天的这个企业级it的市场，从过去的PC啊时代的互联网的时代的这个啊，它的一个信息化的建设，到了这个今天的移动的移动化的这样的一个发展的一个过程。那么另外的就是云上云下的这个身份的你的落地的一个融合，去确保这个线上线下访问的一致性，这是我们看到的一个变化。

那么第二个部分就是说我们也看到一些企业，它在建立新的它的这个it的投资的铁三角，那么在这个情况下，它对于身份的一些变革在哪？那我们看到新的it的投资铁三角，包括客户更多的采用云服务，包括一些应用层，像直播视频会议这样的一些常见的一些啊云服务，那么还有在办公和客户交流中间，用更多的用一些平台级的应用，包括像企业微信，飞书这样的一些平台级的应用来支撑他的客户和。办公，那另外在网络层面上，我们过去的在这种物理的这个内网和外网隔离的情况下，包括在这个，那么开始从变成逻辑层的这个零信任网络这个架构下，那么在这样的一个投资的背景下面，我们面临的新的挑战就是如何建立在这样的易购的环境下，跨平台应用，云和设备和终端网络，如何去建立一个互信，包括访问的一致性，这是我们今天面临的新的挑战。

那在这个挑战下面的话，解决办法是我们如何用身份来去建立大家的关联，去解决跨云。端网络和平台及应用之间的互信及访问的一致性，那我们也看到今天的这个组织，它可能会采用云，我们刚刚看到这个上面的云，像国外的WS，国内的像腾讯、华为、阿里云，那么在内网的应用，一些关键的应用，像网络层的有线、无线。那么预控ad的预控包括。这个核心的应用，像研发的应用，像BI，那么包括像一些生产流程的一些软件，OA的软件，在内网，那么在上的一些我们平台级的应用，看到了企微飞书，那么包括一些啊关键的一些应用，像办公的，像OFFICE365，还有像啊CRM啊这样在端上面，我们除了啊过去的Windows，有今天的这个呃，Mac。

Linux这样的桌面终端，包括还有泛终端。就是我们的BOD，还有我们rot的设备，那在这样的一个这个就是多多平台。包括这个跨端的这样的一个背景情况下，那我们今天面临的问题就是说我们这些创新的组织。就是。如何从过去的这个要拥有身份，以I为核心的这样的一个情况下，过渡到去控制这个身份，就是说我们今天所有的这些平台商都已经把他的身份建的很健全，那对于企业来讲，再去重复的建设身份是有点浪费了，那我们怎么样去把原来的这些平台建立起来的一些身份我们拿过来使用。然后把他们之间建立这种互信的关联关系。我们只保证。

这个访问控制就可以了，那么第二个就是刚刚也谈到了，过去就是我们以I'为核心来建设，那今天就是我们每个平台级的应用和云平台，它都有内化的这个身份，那怎么样在这种去中心化的这样的一个身份情况下，建立这种联邦的身份。从过去的这种中心化到去中心化，那么所以从这个角度来看的话，我们想看一下创新的身份它应该是什么样子，我们也看到今天的国内的一些发展的技术的趋势，对身份的这个需求也越来越多，包括我们刚刚前面谈到的这个数字化转型，包括大量的这个外网的访问和无线网络的访问，包括这个刚刚谈的企业微信，钉钉飞书这样的，包括像部署的语音和SaaS应用，收购和合并啊等等这样的一些场景，都有越来越多的这个身份的使用，那这个时候我们会发现。那什么样的技术线是符合未来的这个它的创新组织去支撑的，那么目前我们看到在全球来看的话，身份有三种的这个发展的一个线路，第一个就是我们最早发现的。

在局域网时代的I'，那I'm的话，我们知道像Oracle IBM他们做这种大型企业的这个I'm的这样的一个软件，它通常来讲，它表现出来的是一个。非常定制化的，而且这个交付周期非常长的一个啊这个方式来做，那么我们看到中小型企业会用这个微软的ad来去管这个可终端，包括大型的企业也会在管端的情况也会用ad，那。是在局域网时代。那么到了这个。计算时代的话，我们看到比较火的是is，它所主要解决的是这个云上的这个SARS应用的这个统一身份和单点登录，但是在国内来看的话。就是这一条线的话，发展出现了一些问题，就是因为国内的话，平台的厂商，他把这个各种各样的SS管到自己的平台上面去了，所以呢，独立的is，它并不能够独立的成为一个市场，那么第三个线路就是大S，就是目录级服务，就是说过去的这个我们的端，我们的网络，我们的应用。

那怎么样去他的身份之间怎么样去联合，去解决这种分布式的身份的联合问题，那所以呢，我们看到今天的这样的一个发展趋势，大势更符合这个技术的一个发展趋势，但是他面临的挑战其实就是品牌认知度，就逐步的让大家去认识，那幸好我们有这些创新的组织，他们在啊，勇敢的在尝试这样的一些东西。那在目录服务的这个技术线路中间的话，我们也看到就是它的整个的it的架构，就过去的话是以I'm为核心的各种各样的应用全部对接到I'm中间来，那今天的话是一个分布式的I'm，那么这个时候的话，你就。你的身份目录就是要把这些分布式的这个I'm进行联盟起来，包括不能解决的一些技术架构的场景，把他的身份统一进来，包括网络，包括这个就是端测的这些身份，把它统一进来，那这个时候形成一个联合的身份，我们称之为身份目录服务。

顿在身份目录服务上，在国内算是最早去践行这个技术线路的一家企业，我们从这个最开始，从MF Fi这个单点都解决技术架构的这个问题，然后逐步的往前的发展，那今天的话，我们的推出来的这个方案，它是从人和端这个一体化的这个身份管理，它已经相对比较健全了，所以它包括我们刚刚谈的这个混合的身份目录，以及这个统一的MFA以及。这个网络和终端的这个身份的管理，包括应用的接入管理，包括平台级的这个接入的管理，还有这个账号生命周期管理，包括特权的管理，那对外的话，我们也提供非常丰富的这个联动，那保证这个。

就是大家都可以对接。那这样的一个方案的话，它主要解决的问题是什么？它主要是解决过去这种烟囱式的身份的管理，那我们过去在这个端测，我们有针对端的这个身份管理，包括目录测的话，我们今天看到的呃，内网有ad的目录，在云上我们有这种平台级的这个应用的它的这个身份。那么在网络的话，网络的接入这个身份，包括应用的话，有它的单点登录和它的这个多因子验证，那包括在语音上面，还有包括个安全的这个联动，这上面都有很多很多的身份，那这样的身份形成一些孤岛，没办法去进行联动联通，那对于来讲的话，我们把这些场景一体化，包括跟既有的投资进行联动起来，那么这个时候的话。把它从技术架构到云到这个端一体化打通，那这个是提高客户的效率，并且帮助客户来去节约它的这个管理和他的投资成本。

从这个目录及服务来讲的话，他在客户的这个落地的话，我们把它提炼出来的话，有几个阶段，第一阶段的话就是在这个混合的身份目录的建设，就是在有的这个云上云下的身份，怎么样把它去联合起来，那么第二个阶段就是全场景的身份接入安全，包括远程的办公介入，包括你的网络介入，还有你的数据中心介入，还有你的办公的应用的接入。第二阶段，那第三阶段的话就是解决饭端的一个准入控制，包括你的桌面端，你的饭桌面端，还有你的亚中端和B8OD的这个解决它的一个啊问题。那第四个阶段就是你要提高效率，就是如何通过这种低代码，包括work flow的这个方式来提高这个身份管理的自动化的水平，那过去我们在管理账号的时候是这个成本是比较高的，举个简单的例子给大家听一下。

那么我过去我们比如说一个人力资源，他有个新的员工入职的时候，他需要去把它走完了入职流程之，他告诉每个系统的管理员，给这个员工创建他的账号，那么这是要消耗时间的，第二个呢，当他离职的时候，也通知这些管理员。把这些账号的删除或者是禁用掉，这个中间面临一些问题，就是这个系统的管理员没有及时的删除它，会面临一些安全的风险。那么并且耗时，所以说第四个阶段需要把这个它的整个的过程变成一个自动化的管理，那这个时候我们看到的这个整个的身份目录服务推进的几个人落地的阶段。那接下来的话，我们来谈一个创新组织的它的一个需求和它的一个建设方案案例，那这个是啊，一个创新的组织，它的需求，它的应用层的话，有的像OFFICE365啊，Sales force，坚果云网盘，那他用的平台级的应用，像企业微信是解决对客户的客户服务的这个问题，那飞书进行内部的这个协作办公。

那在他的这个的基础架构的建设中间，有零信任网络解决它的杀毒，包括它的这个数据安全的问题，那另外的话，除此之外还有身份，它有ad预控，那么另外的话，在身份认证这块，它需要去解决这样的一些问题。在基于这样的一个客户的应用的和他的一个it的这个规划的情况下，我们来看看从身份角度来讲，怎么样去保证他的一个啊落地和它的啊最佳实践，那我们看看我们把整个的项目拆成四期，那第一期的话，我们解决他的saaras的业务，没办法纳管到平台及应用的这个业务，他的SINGLE32的问题，以及他的啊统一身份到ad上去，第一步要解决的就是把他的sales force和他的啊OFFICE365，还有坚果云的这个身份接到他的内网的ad上去，然后呢，借助于企微或者像这样的一个工具来实现他的扫码认证，把传统的短信验证的双因子验证给替换掉。

那么另外的话，针对于IA和堡垒机的这样的一些场景，能够给他提供啊令牌的双子炎症保障入口的这个接入安全，那第二期的话是解决它的内网接入的一些和端上的一些它的一些安全，包括内网的接入的一些准入，包括访客的一个准入。那么另外就是终端的合规性的线，那么三期来讲的话，我们需要解决它的本地的应用的多身份调接，包括用户的口令的自服务管理，降低它的口令的一个修改的一个成本，包括账号的一个自动化的管理。那往后的话，其实就是如果它的ad未来假设没有它的终端不在是完完全是Windows终端的情况下。那或者说他认为家域对他来讲不是那么重要的情况下，那这个时候可以去有些接管他的原来的l de的一些应用，比如说研发场景的，像bit啊，还有网络啊。

那像有线无线的网络，那这个地方呢，可以通过的协议，也可以通过reduce的协议来对接这些网络的一些啊应用。那么另外的话就是你的混合的架构下来，它的桌面的七乘24小时的管理，另外的啊，最后就是当它的平台的应用将来要发生一些迁移，怎么样去帮助他平滑的过渡，那这个是我们给出来的一个客户的一个最佳实践。那么和腾讯的I合作也有非常悠久的一个这个时间，并且合作非常愉快，那么接下来我们看一下我们之间的合作帮助客户解决哪些问题，那我们的呃，联合的场景是在于通过顿的敏捷的身份的管理，包括敏捷的这个呃，内网的一些准入的一些组件和零信任啊网关进行结合，那么最终来帮助客户实现更好的这个零信任网络的一个落地，那在具体的有几个场景，第一个场景就是在I的客户端的m Fi认证，我们知道在企业里面的话，它会有一些传统的一些应用，它没办法应用用一些新型的这个。

类似于扫码认证，推送认证这样的现代化的认证方式，比如说像堡垒机服务器那这样的一些场景，那顿的话，统一的MF服务可以帮助这些场景来进行多因子验证，那么同时可以跟ii联动去解决m Fi的认证，这个时候的话就形成统一的MF的认证，那包括啊ROA可以和顿的SSO进行整合来去啊，解决一些这个业务的一些快捷访问的问题。那简化它和应用对接的一个流程，那么第二个就是RO的平台和顿的身份进行打通，就是作为用户的身份源，在一些创新的企业客户，他在没有域的环境下，灵顿可以直接给他做身份源。那么。

这个IO就直接可以调用林顿的身份，我们之间可以通过CM的这个协议来进行联动。第三个场景就是在业资源的管和身份打通这个地方举个例子，比说当一个客户中间有多个身份，比如说有A。有OA，有HR或者是其他的一些身份员的情况下，甚至有些集团型的企业，它是多域的这个情况，那么如果IH跟很多的这个身异购的身份员进行联动，他会增加他的代价，因为他本身不是来做身份的，对于宁顿来讲，过去已经很各种各样的易购的身份进行过联动，那所以呢，Ii只要去和灵顿进行去联动，灵顿来实现对其他的身份员进行桥接，形成一个多身份源的接，之后给I提供这个单一的一个啊身份的一个联动，可以简化呃，项目落地的一个周期。

那么还有就是我们在内网的情况下，有些客户他还有内网情况下，怎么样去解决他的内网的这个终端的准入，实现这个内外网一致的这个终端准入。那这个是另外还有一些高级别的能力，就是说我们怎么样去通过身份给他提供一些数据能够。来实现这个智能的这个终端安全风险的等级，基于的这个啊智能的阻断和放行，那么最后我们看一下我们双方联合的价值，就是可以实现可信的身份，可信的终端，可信的应用，在任意的网络环境中安全高效访问企业资源，内外网一致的身份管理和体验。那么我的演讲到此结束，也谢谢大家，感谢刘英葛先生带来的分享。刘总在刚才的演讲中讲到腾讯零信任LAFA与宁顿咪contact身份联合案例，通过LA客户端MFA认证，LAFA平台与宁顿身份打通等，实现了在任意网络环境中安全高效的访问企业资源，进而实现内外网一致的身份管理和访问体验。

这个联合案例呢，也充分展现了生态合作的重要性，只有各个厂商持续深化技术协同与合作，才能够为客户提供功能更为完善、体验更好的零信任解决方案，推动零信任在中国的加速落地。本次腾讯安全零信任产业发展论坛到此就要结束了，再次感谢各位嘉宾今天的精彩分享，感谢各位媒体朋友和观众对于本次论坛的关注，我们明年见，再次谢谢大家。