2019年年底，突如其來的疫情讓遠程辦公的需求猛增，同時，傳統VPN產品也爆出高危漏洞，擴容非常不便，遠程接入的數據安全問題和數據防泄露問題，成為了擺在企業面前的一道難題。

于是，一個稱之為“零信任”的整體輕量化解決方案熱度持續攀升，因其解決了遠程辦公、終端辦公、數據安全等場景的安全難題。

所謂“零信任”，核心就是默認情況下不信任企業網絡內外的任何人、設備和系統，需要基于身份認證和授權重新構建訪問控制的信任基礎。簡單來說，零信任的策略就是“持續驗證、永不信任”。

近日，高燈科技進行了騰訊零信任安全管理系統（騰訊iOA）的擴容部署。此次擴容后，騰訊iOA部署終端正式突破了100萬，成為了國內首個突破百萬終端的零信任產品，產品部署覆蓋了金融、物流、醫療、地產、高教等十多個行業、數百家企業，產品的成熟度和商業交付能力得到了各個行業的廣泛認可。

騰訊iOA零信任解決方案優越性何在？突破100萬端意味著什么？高燈科技為什么選擇騰訊iOA？投資家網與騰訊零信任產品總經理楊育斌和高燈科技副總裁兼安全負責人莫曉盛對此展開了深入交流。

零信任熱潮后，商業化何在？

業界第一個將零信任安全模型進行落地實踐的公司是Google，早在2011年，Google就開始實施BeyondCorp項目，目的就是讓Google員工可以在不借助VPN的情況下通過網絡開展工作。Beyondcorp成為當時零信任領域教科書級別的存在，但Google并沒有將自身成功的實踐經驗變成一個商業化產品，投入市場。直到2021年，Google才推出適用于第三方企業的商業化零信任產品BeyondCorp enterprise。

國內來說，2019年9月，工信部公開征求對《關于促進網絡安全產業發展的指導意見(征求意見稿)》，將“零信任安全”列入需要“著力突破的網絡安全關鍵技術”。政策的支持和鼓勵，疊加遠程辦公的需求暴增，零信任行業迅速百花齊放。

零信任本質上是一種以身份為基石，革新了安全架構的新一代安全解決方案，以業務安全訪問為保障，這種持續信任評估和動態訪問控制的機制讓企業安全架構更加安全，提升了安全能力，降低了運維成本，因此成為重構安全防御體系的新趨勢。

相比于傳統層層設防的辦公方式，零信任是在遠程辦公和混合辦公場景下可以迅速落地的一個輕量化解決思路。因此，布局零信任的不乏大廠商、傳統安全廠商和初創型中小廠商。

目前，零信任行業魚龍混雜，很多只是傳統的產品換了個包裝，并不是真正的零信任解決方案；其次，很多號稱有零信任產品的廠商其實還沒有真正的商業化，只是處于一個產品自用的階段，還在探索怎么落地到外部客戶。

過去幾年，Google、IBM、Cisco、騰訊、阿里巴巴、奇安信等公司紛紛投身零信任的研發和實踐，有的在企業實現了內部部署，有的則走出“自用”，實現了百萬終端的落地。

突破百萬終端，零信任從理念走向現實

在國內，騰訊屬于最早進行零信任安全實踐的科技公司。

與Google一樣，騰訊iOA起初也只是騰訊內部一個自用的產品，用以保證分布在全球各地的騰訊員工安全高效地開展工作。一些聽聞了騰訊iOA內部使用效果的公司，打聽這個產品是否有商業化版本。隨著類似的問詢逐漸增多，騰訊iOA團隊認真考慮了商業化的可能性之后，2019年決定將騰訊iOA形成商業化產品對外輸出。

高燈科技正是當時咨詢騰訊iOA的企業之一，高燈科技在2020年初正式在內部部署騰訊iOA產品，因業務需要不斷擴大部署，至今年5月，成為騰訊iOA第一百萬終端部署所在企業。

作為一家財稅科技公司，高燈科技以發票數字化為基礎，通過構建去人工化、在線化、科技合規的行業專業云設施，面向企業和監管提供財稅合規及交易合規管理平臺，并構建了“以納稅人數字化”為底層的合規服務平臺。

高燈科技副總裁兼安全負責人莫曉盛將公司選擇騰訊iOA的原因總結為以下幾點：首先是外因，2019年年底，突如其來的疫情讓遠程辦公的需求猛增，高燈科技也不例外。更重要的還是內需，隨著企業不斷的發展，高燈科技在全國有非常多的分公司，員工數量也不斷增長。在這個時候傳統的“基于邊界的安全模型”就力不從心了。

另外，作為一家做財稅服務的企業，高燈科技對數據安全高度敏感，其業務對數據依賴程度很高，是影響公司生存的核心要素，再考慮到最近接連出臺的相關政策法規，數據安全的重要性不言而喻。

作為使用者，高燈科技信息安全專家王凱總結了騰訊iOA與傳統解決方案的不同。

傳統的辦公網絡安全依靠VPN、防火墻、上網行為管理、堡壘機、后臺服務等產品組合，類似鏈路模式。每個員工的PC端上要裝多個客戶端，由于這些產品來自不同的廠商，之間無法聯動，沒有辦法發揮最大的安全效果。

騰訊iOA是一個端到端的、整體的、輕量化的零信任解決方案，帶來的不僅僅是功能，是一個集合了防病毒、安全管控、零信任接入、數據防泄露等多套系統綜合性平臺。表面上看起來它是一個終端的形態，但實際上它的后臺非常豐富而且飽滿，大大提升了企業的能效比。

零信任理念標準化體系仍需完善

零信任并不是一個產品，它是一個理念，是一套整體的解決方案，它肯定是需要跟網絡連接、身份體系認證、鏈路優化等等打通，在如此復雜的安全策略的情況下還能做到用戶無感體驗，難度并不小。

現如今各家的實踐雖然遵循其倡導的基本原則，但是在實際研發和應用的過程中，因各自所面臨的實際情況不同，又各有偏重。缺乏標準，則導致許多產品沒法聯動。

騰訊iOA產品總經理楊育斌表示，零信任行業亟需建立零信任標準，促進行業和生態的健康發展。零信任最終雖然大家可以百花齊放，但是一定是從標準化層面或者接口對接層面，真正能做到一個非常完善的保護體系。

在2021年7月，騰訊牽頭起草中國第一部《零信任系統技術規范》，填補了國內零信任領域的技術標準空白。2021年11月，騰訊牽頭的全球首個零信任國際標準——《服務訪問過程持續保護指南》，由ITU-T國際標準正式通過發布，從而推動了全球零信任標準化應用。

值得一提的是，騰訊零信任標準工作組制定的接口標準，已實現了同18個行業安全廠商的對接，接口標準化促進了企業安全辦公體系的融合，也進一步優化了辦公體驗。

楊育斌稱：“未來更重要的是建立零信任標準，促進行業和生態的健康發展。推動標準化，推動行業共識，零信任才能真正實現百花齊放。”