由深信服科技聯合CIO時代舉辦的「落地有聲 · 第二屆零信任用戶分享大會」11月4日在杭州如約舉辦。

會上，深信服邀請了數世咨詢創始人李少鵬、權威咨詢機構IDC研究總監王軍民、北汽福田集團基礎設施及信息安全負責人張志強、中信建投證券信息技術部安全管理組副總裁吳冰、吉利控股集團IT中心CTO/吉利汽車集團數字化中心總監鄭金偉、深信服CIO張武健、深信服安全業務副總裁/零信任業務負責人周智堅出席大會，分享零信任落地過程中的思考與心得。

△主持嘉賓：數世咨詢創始人 李少鵬

數字世界 信任需要零信任

王軍民 IDC咨詢有限公司研究總監

數字化優先時代來臨，規模創新朝著持續化、情境化、實時化發展。面對安全挑戰持續升級，零信任已成為向好發展驅動因素。

據最新報告《IDC MarketScape: 中國零信任網絡訪問解決方案，2022年廠商評估》，中國零信任網絡訪問解決方案市場進入高速發展期，百花齊放的背后呈現六大趨勢：

1. “產品+服務”組合落地將成為標配。

2. 云原生/服務敏捷/便捷等將推動云化部署節奏。

3. 智能化、自動化將從概念部署向應用部署過渡。

4. 零信任網絡訪問和零信任邊緣將實現方案融合。

5. 場景化、行業化解決方案市場潛力大。

6. 零信任解決方案將向保護數據安全的方向發展。

對此，如何選擇方案提供商，王軍民以權威客觀視角，給到用戶詳實建議：

1. 關注提供商對方案的體系化、階段化建設能力。

2. 關注提供商綜合能力及技術能力。

3. 關注提供商的數據安全訪問體系建設規劃能力。

4. 關注提供商的安全服務體系建設。

從零開始，構建安全遠程辦公新場景

張志強 北汽福田集團基礎設施及信息安全負責人

數字化轉型背景下，北汽福田對IT提出了更高要求——“提供高效、安全、穩定、便捷的基礎設施”。尤其是傳統辦公方式已經不適應數字化時代的發展，面對超2萬名員工、6000+最高并發、超200萬次月均攻擊，為保障員工隨時隨地安全接入，北汽福田采用零信任滿足遠程辦公常態化的安全需求。

零信任不僅為北汽福田帶來了有效安全保障，還讓體驗更加簡單省心。“以往，訪問采購管理系統，需要先撥VPN，再打開手機APP，操作繁瑣；現在，在零信任架構下，訪問控制系統可以與第三方通訊軟件原生集成。”

“采用深信服零信任aTrust替換VPN，只是北汽福田走進零信任的第一步。”千里之行始于足下，規劃好階段化建設路徑，未來，北汽福田將持續深入探索遠程運維、內網應用通信等場景。

構建數字化轉型安全底座：穩步推進零信任落地

吳冰 中信建投證券信息技術部安全管理組副總裁

證券行業數字化轉型，帶來辦公體驗的無邊界化。IT基礎設施云化、容器化，業務上云、微服務化使傳統以安全域劃分、邊界防護的理念受到懷疑。

在保障安全剛需切入點的同時，要提升用戶體驗，進行整體布局，中信建投證券選擇進行零信任改造。

根據整體落地路徑規劃，基于身份訪問控制、終端安全沙箱和數據分級保護技術，中信建投證券先行保護高風險場景（移動端開發安全、外包人員開發測試），收斂互聯網暴露面，防止數據泄露。

目前，中信建投證券全面推進取消辦公類系統的互聯網入口，實現13000+員工隨時隨地安全辦公。

“零信任架構搭建完成后，我們將結合數據資產信息，提升零信任安全運營能力。”未來，中信建投證券將實現增強訪問行為分析和持續信任評估能力，基于風險構建自動化處置，有效阻斷潛在威脅。

對話大咖

零信任落地難題，一場對話來解答

本次大會特別開設「對話大咖」環節，前期通過線上征集問題，有3位正在落地零信任或有意向落地零信任的用戶，提出了高質量問題，并到現場與嘉賓們面對面交流，現場交流氛圍熱烈。

Q1針對內部應用的安全，除了依賴零信任以外，還需配合哪些產品？

吉利控股集團IT中心CTO/吉利汽車集團數字化中心總監 鄭金偉：對于終端管控來說，吉利在這方面的實踐分三種情況，一是針對企業自有終端，可以結合零信任SDP、直連網關DGW的產品，二是BYOD設備，可以通過桌面云VDI、沙箱等，保證數據不落地；三是考慮對設備的管控，把包括網絡準入、殺毒幾個終端整合，形成一個終端All In One的產品。

深信服CIO 張武健：怎么把安全進行體系化建設？我們去年提出“平臺+組件+服務”的戰略方針，其中ZTA平臺解決以身份為中心的細粒度訪問控制。隨著深信服數字化轉型發展，應用和終端數量迎來雙爆發，安全漏洞不可避免，我們認為“終端是不可信的” ，風險很難控制，因此不僅要收縮業務暴露面，還要收縮內網接入終端細粒度管控。我們除了實現全辦公網零信任改造外，還在研發內網結合SDP+VDI+DGW+UEM沙箱等，形成了一整套零信任解決方案。

Q2 集團工廠設備多、點位多，如何通過零信任，做好精細化、細粒度的訪問控制？

北汽福田集團基礎設施及信息安全負責人 張志強：在工業4.0與數字化轉型驅動下，我們的互聯網和工業網打通，機器人等相關設備幾乎是國外的，工程師需要遠程接入內網進行參數校驗。以前用VPN打通隧道，一是看不到人員進入內網的行為，也無法追蹤；二是人員獲得權限較大大，無法細粒度管控。2021年我們引入零信任之后，管理員通過可視化平臺，做資源和身份的匹配。另外，我們還建立工控DMZ區，在物理范圍內管控人員權限。這背后更多還是在運營，把工控信息安全運營納入信息安全運營體系，對信息安全做整體判斷和處理。

深信服安全業務副總裁/零信任業務負責人 周智堅：零信任提供兩種能力：一是事前隔離控制，不管是工業網、辦公網、互聯網，資產和數據有很多歷史遺留問題，沒辦法通過改造架構來解決，因此需要零信任做隔離控制和細粒度控制，補齊短板；二是可視化和聯動，能夠看到整個資產訪問活動過程中的風險，幫助安全團隊進行管理和分析，以及異常的聯動處置。同時，落地零信任需要分階段、分場景，從遠程辦公到內外網混合辦公等，如果缺乏整體規劃，隔離控制、風險管理就很割裂，因此要選好一個生態開放兼容的平臺，往數字化安全方向走。

Q3為何大部分企業選擇從SDP替代VPN的方式切入去做零信任建設？我們應當如何選擇零信任落地技術路徑？

北汽福田集團基礎設施及信息安全負責人 張志強：我們選擇從SDP切入做零信任，是因為對業務的挑戰更小，除了滿足遠程安全接入的需求，能實現細粒度訪問控制，還能滿足研發遠程接入的性能要求。從耗費資源和時間的角度，我們選擇用最容易的手段，讓決策層直觀感受到零信任所帶來的的好處。因此我們用深信服零信任aTrust替換VPN是一個很輕松的過程，只花費2個月就完成替換。

深信服 CIO 張武健：作為第一個吃螃蟹的人，深信服全網落地零信任，看起來很輕松，但過程很曲折。我們做零信任改造分三個階段，一是PC到Server，二是從VDI到Server，三是從Server到Server。其中第一階段最為重要，以收斂身份為前提的訪問控制，也控制住大部分風險?；谶^去SSL VPN產品積累的技術優勢，深信服選擇SDP這條技術路徑，不管從安全還是運維收益來說，都是最簡單有效和容易成功的。

在產業數字化升級和業務上云的趨勢下，傳統基于邊界的安全防護理念難以應對企業面臨的各類安全風險，以“持續驗證，永不信任”為核心的零信任作為解決云網邊界消弭、重塑企業安全體系的新方式，逐漸成為企業數字化轉型的必選項。

如今，零信任已從概念走向落地，并且在國內涌現出一批優秀實踐單位。與此同時，不少企業則仍處在探索階段，希望學習業內先進落地經驗，以加快自身零信任落地的速度、少走彎路。

在此背景下，深信服科技聯合CIO時代舉辦的「落地有聲 · 第二屆零信任用戶分享大會」，為廣大用戶打造一年一度的零信任優秀經驗分享平臺，傳遞零信任成功落地秘訣。

零信任落地道阻且長，深信服科技以一場干貨滿滿的用戶分享大會，詮釋“致力于讓所有用戶「安全領先一步」”。