以下文章來源于中國金融電腦 ，作者鄭清源

作者 《中國金融電腦》記者 鄭清源

▲深信服科技股份有限公司  金融事業部解決方案專家徐省委

近年來，隨著金融業數字化轉型的不斷推進，傳統的經營方式和管理模式均發生了巨大改變，并涌現出許多這個時代特有的創新場景，如遠程銀行、移動辦公等。與此同時，面對日漸復雜的網絡環境和愈加嚴格的監管態勢，安全與風險間的博弈也更加激烈，而網絡邊界安全更是成為金融機構迎接5G、云化時代的重要前提和保障。在此背景下，零信任的概念應運而生，其以“從不信任，總是驗證”為核心，旨在為使用者提供更有效的、面向未來的安全保護。針對這一技術趨勢，為進一步了解零信任在金融領域的應用前景，本刊特別采訪了深信服科技金融事業部解決方案專家徐省委。

《中國金融電腦》：對金融機構來說，零信任的核心價值是什么？

深信服：當前，金融行業的數字化轉型已卓有成效，各種基于新技術的創新應用層出不窮，使金融服務的覆蓋范圍和質效均實現了顯著提升。但與此同時，金融機構的網絡安全邊界也隨之不斷擴大，而傳統架構很難應對邊界模糊帶來的更廣泛的內外部威脅，同樣也無法解決復雜網絡架構和多樣化接入方式帶來的擴建變更成本及管理成本上升。對此，零信任基于產品化、組件化、場景化等技術特點，可以提供一種輕量級、動態發展的安全策略，且隨著數字化轉型的逐步深入，零信任技術本身也將會愈加完善。

《中國金融電腦》：金融機構落地零信任的難點是什么？

深信服：零信任的本質是引導安全架構從網絡中心化走向身份中心化，進而以身份為中心進行細粒度的自適應訪問控制。所以，這里有一個非常重要的前提是身份的識別和認證，落實在技術層面則是要構建一個統一的身份認證系統，需要采集包括人、設備、系統和應用等在內的各方面信息，而這對于開展了多年信息化建設的金融機構來說，無疑是一個非常龐大的工程。

另一挑戰體現在技術落地上，微軟在零信任方面探索了近20年，但始終沒能形成一個標準的落地方案，可見零信任轉型無法一蹴而就。對此，深信服進一步提出了精益信任的概念，主張以組件化、場景化的方式進行落地，即通過將零信任與已有的網絡安全設施進行融合，使其成為一個循序漸進的過程。

具體來說，深信服建議金融機構選擇遠程辦公安全接入訪問、生產系統訪問權限管理和運維高風險用戶訪問、開發測試訪問權限管理和互聯網出口安全訪問、高敏感數據授權訪問、B2B商戶管理平臺互聯網訪問等特定業務場景，試點先行，分步建設，快速落地零信任技術能力。

《中國金融電腦》：什么是場景式的零信任轉型？

深信服：所謂零信任場景是相對于整個安全體系的概念，主要指針對數據和計算資源集中、內外部大量用戶頻繁訪問等復雜場景，基于零信任實現與業務高度融合的安全防護。以遠程辦公場景為例，當前金融機構為了提高效率，選擇將部分業務互聯網化，并借此實現了上下游業務的遠程訪問，而基于深信服的精益信任架構和aTrust平臺，可以將這類業務系統有效地保護起來，并實現純Web化的無感知訪問，從而更好地平衡移動辦公的安全與體驗。

例如，aTrust平臺支持對員工的終端環境進行檢測，并能夠針對不同安全級別的終端環境配置合適的安全策略進行準入控制。對于部分純辦公B/S業務訪問，可以以用戶體驗為主，降低對終端的管控，使用戶能無感知訪問辦公應用。對于部分敏感業務系統，則可以要求員工安裝aTrust平臺客戶端，既不會影響員工正常訪問C/S應用，還能夠通過aTrust平臺客戶端對終端進行環境檢測，并采集終端的基本信息、安全信息、應用信息等建立動態統一的身份庫，完成對環境、用戶、系統、程序的身份改造，最終形成一種動態可信的身份標識。

《中國金融電腦》：零信任能夠為金融機構內部帶來哪些改變？

深信服：對于金融機構來說，內網安全始終是重中之重，而精益信任可以幫助金融機構梳理權限基線，實現權限最小化；同時靈活抓好安全基線，實現信任最小化。例如，對于最小權限化來說，人工梳理訪問權限的可行性非常差，為此，aTrust平臺中提供了面向權限基線的梳理工具，即在構建權限基線身份化的過程中，可對訪問請求進行精準化、顆?；刂?，確保只有有權限的用戶才能訪問業務系統，從而縮小信息暴露面。

信任最小化則主要是基于動態訪問控制，即通過在業務系統前端部署aTrust平臺的可信訪問網關，將可基于可信訪問網關中的動態訪問策略，強制執行企業內部設定的安全基線，進而防止開發人員直連生產數據庫，或將遠程桌面協議（RDP）等高危協議暴露到互聯網及危險環境當中。

《中國金融電腦》：精益信任最大的優勢和特點是什么？

深信服：一是可成長。精益信任的目標是輕量化、一站式解決普適性強、高優先級的安全問題，并通過訪問控制規范化和安全管理規范化，有效保護信息資產。例如，aTrust平臺支持集成各安全產品的能力，包括安全感知平臺、終端檢測響應平臺、統一身份認證平臺等，金融機構可以基于aTrust平臺不斷集成外部安全產品，并慢慢成長為以aTrust平臺為中心的、完整的零信任網絡架構。

二是易落地。aTrust平臺在每一步落地過程中都提供了一系列輔助工具，如在權限梳理過程中提供了人機智能權限梳理工具，可實現“自動化訪問報告+自助申請+人工審批”的合理化權限梳理流程，這些落地輔助工具基于流程化、智能化的方式，可成為零信任網絡架構中的管理抓手，最終使零信任網絡架構能基于精益信任的解決方案在企業中落地。

未來，隨著萬物互聯和5G時代的來臨，零信任將扮演更加重要的角色，不僅可更好地應對海量終端接入、物聯網和邊緣計算等帶來的安全挑戰，還可有效避免不受控的內部訪問所導致的各種安全問題，在助力金融機構轉型的同時，也將逐步重塑數字金融的新邊界。

文章刊于《中國金融電腦》2020年第09期【業界觀察】