随着云计算、大数据、移动互联网等技术的发展，越来越多的企业开始去拥抱这些新的技术，但随之而来的是未知的威胁和新型攻击，致使企业安全风险不断升级，传统的安全管理已不足以解决现有的困境，“零信任”成为破局关键。

一、零信任的发展

2010年，零信任安全由著名研究机构Forrester的首席分析师约翰·金德维(JohnKindervag)提出。到2018年，中央部委、国家机关、中大型企业开始探索实践零信任安全架构。2020年，在中国产业互联网发展联盟标准专委会指导下，腾讯联合零信任领域共16家机构企业，共同成立国内首个“零信任产业标准工作组”。2021年，工信部《网络安全产业高质量发展三年行动计划（2021-2023年）》提出要发展创新安全技术，加快开展零信任框架等安全体系研发。直至现在，零信任理念仍在不断发展、快速演变中。

作为新一代网络安全防护理念的代表，零信任可以减少数据泄露、拒绝未授权的访问，因此在企业安全方面价值巨大。

二、企业安全现状

1、过分信任内网安全

传统的网络安全默认“外网凶险，内网安全”。很多企业对于外网安全防护下了很大功夫，但对于内网安全却不够重视，如缺乏对内部人员的访问监管、授权机制不够细致、假借他人账号登录、非常规时间/地点异常登录等。出于对内网环境及内部人员的信任，部分企业缺乏事后的追溯手段，有意或无意的信息泄露非常普遍。

2、设备无人关心

通常情况下，由于企业IT系统的逐步迭代，均存在部分设备版本老旧的情况，部分设备存在漏洞和补丁更新不及时的情况，造成了大量可被远程控制的端口和服务。有些部门系统管理员为方便自身维护，设置弱口令登录，最终造成黑客在内网横向移动的便捷。

3、数据缺乏加密和过滤

由于企业内部数据缺乏重视，访问授权粒度很粗，重要数据访问没有加密，非常容易被爬虫爬取；数据缺乏过滤，SQL注入、CC攻击、上传恶意文件等经常出现；数据访问无记录，包括对SQL的内容和权限缺乏控制，这些都极易造成重要数据泄露事故。

三、零信任认证体系

为了避免以上现象发生，越来越多的企业开始依靠“零信任认证体系”来应对各种威胁、泄露，即完成对人员、设备的持续认证，守护企业安全。

在登陆上，通过多音字身份认证，例如以下方式：

（1）动态口令（OTP，One Time Password）：每隔30/60秒产生一个随机6位动态码。

（2）提供生物识别系统：通过识别用户的指纹，以及人脸进行安全认证。

（3）支持多种初始化认证方式的接入，包括扫码、推送、动态口令等多种认证方式。

（4）提供SDK、API、标准协议Radius/LDAP等多种集成方式。

为了更好地对用户进行管理，在客户端进行门户的单点统一登录，其优点包括：

（1）统一入口，统一认证，统一管理，统一授权。

（2）让用户只需登录一次就可以操作所有被授权的应用系统。

（3）自助改密，修改后直接同步至AD等主账号源及其他系统。

四、总结

伴随着移动办公和数字化转型提速升级，诸如网络边界模糊化等企业安全问题愈发凸显。为了帮助企业更好地应对当下的安全形势，鹏信科技推出了鹏信SDP云智慧安全互联解决方案，它是基于零信任安全理念的新一代网络安全模型，完全基于云的SaaS安全服务，帮助企业在云上构建起一个虚拟的安全边界。通过云安全技术服务，向企业提供云一站式网络安全解决方案，帮助企业和政府单位快速、安全上云，减少其在安全方面的整体开支，护航政企单位数字化转型发展。