炙手可熱的“零信任”技術到底如何融入企業安全建設？“零信任”是否又能針對性地解決每一行獨有的安全痛點，以及企業如何從0到1搭建基于零信任的安全體系?

近日，由騰訊安全主辦的安全管理者俱樂部沙龍在深圳迎來首場活動，匯聚了來自金融、物流、投研、制造業、傳媒、航空等行業的安全代表，圍繞“零信任”話題展開談論，本次安全管理者俱樂部沙龍創新地設置了主題分享和分組研討等環節，形成了集痛點解析、需求配對、實踐分享、成果沉淀等于一體的沙龍模式，為各行各業加速部署“零信任”提供的案例實操性的經驗和前瞻性思考。

主題分享

李維春丨證券行業零信任場景探討

券商是一個強監管的行業，要求辦公網和交易網兩張大網有效隔離，每張大網又通過防火墻隔離出不同的分區。雖然不同券商具體做法不一樣，但整體大同小異。

在券商行業有三個場景可能需要“零信任”技術：

一是遠程辦公和外協人員訪問網絡資源。遠程辦公情況下，員工經常需要使用個人電腦通過VPN的形式接入公司網絡。員工使用個人電腦沒有準入控制的基線，容易引入安全風險。此外，個人電腦類型繁多，VPN客戶端體驗也很差；如果是外協人員通過VPN接入網絡，安全人員無法掌握和控制其行動軌跡，同樣容易引發安全風險。

二是定制化交易系統。現在很多私募基金投資機構會自己開發一套交易系統，放到券商的環境里面，和券商的交易系統對接。這套系統對于券商是不透明的，后者不知道它有多少安全漏洞，也不清楚私募基金投資機構通過自己的防火墻后進行了什么操作。

三是整體架構。券商的兩張大網之間雖然做了有效隔離，但還是存在大量數據交互：有的是接口調用，有的是設備、應用之間互相訪問，有時是用戶身份訪問設備或應用，這些都有可能導致安全隱患。

三大場景中，現有的網絡架構已經無法應對新時代所帶來的安全挑戰，如何通過零信任來解決證券行業目前面臨的網絡安全問題、實現從現有架構向零信任架構的過渡，是業界共同的訴求。

周智堅丨一句話說清安全與零信任，產業互聯下的安全業務架構

通過科技將生產資料、設備和客戶的快速鏈接將使能企業，企業生產、經營和決策將平臺化、自動化化、數據化、甚至智能化，這是產業互聯接下來的大趨勢，不轉型的企業將逐漸被市場淘汰。

產業互聯轉型的大趨勢下，信息安全就是生產安全，安全必須融入業務。針對產業互聯下企業的安全訴求，周智堅創造性地提出了一套名為“1+N”的零信任架構落地方案：安全業務平臺化運行的安全ERP作為核心的“1”，連接各類安全產品，如員工安全、終端安全、身份識別、權限管理、自動化工具、數據安全等基于零信任的安全能力，從而推動企業從傳統網絡架構向零信任網絡架構轉型。

“1+N”零信任架構方案的落地，既需要企業技術架構作為基礎支持以及產品化和技術化，也需要安全ERP輔助才能產生更好的安全效果。

曹靜丨零信任能力圖譜解讀與應用場景探討

零信任是當下安全領域的熱門話題，安全廠商紛紛推出了各自的零信任解決方案。百家爭鳴之下，甲方企業頗有種亂花漸欲迷人眼的感覺。零信任到底有哪些能力？甲方該如何選擇適合自己的解決方案？

騰訊安全在5月份發布的《企業級零信任能力圖譜》，對零信任技術的能力做了詳細列舉。零信任的核心理念是“沒有默認的信任，只有默認的威脅”，零信任不僅可以替換VPN，實現無邊界的辦公和運維場景，針對云上業務系統的安全訪問，零信任可以隱藏互聯網暴露面進而阻斷黑客攻擊。

具體應用場景上，目前零信任被廣泛應用于東西向安全訪問控制、分支機構訪問總部、應用數據安全調用、統一身份與業務集中管控、全球鏈路加速訪問、物聯網業務場景中。

企業只有了解零信任建設的能力目標，根據能力視圖、業務優先級規劃建設場景路徑，才能分場景、分階段完成零信任整體能力體系的建設。

嘉賓演講的間隙，為增加沙龍活動的趣味性，讓與會企業對自身零信任實踐水平有更好的認識，主辦方特地邀請現場嘉賓參與了零信任成熟度模型自測。

分組圓桌研討

主題分享后，沙龍活動進入備受期待的圓桌討論環節。現場參會的嘉賓來自各行各業，每個行業都有不同的需求痛點及零信任思路和方法。為了讓與會嘉賓更好地交流碰撞，從不同視角激蕩出思維的火花，在頭腦風暴和開放討論中求同存異，圓桌環節采用了非常新穎的討論形式——由騰訊安全的兩位安全專家各帶領一組嘉賓分別討論，與會嘉賓從甲方立項視角和需求視角提出了針對八大零信任應用場景的具體需求。

在傳媒行業，業務場景除了會涉及多個業務部門外，還包含了混合云的網絡架構。網絡安全架構極為復雜，其安全建設的關鍵痛點之一是：雖然通過容器化把各類數據、資產以及管理配置整合到了一起，但在進行單一機群訪問控制時，會對整個網絡層的規劃產生影響。分享嘉賓認為，零信任為安全管理工作提供了一個新的視角和工具，能夠成為未來網絡安全管理工作的抓手。

民航領域的安全痛點則是——傳統機場連接互聯網的接口很少，可能就有一個是連接辦公網絡的。但隨著私營機場的增多，對接外網的接口也將越來越多。這意味著暴露接口增多將會讓機場更容易受到黑客的攻擊，對零信任解決方案中的管控對外端口功能需求旺盛。此外，目前大多數機場和空管的外部訪問管控，也需要借助零信任來實現進行南北向、東西向的安全管控。

在垂直行業之外，對于企業普遍存在的安全運營挑戰，零信任也是一把好手。來自大型企業的安全專家認為，一直以來企業對于端上的安全管控非常嚴格，加之使用VPN的情況不多，所以一直以來所有的VPN都采用白名單制。在今年疫情的影響下，遠程辦公需求激增，就需要安全運營團隊手動進行所有外部訪問的權限控制，導致工作量激增，對業務的時效性造成了較大影響。如果能夠通過零信任的動態評估功能來進行管控的話，不僅能節約人力成本、提升業務效率，還能進一步控制安全風險。

分組討論結束后，兩組各推舉出一位代表對討論結果進行圓桌成果輸出展示，由裁判組對兩組嘉賓的分享成果進行評判。

一組成果輸出

零信任的方案落地面臨著三大挑戰：

一是如何說服領導，讓他覺得“零信任”是有好處的。

二是如何讓領導理解零信任和傳統安全的區別，零信任能解決哪些問題。

三是零信任在不同行業有不同的落地方式，企業如何找到最適合自己的路徑。

二組成果輸出

零信任的應用場景分為三塊——端上的需求、系統側的需求和鏈路需要。

端上的需求包括Mac地址綁定、賬號共用、分支機構、個人設備綁定BIOD、第三方機構訪問、賬號體系互認、網絡變化、IOT六大塊；系統側的需求包括東西向、混合云等等。

不難發現，零信任早已從概念走向各行各業的安全場景，正在切實地帶給企業安全建設新工具、新理念。這正是騰訊安全舉辦安全管理者俱樂部沙龍的核心所在，致力于搭建匯聚甲乙雙方視角的技術交流平臺，在傳遞安全知識、實踐經驗的同時，通過共同交流探討來探索安全產品在實際業務中的落地場景。

未來，騰訊安全將持續釋放自身的技術、人才與生態優勢，攜手產業鏈生態伙伴共同深入探索零信任在行業中落地的新場景，持續完善適用于各行各業的新型安全機制，為企業的數字化轉型進程保駕護航。