2021年10月11日至17日，國家網(wǎng)絡(luò)安全宣傳周重要活動(dòng)在陜西西安舉行，舉辦網(wǎng)絡(luò)安全宣傳周，提升全民網(wǎng)絡(luò)安全意識(shí)和技能，是國家網(wǎng)絡(luò)安全工作的重要內(nèi)容。

（主會(huì)場(chǎng)）

在本次網(wǎng)安周，由華為承辦的“零信任安全實(shí)踐”主題分論壇，邀請(qǐng)了行業(yè)內(nèi)眾多零信任安全專家與廠商，共同探討零信任與現(xiàn)有安全架構(gòu)、數(shù)字經(jīng)濟(jì)發(fā)展等多種話題。聯(lián)軟科技受邀出席零信任安全實(shí)踐分論壇，分享了端點(diǎn)安全在零信任體系中的重要性。

作為國內(nèi)端點(diǎn)安全領(lǐng)域的領(lǐng)導(dǎo)者是如何成為國內(nèi)零信任領(lǐng)導(dǎo)廠商之一的？以下是演講主要內(nèi)容：

零信任從提出到走向成熟

隨著新興技術(shù)的發(fā)展，以傳統(tǒng)網(wǎng)絡(luò)為中心的基于邊界的防護(hù)體系正在瓦解或逐漸失效，零信任的安全模型正在被逐漸探索、完善、普及和應(yīng)用中，服務(wù)于多個(gè)行業(yè)和領(lǐng)域。2010年Forrester的分析師首次提出零信任的概念，在11年的中，零信任的發(fā)展之路充滿了各種理論和實(shí)踐。例如，在理論上CSA提出SDP、Forrester提出ZTX、Gartner提出ZTNA、NIST都提出了ZTA的理論框架，而實(shí)踐方面最著名的當(dāng)屬Google的BeyondCorp項(xiàng)目，歷經(jīng)6年最終成功落地。

端點(diǎn)安全與零信任的關(guān)系

零信任安全體系的搭建是一個(gè)十分龐大的體系，端點(diǎn)安全和零信任又有什么關(guān)系？沒有端點(diǎn)安全的零信任注定是失敗的。在NIST的ZTA零信任架構(gòu)中闡述了從主體到資源的訪問控制過程，如果說Forrester的ZTX模型比較抽象的話，那NIST的模型更像一個(gè)網(wǎng)絡(luò)架構(gòu)圖。左邊這個(gè)圖是去年三月份發(fā)布的草案，該架構(gòu)分為核心組件和支撐性組件，核心組件主要有PE、PA和PEP三個(gè)組件構(gòu)成，而支撐性組件包含身份、有日志、情報(bào)、數(shù)據(jù)訪問策略、CDM、SIEM等眾多因素；而右邊的是時(shí)隔半年發(fā)布的正式版，相比較舊版，正式版的核心組件依舊保持不變，而支撐性組件則換成了4個(gè)功能組件，分別是端點(diǎn)安全、數(shù)據(jù)安全、身份和安全分析。正式版更加清晰，也更加具備落地性。

在Gartner關(guān)于零信任的描述中，左邊是Gartner非常著名終端安全的技術(shù)成熟曲線，UEM、ZTNA等與零信任相關(guān)技術(shù)都屬于端點(diǎn)安全的范疇內(nèi)，2020年起，由于疫情的影響，很多的互聯(lián)網(wǎng)公司已經(jīng)宣布永久性的在家辦公，BYOPC也成為了熱點(diǎn)技術(shù)，這也推動(dòng)了零信任的發(fā)展。此外，在2020年，Gartner的ZTNA市場(chǎng)指南中提出了ZTNA的建設(shè)指南，其中最重要的四個(gè)關(guān)鍵點(diǎn)都與與端點(diǎn)安全相關(guān)的。

在由華為安全聯(lián)盟委托Forrester進(jìn)行的調(diào)研報(bào)告中，從208名來自政府、金融行業(yè)、交通物流行業(yè)和醫(yī)療衛(wèi)生行業(yè)的中國大中型企業(yè)及機(jī)構(gòu)信息安全決策者的調(diào)研中，我們可以看到終端安全是大多數(shù)受訪者都一致選擇了終端安全作為零信任體系建設(shè)的首要目標(biāo)。

企業(yè)端點(diǎn)安全建設(shè)的三大難點(diǎn)

既然端點(diǎn)安全在整個(gè)零信任框架中這么重要，企業(yè)端點(diǎn)安全建設(shè)有哪些難點(diǎn)呢？聯(lián)軟在端點(diǎn)安全領(lǐng)域耕耘已經(jīng)有18年，總結(jié)了三大難點(diǎn)：

●第一：全面性。終端安全的范疇很廣，包括防病毒、準(zhǔn)入控制、桌管、dlp、水印、edr、補(bǔ)丁、EMM、CWPP、移動(dòng)存儲(chǔ)介質(zhì)管理等等，如果企業(yè)要進(jìn)行零信任安全架構(gòu)，是否要再裝一個(gè)Agent，大部分企業(yè)是存疑或者拒絕的，而且大量的Agent也會(huì)導(dǎo)致終端資源浪費(fèi)、管理上異常復(fù)雜，出了問題沒法定位等難點(diǎn)。

●第二：兼容性。隨著技術(shù)業(yè)務(wù)的發(fā)展，終端類型越來越多，PC、手機(jī)、平板、物聯(lián)網(wǎng)終端等，加上鴻蒙等國產(chǎn)操作系統(tǒng)等，端點(diǎn)安全的搭建要求安全廠商的技術(shù)儲(chǔ)備較高，必須對(duì)操作系統(tǒng)的底層原理要有深刻的理解和多年實(shí)踐，具備底層核心內(nèi)核級(jí)別開發(fā)的能力，最大程度的保障產(chǎn)品的兼容性和穩(wěn)定性等。這些都是靠廠商長(zhǎng)期積累的能力，也是端點(diǎn)安全廠商最大的技術(shù)壁壘，從聯(lián)軟的經(jīng)驗(yàn)來說，一家做端點(diǎn)安全的廠商，產(chǎn)品要成熟至少需要5~8年的時(shí)間。

●第三，可視化。終端類型的多樣化，導(dǎo)致了需要對(duì)全網(wǎng)的資產(chǎn)及變更做快速定位非常的難，出現(xiàn)問題能夠第一時(shí)間感知，第一時(shí)間監(jiān)控、告警、處置，并通過可視化來實(shí)現(xiàn)快速響應(yīng)。

聯(lián)軟與華為零信任為客戶提供一體化的端點(diǎn)安全

2020年8月，聯(lián)軟由于在端點(diǎn)安全領(lǐng)域的超強(qiáng)能力，有幸加入了華為安全商業(yè)聯(lián)盟，在合作中共同促進(jìn)產(chǎn)業(yè)發(fā)展，提供全網(wǎng)協(xié)同的立體防御體系。

聯(lián)軟提供的是終端安全一體化的能力，通過終端安全管理模塊，保障終端可管；通過網(wǎng)絡(luò)準(zhǔn)入控制，保障身份可信，通過終端EDR，保障入侵可防；通過終端DLP，保證數(shù)據(jù)可控。從體檢、到入網(wǎng)、到檢查響應(yīng)，最終圍繞著數(shù)據(jù)的保護(hù)，構(gòu)成了端點(diǎn)安全的平臺(tái)。該平臺(tái)有三大特性：第一是功能全面，一個(gè)后臺(tái)，一個(gè)Agent，解決所有的端點(diǎn)安全的問題；第二是極簡(jiǎn)運(yùn)維，單臺(tái)服務(wù)器可以管控15萬+的設(shè)備；第三，與華為VPN、交換機(jī)產(chǎn)品無縫的集成，未來華為的VPN Client由聯(lián)軟提供，與華為的園區(qū)網(wǎng)NCE Campus完美對(duì)接，實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制。

聯(lián)軟的產(chǎn)品在華為的整個(gè)零信任方案中主要有兩大組件，一個(gè)是終端環(huán)境感知，一個(gè)是SDP的控制器。終端環(huán)境感知能力主要就是端點(diǎn)上的身份驗(yàn)證和風(fēng)險(xiǎn)評(píng)估，以及端點(diǎn)上的數(shù)據(jù)采集和分析、數(shù)據(jù)安全等能力，SDP控制器，主要是集成了SPA等單包授權(quán)，以及網(wǎng)絡(luò)訪問授權(quán)和策略控制的能力。

終端的環(huán)境感知能力：首先是進(jìn)行終端的安全評(píng)分，包括物理環(huán)境、安全環(huán)境、安全基線及安全事件等四個(gè)維度，對(duì)終端的安全進(jìn)行評(píng)分；然后是全面身份化的身份識(shí)別，這里又包含了人員、設(shè)備和應(yīng)用三個(gè)維度的身份標(biāo)識(shí)；通過安全評(píng)估和身份標(biāo)識(shí)，就可以計(jì)算出該訪問的信任等級(jí)，從而實(shí)現(xiàn)對(duì)資源的動(dòng)態(tài)授權(quán)。

持續(xù)的信任評(píng)估：零信任架構(gòu)中的有別于傳統(tǒng)訪問控制架構(gòu)的一個(gè)特性。當(dāng)一臺(tái)設(shè)備完成了安全和身份的雙重評(píng)估后，終端上會(huì)對(duì)他的環(huán)境和身份進(jìn)行持續(xù)的監(jiān)測(cè)，一旦發(fā)現(xiàn)環(huán)境或身份發(fā)生變化的時(shí)候，例如從不同的物理位置接入、或更換了不同的瀏覽器等，這種變更就會(huì)觸發(fā)授權(quán)的變更，需要降低信任等級(jí)，甚至是有些時(shí)候需要觸發(fā)增強(qiáng)認(rèn)證流程，比如通過短信驗(yàn)證，或者手機(jī)掃碼驗(yàn)證等方式再次確認(rèn)身份。

通過上述零信任架構(gòu)如何實(shí)現(xiàn)數(shù)據(jù)安全？終端設(shè)備需要存儲(chǔ)和處理超過80%的企業(yè)數(shù)據(jù)，如何保護(hù)好終端上的數(shù)據(jù)，也是零信任安全最難于解決的難題。聯(lián)軟的第二個(gè)非常重要的能力就是終端的DLP。無論是移動(dòng)設(shè)備還是在PC上都實(shí)現(xiàn)了數(shù)據(jù)的隔離，對(duì)落到終端上的數(shù)據(jù)進(jìn)行加密的存儲(chǔ)，通過加密隧道對(duì)傳輸中的數(shù)據(jù)進(jìn)行保護(hù)，從而實(shí)現(xiàn)數(shù)據(jù)的不落地。對(duì)需要外發(fā)的數(shù)據(jù)進(jìn)行DLP的管控，通過水印對(duì)文檔進(jìn)行追蹤。通過以上的技術(shù)手段實(shí)現(xiàn)了端到端的數(shù)據(jù)安全保護(hù)。

最后一個(gè)能力是聯(lián)軟的EDR與華為的Hisec Insight聯(lián)動(dòng)。聯(lián)軟的EDR可以在終端上采集18大類，336小類的信息，這就給Hisec的安全大腦提供強(qiáng)大的數(shù)據(jù)支撐，可以對(duì)攻擊行為進(jìn)行取證和還原；EDR還可以和華為的沙箱進(jìn)行聯(lián)動(dòng)，對(duì)終端上的一些可疑文件進(jìn)行分析，從而有效的識(shí)別APT的攻擊行為；此外，EDR還可以成為Hisec的手和腳，對(duì)終端上的異常行為進(jìn)行精準(zhǔn)的處置。通過與EDR的聯(lián)動(dòng)可以實(shí)現(xiàn)對(duì)零信任的安全分析。

在華為的零信任能夠?qū)崿F(xiàn)的四大場(chǎng)景增加了聯(lián)軟的端點(diǎn)能力后，整個(gè)零信任就能覆蓋更多的場(chǎng)景。

●第一，可以聯(lián)動(dòng)華為的交換機(jī)，對(duì)企業(yè)內(nèi)網(wǎng)設(shè)備進(jìn)行網(wǎng)絡(luò)準(zhǔn)入控制和持續(xù)的安全評(píng)估和身份驗(yàn)證；

●第二，遠(yuǎn)程辦公的場(chǎng)景，BYOD和企業(yè)配發(fā)的設(shè)備都可以實(shí)現(xiàn)零信任的遠(yuǎn)程接入；

●第三，BYOD設(shè)備在企業(yè)內(nèi)網(wǎng)的接入場(chǎng)景；

●第四，跨網(wǎng)訪問的場(chǎng)景，政府及許多企業(yè)有大量的“單網(wǎng)通”的需求，就是希望通過一個(gè)終端能夠訪問不同的安全域，這個(gè)場(chǎng)景過去最大的難點(diǎn)在于數(shù)據(jù)安全問題，目前聯(lián)軟可以通過多域安全沙箱的方式來完美的解決；

●第五，多云、多數(shù)據(jù)中心的訪問場(chǎng)景，簡(jiǎn)單的說，就是Any to Any，這個(gè)場(chǎng)景是零信任整套方案最大的優(yōu)勢(shì)，軟件定義訪問，按需訪問，是零信任安全實(shí)施的終極解決方案。

目前這些場(chǎng)景，聯(lián)軟已經(jīng)在金融、證券等很多客戶落實(shí)實(shí)施，去年疫情期間，聯(lián)軟幫助網(wǎng)聯(lián)清算實(shí)現(xiàn)了安全的遠(yuǎn)程辦公，聯(lián)軟團(tuán)隊(duì)僅花費(fèi)2天時(shí)間就在客戶現(xiàn)場(chǎng)快速的部署上線系統(tǒng)，及時(shí)滿足客戶遠(yuǎn)程安全辦公需求，同時(shí)聯(lián)軟在某大型券商使用的零信任遠(yuǎn)程辦公平臺(tái)也獲得客戶的積極評(píng)價(jià)和認(rèn)可。

關(guān)于聯(lián)軟

聯(lián)軟科技成立于2003年成立，專注于企業(yè)級(jí)網(wǎng)絡(luò)安全市場(chǎng)，主營業(yè)務(wù)是為政企客戶提供網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)。圍繞端點(diǎn)安全、邊界安全和云安全等打造多種產(chǎn)品的綜合安全解決方案。在零信任探索和實(shí)踐中，早在2011年，聯(lián)軟就推出了基于角色的場(chǎng)景化動(dòng)態(tài)最小授權(quán)的RBAC產(chǎn)品；2013年聯(lián)軟的EMM產(chǎn)品已經(jīng)是基于可信接入代理的方式來實(shí)現(xiàn)的；2017年推出了基于零信任架構(gòu)的SDP產(chǎn)品，2019年，聯(lián)軟將移動(dòng)端和PC端的零信任訪問進(jìn)行了整合，推出了UEM的統(tǒng)一端點(diǎn)管理產(chǎn)品；2020年與華為、竹云等公司形成了零信任的安全生態(tài)，并推出了SDA的產(chǎn)品戰(zhàn)略。

同時(shí)，聯(lián)軟也成為了多項(xiàng)國內(nèi)零信任標(biāo)準(zhǔn)的制定者，我們擁有CSA的種子級(jí)和認(rèn)證的講師，有Forrester認(rèn)證的零信任戰(zhàn)略專家。此外，這幾年我們?cè)诹阈湃晤I(lǐng)域也積累了大量的企事業(yè)客戶案例。所以我們的方案也成功入圍了IDC2020年的Innovator，全產(chǎn)品線也入圍了CCSIP的全景圖。聯(lián)軟一直致力于推動(dòng)國內(nèi)零信任的發(fā)展。