今日，在2018互聯網安全大會現場，360企業安全集團正式發佈了基於零信任安全的360ID TrustAccess身份安全解決方案，360企業安全集團副總裁左英男出席了發佈會，並進行了精彩演講。

左英男首先分享了零信任安全的背景和基礎理念，他提到：“現今嚴峻的安全態勢和數字化轉型浪潮下的新安全需求都促使了身份與訪問控制成爲架構安全的第一道關口，零信任安全正是擁抱了這種技術趨勢，從而成爲網絡安全發展的必然選擇。”

首先，從安全態勢的角度來看，大數據時代網絡安全威脅比以往任何時候都更加複雜和險惡，業界一致認爲，目前網絡安全架構的薄弱環節正是身份安全基礎設施的缺失，有數據顯示，部署了成熟IAM系統的企業，其安全事件下降了50%。

其次，從企業數字化轉型和IT環境的演變來看，雲計算、移動互聯的快速發展導致傳統內外網邊界模糊，企業無法基於傳統的物理邊界構築安全基礎設施，只能訴諸於更靈活的技術手段來對動態變化的人、終端、系統建立新的邏輯邊界，通過對人、終端和系統都進行識別、訪問控制、跟蹤實現全面的身份化，這樣身份就成爲了網絡安全新的邊界，以身份爲中心的零信任安全成爲了網絡安全發展的必然趨勢。

左英男提到：“零信任安全其實並不神祕，其本質是以身份爲中心進行訪問控制。”

零信任安全針對傳統邊界安全架構思想進行了重新評估和審視，並對安全架構思路給出了新的建議，其核心思想就是：默認情況下不應該信任網絡內部和外部的任何人/設備/系統，需要基於認證和授權重構訪問控制的信任基礎。

“零信任對訪問控制進行了範式上的顛覆，引導安全體系架構從網絡中心化走向身份中心化，其本質訴求是以身份爲中心進行訪問控制。”

360ID TrustAccess身份安全解決方案正是在零信任理念指導下應運而生的全新安全解決方案，秉承“新身份、新邊界”的理念，遵循“先驗證用戶和設備、後訪問業務”的產品邏輯，爲企業提供開箱即用的零信任身份安全解決方案，其核心價值包括：

基於零信任，推動企業安全重構

適應現代IT環境，助力企業數字化轉型

基於敏捷、智能、安全的現代身份管理平臺

左英男從以身份爲中心、業務安全訪問、動態訪問控制和智能身份分析幾個功能維度，詳細闡述了360ID TrustAccess身份安全解決方案關於零信任安全的核心實踐。

以身份爲中心

通過設備認證和用戶認證兩大關鍵特性，從0開始構築基於身份的信任。通過部署和註冊設備認證插件及憑證，將普通的非受控終端轉變爲受控終端，並進一步基於設備認證技術識別受控終端的真實身份。360ID TrustAccess身份安全解決方案充分利用設備自帶的TPM等硬件可信技術，構築設備的信任根；並可結合實際客戶場景，靈活採用設備證書、設備指紋等軟件技術，確保設備的準確識別；通過360企業安全強大的終端安全技術，持續的進行終端安全風險監測和評估，可進一步確保設備的持續安全可控。

在設備可信的基礎上，需要進一步驗證用戶，360ID TrustAccess身份安全解決方案的用戶認證充分考慮安全與易用性平衡，用戶初次登錄系統時實現基礎的，滿足最低安全要求的身份認證，結合360ID智能手機令牌，可以輕鬆實現二維碼、推送、生物特徵識別等即安全又易用的認證方案。另外，360ID TrustAccess提供持續認證技術實時評估當前會話的身份有效性，在發現安全風險時即時觸發二次認證，再次要求用戶進行身份驗證，對於高安全等級的應用，也可以要求用戶再訪問前進行二次認證。

爲了支撐設備認證和用戶認證的能力，360ID TrustAccess身份安全解決方案提供全面的身份治理工具和平臺，通過對人、設備、服務進行身份生命週期管理，實現全面身份化。

業務安全訪問

零信任意味着零可視，在設備和用戶認證通過前，用戶不能訪問任何企業業務。所有的業務都隱藏在360ID可信接入網關之後，只有認證通過的設備和用戶，並且具備足夠的權限才能通過360ID可信接入網關訪問業務。

360ID可信接入網關除了充當零信任的訪問控制執行點以外，同時提供安全的業務數據傳輸機制，通過TLS加密隧道確保數據傳輸安全，360ID可信接入網關同時提供全面的國密算法和協議支持。

動態訪問控制

零信任的本質是基於身份進行訪問控制，360ID TrustAccess身份安全解決方案摒棄了傳統的單一訪問控制模型，採用ABAC和RBAC結合的新型訪問控制模型，更加靈活安全。首先，提供基礎的RBAC模型實現粗粒度授權，建立權限基線滿足企業的最小權限原則。其次，基於主體、客體和環境屬性實現角色的動態映射機制，提供靈活的權限管理，消除角色爆炸風險。最後，360ID TrustAccess身份安全解決方案基於智能身份分析進行風險評估和環境感知，並對角色進行動態過濾與裁剪，實現動態訪問控制。

智能身份分析

360ID TrustAccess身份安全解決方案提供智能身份分析平臺，爲自適應訪問控制和身份治理提供智能、動態的高級特性。通過採集環境屬性、業務訪問日誌，結合身份治理平臺的身份信息、設備信息、策略信息、屬性信息等多維數據進行數據分析，能智能的對角色、權限、策略進行調整優化，並通過身份治理平臺的工作流引擎觸發安全審批流程。另外，訪問控制引擎也依賴智能身份分析平臺提供當前用戶、設備、訪問請求的風險評分，實現自適應訪問。

左英男還講到，360ID TrustAccess身份安全解決方案的根基其實是現代身份管理技術，相對傳統的身份管理技術，現代身份管理技術能支持多組織人員的訪問管理及動態、自適應的授權策略，基於新型的雲計算技術和微服務架構理念，實現分佈式、可擴展的彈性部署，將傳統身份管理平臺以月計的部署週期縮短到以天計，大大提升業務遷移的敏捷性。正是採用了現代身份管理的先進理念和技術，360ID TrustAccess身份安全解決方案能滿足企業數字化轉型過程中的新型安全需求，實現涵蓋人、設備、服務的全面身份化管理，實現身份的治理和閉環；能對企業各類傳統應用、雲應用、大數據應用、API和數據提供全面的訪問控制，實現以身份爲中心的安全架構；360ID TrustAccess身份安全解決方案提供良好的兼容性，支持PC和智能終端各主流操作系統。

360ID TrustAccess身份安全解決方案的核心組件，包括：

360ID智能手機令牌

通過設備認證、用戶識別、終端安全等技術手段，將智能手機轉化爲所知、所持、所有的安全令牌。

360ID智能身份平臺

提供完善的身份治理、自適應多因子認證、動態訪問控制和身份分析子系統，是360ID TrustAccess身份安全解決方案的智能中樞。

360ID可信接入網關

提供業務安全訪問通道，對所有流量進行強制訪問控制，適配各類應用場景，是360ID TrustAccess身份安全解決方案的安全關卡。

發佈會的最後，左英男還介紹了360ID TrustAccess身份安全解決方案在各種不同場景的方案組合，針對中小企業辦公、大中型客戶全業務訪問、超大數據中心等各類典型場景，給出了建議的方案組合，爲各類客戶提供量身定製的身份安全解決方案。

1、“國際在線”由中國國際廣播電臺主辦。經中國國際廣播電臺授權，國廣國際在線網絡（北京）有限公司獨家負責“國際在線”網站的市場經營。

2、凡本網註明“來源：國際在線”的所有信息內容，未經書面授權，任何單位及個人不得轉載、摘編、複製或利用其他方式使用。

3、“國際在線”自有版權信息（包括但不限於“國際在線專稿”、“國際在線消息”、“國際在線XX消息”“國際在線報道”“國際在線XX報道”等信息內容，但明確標註爲第三方版權的內容除外）均由國廣國際在線網絡（北京）有限公司統一管理和銷售。

已取得國廣國際在線網絡（北京）有限公司使用授權的被授權人，應嚴格在授權範圍內使用，不得超範圍使用，使用時應註明“來源：國際在線”。違反上述聲明者，本網將追究其相關法律責任。

任何未與國廣國際在線網絡（北京）有限公司簽訂相關協議或未取得授權書的公司、媒體、網站和個人均無權銷售、使用“國際在線”網站的自有版權信息產品。否則，國廣國際在線網絡（北京）有限公司將採取法律手段維護合法權益，因此產生的損失及爲此所花費的全部費用（包括但不限於律師費、訴訟費、差旅費、公證費等）全部由侵權方承擔。

4、凡本網註明“來源：XXX（非國際在線）”的作品，均轉載自其它媒體，轉載目的在於傳遞更多信息，豐富網絡文化，此類稿件並不代表本網贊同其觀點和對其真實性負責。

5、如因作品內容、版權和其他問題需要與本網聯繫的，請在該事由發生之日起30日內進行。

[責編：吉少婧]

相關文章