腾讯iOA终端突破100万端，零信任行业，按下落地加速键

2019年年底，突如其来的疫情让远程办公的需求猛增，同时，传统VPN产品也爆出高危漏洞，扩容非常不便，远程接入的数据安全问题和数据防泄露问题，成为了摆在企业面前的一道难题。

于是，一个称之为“零信任”的整体轻量化解决方案热度持续攀升，因其解决了远程办公、终端办公、数据安全等场景的安全难题。

所谓“零信任”，核心就是默认情况下不信任企业网络内外的任何人、设备和系统，需要基于身份认证和授权重新构建访问控制的信任基础。简单来说，零信任的策略就是“持续验证、永不信任”。

近日，高灯科技进行了腾讯零信任安全管理系统（腾讯iOA）的扩容部署。此次扩容后，腾讯iOA部署终端正式突破了100万，成为了国内首个突破百万终端的零信任产品，产品部署覆盖了金融、物流、医疗、地产、高教等十多个行业、数百家企业，产品的成熟度和商业交付能力得到了各个行业的广泛认可。

腾讯iOA零信任解决方案优越性何在？突破100万端意味着什么？高灯科技为什么选择腾讯iOA？投资家网与腾讯零信任产品总经理杨育斌和高灯科技副总裁兼安全负责人莫晓盛对此展开了深入交流。

零信任热潮后，商业化何在？

业界第一个将零信任安全模型进行落地实践的公司是Google，早在2011年，Google就开始实施BeyondCorp项目，目的就是让Google员工可以在不借助VPN的情况下通过网络开展工作。Beyondcorp成为当时零信任领域教科书级别的存在，但Google并没有将自身成功的实践经验变成一个商业化产品，投入市场。直到2021年，Google才推出适用于第三方企业的商业化零信任产品BeyondCorp enterprise。

国内来说，2019年9月，工信部公开征求对《关于促进网络安全产业发展的指导意见(征求意见稿)》，将“零信任安全”列入需要“着力突破的网络安全关键技术”。政策的支持和鼓励，叠加远程办公的需求暴增，零信任行业迅速百花齐放。

零信任本质上是一种以身份为基石，革新了安全架构的新一代安全解决方案，以业务安全访问为保障，这种持续信任评估和动态访问控制的机制让企业安全架构更加安全，提升了安全能力，降低了运维成本，因此成为重构安全防御体系的新趋势。

相比于传统层层设防的办公方式，零信任是在远程办公和混合办公场景下可以迅速落地的一个轻量化解决思路。因此，布局零信任的不乏大厂商、传统安全厂商和初创型中小厂商。

目前，零信任行业鱼龙混杂，很多只是传统的产品换了个包装，并不是真正的零信任解决方案；其次，很多号称有零信任产品的厂商其实还没有真正的商业化，只是处于一个产品自用的阶段，还在探索怎么落地到外部客户。

过去几年，Google、IBM、Cisco、腾讯、阿里巴巴、奇安信等公司纷纷投身零信任的研发和实践，有的在企业实现了内部部署，有的则走出“自用”，实现了百万终端的落地。

突破百万终端，零信任从理念走向现实

在国内，腾讯属于最早进行零信任安全实践的科技公司。

与Google一样，腾讯iOA起初也只是腾讯内部一个自用的产品，用以保证分布在全球各地的腾讯员工安全高效地开展工作。一些听闻了腾讯iOA内部使用效果的公司，打听这个产品是否有商业化版本。随着类似的问询逐渐增多，腾讯iOA团队认真考虑了商业化的可能性之后，2019年决定将腾讯iOA形成商业化产品对外输出。

高灯科技正是当时咨询腾讯iOA的企业之一，高灯科技在2020年初正式在内部部署腾讯iOA产品，因业务需要不断扩大部署，至今年5月，成为腾讯iOA第一百万终端部署所在企业。

作为一家财税科技公司，高灯科技以发票数字化为基础，通过构建去人工化、在线化、科技合规的行业专业云设施，面向企业和监管提供财税合规及交易合规管理平台，并构建了“以纳税人数字化”为底层的合规服务平台。

高灯科技副总裁兼安全负责人莫晓盛将公司选择腾讯iOA的原因总结为以下几点：首先是外因，2019年年底，突如其来的疫情让远程办公的需求猛增，高灯科技也不例外。更重要的还是内需，随着企业不断的发展，高灯科技在全国有非常多的分公司，员工数量也不断增长。在这个时候传统的“基于边界的安全模型”就力不从心了。

另外，作为一家做财税服务的企业，高灯科技对数据安全高度敏感，其业务对数据依赖程度很高，是影响公司生存的核心要素，再考虑到最近接连出台的相关政策法规，数据安全的重要性不言而喻。

作为使用者，高灯科技信息安全专家王凯总结了腾讯iOA与传统解决方案的不同。

传统的办公网络安全依靠VPN、防火墙、上网行为管理、堡垒机、后台服务等产品组合，类似链路模式。每个员工的PC端上要装多个客户端，由于这些产品来自不同的厂商，之间无法联动，没有办法发挥最大的安全效果。

腾讯iOA是一个端到端的、整体的、轻量化的零信任解决方案，带来的不仅仅是功能，是一个集合了防病毒、安全管控、零信任接入、数据防泄露等多套系统综合性平台。表面上看起来它是一个终端的形态，但实际上它的后台非常丰富而且饱满，大大提升了企业的能效比。

零信任理念标准化体系仍需完善

零信任并不是一个产品，它是一个理念，是一套整体的解决方案，它肯定是需要跟网络连接、身份体系认证、链路优化等等打通，在如此复杂的安全策略的情况下还能做到用户无感体验，难度并不小。

现如今各家的实践虽然遵循其倡导的基本原则，但是在实际研发和应用的过程中，因各自所面临的实际情况不同，又各有偏重。缺乏标准，则导致许多产品没法联动。

腾讯iOA产品总经理杨育斌表示，零信任行业亟需建立零信任标准，促进行业和生态的健康发展。零信任最终虽然大家可以百花齐放，但是一定是从标准化层面或者接口对接层面，真正能做到一个非常完善的保护体系。

在2021年7月，腾讯牵头起草中国第一部《零信任系统技术规范》，填补了国内零信任领域的技术标准空白。2021年11月，腾讯牵头的全球首个零信任国际标准——《服务访问过程持续保护指南》，由ITU-T国际标准正式通过发布，从而推动了全球零信任标准化应用。

值得一提的是，腾讯零信任标准工作组制定的接口标准，已实现了同18个行业安全厂商的对接，接口标准化促进了企业安全办公体系的融合，也进一步优化了办公体验。

杨育斌称：“未来更重要的是建立零信任标准，促进行业和生态的健康发展。推动标准化，推动行业共识，零信任才能真正实现百花齐放。”