今日，在2018互联网安全大会现场，360企业安全集团正式发布了基于零信任安全的360ID TrustAccess身份安全解决方案，360企业安全集团副总裁左英男出席了发布会，并进行了精彩演讲。

左英男首先分享了零信任安全的背景和基础理念，他提到：“现今严峻的安全态势和数字化转型浪潮下的新安全需求都促使了身份与访问控制成为架构安全的第一道关口，零信任安全正是拥抱了这种技术趋势，从而成为网络安全发展的必然选择。”

首先，从安全态势的角度来看，大数据时代网络安全威胁比以往任何时候都更加复杂和险恶，业界一致认为，目前网络安全架构的薄弱环节正是身份安全基础设施的缺失，有数据显示，部署了成熟IAM系统的企业，其安全事件下降了50%。

其次，从企业数字化转型和IT环境的演变来看，云计算、移动互联的快速发展导致传统内外网边界模糊，企业无法基于传统的物理边界构筑安全基础设施，只能诉诸于更灵活的技术手段来对动态变化的人、终端、系统建立新的逻辑边界，通过对人、终端和系统都进行识别、访问控制、跟踪实现全面的身份化，这样身份就成为了网络安全新的边界，以身份为中心的零信任安全成为了网络安全发展的必然趋势。

左英男提到：“零信任安全其实并不神秘，其本质是以身份为中心进行访问控制。”

零信任安全针对传统边界安全架构思想进行了重新评估和审视，并对安全架构思路给出了新的建议，其核心思想就是：默认情况下不应该信任网络内部和外部的任何人/设备/系统，需要基于认证和授权重构访问控制的信任基础。

“零信任对访问控制进行了范式上的颠覆，引导安全体系架构从网络中心化走向身份中心化，其本质诉求是以身份为中心进行访问控制。”

360ID TrustAccess身份安全解决方案正是在零信任理念指导下应运而生的全新安全解决方案，秉承“新身份、新边界”的理念，遵循“先验证用户和设备、后访问业务”的产品逻辑，为企业提供开箱即用的零信任身份安全解决方案，其核心价值包括：

基于零信任，推动企业安全重构

适应现代IT环境，助力企业数字化转型

基于敏捷、智能、安全的现代身份管理平台

左英男从以身份为中心、业务安全访问、动态访问控制和智能身份分析几个功能维度，详细阐述了360ID TrustAccess身份安全解决方案关于零信任安全的核心实践。

以身份为中心

通过设备认证和用户认证两大关键特性，从0开始构筑基于身份的信任。通过部署和注册设备认证插件及凭证，将普通的非受控终端转变为受控终端，并进一步基于设备认证技术识别受控终端的真实身份。360ID TrustAccess身份安全解决方案充分利用设备自带的TPM等硬件可信技术，构筑设备的信任根；并可结合实际客户场景，灵活采用设备证书、设备指纹等软件技术，确保设备的准确识别；通过360企业安全强大的终端安全技术，持续的进行终端安全风险监测和评估，可进一步确保设备的持续安全可控。

在设备可信的基础上，需要进一步验证用户，360ID TrustAccess身份安全解决方案的用户认证充分考虑安全与易用性平衡，用户初次登录系统时实现基础的，满足最低安全要求的身份认证，结合360ID智能手机令牌，可以轻松实现二维码、推送、生物特征识别等即安全又易用的认证方案。另外，360ID TrustAccess提供持续认证技术实时评估当前会话的身份有效性，在发现安全风险时即时触发二次认证，再次要求用户进行身份验证，对于高安全等级的应用，也可以要求用户再访问前进行二次认证。

为了支撑设备认证和用户认证的能力，360ID TrustAccess身份安全解决方案提供全面的身份治理工具和平台，通过对人、设备、服务进行身份生命周期管理，实现全面身份化。

业务安全访问

零信任意味着零可视，在设备和用户认证通过前，用户不能访问任何企业业务。所有的业务都隐藏在360ID可信接入网关之后，只有认证通过的设备和用户，并且具备足够的权限才能通过360ID可信接入网关访问业务。

360ID可信接入网关除了充当零信任的访问控制执行点以外，同时提供安全的业务数据传输机制，通过TLS加密隧道确保数据传输安全，360ID可信接入网关同时提供全面的国密算法和协议支持。

动态访问控制

零信任的本质是基于身份进行访问控制，360ID TrustAccess身份安全解决方案摒弃了传统的单一访问控制模型，采用ABAC和RBAC结合的新型访问控制模型，更加灵活安全。首先，提供基础的RBAC模型实现粗粒度授权，建立权限基线满足企业的最小权限原则。其次，基于主体、客体和环境属性实现角色的动态映射机制，提供灵活的权限管理，消除角色爆炸风险。最后，360ID TrustAccess身份安全解决方案基于智能身份分析进行风险评估和环境感知，并对角色进行动态过滤与裁剪，实现动态访问控制。

智能身份分析

360ID TrustAccess身份安全解决方案提供智能身份分析平台，为自适应访问控制和身份治理提供智能、动态的高级特性。通过采集环境属性、业务访问日志，结合身份治理平台的身份信息、设备信息、策略信息、属性信息等多维数据进行数据分析，能智能的对角色、权限、策略进行调整优化，并通过身份治理平台的工作流引擎触发安全审批流程。另外，访问控制引擎也依赖智能身份分析平台提供当前用户、设备、访问请求的风险评分，实现自适应访问。

左英男还讲到，360ID TrustAccess身份安全解决方案的根基其实是现代身份管理技术，相对传统的身份管理技术，现代身份管理技术能支持多组织人员的访问管理及动态、自适应的授权策略，基于新型的云计算技术和微服务架构理念，实现分布式、可扩展的弹性部署，将传统身份管理平台以月计的部署周期缩短到以天计，大大提升业务迁移的敏捷性。正是采用了现代身份管理的先进理念和技术，360ID TrustAccess身份安全解决方案能满足企业数字化转型过程中的新型安全需求，实现涵盖人、设备、服务的全面身份化管理，实现身份的治理和闭环；能对企业各类传统应用、云应用、大数据应用、API和数据提供全面的访问控制，实现以身份为中心的安全架构；360ID TrustAccess身份安全解决方案提供良好的兼容性，支持PC和智能终端各主流操作系统。

360ID TrustAccess身份安全解决方案的核心组件，包括：

360ID智能手机令牌

通过设备认证、用户识别、终端安全等技术手段，将智能手机转化为所知、所持、所有的安全令牌。

360ID智能身份平台

提供完善的身份治理、自适应多因子认证、动态访问控制和身份分析子系统，是360ID TrustAccess身份安全解决方案的智能中枢。

360ID可信接入网关

提供业务安全访问通道，对所有流量进行强制访问控制，适配各类应用场景，是360ID TrustAccess身份安全解决方案的安全关卡。

发布会的最后，左英男还介绍了360ID TrustAccess身份安全解决方案在各种不同场景的方案组合，针对中小企业办公、大中型客户全业务访问、超大数据中心等各类典型场景，给出了建议的方案组合，为各类客户提供量身定制的身份安全解决方案。

1、“国际在线”由中国国际广播电台主办。经中国国际广播电台授权，国广国际在线网络（北京）有限公司独家负责“国际在线”网站的市场经营。

2、凡本网注明“来源：国际在线”的所有信息内容，未经书面授权，任何单位及个人不得转载、摘编、复制或利用其他方式使用。

3、“国际在线”自有版权信息（包括但不限于“国际在线专稿”、“国际在线消息”、“国际在线XX消息”“国际在线报道”“国际在线XX报道”等信息内容，但明确标注为第三方版权的内容除外）均由国广国际在线网络（北京）有限公司统一管理和销售。

已取得国广国际在线网络（北京）有限公司使用授权的被授权人，应严格在授权范围内使用，不得超范围使用，使用时应注明“来源：国际在线”。违反上述声明者，本网将追究其相关法律责任。

任何未与国广国际在线网络（北京）有限公司签订相关协议或未取得授权书的公司、媒体、网站和个人均无权销售、使用“国际在线”网站的自有版权信息产品。否则，国广国际在线网络（北京）有限公司将采取法律手段维护合法权益，因此产生的损失及为此所花费的全部费用（包括但不限于律师费、诉讼费、差旅费、公证费等）全部由侵权方承担。

4、凡本网注明“来源：XXX（非国际在线）”的作品，均转载自其它媒体，转载目的在于传递更多信息，丰富网络文化，此类稿件并不代表本网赞同其观点和对其真实性负责。

5、如因作品内容、版权和其他问题需要与本网联系的，请在该事由发生之日起30日内进行。

[责编：吉少婧]