8月27日，由零信任产业标准工作组组织、腾讯等多家单位共同研制的《零信任接口应用白皮书(2021)》正式发布。白皮书聚焦零信任系统的模块架构和模块之间如何互联互通的难题，从需求方、安全厂商两个角度切入，深入分析目前零信任产品存在的痛点。为不同厂商的产品开发定位、企业客户选择提供参考依据。白皮书也提供了全面的零信任系统服务接口需求、层次划分、接口标准描述和接口应用场景的介绍，并详细描述了身份安全接口、威胁情报接口、配置管理接口、密码服务接口、访问控制接口、安全联动接口这6类接口的业务场景、接口详情以及成功案例。也介绍，腾讯iOA在身份安全接口(身份数据同步接口、单点登录接口)、访问控制接口-访问和授权控制接口、风险信息联动-SOC、EDR、IAM

6月23日，国际权威咨询机构IDC发布了《IDC特殊研究：中国网络安全市场新趋势——零信任市场研究》报告，针对中国零信任相关市场的客户需求、技术发展的现状和未来趋势进行了广泛调研，并对腾讯安全等多个零信任解决方案提供商的技术实力和落地案例进行了介绍，为企业在选择和建设零信任体系时提供参考。值得一提的是，这也是腾讯零信任继荣获“2020年优秀网络安全解决方案和网络安全创新产品评选活动”双料大奖、入选权威咨询机构Forrester2021年第二季度零信任网络访问报告《New

在零信任理念持续普及和后疫情时代有效实践的双重作用下，加速了其产品化和商业化进程，随着安全厂商的深入布局和产品大规模落地，行业发展呈现出蓬勃态势。日前，权威咨询机构Forrester发布2021年第二季度零信任网络访问报告《New Tech: Zero Trust Network Access, Q2 2021》(以下简称《报告》)，遴选出34家零信任网络访问(ZTNA)供应商，为企业采买提供重要参考。本次报告结合主要功能、地理位置、垂直领域和客户样本等要素，将34家厂商划分为成熟、成长和早期三个梯队，腾讯安全入选成长型供应商梯队。《报告》提到，零信任网络访问是疫情期间的标志性安全技术。它不仅帮助用户一定程度上摆脱了过时的VPN技术，还激发了企业重新构想，现在以及未来安全和网络可以如何被更好地使用。零信任的核心理念是“持续验证，永不信任”，假定网络边界内外的任何访问主体(人/设备/应用)，在未经过验证前都不予信任，需要基于持续的验证和授权建立动态访问信任，其本质是以身份为中心进行访问控制。零信任的内涵非常广泛，包含身份认证、访问控制、设备和资产管理等多项核心技术。2009年，Forrester提出了一种新的信息安全模型——零信任，目前这一模型已经得到广泛接受和采用。据了解，本次入选成长型供应商梯队的腾讯安全是国内最早布局零信任的安全厂商之一，早在2016年，腾讯就开始在内部腾讯iOA实践落地零信任理念，自主设计、研发的零信任安全管理系统。2020年疫情期间，这套系统成功为自身超过7万名员工和10万台服务终端的跨境、跨城远程办公提供了安全护航。目前，腾讯iOA已在政务、金融、医疗、物流等多个行业领域应用落地，降低不同业务场景风险，保障远程协同办公的安全和体验。

近日，中国网络安全产业联盟（CCIA）公布了“2020年优秀网络安全解决方案和网络安全创新产品评选活动”结果，腾讯零信任安全管理系统iOA（以下简称“腾讯iOA”）基于在零信任领域的创新实践，捧回“2020年网络安全创新产品优秀奖”和“2020年网络安全创新产品最具投资价值奖”双料大奖，并荣登最具投资价值榜单第一位。（腾讯iOA获CCIA创新优秀产品与最具投资价值奖）本次评选活动在CCIA的组织下，经过专家初审、网安用户在线投票、复审答辩等环节，最终评选“2020年网络安全解决方案优秀奖”、“2020年网络安全创新产品优秀奖”和“2020年网络安全创新产品最具投资价值奖”三项大奖，以促进我国网络安全产业自主创新能力，推进产业结构化升级，为广大企业客户选择网络安全解决方案和网络安全产品提供重要参考依据。其中，腾讯iOA在最具投资价值榜单位列第一，斩获“2020年网络安全创新产品优秀奖”和“2020年网络安全创新产品最具投资价值奖”两项大奖。腾讯从2015年开始自主设计、研发并在内部实践落地零信任无边界架构的访问系统-腾讯iOA。它打破了传统基于区域的授信控制方式,采用基于可信身份(Trusted

在产业数字化升级与业务上云的趋势下，传统的安全边界逐渐瓦解，零信任这一网络安全的新理念受到更多的关注。且随着新基建的不断推进，国内零信任理念和相关行业标准进一步完善，结合国内实际应用场景的落地发展也将走上快车道。8月20日下午14：00-15:30，由中国产业互联网联盟标准专委会指导，包括腾讯在内的20余家零信任领域产学研用权威机构组成的零信任产业标准工作组将举办线上发布会，正式发布国内首个基于攻防实践总结的零信任安全白皮书——《零信任实战白皮书》，以国内产业界的工程实践和依托零信任架构开展的真实攻防实战经验，助力企业应对新形势下的网络安全挑战。👇扫描下方海报二维码，即刻预约发布会直播提前get更多发布会精彩内容通过本次发布会，您可以了解到：在新基建代表的新产业形势背景下，国内零信任理念、方案架构演进及相关行业标准的前沿资讯；零信任产业标准工作组专家重点解读，对零信任与传统边界安全理念的关系、零信任架构、实现方案与应用场景等有更全面的认知；腾讯、完美世界等联盟企业的一线专家，带来零信任在互联网、金融、游戏等行业领域的方案实操分享和在线答疑，为零信任的应用落地进一步扫清障碍。诚邀所有对零信任感兴趣的行业企业伙伴的关注和参与，共同推动零信任产业发展，助力企业网络安全体系和产业数字化的转型升级。点击“阅读原文”，预约在线直播↓↓↓

因疫情波动截止到目前，远程办公仍然是很多企业复工的主要方式。然而，在远程办公场景下，大量员工使用私人设备，通过家中Wi-Fi热点访问企业内部系统，身份、终端、网络、应用等多方面的不确定性，令安全风险倍增。近日，腾讯云「云加社区沙龙」线上举办，邀请了腾讯iOA高级产品经理张亮，为大家介绍在远程办公场景下，面对开放网络边界所带来的各种问题与挑战，腾讯安全如何基于“零信任”安全原则，通过无边界访问控制系统（iOA）进行应对和解决。远程办公场景下，企业网络安全面临哪些挑战？伴随远程办公需求的迅速增长，企业办公访问行为发生巨大变化。来自外网终端的访问请求大量增加，内部的企业系统和资源需要对外发布，对企业的安全管理提出更高的要求：首先是居家办公终端如何管理。远程办公中，企业员工使用家用PC、个人移动终端等设备复杂多样，无法全面了解和监控接入终端安全状况。各种接入人员的身份难以确认和管理混乱，给企业网络带来极大的风险。其次是外网接入链路如何建立。企业数据在公网链路传输，面临劫持和监听的风险。员工基础网络千差万别，安全性和访问效率难以保障，以及在弱网络、海外网络下，如何保证链接稳定性，是安全管理迫切需要解决的问题。最后是访问权限限制如何执行。针对内部的企业资源，采取全接入或全开放，业务系统或资源访问权限缺乏有效管理办法。开放在公网的访问暴露出更多的攻击面，一旦检测到威胁和入侵，无法进行快速响应。由此可见，企业远程办公安全挑战主要体现在终端安全、链路安全、链路稳定性和访问控制四个方面。传统的基于边界的网络安全架构，已经无法满足企业的安全防护需求。

疫情隔离的需求促使远程办公成为很多企业复工的主要方式。大量企业员工使用私人设备，通过家中的WiFi热点访问企业内部系统，身份、终端、网络、应用等多方面的不确定性，使得企业信息安全面临严峻挑战。与此同时，网络黑客也在蠢蠢欲动。自新冠肺炎病毒疫情爆发以来，借“疫情防控指南”、“健康信息收集表”等题材大肆传播的木马病毒、网络攻击也来势汹汹。当终端数量日益增多，网络环境以及内部架构不断升级和复杂化，企业的网络安全边界正日渐瓦解，传统的基于边界的安全防护体系已开始失效。不信任网络内部和外部的任何人/设备/系统，基于认证和授权重构访问控制的“零信任”架构，成为全球主流的网络安全框架之一。以“零信任”原则换取系统的“可信安全”，是护航远程办公安全的前提。那么，远程办公场景下，如何高效安全地访问内网？如何防止财务、代码库等敏感信息外泄？如何保障个人PC与移动终端设备“零信任”安全接入？腾讯安全联合云+社区打造的「产业安全专家谈」第十二期，邀请到腾讯iOA技术负责人、高级安全工程师蔡东赟，为大家解答以上问题。蔡东赟，腾讯高级安全工程师，腾讯无边界访问控制系统（iOA）技术架构负责人。9年信息安全领域从业经验，主导参与桌面UI框架和服务器类开源项目，拥有信息安全方向产品自主研发专利26项。Q：远程办公已是企业信息化办公的大势所趋，相较于传统的企业信息化办公，远程办公给企业的网络信息安全带来哪些新的要求和挑战？蔡东赟：远程办公由于物理空间不可控，从而衍生一系列的安全风险。具体而言，主要表现在终端、链路以及企业服务器三个方面：从终端和链路的角度来看，远程办公中员工访问的身份、设备、网络都是不可控的：访问者的身份不明，可能被简单侵入访问窃取机密；终端没有安装杀毒软件，存在高危安全漏洞；发起访问的应用是否存在供应链利用的问题，如使用带有问题的xshell版本；终端的网络安全环境不确定，所在网络环境未必有传统的网络安全防护设备，可能是接入了恶意WiFi，也可能有中间人，可能访问有问题的钓鱼网站，也可能存在敏感资产访问扫描、大流量泄密等等。从企业服务器的角度，远程访问时，企业服务暴露在公网上，此时传统的安全边界被打破，传统企业的安全防护措施如防火墙等难以抵御，可能面临DDoS攻击，伪造终端协议注入或探测等安全风险。Q：针对不同行业的远程办公用户，比如说互联网企业，政府机构、金融行业等，在远程办公安全防护需求方面有没有差异点或者需要特别关注的地方？蔡东赟：不同的行业由于保密标准不同，其远程办公的开放程度也是不一样的。以金融行业中的保险企业为例，保险安全防护最重要的是保单，因为每个业务员的操作，以及涉及中间的一个流转过程，终端都会保存保单信息的访问以及使用信息；同时对于涉及被保险人个人隐私的部分，要遵循明确的行业规范保密要求，因此对数据安全的要求较高。对于通用行业，一般可以根据职业属性进行管理。例如文员类员工，在远程办公中可能产生文件、商业机密这类内容级别的数据泄露；企业运维人员，则可能涉及影响公司生产活动的信息泄露。需要结合员工身份认证管理，进行访问权限管理以及相应办公操作方面的限制。Q：对于企业网络安全管理员，可以通过哪些措施，提升公司远程办公的安全性？蔡东赟：正如上面所说，伴随工作流逐渐移动化和云端化，产生了各种新的安全隐患。要保证企业内网的安全，除了要扼守内网边界防线，对于企业系统内外部的一切都不可掉以轻心。腾讯在企业安全运营上践行的零信任安全管理理念正是如此：

SG17）主要负责安全领域的标准研究与制定。由于ITU作为国际组织的长期性和作为联合国特别机构的特殊地位，ITU发布的标准比其他同级别技术规范制定组织拥有更高的国际认同度。