随着千行百业数字化转型的加速，远程办公、业务协同、分支互联等需求涌现，传统的基于边界的网络安全防护理念难以有效抵挡层出不穷的威胁攻击，基于“无边界安全”理念的零信任技术模型逐渐成为企业关注的重点。

近日，第六届云安全联盟大中华区大会（CSA GCR Congress）在上海成功举办。会上，腾讯安全与顺丰科技联合打造的“内网零信任建设”方案得到了评委专家的一致认可，成功摘得CSA 2022安全革新奖。

顺丰科技在传统网络安全建设方面一直比较重视，也有了较为完善的安全产品防御方案并完成部署。但在“办公接入访问安全建设”方面，由于缺乏体系化的最佳实践指引与配套的成熟产品，一直存在痛点问题无法解决，这些痛点问题主要集中在以下三大业务场景：

➣ 远程办公接入：以往员工通过VPN与公司网络建立隧道进行远程访问。但在疫情推动的无边界办公浪潮下，公司员工远程办公需求激增，VPN的性能压力与对外暴露的业务面越来越大，“VPN扩容敏捷度低”、“VPN产品层面接入安全保障薄弱”与“VPN漏洞多且缺乏架构层面的安全考虑”等问题给IT团队带来了巨大的挑战。

➣ 分支接入：随着消费互联网持续深化，物流行业陷入竞争白热化，“服务下沉”成为顺丰业务侧非常重要的战略。这使得顺丰的服务网点越来越多，分支扩张越来越快。而这样的业务需求变化也给IT团队带来了巨大挑战。

首先是运维支撑挑战，基于IPSec进行分支网络过于繁重，无法支撑分支的灵活变动，而SSL VPN又存在性能上限瓶颈和连续办公访问不稳定，体验不好等问题；其次是安全挑战，由于网络准入存在交换机适配问题，因此部分分支设备历史上缺乏安全准入的验证。同时分支的接入涉及大量业务场景需要与内网的敏感系统进行交互，使得分支成为公司安全架构上需要提升的一个环节。

➣ 职场内网接入：作为物流行业的龙头企业，与内外部威胁势力的对抗一直是企业的重要工程。

而近年来随着“数字化业务开放性增强”与“无边界轻约束办公”的趋势，内网逐渐变得越来越扁平，内网资产需要面对越来越多“未知的设备”的访问。出于“数据安全保障结果导向”的角度考虑，顺丰内网资产的风险面亟待被收敛。

详细来看，顺丰科技在攻击防护方面主要面临：互联网暴露面大；遭受攻击频繁；未能快速应对0day/1day攻击；社工钓鱼、恶意文件、隐蔽信道等攻击方式多样且检测难度大，需要建设更加先进的防御体系进行高效应对。

基于此，顺丰科技加大安全建设方面投入，采用腾讯iOA零信任解决方案，打开了行业复合型安全建设思路。

从规划上，顺丰科技站在整体规划的角度针对数据安全、身份的细粒度管控体系，业务的分类分级管理、跨不同的网络进行管理，不断完善全局规划立体化策略，在确保内外部安全合规的基础上，实现安全与效率的平衡。

双方通过零信任方案的建设，以其办公安全一体化、安全管理易用性等特性，完成了对于传统孤岛式终端安全与接入安全建设的革新，使企业IT管理与应用上了一个新台阶，实现了安全风险收敛、安全智能联动以及多元场景安全。

在安全风险收敛方面，腾讯iOA零信任方案在规避了传统VPN产品在野漏洞的安全隐患的同时，创新提出了“三层最小化授权架构”：

➣ 第一层（隔离攻击请求）：通过“零侵入SPA技术”，成功落地了全网接入基础设施的“0端口暴露”，实现了网络暴露面和攻击面的收敛。

➣ 第二层（按需最小化授权）：通过“基于身份的全网访问行为测绘”技术，实现对全网用户的真实访问需求进行收集，并以此作为基准建立了“RBAC智能优化”与“僵尸权限自动回收”的能力，打破权限运营场景“运维效率、用户体验与授权精细度”三者的不可能三角。

➣ 第三层（「自适应」&「场景化」动态访问隔离控制）：通过将“接入”与“安全”能力的深度融合，让访问控制平台拥有了比以往任何一个平台都更强大的“安全状态感知能力”与更灵活的“安全风险控制能力”。

这为顺丰科技提供了可以落地“精准访问风险防控”的能力储备，实现「自适应」&「场景化」的隔离策略管控，让安全策略运营无需在“过严”或“过松”中两难，化解安全与业务的矛盾关系，以业务作为抓手的同时，让安全服务于业务。

在安全智能联动方面，腾讯iOA零信任方案实现了办公安全一体化，一个客户端即可解决多个客户端才能实现的功能，且杀毒、管控、零信任接入、准入等各个模块还可做智能联动，打破传统孤岛式终端安全建设模式，安全建设收益最大化。

在多元场景安全方面，腾讯iOA零信任方案的部署支持私有云、公有云、混合云等多种模式，极大地适配了顺丰科技业务需求，并在疫情期间经受住横向扩展和居家办公的负载考验，在安全性、易用性、稳定性方面实现企业安全建设的提质增效。

未来，腾讯安全也将继续打磨自身技术，丰富实践经验，为零信任在各行业领域的落地提供支持和参考，助力混合办公“新常态”健康发展。