IDC MarketScape 中国零信任网络访问解决方案

SeptemberIDCCHC48944622IDCMarketScape:中国零信任网络访问解决方案，2022年厂商评估SophiaWangJamesWangIDCMARKETSCAPE图来源:IDC,2022©2022IDC#CHC489446222数字经济时代下，以云、大数据、物联网、5G等为核心的新兴技术快速发展，帮助众多企业通过数字化转型实现降本增效的目标。与此同时，新技术的不断运用使得企业的网络架构、组织架构变得更为复杂，新型网络攻击形态层出不穷，网络安全边界愈发模糊，网络安全防御变得难上加难。2020年以来，“疫情”成为了全球各国共同关注的话题。疫情影响下，以“远程+”为核心的新型办公模式兴起，基于远程的安全接入需求快速爆发，接入安全又再一次成为了新常态下最终用户关注的重点，零信任网络访问解决方案正式登上历史舞台。零信任网络访问基于其“永不信任、持续验证”的核心思想，以最小授权访问为原则，通过集合终端、身份、网络、行为等多方面感知能力和管控措施帮助用户更好地缩小了互联网暴露面，解决了角色与权限一一对应，安全访问的问题。近两年，零信任网络访问解决方案以其集成多种安全能力来帮助用户更好地综合访问风险态势，统一访问控制的优势解决了用户在远程办公等新常态下的安全需求，市场规模实现快速增长。在此背景下，为了更加清晰地展现中国零信任网络访问解决方案供应商的综合实力，IDC与2022年启动了《IDCMarketScape：中国零信任网络访问解决方案，2022年厂商评估》报告研究。IDCMarketScape体现了IDC的一个重要研究方法和工具，通过综合考量厂商在产品、市场和业务方面的现有能力和未来战略，给出各厂商在MarketScape图表中的位置，确定厂商在市场中所占据的领导者、主要参与者亦或竞争者的角色定位，并以气泡大小代表厂商在该市场中的市场份额，从而以综合的维度展现厂商在该市场中的表现和未来发展潜力。整个评估体系将秉持透明，一致与严谨的原则。本次评估的主要结果如下：▪合规与业务需求共同驱动零信任网络访问市场快速发展：自2017年起，《网络安全法》、“等保2.0”、《密码法》、《关键信息基础设施安全保护条例》等法律法规的颁布对于整体网络安全市场的发展起到了重要的政策推动作用，这些法律法规均强调了安全接入对于组织网络安全建设的重要性。与此同时，伴随企业数字化转型的进一步加快，互联网暴露面不断扩大，网络边界愈发模糊。由此引发的未授权访问、数据泄露等事件层出不穷。在此推动下，零信任网络访问解决方案运用其“永不信任、持续验证”的方式帮助用户解决了随时随地安全访问的问题，在提升访问稳定性、安全性的同时提高了办公效率，受到了众多最终用户的青睐，市场进入发展的快车道。▪“产品+服务”组合落地将成为标配：由于零信任网络访问建设的业务融合属性和复杂性很强，因此其需要最终用户和厂商共同进行分期、阶段化建设。也由此引发出零信任网络访问体系同步规划、同步建设、同步使用的重要性。未来，“咨询服务+相关安全能力+运营服务”的模式将以其强规划、强能力、强运营的优势逐渐成为零信任网络访问体系的主要落地模式，最终用户也将根据不同发展阶段的规划内容有条不紊地进行体系部署和运营，从而真正实现零信任网络访问体系的自规划、自学习、自调整、自运营的目标。▪云原生、服务敏捷、便捷等优势将推动零信任网络访问解决方案的云化部署节奏：伴随企业上云节奏的进一步加快，云化部署、SaaS化服务蓬勃发展。网络安全作为信息化发展的基础，安全云化趋势已经成为整体网络安全市场发展的大主题。其中，公有云、私有云、混合云、边缘云等云建设的不断成熟将释放出大量的云上安全接入需求。未来，零信任网络访问体系的部署模式将向云化部署(包括“云地结合”)、SaaS化部署模式快速转型，以其云原生、服务敏捷、便捷的优势受到越来越多最终用户的青睐。▪智能化、自动化能力将从概念化部署逐步向应用部署阶段过渡：目前市场中大部分最终用户还处于零信任建设的中早期阶段，部署多为分区部署/零信任网络访问与VPN并行部署的阶段。伴随零信任网络访问市场和技术的进一步发展，以人工智能、机器学习、用户及实体行为分析、自动化响应与编排等技术为核心的智能化和自动化能力将快速发展。这些技术通过持续大量的数据训练、关联分析可以形成自学习、自适应的安全访问模型。与此同时，运用和收集、梳理©2022IDC#CHC489446223大量的访问控制模型、策略，根据威胁情报、攻击框架和自身实践等知识的积累形成自动化剧本将可以大幅提升零信任网络访问体系的运行效率，进一步帮助用户实现精准、高效的安全访▪零信任解决方案将向保护数据安全的方向发展：2021年，《数据安全法》正式颁布实施，其从政策层面上将数据安全提升到了未来五到十年中国安全建设发展核心的重要位置。数据安全访问作为数据全生命周期安全防护的重点将迎来重要的市场发展机遇。零信任网络访问体系将在未来融合网络和数据安全能力进行持续、动态、综合的访问控制。其中融合的数据安全能力一部分以传统的加密、脱敏、数据防泄漏、水印等能力为主。另一方面，未来，伴随保护数据流转、交易过程中安全技术的不断成熟，隐私计算等新技术也或将融入到零信任体系中共同赋能，最终实现网络和数据安全访问的目标。▪场景化、行业化解决方案有待发展：零信任网络访问解决方案目前在远程办公、分支组网的场景应用最为丰富。未来，伴随零信任网络访问市场需求、产品技术的不断迭代更新，内网接入、多云接入、混合办公、运维管理等场景应用将不断增多。除此之外，针对不同行业如工业互联网、物联网、电力、能源、5G等场景的解决方案将快速迭代发展来适配不同场景下终端、身份、网关等安全管控方面的行业化需求。▪零信任网络访问和零信任边缘将在未来实现方案融合：IDC定义下的零信任网络访问重点是基于上下文、设备、身份的感知来进行持续的信任评估、安全访问的解决方案。而零信任访问边缘解决方案重点关注用户在访问Web和云资源时的设备和数据保护。其中包括Web安全网关、云安全网关、网络沙箱等安全产品/能力。未来，零信任网络访问和零信任边缘架构将做统一整合，把网络、安全和应用在云上云下不同基础设施环境中做深度融合、统一管理，从而帮助用户最终实现网络、数据、应用的综合安全访问建设。RKETSCAPE本次IDCMarketScape研究对象包括中国零信任网络访问解决方案提供商中具备一定规模且可以提供网络访问全生命周期安全保护的领导厂商，入选厂商需要满足如下标准：▪零信任网络访问解决方案提供商需具备提供全面的动态网络访问控制能力，至少有50%以上的解决方案内容满足IDC对于零信任网络访问解决方案的定义(详见“市场定义”部分)；▪厂商零信任网络访问解决方案须在中国有具体落地项目；▪厂商零信任网络访问解决方案须有明确的市场定位和发展方向，在市场中有标杆客户。同时，其解决方案需拥有较高的市场知名度。家的建议零信任网络访问解决方案涉及众多不同产品、技术和服务，IDC建议，在选择技术服务提供商时技术买家应重点关注以下几方面内容：▪体系化、阶段化建设能力：零信任是一个理念，该理念的实现不仅需要部署众多相关产品与服务，还需要最终用户的IT部门、业务部门与技术服务提供商形成通力合作，共同建设。因此，零信任网络访问体系的建设无法一蹴而就，需要进行阶段化分步建设。最终用户在建设零信任网络访问体系时，需要在明确需求的基础上规划体系化建设蓝图，依据规划进行分步建设，在建设过程中将业务与安全相结合进行动态调整和部署。▪关注核心产品组件能力：零信任网络访问解决方案中的核心组件包括但不限于端点安全产品、身份安全产品、接入安全产品、统一管理平台等组件。由于涉及产品和服务众多，市场中除综合型网络安全厂商外，大批专业型安全厂商也成为了零信任网络访问市场中的主要玩家。对于最终用户来说，根据自身IT安全建设阶段和状况，选择最匹配自身需求和IT环境的技术服务提©2022IDC#CHC489446224供商至关重要。其中，技术服务提供商产品和服务的全面性、专业性，品牌口碑、价格体系、生态建设等情况都需做重点关注。▪终端安全能力：作为零信任网络访问接入的入口，除传统的准入、杀毒等基础终端安全管理的能力外，统一终端管理将在未来成为端点安全技术发展的大趋势。终端适配类型的广泛性、终端入口的整合能力、终端安全能力的兼容统一等将切实解决用户的端点管理问题。除此之外，针对对数据安全有需求的客户来说，终端沙箱、数据防泄漏、加密、脱敏、水印等安全能力将受到青睐。▪身份安全能力：身份安全中最终用户需要关注的除了传统的身份认证、账号管理(包含特权账号管理)等方面外，还需要关注技术服务提供商认证因子、认证源的多样性、密码/证书能力、身份与终端信息的融合联动能力等。未来，基于终端和用户/账号，运用用户及实体行为分析(UEBA)、大数据、人工智能(AI)等技术形成千人千面的用户画像能力将更加直观地反映不同用户、角色的访问路径及行为，将更好地帮助用户构建全面地零信任网络访问体系。▪网关能力：作为零信任网络访问解决方案中的核心策略执行点，零信任网关通过单包认证 (SPA)敲门的方式实现网络隐身，帮助用户缩小互联网暴露面，从而实现安全访问。除了基本的网络隐身能力外，作为网关，最终用户需要重点考虑网关稳定性、安全性，包括网关的快速部署、性能、负载、容灾、组网等能力。除此之外，网络流量的分析能力也将为传输过程中的安全赋能。▪零信任管理平台能力：零信任网络访问解决方案实现精细化访问控制的核心，应具备“七化”能力，即统一管理化、资产化、合规化、联动化、可视化、智能化、知识化的能力。具体来说，最终用户需重点关注零信任管理平台对于安全能力的统一管理能力、资产管理 (包括网络、终端、身份、数据等)能力、合规审计能力、产品兼容联动能力(产品开放性、接口标准化程度)、集中展示能力、人工智能/机器学习能力、行业知识库积累等能力。基于平台“七化”能力对访问信息进行集合、梳理、学习，从而帮助最终用户真正实现持续动态权限分配、策略下发、安全访问的目标。▪数据安全访问体系建设规划能力：2021年，《数据安全法》正式颁布并实施，无论从合规还是从业务需求出发，数据安全访问将会成为未来五年最终用户关注的重点。零信任网络访问架构与数据安全访问体系进行方案整合将成为大趋势，其中包含的数据安全能力包括但不限于数据资产管理、数据防泄漏、数据加密、脱敏、隔离、水印、数据安全交换、隐私计算等产品/技术。▪安全服务体系的建设：零信任网络访问体系的建设与服务体系的加持息息相关。无论是前期零信任网络访问体系的规划还是后期零信任网络访问体系的持续运营都需要服务的支持。最终用户在选择技术服务提供商时需持续关注其服务水平，包括零信任网络访问体系的服务咨询能力 (体系架构咨询规划能力、测试能力、应急能力等)、服务运营能力、服务标准化能力、服务质量跟踪&评估能力等。本章节简要地解释了IDC通过厂商在IDCMarketScape中的位置得出的关键发现。在附录中概述了各个厂商基于各项标准的评估，该处展示了对各厂商的优势与机会的总结。安恒信息安恒信息在2022年中国零信任网络访问解决方案厂商评估中处于主要玩家位置。安恒信息成立于2007年，自成立以来，公司始终将“诚信正直，成就客户，责任至上，开放创新，以人为本，共同成长”作为企业价值观，秉承“构建安全可信的数字世界”的企业使命，和合作伙伴一起“助力安全中国、助推数字经济、筑牢可信社会”。伴随疫情的反复以及中国数字化进程的推进，安恒©2022IDC#CHC489446225所投入建设的零信任体安全解决方案，主要聚焦于疫情下的远程办公以及多云应用互访的场景和数字化转型中的数字安全API安全身份体系两个方面。优势安恒零信任整体架构基于零信任理念的SDP架构实现，核心零信任产品组件为TAM零信任身份服务中心，由Tgent零信任安全客户端、DSG-APP零信任应用代理系统、DSG-API零信任API代理系统四大部分组成，另外根据用户定制化的安全运营需求，安恒信息也可以与其他安全产品进行协同工作，如AiLPHA安全大脑(可选)、AiThinkUEBA引擎(可选)、SOAR自动化剧本编排系统(可选)。其中零信任身份服务中心作为零信任体系的TAM零信任身份服务中心和两个安全代理网关，参照SDP架构进行控制面和数据面的分离，且AiTrust也支持无客户端纯浏览器接入的场景。同时AiTrust支持对外开放API接口，将外部的第三方组件集成到零信任架构来，并且TAM零信任身份服务中心可上报数据至AiLPHA安全大脑，而AiLPHA安全大脑将分析处置结果向TAM零信任身份服务中心形成风险通报，通过以上方式形成以AiTrust为中心的统一安全防护体系。安恒零信任整体架构可进行灵活的终端部署，在有客户端安全访问场景下，用户终端下载安装零信任客户端，客户端创建虚拟网卡和本地路由表，并通过本地路由表或私有DNS流量劫持将访问流量引流至虚拟网卡。同时，客户端与代理网关构建加密隧道，实现数据包代理转发，从而实现有端场景下的业务安全访问。免客户端安全访问场景适用于纯WEB应用(即http/https这两种协议的B/S应用)，通过web反向代理技术，用户在浏览器输入web域名发起访问时，通过修改公网DNS域名解析的A记录，将访问流量指向代理网关，由代理网关代理访问后端业务系统，并将响应信息返回给用户，通过该方式实现免客户端场景下的业务安全访问。挑战安恒信息遇到的挑战在于零信任客户端到个人版操作系统上版本多样化的兼容性适配问题。面临市场竞争需要快速且高效无差错的交付终端兼容性能力。另一个挑战在于结合目前战略定位，如何快速地打开长尾用户的销售通道。阿里云阿里云在2022年中国零信任网络访问解决方案厂商评估中处于领导者位置。阿里云安全团队成立于2009年，是国际领先的云安全解决方案提供商，持续为云上用户提供保护能力。阿里云和基础设施深度融合以推动安全服务化，支持弹性、动态、复杂的行业场景，在政府、金融、互联网等多个行业有众多成功落地案例。阿里云零信任网络访问(ZTNA)安全解决方案，基于云原生体系架构，以零信任为原则，构建覆盖公共云、混合云的零信任安全访问网络，帮助客户有效解决在远程办公、身份认证、可信访问等遇到的问题。阿里云ZTNA安全解决方案已经获得互联网、游戏、教育、大型企业的青睐，持续为云上客户提供安全可信的零信任网络接入和访问服务。优势▪基于云原生的零信任服务产品：阿里云ZTNA解决方案深度整合了阿里云网络，可复用云上CEN、SAG、VBR、IPsecVPN等资源实现零信任网关到应用服务的内网回源。同时可以与云上VPC、数据库等资源自动实现内网回源打通，极大地简化了降零信任组网复杂度，降低了企业运维压力。▪服务安全性托管：零信任产品架构除了保障企业应用的安全访问外，作为SaaS化服务自身的安全性也是一项极具挑战的议题。SASE同时复用了阿里云专业的安全团队与能力，企业用户无需在服务自身的安全性上投入更多精力。©2022IDC#CHC489446226▪全球基础设施服务：依托于阿里云全球分布的基础设施，阿里云零信任网关可以实现分钟级部署，为全球客户快速构建零信任产品能力，助力企业用户快速实现全球化办公能力，极大提升员工的办公体验。▪动态访问控制和智能化安全管理：以动态身份认证为核心，结合三重网络隐身，多重协议优化等技术，构建基于身份的新的安全边界。基于泛身份的理念，阿里云ZTNA将用户访问业务过程中的各类因素身份化管理，包括：用户、设备、通道、协议、应用、连接器等，实现细粒度的动态访问控制能力。对于各类泛身份进行有机关联，提供了全链路日记审计溯源的能力。同时，所有的身份和日志记录，都作为用户行为画像的基础数据。基于用户在一定时间内的行为建立个性化用户画像，千人千面。当用户的行为发生变化，检测到异常风险时，自动触发相应的行为(二次认证、锁定等)，从而实现智能化的安全管理能力。▪便捷的联动和整合：阿里云ZTNA解决方案提供多种API接口及SDK，可与企业既有的4A系统和网络安全设备进行联动，共同构建符合零信任理念的新的安全体系，保护客户的既有投资。同时，解决方案与钉钉做了深度整合，通过将SDK集成到钉钉客户端，用户通过钉钉，即可安全访问各类企业应用，实现高效安全的远程办公。挑战▪合规性挑战：ZTNA目前还缺少明确的行业标准，企业从合规性方面考虑，对选择ZTNA还存在一定的顾虑。▪期望值过高：零信任的理念已经大幅度普及，但也使得部分客户对零信任的期望过高，希望零信任能够成为企业安全的灵丹妙药，而忽视了零信任是一个整体理念，需要逐步建设的基本事▪SaaS化挑战：当前国内不同行业对SaaS化零信任的产品接受差别明显，如互联网、游戏等行业基于更好的体验、更高的运维效率、更稳定的服务等角度对SaaS化零信任产品接受度较高；但能源、金融等行业对SaaS化方案仍抱有较多顾虑，处于观望状态，这类市场仍需业内厂商携手一起培育。▪多云网络的适配：企业应用负载部署位置多样化，网络环境较为复杂，大型用户落地零信任产品有较大难度，极大地考验了零信任服务商对于多云或复杂应用场景下的产品适配情况。降低企业用户的零信任接入门槛，对零信任服务商来说是一项长期的调整。缔安科技缔安科技在2022年中国零信任网络访问解决方案厂商评估中处于主要玩家位置。上海缔安科技股份有限公司创立于2007年，是国内软件定义广域网(SD-WAN)服务的代表企业，总部位于上海，在全国设有五大备件中心，服务网络覆盖全国。多年来，缔安科技持续发力前瞻性科技研发创新，现服务于超500家企业用户，在虚拟云网、云安全专业服务市场具有优势地位。缔安科技零信任网络访问解决方案基于身份这一核心，融合国家商用密码算法，使企业在提升安全能力的同时满足等保与新网安要求，在零信任网络、身份安全、应用安全管理等模块中的管控更加细致，作为国内早期开展的零信任业务的企业之一，缔安科技正持续推进零信任网络访问解决方案在中国的落地与发展。优势▪在解决方案及产品方面：缔安科技零信任网络访问解决方案完整覆盖用户接入访问的全过程，是一套全链路的、基于身份的安全接入与管控解决方案，值得一提的是，这一解决方案可以帮助用户在保障原有网络结构基本不变的基础上进行平滑升级，改造中所涉及的软硬件部署灵活简单，可以快速完成零信任落地应用。缔安科技零信任网络访问解决方案在架构安全性、产品的传输安全性、对内网安全的防护性、用户使用时的便捷易用性等方面具有优势。▪在技术稳定性与前瞻性方面：缔安科技零信任解决方案构成产品为100%自研，拥有自主专利的应用访问安全设计与实现，实现最小颗粒的应用权限控制，具备大量专利与软著，资质完善齐全，产品方案已在多个企业的实际应用场景中落地。不仅如此，作为原生网络服务厂商，缔©2022IDC#CHC489446227安科技自带安全基因，在安全方面始终保持大量的研发投入并保持对技术趋势和市场态势的敏▪在服务方面：缔安科技提供一站式的服务，完整覆盖项目生命周期，为每一家企业用户给予切实可行、高效到位的前期咨询服务、中期集成与实施服务、后期维护运营与教育培训服务。除此之外，缔安科技通过标准的零信任服务保障体系对服务质量进行管控，并对用户进行长期的服务回访，保持对用户建议的关注，及时对服务进行调整优化与提升。▪在落地方面：缔安科技的零信任网络访问解决方案已经在多个行业中实现落地并树立标杆案例，如政府、金融、电信与互联网、制造、能源、交通、医疗卫生、物流与邮政等，针对不同客户特定的需求匹配相对个性化的零信任解决方案，能够按需配置安全网络资源，用“量体裁衣”式的服务，让产品能力真正服务用户实际需求。▪在市场方面：作为技术驱动型的高新技术企业，缔安科技持续专注于技术开发，提前布局零信任市场，并将目标市场范围持续扩张，将“零信任+SASE”、“零信任+虚拟云网”、“零信任+AI”作为发展的核心方向，在市场中构筑更高的竞争壁垒。作为市场中早期的探索者与开拓者之一，缔安科技也多次参与行业技术探讨与标准编写制定，为业内持续进行知识输出，参与翻译《SDP标准规范1.0》、《软件定义边界架构指南》等早期零信任理念引入中国时的关键材料，并参编《网络服务安全与监控》、《零信任网络安全：软件定义边界(SDP)》等书籍，并且保持与企业、学校的沟通联结与合作生态的构建，为市场发展贡献力量。挑战目前行业面临的难题聚焦在各细分行业不同应用的兼容性上。不同厂商产品间存在互操性难、复用率低等问题，产品间兼容性适配性、应用类产品接口的标准化程度均有待提升。除了行业挑战外，缔安科技的挑战集中于外部环境的不确定性逐步提升。不可控的外部因素，如疫情造成的行业整体环境的变化、供需平衡被打破、部分行业发展速度放缓等均对解决方案的落地提出了新的要求和挑战。缔盟云缔盟云在2022年中国零信任网络访问解决方案厂商评估中处于竞争者位置。缔盟云成立于2017年，是国内较早成功实践零信任理念的云安全平台厂商，中国零信任及安全访问服务边缘(SASE)领域的探索者。基于SASE架构，缔盟云推出ESZ®Cloudaemon平台，通过在终端、互联网和云上，构建可信的弹性安全区域(ElasticSecurityZone)，创新性地实现了跨全球公有云构建PoP边缘节点，满足企业动态安全访问需求。缔盟云在零信任领域具有独特的创新性，已在中国建设银行、浙江吉利控股集团等企业落地，向其提供可靠的零信任安全方案。优势零信任产品太极界提供完整的下一代安全沙箱+零信任网络解决方案。下一代安全沙箱用于隔离企业数据与个人数据、办公环境与互联网环境，有效防止企业数据泄露。零信任网络强调通过基于用户、应用、终端、流量的强身份验证技术保护数据，采用反向连接技术，隐藏企业服务器，减少攻击面，并阻止横。太极界采用端云结合的全分布式架构，可以部署在公有云、私有云及混合云上，支持SaaS和私有化部署方式。并基于SaaS提供7*24小时的应急响应服务。服务区域覆盖华北、华中、华东、华南、西部。缔盟云技术团队由本科及以上学历构成，其中25%为研究生及以上学历。团队成员包含了擅长架构设计、编程开发、渗透测试、网络协议等多技术领域的人才。技术团队负责人来自世界500强企业，十年以上的网络安全从业经历，具备丰富的网络安全技术能力及管理经验。缔盟云实验室由网络安全从业二十年以上的专家牵头，负责前沿创新技术的探索与研究。©2022IDC#CHC489446228挑战网络安全专业性强，而零信任安全又是新兴的领域，较难找到高端的专业性人才。且传统大型企业，比如金融、能源等行业上云(尤其是公有云)仍需时间，而国内中小企业面对专业性SaaS软件的消费理念还需培养。因此，如何培养高端专业性人才，解决内部人才问题，并突破外部环境阻力是目前主要的困难与挑战。迪普科技迪普科技在2022年中国零信任网络访问解决方案厂商评估中处于主要玩家位置。杭州迪普科技股份有限公司(简称“迪普科技”)以“让网络更简单、智能、安全”为使命，聚焦于网络安全及应用交付领域，是一家集研发、生产、销售于一体的高科技上市企业。迪普科技零信任安全解决方案目前已经广泛应用于金融、医疗、运营商、电力等行业，致力于帮助客户在零信任安全理念的指导下构建新型的网络安全架构。优势迪普科技零信任网络访问解决方案主要分为软件定义边界(SDP)和扩展检测与响应(XDR)、数据防泄漏(DLP)三部分。其中SDP部分包括客户端(终端安全软件，实现统一门户、终端环境感知、终端管控以及国密传输保护等)、安全网关(实现双向安全加密、传输隧道管理、应用访问代理、隐藏保护应用和动态安全策略执行等；)、管理平台(实现单包认证、身份鉴别、配置管理、单点登录、动态授权、可视化运维和用户行为分析等)。XDR分为客户端与管理平台两部分，提供杀毒、桌面管理、EDR功能。DLP部分为应用虚拟化产品，实现数据不落地，满足用户的数据安全需求。目前三部分产品组件已完成了融合，形成了整体的解决方案对外交付。迪普科技可以为用户提供基于零信任网络访问体系的服务方案。迪普科技可为客户提供7*24热线服务，其拥有一支技术精湛、工程实施与项目管理经验丰富的售后服务队伍为客户提供最专业的故障诊断、排除服务。受理客户服务请求后，迪普工程师将通过电话、网络等远程技术支持方式，为故障的诊断、排除提供帮助。迪普科技定期为客户提供巡检服务，对设备及网络运行情况进行一次性全面检查，帮客户获取设备的一手资料，最大可能的发现隐患，并有针对性的提出预警与解决建议，让客户能够提早预防，最大限度降低运营风险，避免不必要的损失。除此之外，迪普科技在全国设有27个区域备件库和2个备件分拨中心(位于杭州、北京)，并与专业的物流公司合作形成辐射广泛的物流供应体系，在客户需要紧急备件支持的时候，做到快速响应。目前迪普科技ZTNA整个团队总人数接近100人，研发占比超90%。其中市场侧有专职市场拓展、产品管理、解决方案人员，各自任务分工明确，研发与市场侧紧密结合，能够对市场动态、客户需求、发展前景快速响应，从而为用户提供最优质、先进、完善的零信任安全产品。挑战▪用户接受度还不高，对零信任理念不甚了解，对外拓展有一定的难度；▪行业内零信任的应用场景还是集中在远程访问和内网权限准入场景，使用场景比较单一；▪目前还没有统一的技术规范，不同厂商的零信任产品间对接存在问题，对零信任的发展带来了一定的阻碍性。华为华为在2022年中国零信任网络访问解决方案厂商评估中处于领导者位置。华为在网络安全领域有着20多年的专业积累，持续服务于全球80多个国家的10万余家客户，致力于为企业构筑智能防御、网安协同、内生可信的安全防御体系，助力各行业加速迈入万物互联的智能世界。©2022IDC#CHC489446229华为零信任网络访问解决方案目前已经在政府、大企业等多个领域逐步铺开发展。未来3年将在更多行业场景孵化落地，不仅限于远程办公、公司内网接入，也会在城市物联、工业互联网等场景实现联合创新，成为各行业安全体系框架中不可或缺一部分。优势华为零信任网络访问解决方案在技术上主要运用了AI及用户及实体行为分析(UEBA)能力提升整体方力，主要具备如下创新内容：▪华为ZTNA方案基于AI算法对不同场景下业务的合法行为进行建模，可基于终端、网络、用户登录、数据访问等多种或其中任何一种行为数据，对当前行为实体是否符合安全要求进行判断。在ZTNA中结合了华为的网络流量分析能力，共支持41类检测分析算法及74种威胁分析，其中基于AI的检测算法一共20多种，包括通过监督学习提升恶意DGA域名、加密和非加密的C&C(命令和控制)通信、隐蔽通道检测精确率，杜绝失陷类主机用于零信任登录。在Web应用场景，为了防止攻击者通过Web入口进行渗透攻击，华为ZTNA方案采用监督学习实现OWASPTOP10中常见XXE、注入检测、不安全的反序列化攻击检测等，并结合了语义分析和自动编解码技术，将检测精确率提升了业界领先水平，提升Web应用入口的零信任接入能力▪华为ZTNA方案结合UEBA技术，对接入的用户和IP进行画像识别不同类型的资产和用户。方案中采用贝叶斯网络来刻画正常业务用户访问行为，并对攻击者进行画像以精确区分攻击者和正常用户。此外通过对等组算法、网络流量相似性进行主机群组画像，识别相似资产，并发现偏离群组行为的异常资产，进而识别高风险资产。与此同时，华为在客户服务方面能够为最终用户提供7*24全天候支持服务、VIP客户专席服务等，具体内容如下：▪基础服务内容：远程技术支持，软件授权服务，备件先行，现场支持服务，主动支持服务，硬件修复承诺等；▪专业服务内容：安装服务、规划设计服务、解决方案实施服务、备件保留服务、设备健康检查服务、软件订阅与保障(基础、高级)、驻场服务、培训服务、认证服务、咨询服务等。▪客户支持服务类别：Co-Care(标准、金牌)，Hi-Care(基础服务：基本、标准、金牌、白金；高级服务：标准+、金牌+、白金+；教育专项服务)▪安全云服务：华为具备安全防护经验的未然实验室运维专家，提供7*24小时在线服务，简化运维难度。对安全日志和取证文件关联分析，准确、快速处置攻击事件。服务内容包括：应用识别与管控、定期周报月报、紧急安全通知、攻击识别库实时更新、监测断网内网问题主机、恶意网站访问拦截、阻拦已知的钓鱼邮件、恶意软件传输、不良应用及网站访问行为过滤、应用及网站访问可视化、安全事件可视化、安全事件分析、攻击源自动阻拦、重要安全情报推送。聚焦市场拓展能力，华为通过自身研发、测试、市场推广加上生态伙伴联合拓展做大零信任网络访问解决方案市场空间。华为于2018年成立了华为安全商业联盟。联盟不断引入理解客户、且有创新能力的区域安全服务提供商，基于联合解决方案为最终客户提供高效、优质的安全建设咨询规划、日常安全代运维、高危事件现场处置修复、安全加固、安全培训等贴身服务，适配不同客户的差异化需求。基于服务效果及时回馈优化方案本身，形成产品和方案研发规划、研发、集成验证、市场推广和联合交付的闭环。华为希望通过与伙伴优势叠加，共创技术能力领先+贴身安全服务的生态新局面。挑战华为在零信任网络访问解决方案领域当前主要面临的困难有两个，第一是客户业务应用较复杂，部分客户不希望通过改造应用引入零信任架构；第二是移动接入场景iOS、Android和HarmonyOS等多种操作系统的终端环境感知适配问题。IDC#CHC4894462210吉大正元吉大正元在2022年中国零信任网络访问解决方案厂商评估中处于主要玩家位置。吉大正元是中国领先的数字安全解决方案及服务提供商，国内知名的数字安全厂商、电子认证领域的领先企业，以密码技术为核心，打造安全基础类、应用安全支撑类、安全应用类、行业应用类安全产品及服务，为客户提供涵盖安全基础建设、密码安全、身份认证、数据安全、移动互联安全、云计算安全、物联网安全等不同领域的整体安全解决方案。吉大正元目前已累计服务千余家行业客户，覆盖政府、金融、电信、能源、互联网、教育、医疗、电力、交通、制造等多个垂直领域。吉大正元零信任解决方案已经实现了小型企业远程办公边界防护的SDP安全解决方案和中大型企业的基于IAM身份与访问控制的零信任安全解决方案。优势吉大正元零信任安全解决方案是以身份作为访问控制的基石，通过终端环境检测、实体行为分析等多源数据，持续评估访问发起者的信任等级，并将评估结果与动态访问控制策略进行自动匹配，实现自适应多因子认证、自适应权限管理、会话熔断等动态访问控制能力。再通过资源隐藏，先信任后连接，建立国密SSL安全信道等方式保护企业资源，最终实现可信访问，为客户提供动态的安全防护解决方案。▪技术优势：密码体系是安全体系建设的基石，身份系统则为安全体系建设的原点，吉大正元在通讯安全、信源安全、存储安全等方面都有密码的应用，通过持续创新和研发自主可控始终保持着领先优势。▪服务优势：吉大正元近几年已经在全国范围内设有多个分公司和办事处，能够有效地对用户提供最快捷有效优质的服务。▪商业模式：吉大正元零信任网络访问解决方案采用基础产品加增值服务的模式，可以为用户提供多种选择，即使用户前期没购买增值服务，后期也可以无改造的方式予以增加，有效降低用户的购买成本。挑战零信任解决方案落地过程中，用户有时会对同一组件采购不同厂家的产品，此种情况下在进行系统之间对接时，厂商会面临不同的厂家使用不同的接口形式进行对接的困难和挑战。现在尚未形成零信任组件之间对接的标准化规范体系，零信任产业相关的标准和协议还有待持续制定和完善。绿盟科技绿盟科技在2022年中国零信任网络访问解决方案厂商评估中处于领导者位置。绿盟科技高度重视安全研究和技术创新，跟踪国内外最新网络安全攻防技术。在云计算、大数据、零信任、物联网、工业互联网、新型基础设施建设、信息技术应用创新等多个基础安全研究和前沿安全领域积极探索，为政府、金融、运营商、能源、交通、科教文卫以及企业等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。绿盟科技于2014年启动零信任关键技术研究，2018年开始陆续发布相关核心产品，2019年底正式发布零信任安全解决方案，2021年正式发布“智慧安全3.0”理念体系，并将“可信任”作为其中的关键要素之一，强调安全建设要从业务视角出发，融入零信任安全思想，为用户构建访问信任模型，形成以信任为核心的纵深防御体系，从而实现对客户业务环境的可信任保障。目前，绿盟科技零信任安全解决方案已在政府、金融、运营商、能源、交通、科教文卫以及企业等多个行业经过多次实战历练，积累了大量实际应用案例，通过全面感知、最小授信、持续评估、动态决策，协同客户共同完成零信任落地实IDC#CHC4894462211优势绿盟科技基于公司多年的攻防技术实践、技术架构研究积累以及产品研发经验，与行业客户的典型应用场景及业务需求深度结合，研制并发布了适用于移动办公、多云、大数据等数字化转型后的应用场景的零信任安全解决方案。该方案基于设备可信、用户可信和行为可信，持续进行评估和动态决策，实现先验证再连接、按需动态最小授权，确保只有可信的访问主体(用户和终端)才能访问，协助客户在不可信网络中构建可信任的安全体系。▪在产品体系方面：绿盟科技提供的产品体系能够在终端安全，身份识别与管理，网络安全，应用和数据安全，安全分析协作与响应等多个技术应用领域，全方位满足国内零信任市场的客户需求。其中：绿盟科技一体化终端安全管理系统是集终端管控、终端防护、可信终端监测、终端EDR、终端安全态势可视化为一体的下一代终端安全产品。绿盟科技SDP安全访问方案针对企业对外的攻击暴露面，通过应用SDP技术架构，结合持续的多重威胁风险分析和上下文综合评估决策实现按需动态最小授权，为客户提供全面有效的隐藏机制。同时可以提供本地用户身份管理能力，也支持对接客户已有4A/IAM系统，完成已有用户身份和组织架构的快速同步，进一步加强身份管理能力建设。绿盟科技智能安全管理运营平台是以实战化安全运营为主旨，以资产为核心，基于大数据架构自主构建的面向客户的可信任、全场景的安全管理平台。▪在服务体系方面：绿盟科技通过对企业与机构现状的评估，进行安全运营体系设计，依据企业与机构业务的目标及安全目标，凭借完善的专业服务体系帮助企业建立适合自身的建立统一、集成、开放并可拓展的一体化安全运营体系架构。同时，绿盟科技提出T-ONECLOUD，T-ONECLOUD是绿盟科技“智慧安全3.0”理念的全新实践，以“云运营再造新安全”为目标，旨在以云的思路重构安全运营体系，为用户提供弹性敏捷的安全闭环保障能力。绿盟科技长时间积累的各类不同形态的安全能力，包括硬件设备、安全资源池、以及2021年发布的SASE服务等，都可以通过T-ONECLOUD的模式为用户提供服务。▪在技术创新优势方面：绿盟科技在“智慧安全3.0”理念的驱动下进行创新实践，持续以“实战化安全运营”为核心，形成了一系列实战化对抗相关技术能力的创新，如：自适应拟态异常行为检测技术、多维威胁特征聚类识别技术等创新技术。除传统威胁检测、漏洞管理、资产管理、异常行为分析、情报驱动威胁检测与分析、全流量深度检测以及自动化安全编排与响应能力外，还通过分析推理引擎和独创的风险评分算法，将多种安全数据变量纳入安全指标考量范围，帮助客户基于零信任理念及原则建设从被动防御向主动防御转型的能力体系建设。▪在产品研发团队方面：绿盟科技设立五大研发中心-北京研发中心、西安研发中心、武汉研发中心、成都研发中心，南京研发中心，研发中心拥有一流的架构师与研发团队，负责进行产品化落地及产品的更新迭代、维护，确保产品核心竞争力的建立。还设立八大实验室(星云实验室、格物实验室、天机实验室、天枢实验室、平行实验室、威胁情报实验室、伏影实验室和天元实验室)，星云实验室聚焦于云计算安全相关的前沿领域研究；格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究；天机实验室专注于漏洞挖掘与利用技术研究；天枢实验室聚焦安全数据、AI攻防等方面研究，在“数据智能”领域取得突破；平行实验室专注于研究网络空间战略、技术和管理框架的知识表述和知识学习；威胁情报实验室聚焦威胁情报领域安全研究；伏影实验室专注于安全威胁与监测技术研究；天元实验室专注于新型实战化攻防对抗技术研究。实验室的相关研究和分析成果会根据客户的业务需求进行转化，为产品的先进性提供强有力的保证。挑战零信任思想或者技术架构不是孤立于其他安全产品/方案的，相反是在原有安全基础上对信任关系进行重组、优化和升级。如何基于零信任原则去优化企业安全架构或者使用零信任相关产品去补充安全能力，和已有的网络安全产品或方案进行融合，协作，充分、有效的提升信息化系统和网络的整体安全性，这对于厂商是一个挑战。绿盟科技会持续投入研究行业应用场景，为客户演进网络安全体系提供支撑，共同达成基于零信任原则建设或升级网络安全体系的目标，为关键行业基础设施、关键网络及重要数据提供防御效能。IDC#CHC4894462212联软科技联软科技在2022年中国零信任网络访问解决方案厂商评估中处于主要玩家位置。深圳市联软科技股份有限公司(简称“联软科技”)创立于2003年，专注于企业级网络安全市场，围绕端点安全、边界安全和云安全，为客户打造网络准入控制、终端安全管理、数据防泄露、数据安全摆渡、软件定义边界、网络入侵检测、移动端安全管理、云主机安全管理、互联网安全监控SaaS平台、网络空间资产测绘、终端检测与响应等产品的综合安全解决方案，并已在金融、制造、医疗、政企等行业得到广泛应用，服务超过3000家高端行业客户。经过近20年的发展，联软科技从全球较早的网络准入控制厂商之一，已经成长为中国企业端点安全领域的主要厂商，并成为了国内率先落地基于“零信任安全”厂商之一。优势联软科技通过与客户的紧密协作和开创性探索，围绕端点安全、边界安全和云安全，持续积累“零信任安全架构”功能组件和核心组件能力。联软SDP零信任安全平台，践行零信任网络访问核心原则，包含控制器、安全网关、客户端三大核心组件，涵盖了一系列的子系统：零信任安全网关、API网关、移动安全接入、内网零信任准入、终端安全环境感知、终端数据防泄漏、终端检测与响应等。联软SDP零信任安全平台采用控制平面与数据平面分离架构，在用户访问受保护资源之前，通过SPA单包授权机制与多种身份认证手段，先进行身份校验，确保身份合法后才可与安全网关建立加密连接，并赋予最小访问权限；提供统一安全策略配置及下发，基于评分机制，从环境、行为、威胁三大维度对业务访问生命周期进行动态访问控制及持续信任评估；针对数据安全，提供终端多域安全沙箱能力，实现终端企业数据隔离、终端网络隔离、企业应用进程保护；向管理员提供审计日志、系统监测信息、可视化管理视图，可对系统进行可视化统一运维。主要应用场景如下：▪远程办公/运维场景：企业员工、合作伙伴无论在公司、门店(分公司)或出差在外，通过联软SDP零信任安全平台对用户身份、接入设备均验证合法性后才能访问企业业务系统，同时基于身份的“最小授权”安全策略以及动态访问控制机制，实现企业内外网统一访问控制；SPA预认证技术，实现网络隐藏，缩小互联网暴露面；终端安全沙箱保护企业数据不落地，有效防止敏感数据外泄。▪全网零信任场景：通过一个客户端智能判断接入场景并自动选择接入方式，当终端在企业内网接入时使用内网网络准入认证+零信任的方式完成统一认证，当终端在互联网侧接入时使用零信任可信接入认证，通过动态感知终端网络环境，智能关联网络准入认证和零信任认证，实现了两者的有效结合，统一了终端管理和数据防泄漏的能力，实现全网终端的接入安全、终端安全管理和数据安全。▪多云/多数据中心统一安全接入场景：控制平面与数据平面分离零信任部署架构，天然支持多云多数据中心环境，用户通过一个客户端即可实现不同数据中心的统一安全访问，集中可视化统一管理，减轻运维压力，降低实施成本，全局情况轻松掌握。▪终端数据安全防护场景：联软SDP零信任安全平台提供终端多安全沙箱能力，通过细粒度的数据管理策略，清晰划分企业网络和数据边界，公私分离，实现不同沙箱内的企业数据流转可管可控可审计；可针对不同用户及设备灵活下发沙箱策略，灵活度高；相较于传统数据防护方案，安全性高、运维便捷，成本低，且不影响终端性能，用户体验佳。目前联软科技拥有近400人的专业技术研发团队，公司在全国各省市设有20多家直属分支机构和办事处，建立起ITIL标准的国际专业化服务流程，致力于为全国各地用户提供最便捷、专业快速响应的售前与售后服务，在深圳、广州、长沙三地建立了技术研发中心，将“持续研发作为第一生产力”服务用户。IDC#CHC4894462213挑战通过实施零信任解决方案，可以达到提升安全管控水平的预期，实现提高资源访问控制能力的目标。但对于数据安全要求较高的企业，在实施零信任解决方案后，评估零信任架构的整体安全性，评估零信任架构下的网络安全防护能力是一个挑战；派拉软件派拉软件在2022年中国零信任网络访问解决方案厂商评估中处于主要玩家位置。上海派拉软件股份有限公司(简称：派拉软件)成立于2008年，致力于为企业和机构提供端到端的一体化零信任安全产品和服务，覆盖身份安全、应用安全和数据安全。派拉软件拥有较为完整的零信任产品体系，并从以身份为中心的动态访问控制，逐步延展到终端管理、软件定义边界(SDP)、微隔离、动态授权、API网关、用户行为分析、数据访问安全为一体的端到端零信任安全解决方案。目前派拉零信任网络访问体系已经发展的较为成熟，产品方案涉及到管理端、客户端、网页端、移动端，已经落地1400+客户。除身份安全外，其SDP产品现也已经在天九共享等企业落地。优势派拉一体化零信任网络访问解决方案以身份安全管理中心(IAM)为基础进行场景扩展，不断深入企业的身份安全、数据安全、网络安全，建立了IAM、SDP、终端管理、API网关等产品为一体的零信任安全解决方案。派拉一体化零信任建立“无边界”网络安全解决方案，对接入进来访问企业资源的用户进行身份认证、设备认证，并通过行为分析持续认证用户身份，动态授权用户访问资源，确保企业资源“零端口”暴露。派拉一体化零信任企业所有员工访问，没有内/外员工之分，既可以让员工远程访问，又能确保企业内部资源、内部用户处于安全状态，解决企业远程移动办公的问题。目前，不少企业业务逐渐往云端迁移，资源暴露面增大、资源被攻击的风险增加。派拉一体化零信任基于最小权限原则，划分用户访问身份、角色权限、系统开放API权限，保护企业云端业务资源和开放API。派拉一体化零信任面向金融、汽车、制造、医疗、政府等多个行业，尤其是业务系统数量多、业务逻辑复杂的制造行业、金融行业，权限划分需要更加细致，数据访问和传输需要更加安全。而派拉软件以单数据包认证、动态授权访问等设计思路，搭建零信任整体解决方案，重新审视传统的安全架构，解决行业的网络安全业务问题，可完美覆盖企业遇到的外网攻击、内部数据泄露等安全场景。派拉软件从2018年将零信任技术引入身份安全体系，并逐渐构建了整体的零信任解决方案，现派拉一体化零信任产品解决方案已迭代20+版本，产品方案已相对成熟，同时持续攻克网络底层技术，优化产品方案。派拉零信任团队包含市场、研发、技术支持等人，多达两百人，占公司产品研发人员的二分之一，派拉零信任研发成员在安全领域的平均工作经验可达4年，并含有CZTP(CertifiedZeroTrustProfessional)持证员工。挑战▪企业服务云端化不可避免，并长期存在云上云下多种混合的网络区域，从各种形态的终端设备，到无边界的网络接入，再到混合云多云服务区域，零信任需要在更复杂环境下，面对“从零建立信任”所带来的更高的技术和业务挑战。▪国内的零信任生态和技术方案还不成熟，落地零信任方案的企业大多集中在金融、证券等强监管行业，以及汽车、地产、教育、零售、医疗、制造等行业因其行业特殊属性，对于零信任落地方案还处在探索、融合阶段，需要行业上下游企业一起携手并进，从标准、方案、生态各个方面积极推广零信任。奇安信奇安信在2022年中国零信任网络访问解决方案厂商评估中处于领导者位置。IDC#CHC4894462214奇安信科技集团股份有限公司成立于2014年，专注于网络空间安全市场，主营业务为向政府、企事业类客户提供新一代企业级网络安全产品和服务。公司凭借持续的创新研发和以实战攻防为核心的安全能力，已发展成为国内领先的基于安全大数据、人工智能和安全运营技术的网络安全产品及服务提供商。同时，奇安信不断扩展国际市场，已在印度尼西亚、新加坡、加拿大等国家开展网络安全业务。此外，奇安信是2022年冬奥会和冬残奥会网络安全服务与杀毒软件的官方赞助商，圆满完成了其中的网络安全保障工作，兑现了北京冬奥网络安全“零事故”的承诺。奇安信零信任安全解决方案是奇安信“一中心两体系”内生安全框架的核心要素，助力广大政企客户应对数字化转型阶段的安全新挑战。优势奇安信“一中心两体系”内生安全框架将“零信任体系”与“实体安全防护体系”有机结合，实现“主体身份可信、行为操作合规、计算环境与数据实体有效防护”。奇安信零信任安全解决方案是“零信任体系”下针对政企组织各类访问场景构建的一系列能力和产品组件，包含奇安信零信任网络访问解决方案等多个细分场景能力。奇安信零信任体系强调以数据为中心，以身份为基石，围绕企业业务和数据资源，端到端进行身份识别，将访问主体身份化，对访问主体进行持续感知和验证，对访问上下文进行持续评估，最终实现端到端的动态细粒度访问控制。基于对零信任体系化的研究和理解，结合国内大型客户场景的深入实践，奇安信零信任安全解决方案包括基础支撑组件、动态策略组件和安全服务支撑几个维度的能力和服务。依托奇安信完整的安全能力栈，基础支撑组件提供身份、终端、网络、应用和数据各个维度的基础防护能力，动态策略组件提供零信任体系核心的动态策略管控能力；基于奇安信广泛采用的平台化技术架构，这些能力可以乐高式组合和集成，并结合强大的规划、咨询和运营服务体系，为客户提供和自身业务内生聚合的方案和服务。零信任安全作为奇安信集团的战略赛道，公司内包括战略规划团队、解决方案团队等多个部门团队都将零信任作为重要工作内容，奇安信身份安全事业部作为零信任安全解决方案最主要的全职支撑团队，本科以上学历占比97%以上，硕士以上学历占比40%，研发人数占比75%，技术骨干占比30%，主要负责奇安信集团零信任相关方案的架构规划、产品研发与项目落地建设。在技术实力方面，奇安信零信任安全解决方案目前已形成几十多项重点科研成果，包括产品技术鉴定证书、型号证书，以及发明专利、软件著作权、研究论文等。奇安信零信任方案和案例也先后入选工信部2021大数据产业发展试点示范项目名单、工信部2021年数字技术融合创新应用典型解决方案，先后荣获我国智能科学技术最高奖“吴文俊人工智能科学技术奖”(企业技术创新工程项目)、2021年数博会领先科技成果奖“黑科技奖”等诸多奖项，得到了市场、业界的认可。奇安信规划、建设、运营三同步的模式是客户实践零信任这类复杂架构的有效保障，奇安信强大的合作伙伴生态，是支撑奇安信灵活的零信任落地商务模式的基础。奇安信生态战略计划以“共享、共生、共赢”为合作理念，组建了安全生态联盟，凭借自身在产品布局、市场规模、技术积累、市场运作能力等方面的优势，吸引重多生态伙伴形成生态群落。在一些垂直行业，依托合作伙伴形成业务+安全的整体解决方案，实现双赢。目前，奇安信零信任网络访问解决方案已在包括政府、金融、央企、能源在内的诸多行业全面落地，完成了众多标杆项目，并持续实现高速增长。其在北京2022年冬奥会和冬残奥会中也提供了完整的零信任身份安全能力支撑服务。挑战奇安信需要进一步培育零信任产业市场、客户、加强市场教育工作，并持续通过数据、接口、策略实现身份、终端、网络、应用、数据等各个维度实体安全能力的贯穿整合，持续优化零信任动态策略平台，构建全场景零信任安全架构。除此之外，奇安信应进一步结合国内的数字化业务重点和客户关注点，积极开展标准制定、行业赋能、试点示范等活动，深化零信任行业生态建设与发展，持续推动零信任解决方案在数字化业务场景下的深化应用。IDC#CHC4894462215启明星辰集团启明星辰集团在2022年中国零信任网络访问解决方案厂商评估中处于领导者位置。启明星辰信息技术集团股份有限公司是网络安全产业中的头部企业，同时也是新兴前沿产业板块的引领企业和可持续健康业务模式和健康产业生态的支柱企业。启明星辰集团近几年参与了零信任国家标准以及公安、运营商等行业标准的起草，以融合、敏捷、持续、弹性四大特色为客户提供完整的防护方案，完成了零信任网络访问解决方案在政府、运营商及金融、能源、医疗等高端客户核心网络的成功部署。优势启明星辰信息技术集团股份有限公司零信任网络访问解决方案主要具备以下能力：▪安全接入产品：启明星辰eTrust-SDP零信任安全接入产品，按照零信任国家推荐标准设计，核心功能模块由：可信用户鉴别、可信设备、可信环境、可信网络、信任评估、动态访控、可信通道、可信应用以及信任支撑等组成。产品支持旁路和串行部署。其产品具备完全网络隐身功能，产品支持复合敲门技术，在实现了完全网络隐身的情况下，避免了敲门放大效应。产品采用了一机一钥及独创便捷分发种子分发方式，大大提升了网络隐身效果。除此之外，接入产品中还具备可信用户身份鉴别、融合终端模块、多维度持续信任评估、动态权限控制、全景可视化管控等能力。▪基于4A(IAM)的解决方案：4A(IAM)是以身份为中心，支持对用户、认证、授权、审计的统一管理，通过引入终端环境感知、用户行为分析等风险因子，实现对用户访问的持续认证和动态授权。对接启明星辰eTrust-SDP零信任安全接入产品，扩展成对数据的细粒度动态访问控制，形成更加完整的解决方案。▪服务内容：启明星辰集团具备目前国家最高级别的安全服务和安全运营类资质，依托雄厚的人才储备，可以为用户提供产品部署和运营的全流程服务。在零信任网络访问项目中，启明星辰集团为用户提供与身份基础设施的对接，与认证中心的单点登录开发，将多种风险源与零信任控制中心进行对接，优化零信任评分机制，实现行业最佳实践的模板化复制。确保零信任网络安全接入产品能够作为用户实践零信任三步走方案的第一步成功实践。启明星辰集团作为核心厂商参与了国家标准《信息安全技术零信任参考体系架构》的起草以及多个国家级相关标准的制定外，同时参与了中国移动《网络安全管控平台零信任技术规范》制定。目前已加入由中国信通院牵头成立的“零信任实验室”，目前已经在政府、金融、运营商、能源、医疗等客户处进行了成功实践，取得了优良的客户口碑。挑战▪零信任更加强调安全，在实现安全的同时，如何通过更加智能化的解决方案实现产品的部署，优化动态权限管控规则的下发，提高产品部署效率以及提高最终用户的办公效率，是需要重点关注的问题；▪零信任网络访问产品目前没有国家检测标准，各主要检测机构也没有形成行业标准，各厂家对于产品应该满足的基本功能和基础的密码等合规性要求没有形成一致；▪对于安全架构较为成熟，需要进行零信任改造的用户，用户亟待已经部署的端侧安全能力和新建的零信任网络访问产品端侧能力进行深度整合，要求厂商提供更加标准化的接口。数篷科技数篷科技在2022年中国零信任网络访问解决方案厂商评估中处于主要玩家位置。数篷科技成立于2018年6月，是领先的安全技术创新公司。创始团队依托在企业基础架构、大规模分布式计算和企业服务领域的丰富经验，成功推出了面向数据安全的增强型零信任解决方案，将零信任访问安全架构推进至数据安全架构。该零信任解决方案已经在金融、高科技制造、互联网和专业服务等领IDC#CHC4894462216域得到近百家客户的青睐和深度应用，并受到高度评价，在活跃用户数、客户续费率等体现客户满意度的关键指标上均表现突出。优势数篷科技的零信任安全工作空间(DACS)是面向数据安全的增强型零信任解决方案，核心思想是防御机制跟随数据的流动而构建，数据流向哪里，防御机制就伴随构建到哪里。该解决方案以理念创新、技术创新双驱动，帮助企业将零信任访问安全架构进一步提升至零信任数据安全架构，实现了数据“可用，但不可拿”的效果。▪终端安全方面，DACS将企业的数据安全边界从网络推进到终端，可以在不可信的设备环境上开辟出隔离的安全可信的企业环境，并在企业环境内完成对企业网络的接入，以及数据与资源的使用。该隔离环境由企业安全策略约束，保障企业数据在该环境内的存储与使用均符合企业安全管理的预期。而且，DACS终端侧客户支持静默安装，企业级远程推送安装，一旦安装成功可支持持续更新，以及热修复能力。▪身份安全方面，DACS可提供独立的账号统一管理与身份认证功能，支持基于RBAC与ABAC的复合权限管理模型。并且可对接第三方认证源，支持微软AD、LDAP、SAML、CAS、OAuth等多种标准协议，也支持与行业第三方IAM产品集成，包括：竹云、企业微信、钉钉、飞书、Welink等。认证过程可根据动态策略的约束，动态调整认证步骤，支持多种多因素认证方式，包括：短信验证、邮件验证、OTP、硬件Token等。▪网关接入方面，DACS的网络接入能力可覆盖从3层至7层的所有网络协议，支持http/https、ftp、ssh等标准应用层协议的深度零信任访问控制，也支持基于3层或4层协议的私有网络协议访问控制。对于3、4层流量，提供应用级安全信道，可支持同一终端的不同应用的网络流量在不同的零信任安全信道中传输，互相隔离。安全信道中的流程传输符合TLSv1.2安全传输标准。不仅如此，数篷科技零信任网络接入能力可提供针对流量的分析能力，也可与第三方流量分析系统对接，提供加密流量卸载能力。数篷科技零信任系统为高度分布式架构，网络接入层可根据业务需要动态扩缩容，可支持多种灵活的网络隐藏方案。▪零信任管理平台的能力方面，DACS支持基于属性的管理体系，保证管理过程灵活高效；支持自适应安全，可根据UEBA分析推荐各类策略配置，以及对已生效策略进行有效性和质量评估与优化推荐。支持安全事件的检测与综合管理，以及整体的安全态势的分析与管理能力，并可通过大屏监控系统与企业SoC系统相集成。服务能力方面，数篷科技目前在以深圳为中心的华南地区，以北京为中心的华北地区，和以上海为中心的华东地区分别建设了快速响应的本地技术服务团队，致力于为企业提供更为敏捷友好的零信任安全产品使用体验，践行“成就客户，铸就口碑”的价值观。综上，数篷科技的技术创新与核心优势主要体现在终端安全空间(新一代安全沙箱)、高性能大规模安全信道、基于ABAC的SDP、基于AI与UEBA的自适应安全与持续验证能力等方面。搭载了以上核心能力的数篷解决方案目前已在金融行业、互联网和高科技制造等行业得到深度应用和充分验证，完美支持代码与图纸保护、第三方团队安全管控、远程安全办公、多分支机构协同办公等应用场景。挑战ZTNA方案让企业的资源与服务可以在更大范围访问与使用，这必然会带来企业数据在网络空间内分布更广的结果；这是一把双刃剑，一方面，访问安全与便利性提升，另一方面，数据安全风险空前提升。所以，从访问安全到数据安全的综合零信任安全方案符合行业底层趋势，但目前市场对该方案的整体认知仍处于较早期阶段，还需要长期客户培育。山石网科山石网科在2022年中国零信任网络访问解决方案厂商评估中处于主要玩家位置。IDC#CHC48944622