2021年7月27日至29日，为期三天的第九届ISC互联网安全大会在北京国家会议中心圆满落幕。作为全球高规格、高影响力的安全行业峰会，大会汇聚了安全行业领先企业、国内外高水准行业专家、多维媒体资源，以“线下盛会+线上同频”的形式举办。意在与国内外产学研专家学者共同思索、探讨全球数字化转型浪潮下网络空间面临的新威胁、大挑战，以期寻找对抗的新战法、新框架。

作为国内领先的密码技术及数字信任服务提供商，格尔软件受邀出席零信任6A论坛——重构6A，再铸信任。公司副总工郎文华作为开场嘉宾，在论坛上以 “策略驱动的零信任架构及实践”为主题作了精彩的分享。

从6A视角解读零信任

6A是从资源保护的视角看待安全，关注的是对资源的访问控制。从6A的视角来解读零信任：就是要做到“知己、知彼、知风险”，实现基于身份白名单的访问控制体系。

格尔零信任架构

格尔零信任架构，总结起来就三句话：“密码为基石、身份为中心、策略驱动的SDP”。

01 密码为基石

通过密码服务平台、PKI/CA提供基础的密码服务、数字证书服务，从而确保身份的可信及真实性、数据的机密性及完整性、行为的不可否认性。没有密码安全，零信任就是无根之木。

02 身份为中心

身份不仅仅是用户、账号，也包括设备、应用、服务。通过可信身份服务平台实现泛身份的全面数字化、全生命周期管理、身份治理以及身份的风险管理能力。身份服务平台成为零信任的身份基础设施。

03 策略驱动的SDP

SDP软件定义边界已经成为零信任落地的主要技术路线之一。策略服务平台部署在控制面，起到SDP控制器的作用，是策略决策点PDP，是零信任的大脑。零信任网关（应用代理网关/API网关/运维代理网关/数据网关等）在数据面，是零信任的策略执行点PEP，是零信任的四肢。

零信任参考部署架构——云交付模式

云交付模式的核心是“零信任安全云服务”，包括管理控制面的密码服务平台、可信身份服务平台、策略服务平台，以及数据面的零信任网关云服务。同时，零信任安全服务还可以与外部的SASE云安全服务，外部的安全大脑联动，获得更丰富的安全服务能力。

可信身份服务平台（IAM）：智能、敏捷、安全合规

IAM不仅仅是个安全问题，还有一个管理问题；不仅是合规驱动，还是业务驱动。新一代的IAM需要具备敏捷、智能、安全合规的特点。

策略驱动的SDP

在零信任架构中，策略服务平台位于控制面的中枢，是一个策略驱动的零信任的大脑。

01 策略即代码

策略由一系列规则组成，每条规则都可能涉及到用户、设备、环境、网络、应用、数据等。这就需要对访问主体、客体进行抽象，对环境属性/标签进行定义，对条件进行约束，所有要素都可定义，都可以通过策略语言来描述，通过策略引擎来评估决策，实现“策略即代码”的理念。

02 策略智能化&自动化

通过策略模板定义自动化匹配规则，持续监控主体/客体的变化来自动生成新的策略。根据身份风险评估结果，智能化的调整策略，实现自动化的响应，比如阻断、二次认证等。

03 策略即服务

以策略服务平台为引擎，提供“策略即服务”的能力，驱动管理控制面的零信任核心组件，数据面组件进行联动，从而形成一个自动化的闭环零信任体系。

全栈全域的零信任策略执行点

控制面的策略服务平台作为零信任大脑，数据面的策略执行点就是四肢，接受大脑的管控和决策。 从用户访问的视角来看，抽象出4层访问边界：人机边界、网络边界、应用/服务边界、数据边界。可以在数据面上构建一个覆盖终端、网络、应用、服务，再到数据，全栈全域的零信任纵深访问控制体系。

360-格尔零信任解决方案

通过360安全大脑和格尔零信任体系相结合，借助安全大脑的全局分析/风险研判能力，可以形成一个更加智能化的零信任体系。

格尔软件的零信任秉承“永不信任、持续验证”的理念，坚持以密码为基石、以身份为中心、策略驱动的软件定义边界思想，以持续信任评估和动态访问控制为手段，以数据安全为目标，构建智能、敏捷、高效的防御体系，目前广泛应用于云计算、大数据、物联网、移动互联网等业务场景。