墨子曰：“言不信者，行不果。”

没有可信的基础，信任就是空中楼阁，其所行终是”无果”甚至是“坏果“。这是人与人之间交往的基本准线，更是企业与用户之间的基本准则！

那么，企业要如何建立起用户心中的可信形象，并由此获得用户信任？过去，企业能保质保量的提供产品或服务就能够获取用户信任，甚至赢得口碑。而现在……

PART ONE

数字世界深度融合，用户信息遭遇危机

随着物理世界与数字世界的加速融合与高度映射，数字世界开始超越现实并深度参与我们的日常生活与工作。我们熟练的使用微信聊天、支付宝支付账单、美团购买外卖、滴滴快速打车……

表面上看，我们正在数字世界中游刃有余，且人群规模越来越大。据CNNIC最新统计调查报告显示，截至2022年12月，我国网民规模为10.67亿，普及率已高达75%以上。但事实真是这样吗？

▲ 图片来源网站，数据来源CNNIC

在享受数字世界带来的便利与高效，我们也正在遭遇着个人信息泄露、形形色色的网络诈骗、设备病毒等等。技术的快速颠覆式发展与迭代，让数字世界变成一个“暗箱”，处处藏着风险与危机。企业安全技术人员尚且疲于应对，更何况是普通用户。

那用户个人信息安全到底该如何得到保障？为用户提供服务的企业组织自然而然成为承担责任的主体之一。尤其是随着数字中国战略的推行与深入演进，网络安全与个人信息安全不断被各方重视。

我国2021年颁布的《个人信息保护法》就明确提出企业对用户个人信息的保护条例。因此，数字时代，保证用户在数字世界中的信息资产安全，成为企业组织另一项必须提供的重要服务，甚至成为其提供一切数字产品服务的基本前提。

PART TWO

网络安全事件频发，安全可信需求迫切

近几年来，层出不穷的网络安全事件，也让用户深刻意识到安全可靠可信的数字产品与服务之重要。前段时间，每年一度的315晚会上，再次“上演”着各种网络安全骗局。

我们看到免费破解版APP成了手机窃听器，其中暗藏着不为人知的窃取用户个人信息的SDK；不能点的短信背后有不法分子通过“ETC卡禁用”、“快递丢失理赔”等骗局，诱骗消费者登录钓鱼网站对其进行诈骗；免费评书机背后是欺骗老人的天价神药，而在这安全事件背后是个人信息的大量泄漏……

无独有偶，在这正值“金三银四”的招聘季，利用网络手段进行诈骗的骗局正在上演。近日，多家知名企业官方发布公告显示，有不法人员以公司招聘名义，在一些兼职、副业、求职群内传播不实招聘信息，诱导对方下载APP及汇款，造成财务损失。

类似的招聘骗局还有很多，而能有效防止受骗方法之一，就是选择官方可信的产品与服务渠道。这也是为什么人们越来越重视并倾向于选择官方旗舰店或官方渠道获取服务。换一个角度来看，这更是数字时代，企业加强自身产品服务安全可信的重要驱动力之一。

因此，数字时代，企业要建立起用户信任，首要前提即确保企业产品与服务的安全可信，从而保障企业用户在数字世界中的安全！

PART THREE

80%左右的网络安全问题来自企业内部网络

在上述提到的315晚会安全事件中，我们看到有些网络安全事件是由于用户自身“贪小便宜”心理，选择了非官方正版可信的渠道获取服务。

但同时，我们更不能忽略其中大部分网络受骗事件是基于用户个人信息被泄露的基础上发生的。而让用户信息惨遭泄露，除了自身原因，提供用户产品服务的企业内部更是重灾区。

近几年来，国内外各大知名互联网公司泄露用户信息事件不断被揭露。这其中有企业主动为之，也有被动情况，如被外部黑客攻击或企业内部人员非法泄露等。

而据某权威调查机构发布的调查报告数据显示，对企业而言，相比于外部的威胁，企业内部发生的一系列网络信息安全问题往往会给企业带来更大的危害和损失。另一项调查发现，80%左右的网络安全问题来自企业内部。由此可见，保障企业内部安全对于保护企业自身以及用户信息资产都至关重要！

PART FOUR

数字化转型逐渐打破企业传统网络安全边界

那如何保障无论是企业内部还是企业对外提供的数字产品与服务的安全？过去，企业往往以网络边界为中心进行安全防护。

然而，随着数字战略的加速推进，企业数字化转型的不断深入，越来越多的业务系统完成了线上化、数字化甚至云化。

根据中国信通院的数据统计，我国产业数字化、数字产业化正呈向上快速增长趋势，且占GDP比重也在逐年递增，截至2021年，二者共占GDP比重将近50%。这也间接反映出网络世界对我们的影响越来越深。

▲ 图片来源网站，数据来源中国信通院

最值得注意的是，产业数字化发展使得传统网络安全边界越来越模糊化，甚至彻底走向无边界化，致使传统基于边界安全的防护模式遭遇新的挑战。

由于传统网络边界防护模式的基本理念是区分哪些设备或网络环境是可信任的，哪些是不可信任的。随后，建立“城墙”把网络划分为外网、内网和隔离区等不同安全区域。最后重点防护“城墙”，在边界上部署防火墙、入侵检测系统等网络安全防护技术手段，使不可信任用户无法访问到可信任的设备或网络环境的信息。

这种基于“过度信任”假设的防护模式，忽视了部署内网安全防护措施的重要性。攻击者一旦突破网络安全边界进入内网，就如同进入一个不设防的系统。更何况，80%左右的网络安全问题还是来自企业内部。

因此，寻求新的安全边界成为各大企业在数字化转型创新发展过程中亟需解决的首要问题。

PART FIVE

基于数字身份的零信任安全架构成为新的安全边界

众所周知，随着社会文明的发展，以个体人为单位的价值崛起，“以人/用户为中心”成为越来越多企业数字化转型的基本共识。换句话说，企业业务系统或服务的线上化与数字化都是围绕“人”展开。

而人要在数字世界生存，第一件事就是要赋予其一个可信的数字身份。这也是为什么我们登录很多企业服务APP都要注册账号的原因。随着人工智能与物联网的发展普及，越来越多的人、事、物接入网络，赋予唯一标识或者说可信身份是必备前提。

与此同时，传统的网络边界安全模式在数字时代又面临上述困境。因此，以“人/身份”为中心的“零信任”安全架构顺势而生并在数字时代逐渐被人重视，甚至成为主流。

零信任的核心理念是“从不信任，始终验证”，即企业不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入企业系统的人/事/物进行验证。其本质是以身份为基础进行动态访问控制，或者说采用身份集中管理，网络防护不再区分内网和外网。

PART SIX

如何构建以“身份”为中心的一体化零信任安全防护？

派拉软件作为国内最早专注于自主研发身份安全的原厂商，建立了以身份为中心的端到端一体化动态访问控制平台——ZTA（零信任安全管理平台）。

平台默认所有数据和加密隧道都是不安全的。从客户端发起请求到网络数据传输，再到请求资源的全过程中，所有的用户、资源、设备、服务都是不被信任的，需认证通过后才可继续。其整体方案架构如下图所示：

▲ 派拉一体化零信任安全架构

整个零信任安全管理平台连接着用户和资源。在客户端，先经过SDP客户端连接至互联网，随后结合不同类型用户身份、终端设备、行为分析等多个因素多维度先对用户持续认证，验证身份可信后建立加密隧道。当连接建立后，还将基于用户身份进行持续的信任评估；

在服务器端，限制资源的可见性，划分执行任务的最小特权可见资源。通过零信任网关、微隔离等技术将所有被访问资源保护在“黑匣子”中，所有访问者需通过认证、授权后，方可访问权限内资源，极大保护了服务端的资源安全；在链路上，平台持续监控访问请求，确保每次访问请求过程都是安全可信，整个网络架构持续处于安全状态。

整个平台通过全方位持续保障客户端、服务器端、链路的安全，最大化减小网络攻击面。而采用的零信任从安全架构层面隔离开了企业私有资源，避免了远程访问网关设备的缺点，最大化保护访问者和被访问资源间的安全。

对于IT管理者而言，不仅提升了资源安全管控，还可统一管理企业访问策略，更细粒度管控访问企业资源的所有用户请求。

对于企业数字化业务创新而言，派拉零信任安全底座很好地为企业奠定了数字化转型安全基石，通过强大的技术中台支撑能力，为企业数字化转型过程中业务的创新突破提供技术基础。

如用户中台，提供员工、客户的用户身份的全生命周期管理；统一认证中台，提供可信身份认证并提供单点登录能力；权限管理中台，提供业务系统的权限管理统一化，可视化和自动化；集成中台，提供企业服务中心和API赋能平台，消除应用孤岛，实现应用敏捷；数据中台，提供数据采集、数据治理、数据集成和数据分析等能力。

▲ 派拉零信任安全管理平台整体中台服务能力框架图

最后，无论是物理世界还是网络世界，人性都是最经不起考量的！尤其是在网络世界里，秩序还不够完善，我们的个人信息与生命财产安全需要自我安全意识的提升，更需要政府法律法规的完善以及企业组织为我们构建一个尽可能安全的数字世界。

正如派拉软件一直以来所主张的“创造安全、高效、极致体验的数字世界”，其中安全是第一位。这也是数字时代，企业建立用户信任需要做到的第一点！而你的企业做到了吗？