从“边界”到“无界”：长扬零信任系统赋能行业级动态安全实践

零信任架构（Zero Trust Architecture, ZTA）是一种新型网络安全模型，核心理念是 “永不信任，始终验证”（Never Trust, Always Verify）。它摒弃传统基于边界的安全防护（如防火墙隔离内外部网络），转而通过动态的、细粒度的访问控制，对所有用户、设备和数据流进行持续验证，最小化攻击面并防范内部威胁。

图1-1 企业远程办公安全场景

应用场景：

• 企业远程办公、远程运维和远程研发的安全防护；

• 企业远程运维和远程研发的数据安全保护；

• 对外提供统一的安全门户。

应用价值：

• 实现核心业务按需代理、业务隐身和最小访问权限；

• 实现终端数据防泄露，保障企业核心数据安全。

图1-2 工业互联网安全防护场景

应用场景：

• 工业云平台从工厂安全采集数据；

• 工业云平台反向控制工厂中的设备；

• 工业云平台同工厂之间的数据通道加密传输。

应用价值：

• 实现“防火墙+零信任VPN+数据采集”功能合一，大幅降低工厂采购成本；

• 实现核心业务按需代理、业务隐身和最小访问权限，在保障工业云平台安全的同时，降低了云端安全采购成本；

• 工业云平台同工厂之间的数据传输，全部走加密隧道，保障数据安全。

在长扬科技多个行业级零信任项目的实践中，发现以下四类典型实施障碍，单纯依赖零信任网络架构解决方案，已不能全方位、动态化适配客户需求。

随着国家信息技术应用创新战略的推进，政企领域项目正加速构建自主可控的硬件技术体系。当前面临的挑战在于，现有零信任产品主要基于国际通用商业硬件架构开发，而国产化平台在系统稳定性、硬件驱动兼容性等方面仍存在一定局限性，导致实际部署比例相对较低。

同时，软件生态的国产化替代进程涉及操作系统、数据库等基础组件的深度适配工作。特别值得注意的是，部分客户单位已采用基于国产硬件构建的虚拟化云环境，这要求供应商建立相应的兼容性验证机制和技术对接方案。

在传统企业网络环境中，存在大量缺乏身份管理机制的物联终端设备，包括门禁系统、监控摄像头、办公外设及未纳入管理的网络接入设备。这些设备因缺乏原生身份标识体系，导致传统基于账户的零信任验证机制难以实施。当网络侧出现异常行为时，既无法有效追溯设备身份，也难以建立持续可信的访问验证通道。此类设备的标准化改造涉及固件升级、协议适配等多维度技术整合，需要构建专门的设备指纹识别和异常行为分析体系。

针对移动办公场景的安全强化需求，现有零信任客户端需集成多层级认证能力。除基础OA系统对接外，还需支持生物特征认证模块的灵活接入。具体而言，需兼容第三方生物识别SDK（如人脸识别算法），并建立差异化的实施方案：在常规商业场景采用云端认证服务（如在线人脸识别），在高密级场景则需部署支持离线验证的本地化方案（可能涉及专用安全芯片等硬件支持）。这种分层认证机制要求建立统一的安全策略管理框架，实现不同认证方式的动态切换与安全等级匹配。

在垂直行业应用场景中，零信任架构需与行业特定安全机制深度融合。典型案例如：视频专网需整合边界准入控制功能，阻断非法摄像设备接入；金融系统则需对接资产清点、漏洞扫描等监管合规工具。此类融合性项目不仅需要技术架构的定制化改造（包括终端SDK化改造、多操作系统适配、网络协议扩展等），更要求实施团队具备跨领域的技术理解能力，能够准确识别行业业务流与安全需求的耦合点，构建符合行业特性的零信任防护体系。

长扬科技零信任系统的创新突破

基于客户现有国产化硬件云平台上的网络安全栈，提供零信任网络架构，要求：

• 基于国产化ARM架构的硬件云平台做虚拟化VF网关，对外呈现网络隐身功能；

• 原云平台上的其它VF网元，保持原业务流程及主要功能不受影响；

• 新加网元VF接受原云平台的统一编排。

  
  

对此需求，长扬科技适配了ARM平台的下虚拟化部署VF，将零信任网络的两大网元TSC（访问控制系统）和TG（可信安全网关）进行了网元虚拟化，以虚拟镜像的方式，部署到客户原来云平台上。同时，也进行了一些适配和接口开放，以支持云平台的统一管控需求。

一些已建网的项目，包括视频传输网、物联网监控上报项目，在端侧已经有了数据采集的开发单板或者集成终端，如何改造使其适配零信任网络的架构体系呢？

• 边缘终端适配

针对现有数据采集终端（开发板/集成终端），长扬科技通过定制开发将零信任客户端功能封装为标准化SDK，以软件升级包形式部署至存量设备，通过接管设备传输流量实现零信任架构的无缝接入。

• 移动端能力增强

对已采购的定制化移动终端，公司部署适配改造后的零信任客户端，同步集成人脸识别双模认证（在线核验+离线活体检测），在现有移动业务系统中叠加增强型身份验证机制。

• 固定终端深度集成

在工业PC端部署定制化代理程序，公司通过与802.1x网络准入系统对接，实现零信任认证与网络接入的联动控制。当终端未完成设备认证或用户身份验证时，自动触发接入层交换机的端口隔离策略，形成"非认证即断网"的硬性约束机制。

客户需求场景：

1. 部分老旧IPC设备要求支持国标35114（A级）传输标准接入到现有视频监控网络中；

2. 在边缘盒子集成支持35114视频安全标准，同时融合零信任网络安全功能；

3. 融合零信任网络安全架构，保证视频数据的安全传输；保证终端无非法设备接入。

   
   

解决方案：

1. 终端盒子使用安全转换器，内置支持35114标准的视频转码芯片，集成零信任安全接入功能，可有效防止私接设备接入到原视频传输网络；

2. 统一接入到零信任网络的IPC设备，可以做统一的准入管控和状态监控；

3. 零信任的安全隧道保证数据传输的安全可靠性（前向加密和抗降级攻击）。

方案价值：

1. 改造成本可控：兼容存量设备，避免大规模硬件替换，减少升级成本；

2. 传输可靠性：端到端加密与协议过滤双重保障，提升视频数据传输稳定性；

3. 合规升级：符合国家安全传输标准，规避政策合规风险。

   
   

传统的网络安全防护手段往往侧重于边界防御，难以应对内部威胁和横向移动攻击，而随着企业数字化转型的不断深化，网络安全防护体系正面临从"被动响应"向"主动防御"的实质转变。长扬科技零信任系统，深度融合身份认证、持续信任评估、动态访问控制、智能侦测等多种先进技术，真正实现从“边界”到“无界”，不仅形成了公司独特的技术协同优势，更能够有效助力企业建立应对新型威胁的主动防御能力；通过构建端到端的零信任体系，实现了对网络安全威胁的全面感知和快速响应，在保障业务连续性的同时，切实提升企业整体安全水平，为行业级安全能力提升树立了全新标杆。

长扬科技零信任系统的融合创新，既注重技术架构与行业场景的深度适配，更着眼于构建可落地的安全实践方案，已在能源、电力、制造、金融等行业的项目实践中形成具有长扬特色的部署模式，充分彰显了公司零信任理念的实践价值。

未来，长扬科技将持续升级零信任系统的智能化防护能力，通过灵活可配置的安全策略和覆盖全业务流程的防护体系，为企业数字化转型提供可靠保障；通过持续迭代产品服务，携手企业客户、行业伙伴共建开放协同的网络安全生态，推动行业整体防护能力提升，护航数字经济发展行稳致远。