一、深圳这家企业差点被攻破，因为边界太"信任"

2025年11月，深圳宝安一家电子制造企业的安全负责人收到一条告警：一个来自境外的IP，正通过公司OA系统访问核心ERP数据库。

奇怪的是，这个IP不在公司任何白名单里。它怎么进来的？

后来查清楚了——一名离职员工没有及时注销账号，攻击者用他的凭证从外部登录OA，然后从OA服务器横向移动到了内网ERP。防火墙没有告警，因为从OA到ERP的流量是"内部流量"，默认放行。

这不是什么APT攻击，就是最基础的凭证窃取+横向移动。但造成的影响是：ERP数据库中近3年的订单和客户数据被完整导出。

这家公司的问题，绝大多数中国企业都有：把"在内网"等同于"可信"。

二、为什么传统边界防护越来越不够用

2026年，企业的网络环境跟十年前完全不一样了。

第一个变化：边界消失了。以前所有员工和设备都在公司局域网里，防火墙一道墙就能守住。现在呢？员工在家办公用公司VPN、分支机构用SD-WAN接入、业务系统上了公有云、合作伙伴通过API对接——"内网"这个概念已经不存在了。

Gartner预测到2027年，90%的企业会采用混合云方法。当你的业务同时跑在本地机房、阿里云、腾讯云和华为云上，"边界"在哪里？

第二个变化：攻击者更聪明了。CNCERT《2025年中国互联网网络安全报告》显示，2025年国家互联网应急中心共接收网络安全事件约490万起，其中勒索软件事件同比增长62%。攻击者早就不是靠撞端口进来了，而是社工、钓鱼、凭证窃取——拿到合法身份，从内部发起攻击。

第三个变化：合规要求变了。《数据安全法》和《个人信息保护法》实施后，监管部门不再只看你有没有防火墙，而是看你能不能做到"最小权限访问"和"访问行为可追溯"。等保2.0明确要求三级以上系统必须具备细粒度访问控制。

三、零信任到底在解决什么问题

零信任的核心就一句话：永不信任，始终验证。

这不是一个新概念。2010年Forrester的John Kindervag第一次提出，但真正落地是最近三五年的事。零信任架构市场规模2024年约192亿美元，预计2034年超过663亿美元，年复合增长率17.4%——市场在用实际行动投票。

零信任解决的不是某个具体安全问题，而是一个根本性的信任模型错误：

传统模型	零信任模型
在内网=可信	不管在哪都不默认信任
一次认证，永久通行	每次访问都要验证
基于IP地址做访问控制	基于身份+设备+环境做动态控制
出了事才查日志	访问行为实时审计
边界防护为主	身份为中心的纵深防护

说人话就是：就算你在公司机房里坐着，访问财务系统也需要重新验证你是谁、用的什么设备、当前环境是否安全。

四、零信任架构的核心组件

零信任不是一个产品，是一套架构。它至少包含以下几个关键组件：

1. 身份与访问管理（IAM）

这是零信任的基础。每个人、设备、应用都需要唯一身份标识。不是简单的"用户名+密码"，而是包含多因素认证、设备指纹、行为特征的综合身份。

深信服aTrust零信任方案中，身份体系整合了AD/LDAP、企业微信、钉钉等多源身份数据，支持短信、动态令牌、生物识别等多种MFA方式。

2. 微隔离（Micro-segmentation）

把网络切成更小的安全域。不是传统的VLAN划分，而是基于业务逻辑、应用依赖关系做精细隔离。

举个例子：ERP系统拆成Web层、应用层、数据库层，三层之间互相访问都需要认证授权，即使它们在同一台物理服务器上。

3. 持续验证引擎

不是一次性认证完就完事了。零信任系统在用户访问过程中持续评估风险：

• 设备合规性检查：是否安装杀毒、系统补丁是否最新
• 行为异常检测：凌晨3点突然下载大量文件
• 地理位置异常：上午在深圳登录，下午IP显示在境外
• 设备指纹变化：同一账号换了未注册设备登录

4. 访问代理网关

所有访问请求经过代理网关，由策略引擎决定是否放行、放行到什么粒度、是否需要二次验证。

五、深信服aTrust零信任方案详解

在国内零信任方案中，深信服aTrust是比较成熟的选择，原因有几个：

第一，落地案例多。深信服在政府、教育、医疗、制造等行业有数千个零信任部署案例。这不是实验室产品，是真刀真枪在生产环境跑过无数次的。

第二，与深信服安全产品线深度整合。aTrust不是孤立的产品，它可以和深信服的下一代防火墙（NGFW）、上网行为管理、EDR终端检测响应、态势感知平台联动。零信任方案一旦跟现有安全能力打通，效果是1+1>2的。

第三，用户体验好。很多零信任方案实施后员工抱怨"用起来太麻烦"。aTrust支持单点登录（SSO）、无感认证、客户端静默更新，把安全对业务的影响降到最低。

六、深圳某集团零信任落地案例

深圳某制造集团，员工2000+人，3个办公区，1个数据中心，业务系统30+个（ERP、MES、OA、HR、CRM等）。

改造前的问题：

• VPN并发用户数经常爆满，高峰期登录排队
• 外包人员和正式员工访问权限没有区分
• 2024年发生过一次钓鱼邮件导致的内网横向移动
• 等保2.0测评中"访问控制"项只得了65分

改造方案（华南腾飞负责实施）：

• 部署深信服aTrust零信任平台，替换原有SSL VPN
• 接入企业微信统一身份认证
• 对30个业务系统进行应用级改造，接入aTrust网关
• 实施微隔离策略，将数据中心划分为12个安全域
• 部署终端合规检测，未安装EDR的设备无法接入

效果：

• VPN并发数不再受限，aTrust支持万级并发
• 外包人员访问权限精确到具体应用和时段
• 等保2.0测评"访问控制"项得分从65提升到92
• 上线后3个月内拦截了47次异常访问行为
• 员工反馈：登录体验和以前用VPN差不多，但明显安全了很多

七、零信任实施路线图

零信任不是一天建成的。建议分三个阶段推进：

第一阶段（1-3个月）：身份统一+远程访问

先把所有身份源（AD、企业微信、钉钉等）统一到IAM平台，然后用零信任网关替换传统VPN。这个阶段能解决最紧迫的问题：远程办公安全、外包人员管控。投入相对小，效果立竿见影。

第二阶段（3-6个月）：应用级访问控制+终端合规

把业务系统逐个接入零信任网关，替代基于IP地址的白名单。同时部署终端合规检测，确保接入设备满足安全基线。这个阶段需要做应用改造——有些老旧系统不兼容现代认证协议，可能需要做适配层。

第三阶段（6-12个月）：微隔离+持续验证

在数据中心内部署微隔离，将东西向流量纳入零信任管控。同时部署持续验证引擎，实现基于行为的风险评估。这个阶段需要安全团队、运维团队、开发团队紧密配合。

八、常见误区与避坑指南

九、2026年零信任项目预算参考

企业规模	用户数	预算范围	典型方案
小型企业	100以下	8-15万	aTrust标准版+基础IAM
中型企业	100-1000	20-50万	aTrust企业版+完整IAM+EDR
大型企业	1000-5000	50-150万	aTrust旗舰版+微隔离+持续验证
集团企业	5000+	150万+	定制方案+多数据中心部署

十、FAQ

Q：零信任会不会严重影响用户体验？

如果设计得好，影响很小。aTrust支持单点登录和无感认证，日常使用跟以前差别不大。首次登录需要额外验证一次，之后基本透明。

Q：老旧系统能接入零信任吗？

可以。aTrust支持多种认证协议适配，对于不支持标准协议的老系统，可以通过代理网关做协议转换。但建议同时做系统升级规划。

Q：零信任和等保2.0是什么关系？

零信任是实现等保2.0"访问控制"要求的有效手段。做了零信任，等保测评中的访问控制项基本能拿高分。

Q：实施周期要多久？

按三个阶段推进的话，完整落地需要6-12个月。第一阶段通常1-3个月可以完成。

Q：需要专门的安全团队运维吗？

建议至少有一名安全工程师负责零信任策略的日常管理。零信任上线后，策略调优是一个持续过程。

Q：能不能先做POC验证效果？

可以。华南腾飞提供深信服aTrust的POC环境，一般2-4周完成验证，不收取额外费用。

十一、总结

零信任不是未来趋势，是现在的刚需。2025年490万起网络安全事件、勒索软件增长62%、等保2.0合规要求——这些都在告诉你：传统边界防护已经不够用了。

但零信任也不是万能药。它需要合理的架构设计、专业的实施能力、持续的运维投入。选对方案、分步推进、避开常见坑——这些才是零信任项目成功的关键。

华南腾飞作为深信服核心代理商，在零信任方案方面有丰富的落地经验。从前期咨询、方案设计到实施运维，全程技术支持。

联系我们：13510444731（7×24小时）