2025年11月，深圳南山某上市科技企业被通报：一名已离职员工利用遗留的VPN账号，绕过内网权限回收机制，持续三个月窃取客户数据，涉及金额超200万元。这起事件被深圳市公安局网警支队列为年度典型案例，在行业内引发了震动。

事后复盘，问题出在一个很多人忽视的地方：这家企业的安全投入并不低，有防火墙、有入侵检测、有杀毒软件，但所有安全设备都基于一个假设——进了内网的人就是可信的。离职员工的VPN账号没被及时关闭，加上内网没有做进一步的访问控制，导致他畅通无阻地访问了三个月。

这正是零信任架构（Zero Trust Architecture）要解决的核心问题。NIST在SP 800-207标准中定义零信任的基本原则只有八个字：永不信任，始终验证。不管你是CEO还是新员工，不管你是从公司办公室还是从家里咖啡桌发起访问请求，每次都要验证身份、评估设备状态、判断权限是否匹配。

据CNCERT《2025年中国互联网网络安全报告》，2025年全年捕获恶意程序样本3200万个，其中利用合法远程访问工具进行横向移动的攻击手法同比增长67%。远程办公已经成为企业安全体系中最大的敞口。零信任不是概念炒作，是实打实的刚需。

一、传统VPN方案为什么越来越扛不住

隐患一：权限过大，一次连入全盘可见

传统VPN的工作方式是建立一条从外部到内网的加密隧道。员工通过验证后，相当于"坐进了内网"，能看到内网所有开放的资源。这对销售岗位来说意味着什么？意味着他连上VPN后，不仅能访问CRM系统，还能扫描到研发服务器的共享目录、财务系统的数据库端口。

美国CISA在2025年发布的《远程访问安全实践指南》中明确指出：超过70%的企业数据泄露事件中，攻击者都利用了有效的远程访问凭证。这不是因为凭证被破解了，而是因为凭证本身的权限就太大了。

隐患二：权限回收不及时，离职账号成定时炸弹

很多企业的人员流动管理存在断层。HR系统里已经标记"离职"，但IT部门没有同步收到通知，或者收到了但忘记操作。账号在系统中安静地存活几天、几周甚至几个月，直到某天被利用。

更麻烦的是外包人员和临时工。项目结束就走了，但他们的VPN账号可能还在。深圳某制造企业就发生过这种情况：外包开发团队完成项目后离开，三个月后发现他们的账号仍然能访问代码仓库。

隐患三：终端安全状态不可见

员工在家里用自己的笔记本连VPN，这台电脑的安全状况企业完全不知道。没有杀毒软件、系统补丁三个月没打、浏览器里装了来历不明的插件——这些情况在传统VPN方案下都是不可见的。而攻击者最喜欢用的手法就是：先攻破个人设备，再通过VPN进入企业内网。

隐患四：性能瓶颈

很多企业的VPN设备是几年前采购的，并发连接数设计容量可能只有200-300人。疫情后远程办公常态化，高峰期同时在线人数超过设计容量，导致响应慢、连接不稳定。深圳一家设计公司在远程办公高峰期的反馈是：打开一个OA页面要等5秒以上。

二、零信任架构的四个核心能力拆解

零信任不是某一个产品买回来装上就完事，而是一套完整的安全体系。落到远程办公这个具体场景，需要四个能力模块协同工作：

能力1：持续身份认证

传统方案是一次性认证——登录时输入账号密码，验证通过后就放行到会话结束。零信任要求在整个会话期间持续验证身份。具体怎么做？

多因素认证（MFA）：除了密码，还需要第二重验证。可以是短信验证码、企业微信推送确认、或者硬件Token。深圳很多企业选择企业微信作为第二因素，因为员工本来就在使用，不需要额外安装APP。

行为特征分析：系统学习员工的正常访问模式——通常什么时候登录、从什么IP段发起访问、访问哪些应用。当行为偏离正常模式时（比如凌晨3点从海外IP访问财务系统），触发额外验证或直接拒绝。

风险评分引擎：每次访问请求都会得到一个风险评分，综合评估登录时间、地理位置、设备状态、访问目标等因素。评分低于阈值直接放行，在阈值区间要求二次验证，超过阈值直接拒绝。

能力2：细粒度权限控制

零信任的核心突破在于把访问控制从"网络级"提升到了"应用级"。员工不再"进入内网"，而是"申请访问某个具体应用"。系统判断这个人有没有权限访问这个应用，有的话建立点到点的加密通道，没有的话直接拒绝。

这种方式的好处非常明显：即使攻击者拿到了某员工的账号，也只能访问该员工有权限的应用，无法横向扫描整个内网。而且，内网应用对互联网完全不可见——没有公开IP、没有开放端口，攻击者连"门"都找不到。

能力3：终端安全评估

在允许访问之前，系统先检查终端设备的安全状态，包括但不限于：

• 操作系统版本：是否在支持范围内？安全补丁是否最新？
• 杀毒软件状态：是否安装？病毒库是否更新？实时防护是否开启？
• 进程扫描：有没有异常进程在运行？有没有已知的恶意软件？
• 设备合规性：是否启用了屏幕锁？磁盘是否加密？

检查不通过的设备，可以完全拒绝访问，也可以限制只能访问低风险应用（比如只允许看公司新闻，不允许访问业务系统）。这种"分级放行"策略比简单的一刀切更灵活。

能力4：全程行为审计

谁在什么时间、从什么设备、访问了什么应用、做了什么操作——全程记录。等保2.0要求留存至少6个月的网络日志，《数据安全法》要求对数据处理活动进行记录。零信任架构天然满足这些合规要求，因为所有访问都要经过身份认证和权限判断，日志是完整且结构化的。

三、深信服aTrust零信任方案实战案例

深圳福田某上市智能制造企业，员工800人，其中研发团队300人常年需要远程访问代码库和测试环境。原来用的是传统VPN方案（深信服SSL VPN），2025年初发生了一次权限泄露事件后，公司CTO在管理层会议上拍板：全面切换到零信任架构。华南腾飞科技作为深信服金牌代理商，全程参与了方案设计与实施。

改造前的具体痛点

• VPN账号管理混乱：全公司累计发放过520个VPN账号，活跃账号380个，其中42个属于已离职员工。账号权限按"部门"粗放分配，同部门不同岗位权限相同
• 远程访问速度慢：高峰期（每周一上午和月底）VPN并发连接数超过250，SSL VPN设备CPU利用率持续90%以上，平均访问延迟1.2秒
• 缺乏终端安全管控：IT部门做了一次抽样检查，300台远程办公电脑中只有135台（45%）安装了杀毒软件且病毒库在30天内更新过
• 合规压力：等保三级测评指出远程访问"缺乏细粒度访问控制和终端安全评估"，需要整改

深信服aTrust部署方案详解

部署模块	具体功能	对应产品
身份认证网关	MFA多因素认证（密码+企业微信确认），持续会话验证，风险评分引擎	aTrust 身份引擎
应用代理网关	将内网应用映射到外网访问端口，隐藏真实IP，动态加密通道	aTrust 代理网关
终端安全沙箱	远程办公数据与个人数据隔离，禁止复制粘贴外传，禁止截屏	aTrust 安全客户端
权限策略引擎	基于角色+设备+位置+时间的动态访问控制，自动权限回收	aTrust 策略中心
行为审计平台	记录访问日志、文件操作、异常行为告警，支持报表导出	深信服日志审计（LAS）

实施效果数据

方案上线两个月后，企业IT部门联合安全审计团队做了效果评估：

指标	改造前（VPN）	改造后（aTrust）
远程访问平均延迟	1.2秒	0.4秒
账号权限异常数	每月12起	0起
终端安全合规率	约45%	98.7%
等保审计通过率	需人工补充整改	一次通过

这家企业的CIO在内部复盘会上说："以前我们以为买了VPN就是安全了，现在才知道那只是开了扇门，门里面有什么全凭运气。零信任是每进一个房间都要查证件。"

四、零信任 vs 传统VPN：多维度对比

维度	传统VPN	零信任ZTNA
信任模型	网络边界即信任	永不信任，始终验证
访问粒度	网络级（整个内网）	应用级（逐个授权）
身份认证	一次性登录验证	持续验证+多因素
终端检查	无	强制安全评估
行为审计	仅记录连接日志	全量操作审计
合规适配	需额外配置	原生支持等保2.0
数据泄露风险	高（权限过大）	低（最小权限原则）

五、实施建议：分三步走，别想一口吃成胖子

第一步：试点验证（2-4周）

选一个部门做试点，我们建议从研发团队开始。原因有两个：一是研发远程访问频率最高，效果最明显；二是研发对安全感知最敏感，能帮你发现方案的问题。部署aTrust客户端，先配置5个核心应用的访问权限（代码仓库、测试环境、文档系统、邮件、OA），运行一周后收集用户体验反馈。

第二步：全员推广（1-2个月）

基于试点经验，制定全公司的远程访问权限矩阵。按岗位分类：管理层、研发、销售、财务、行政，每类岗位配置对应的应用权限。同步关闭旧VPN通道，设定2周并行过渡期。上线终端安全评估策略，对不合规设备分级处理。

第三步：持续优化（长期）

通过深信服日志审计平台（LAS）定期分析访问行为数据。每月出一份安全报表，识别异常访问模式。每季度做一次权限审计，确保权限与岗位变动同步调整。建议每年做一次渗透测试，验证零信任架构的有效性。

六、常见问题 FAQ

Q1：零信任方案部署周期有多长？

500人以下企业，从方案设计到全量上线通常4-6周。1000人以上建议分阶段部署，约2-3个月。时间主要花在权限梳理和策略配置上，技术部署本身很快。

Q2：现有VPN可以保留吗？

过渡期可以并存，但建议设定明确的切换时间表（通常2周）。并行运行期间容易出现两套系统权限不一致的问题，拖得越久越混乱。

Q3：员工体验会不会下降？

首次登录需要多因素认证，多花3-5秒。之后通过单点登录（SSO）自动续期，日常使用基本无感知。而且访问速度通常比传统VPN快2-3倍，因为不需要把所有流量都拉到内网再转发。

Q4：预算大概多少？

以深信服aTrust为例，500人规模年授权费用约15-25万元，含部署实施。800人规模约25-40万元。具体报价需要结合实际需求评估。华南腾飞科技提供免费方案咨询和POC测试。

Q5：跟等保2.0的对应关系？

等保2.0三级要求中的"安全通信网络""安全区域边界""安全管理中心"等条款，零信任架构天然覆盖。部署后等保测评的远程访问相关条款基本不需要额外整改。

七、零信任架构与等保2.0的对应关系

等保2.0（GB/T 22239-2019）对企业网络安全提出了更严格的要求。零信任架构在很多方面天然满足等保要求，这也是为什么越来越多通过等保三级测评的企业选择零信任作为技术底座。

对应条款一：安全通信网络（8.1.3）

等保要求"通信传输过程中采用校验技术或密码技术保证完整性"。零信任架构中，每个应用访问通道都是独立加密的，采用TLS 1.3或国密算法，天然满足要求。

对应条款二：安全区域边界（8.1.4）

等保要求"应在网络边界或区域之间部署访问控制设备"。零信任架构把访问控制从"边界"细化到了"应用级"，每个应用访问都是一次独立的边界检查，比传统边界防护更细粒度。

对应条款三：安全管理中心（8.1.5）

等保要求"应对审计记录进行保护，定期备份，审计记录留存时间不少于六个月"。零信任架构的全量行为审计功能天然满足这一要求，日志集中存储在安全管理中心，支持定期备份和导出。

八、零信任架构的成本效益分析

企业做安全投入，最关心的是"花多少钱、省多少钱、避免多少损失"。下面用500人规模企业的典型场景做个测算：

项目	传统VPN方案	零信任方案
设备/软件年费	SSL VPN授权约5-8万元	aTrust授权约15-25万元
运维人力成本	约8万元/年（2人）	约3万元/年（1人）
安全事故预期损失	约20-50万元/年	约2-5万元/年
合规整改费用	每次等保约3-5万元	基本无整改费用
年综合成本	约36-71万元	约20-33万元

从综合成本看，零信任方案的年费虽然比单纯VPN授权贵，但运维成本降低、安全事故风险大幅下降、合规整改费用几乎为零，总成本反而更低。而且，数据安全事件的隐性成本（品牌损失、客户流失、监管处罚）往往远超直接损失，这一点在决策时不能忽略。

九、华南腾飞的服务能力

深圳市华南腾飞科技有限公司是深信服金牌代理商，在网络安全领域有14年的服务经验。我们提供的不仅仅是产品销售，而是从需求调研、方案设计、设备部署到售后运维的全生命周期服务。

• 免费方案咨询：上门了解企业现状，输出定制化方案建议书
• POC测试支持：提供免费测试设备，在实际环境中验证方案效果
• 快速部署实施：标准方案2周上线，复杂方案4-6周交付
• 7×24小时运维支持：专属技术支持群，紧急情况2小时内到场

十、零信任架构的未来趋势

零信任架构本身也在持续演进。结合AI技术和云原生趋势，下一代零信任方案正在向以下几个方向发展：

AI驱动的风险评估。传统零信任的风险评分基于规则引擎——"如果凌晨3点从海外IP登录，评分+30"。AI驱动的方案则通过机器学习分析海量行为数据，自动识别异常模式，准确率更高，误报率更低。深信服已经在aTrust 3.0版本中引入了AI风险引擎，在深圳多家企业的试点中，异常行为检出率提升了40%。

零信任与SASE融合。SASE（安全访问服务边缘）把零信任网络访问（ZTNA）和安全服务边缘（SSE）整合到一个云平台中。企业不需要分别采购零信任、云防火墙、云沙箱、云DLP等方案，一个平台解决所有远程和分支安全问题。Forrester预测，到2027年，40%的企业将采用SASE方案替代零散的安全产品组合。

零信任与物联网安全。随着IoT设备在企业环境中的普及，传统基于"用户+终端"的零信任模型需要扩展到"设备+传感器+IoT"。工厂里的传感器、办公室里的智能门禁、仓库里的RFID读写器，这些设备也需要被纳入零信任体系的管控范围。这是一个正在兴起的新需求。

十一、行业合规要求速查

法规/标准	与零信任相关的核心要求	零信任方案覆盖情况
等保2.0（三级）	身份鉴别、访问控制、安全审计、通信加密	完全覆盖
数据安全法	数据处理活动记录、数据分类分级保护	全量行为审计覆盖
个人信息保护法	最小必要原则、访问权限管控	最小权限+持续验证覆盖
关键信息基础设施安全保护条例	网络隔离、访问控制、安全监测	应用级隔离+全量监测覆盖

零信任不是终点，而是安全体系进化的方向。随着攻击手段越来越隐蔽、远程办公越来越普遍，企业对安全的期望也在不断提高。深圳的企业有最好的IT基础和创新精神，在零信任架构的落地实践上，完全可以走在全国前列。关键是选对方案、找对伙伴、稳步推进。

Q6：零信任方案能不能和现有安全设备配合？

完全可以。零信任不是一个替代方案，而是一个增强层。现有的防火墙、入侵检测、杀毒软件等安全设备继续使用，零信任架构在它们之上增加身份认证和细粒度访问控制层。深信服aTrust方案可以与企业现有的深信服安全产品（防火墙、上网行为管理、态势感知等）无缝集成，形成统一的安全体系。

Q7：零信任方案对网络带宽有要求吗？

零信任架构中的代理网关需要处理所有访问流量，对网络带宽有一定要求。一般来说，500人规模的企业，代理网关至少需要2个千兆网口，带宽不低于1Gbps。深信服aTrust提供多种规格的设备，根据企业规模选择合适型号即可。

联系我们：13510444731（7×24小时）