居家办公，企业如何解决远程办公带来的安全隐患？原创

各位朋友大家晚上好，欢迎来到由腾讯安全、腾讯产业互联网学堂联合举办的远程办公安全公开课，我是此次公开课的主持人刘琳。近段时间，新冠疫情反反复复。为了最大限度的减少人员流动聚集。深圳、上海等地的许多企业都开启了远程办公的模式。但是看不见的安全风险也在暗流涌动。比如说。企业大量的业务和服务都部署在内网，员工需要使用VPN才能接入企业内网。而在居家办公的环境下。接入内网的移动设备。电脑终端等分散在各地访问内网的人员身份不明，让接入环境异常复杂，也让企业的核心业务和数据面面临泄露的风险。

为了帮助企业安全、稳定、高效的度过特殊时期，在3月15日，腾讯安全迅速启动了远程办公护航计划，面向所有企业免费提供三个月的腾讯ioa灵性授权。所以我们这期公开课的主题是居家办公企业如何解决远程办公带来的安全隐患。我们邀请到了腾讯零信任产品总经理杨玉斌和腾讯企业it部安全专家蔡东云两位专家，他们将分别从产品和实践的角度来分享腾讯IOA0信任解决方案，并且详细的为大家讲解远程办公护航计划。有需要的朋友可以扫描屏幕右下方的二维码，进群申请远程办公护航计划。

好了，话不多说，接下来我们有请腾讯零信任产品总经理杨玉斌杨总为我们带来腾讯零星人方案和远程办公护航计划的主题分享，有请。大家好，呃，我是杨玉斌，那今天非常幸有机会跟大家在讨论一下在公中啊需要注意一些问题，以及腾讯任方案如何能够帮助大家去在疫情期间啊，完成这个远程办公的安全性和接入的一些这样的呃问题吧。呃，那我分享一下我的这个屏幕。哦。我跟大家讨论的这个，呃。子呢，我会分成四个部分嘛，第一呢，就是在疫情期间啊，居家办公啊，存在的一些安全隐患，特别是针对个人和企业的一些安全隐患。

啊，那么第二呢，就是啊，我们啊，给各位居家办公的这些呃，小伙伴们，呃，还有企业有几点安全建议，然后我会简单介绍一下我们明确的整个解决方案，和我们这次的一个远程办公的一个呃护航计划。啊，那我们知道，其实呃，这个疫情也陪伴了我们有两年时间了啊，那么呃。过往一两年这个呃，大家居家办公不知所措，呃，那么呃今年的情况是已经比较好了，因为其实呃过往的一些经验也教会我们居家办公要呃通过一些这个啊，VPN呢啊，或者一些远程办公的一些手段啊，来去完成呃一些工作，那我们看到这个2020年。

呃，这个，呃。程人数是激增啊，程带来了企业的一些it基础设施的一个一个一个服务，呃需要呃有一些这个呃服务的上涨的一些问题，比如说呃，我们腾讯啊就啊在远程办公的时候就发现，比如说我们的腾讯微信服务请求上涨了十倍以上。那么我们的腾讯会议每天使用人数也是有一个呃指数级的一个上涨啊，那么包括呃云会议啊，还有一些这个啊远程的发布的一些应用啊，接入的人数是越来越多啊，那么呃从整个场景来看呢，无论是政务还是互联网公司企业，那么啊包括啊这个教育和医疗呃机构都在这个呃，呃应用实践一些远程办公去完成啊协同办公，呃还有比如说像这个呃，一些开发小哥也是能够通过远程接入的开发环境进行开发。

啊，那么同时呢，比如说啊一些这个啊医疗啊机构呢，啊也通过这个啊互联网的这个诊疗测啊设施啊，去为这个远程的一些啊病人去啊。啊，进行一些远程的一些服务，那么呃，刚也提到了这个，呃。75%的组织呢，将会呃这个呃，将远程办公作为一种长期的一个办公模式。啊但是呢，远程办公呢，同时也带来了一些这个安全风险，那么最主要的一个原因呢，就是物理边界被打破了，那么以往来说呢，啊，我们的办公场所和我们的这个呃服务器，我们的呃资产都是在一个封闭的环境里面，那么呃通过远程办公呢，那么我们的这个接入的环境啊，会有各种各样的啊一些这个呃新的一些接入环境，比如说呃家里的这些宽带啊啊还有一些这个呃在酒店啊或者一些呃咖啡店的一些啊WiFi啊啊那么我们接入办公的一些设备呢，也是呃，从原来的啊这个固定的一些办公设备啊转移到了啊自带的一些啊移动办公设备啊，移动的这个lap啊laptop或者说啊移动的这个呃手机啊，那么同时呢，呃，因为这个移动办公的需要很多的，呃，一些这个应用服务呢，也会陆续发布到外网。

发布到云上啊，那么啊，这时候呢啊，对于发布到云上，发布到外网的一些啊这些啊应用服务呢，就需要做一些更加安全的保护啊，比如说对端口进行一些隐藏啊，进行一些加固。

那么呃，还有一个问题，就是在远程办公的过程中呢，啊，数据呢，是在啊不断的进行一些流动啊，特别是私人的数据和公用的数据，那么呃，有时候会呃有一些混用的情况，如何避免啊业务数据啊被泄露啊，那么包括个人的隐私如何保护，那么其实都是远程。啊，办公会带来的一些相应的一些问题。啊，那么我们可以可以看到这个接入的环境啊，会呃，越来越多样化啊，那么接入的终端呢，啊，也会多样化啊，更多的一些BYD的一些设备和移动设备，那么因此带来的一些终端的风险，比如说漏洞啊，啊，病毒啊啊，或者一些访问的性问题啊也会出现，那么同时呢，我们使用的角色也是多样化的啊那么呃，以往呢，可能有些运维的一些，呃呃。这样的一些人员啊，第三方代维人员会使用这个远程啊接入的方式，通过堡垒机啊或者VPN接入，那现在呢，其实啊这个呃，在一个业务协作上，公司的各层级的人员，无论是业务人员呢，还是各级啊主管，那么包括啊我们啊的一些开发啊人员和一些合作伙伴都会使用远程办公接入到啊企业内网，或者接入到这个呃云上。

啊，那这时候呢，对角色的一些鉴别，它的权限的配置，还有啊这个呃，动态的一些行为的监测啊，就显得特别的一些重要。那么还有呢，使用的场景和业务也会呈现多样多样化，那么过去啊，使用比如说SSLVPN的方式连接的都是一些BS的应用，但现在呢啊，无论是BS的应用啊，C的应用啊，或者是和H的各种形式的一些应用系统呢，也都会在移动办公场景里面出现。那么导致了一些这个风险呢，就是呃，业务的一些系统的兼容性问题，和业务登录的一些体验上的一些问题。

那总结总结一下，就是说从呃员工角度呢，我们首先啊要对设备啊进行一些呃评估，那么因为呃员工呢，可能会应用到自己的一些电脑或者自己的啊一些呃移动终端，那么这时候呢，呃设备上也许没有装一些杀毒软件或者一些风险控制的啊一些呃小助手，那么这时候呢，对设备我们要进行一些呃一些监控，那么第二呢就是身份，那么啊以往来说呢，比如说通过啊V或者一些这个堡垒机登录的话，是靠这个账号密码的，那么这时候呢，呃只要有账号密码，那么就可以登录进去，但是无法确认啊员工真实的这个啊物理身份是否是否是本人，那么所以呢啊会存在存在一些凭证被盗的一些风险。啊，那么还有呢，就是啊接入的环境啊比较复杂，如果呢，不采取一些加密双向通信的一些措施呢？啊，那么有可能会有一些数据泄露的风险。

那啊，企业的角度呢，就需要对这个员工进行一些合理的授权，以及身份进行一些校验，那么同时呢，对接入的终端啊，也要进行一些监控，以及对这些敏感数据啊，在流动过程中啊，进行一些啊这个有效的控制和监控，那么啊去避免一些数据的泄密啊，以及违规操作的一些行为。啊，对居家办公的这个呃，个人以及企业呢，我们有几点建议吧，那么第一呢，就是老生重谈的一些问题，密码的安全，因为其实我们可以看到这个呃，大量的呃一些呃密码呢，都是一些非常简单的密码啊，那么因此呢，如果你的网络不安全啊，被探测到了啊，那么容易导致密码泄露啊，那这些密码呢，如果是又能够登录到啊这些呃。呃，网银啊或者一些内网的业务系统啊，那么就会导致啊这个啊密码泄露而导致的整个这个系统啊会被渗透啊，所以呢啊切记一套密码到处用啊，那么另外呢啊也提醒啊员工啊，要定定时的啊对密码进行分级管理，以及对密码的强度啊进行一些啊校验。

那么还有呢，就是邮件安全，因为啊其实大家知道啊，钓鱼网站呢，或者啊一些啊邮件附件呢啊都是非常啊高危的一些行为，那么所以呢，需要提醒员工啊，在这个呃登录啊一些呃账号的时候，或者登录登录邮件的时候啊，千万不要去点击一些不明的这样的呃，一些这个链接啊，避免导致的一些啊邮件呃带的一些这样的呃。勒索病毒啊啊或者一些这个呃，风险的一些存在。

啊还有呢，就是啊WiFi的安全，那么呃也是希望这个呃提醒员工在呃公共场合呢，避免去访问一些呃不安全的一些热点，那么在家里的这个呃呃WiFi呢，也要对这个路由器啊的一些登录账号密码啊进行一些呃安全性的一些呃呃加强啊。在企业侧呢，啊，最重要的就是这个办公边界被打破了，以往传统的一些这个边界防护或者安全防护的手段啊，已经不起作用了啊，那么因此呢，从外面啊渗透进来的一些问题就会产生，比如说啊，员工自带终端，它的设备安全是否有隐患而导致的啊，那么员工员工接入进内网之后的一些呃，这个呃横向的一些渗透或者一些病毒的传播，那么第二呢，就是呃在呃终端呃。

如果这个终端呢啊，员工在访问啊内网的时候，同时又访问互联网，而且又点击了一些不明的一些钓鱼的网站的话，那么很容易会被呃作为一个跳板进行啊内网的渗透攻击啊，同时企业侧呢啊需要开放一些这个应用和中间件啊到互联网上，以便于员工啊进行一些这个访问啊，这时候暴露在互联网上的一些这个呃服务侧的一些资产啊以及服务啊就会啊啊导致一些探测和攻击啊，这时候需要对啊服务侧进行一些加固和一些隐藏。呃，然后呢，还需要提醒员工，在做远程访问和移动办公的时候呢，最好是公司分离啊，那么呃避免啊一些数据啊被外部啊获取，或者更容易泄露啊，那么我也曾经看到过，比如说啊有呃呃个人在这个呃访问呃公司业务系统的时候，那么同时又开了一些这个呃私人的一些视频会议啊，或者一些那么呃有时候一些屏幕分享的时候，那么呃物分享的一些屏幕啊，导致了一些信息泄露事件，所以这些呢，也可以提醒员工去注意。

啊然后呢，我们啊是认为呢啊零信任呢，是一个非常好的一个解决方案，去解决企业啊刚才说到的一些数据泄露啊，权限的啊一些这个呃合规啊以及啊一些呃授权的啊这样的一些问题，那么传统的网络防护理念呢，是默认所有的啊内部流量都是可信的，当流量从外部进来呢，那么我们就需要对流量进行一个这个呃。啊，一个一个鉴别，那这时候呢，啊，以灵性的理念，就是永不信任啊，持续验证，基于用户的身份和行为进行一个动态的授权。好，我简单介绍一下我们腾讯零信任的一个解决方案吧，那么腾讯零信任的解决方案呢？啊，秉承这个零信任的一个原则，叫持续验证，永不信任，那么我们是围绕一个4T啊的一个四要素啊，进行一个啊这个可信的一个校验啊，从接入者的可信身份。

以及啊，它接入的终端是否可信。以及这些应用啊，是否它授权访问的应用和在连接的时候的链路啊，是否安全可信，从这四个可信方面去啊。帮助去协助企业侧去完成远程办公时候的一些这个安全风险的一个评估。总体的这个方案的示意图呢，我们从呃外网内去看，那么用户访问的时候呢，呃腾讯的这个离线的呃解决方案I是支持有端无端的，那么无论啊是呃访问的是远程应用啊是种协议，那么我们都支持啊一个加密链接，双向的这样的一个加密的呃一个呃连接，那么啊在呃我们部署在云端或者呃私有化的零线网关呢，是可以做到4T的这个统一的一个安全的一个校验，从终端的安全，终端的可信评估身份的安全。

啊，身份的啊这个呃，多因素认证以及应用的可信识别和呃，应用的这个动态统一授权方面啊，我们都有一个这个管理后台可以去实现啊，对每条策略进行一个精准的啊动态的一个监测啊，同时呢，也应用到了啊腾讯云端的安全大脑身份大数据啊，设备风险大数据以及啊应用风险的一些数据和威胁情报的能力啊去加持啊整个访问链的啊，这个动态行为的一个安全啊。那么啊，在这个身份身份校验方面呢，啊，我们也可以去啊跟这个企业的啊，用户访问的啊，这个I系统啊进行一个呃打通和联动啊支持ad和L，那么啊在整个这个呃连接方案方面呢，支持公有云私有云以及企业数据中心的一个连接模式。

呃，那么呃首先呢，从远程访问进来的时候呢，我们首先要做一个身份登录的一个校验啊，那么呃可以通过扫码呀啊，或者一些这个多因素认证的方式验证啊，登录者的一个呃实际的一个身份啊，是否是呃具有权限的本人。啊，那么整个这个通讯过程呢，是一个加密的一个连接过程。然后呢啊这这里面呢，我们也应用到了，呃这个呃里面最重要的一个特性就是服务的特性，那么所有的这个不可信的问呢，对外啊都都是看不到啊，这个应用的一个啊，端口和应用的啊这样的一个呃呃协议啊，因此呢，对于这种扫描啊，啊或者一些应用探测呢，是可以进行一个有效的一个杜绝。

那么同时呢，我们在连接过程中呢，应用的是一个短连接的方式，无需维护长连接隧道，那这样的好处呢，就会使得连接啊会更加的便捷，更加的呃快速啊那么啊我们最近呢，也也也啊有听到一些客户啊在投诉VPN的问题就是连接会经常中断啊，那么这时候呢，呃，这个呃零信任的这个呃访问的优势就会啊出现啊那么短连接方式会让连接更更加的呃呃呃效率更加高啊那么呃。相比V的连接呢，那么它的这个呃，断网的这个呃，频率会更加的有效的控制。啊然后呢，就是一个统一身份的管理，那么刚我们也列举到了像这个呃密码的一些不可靠的一些因素啊，那么因此呢，呃在腾讯的临时证方案里面呢，我们是在端侧呢，是采取了自适应的这样的一个多因素认证的手段啊，可以有效认证啊这个登录者的一个身份，同时呢，身份信息呢，是可以跟他的这个企业身份信息，以及像呃这个呃腾讯的呃呃微信和呃企业微信的账号进行一个打通。

在端点方面呢，因为有很多的这个居家办公的呃，一些小伙伴啊，他们的电脑呢，可能是呃，呃家里自己的电脑，那么有时候呢，可能在这个呃，病毒查杀呀，或者一些威胁防御啊的能力啊，那么跟这个公司的一些这个电脑比可能略显不足，那这时候呢，我们也提供了一个云查杀和一些病毒的这样的一个检测的一些能力，以及啊通过这个我们的主动防御和拦截能力去对呃一些接入的端点进行一个加持。在部署模式方面呢，呃首先呢，呃腾讯的临线方案呢，是支持SaaS化部署的，那么我们可以将这个离线网关和控制台部署在腾讯云上，然后通过连接器的方式去将流量引到啊企业的数据中心或者私有云上啊，那么这时候呢，啊企啊客户啊在这个部署的呃过程中呢，就会呃非常的便捷啊，一键开通这个呃腾讯云的零线服务。

啊同时呢，对于一些这个分支机构或者呃企业数据中心啊，它的这个呃应用啊无法开放啊，往外开放的时候呢，我们也提供私有化部署模式啊，通过啊将这个呃网关和呃控制台部署在企业数据中心啊，便于这个呃。外网的一些远程办公的小伙伴进行访问。啊，目前呢，支持像远程办公场景啊，那么啊，无论是呃装客户端或者不装客户端，我们都可以同样啊提供这种适应的一些认证和啊无边界的安全办公的一个接入。

啊，那么同时呢，也支持啊，对于it或者第三方啊，这个合作伙伴啊，或者需要这个第三方代维的啊，这样的一些场景进行一个远程的啊，这个运维啊。呃，腾讯的呃，零胜解决方案呢，啊，目前呢是呃。支持支持了全网啊，6万员工的这样的一个远程接入办公啊，那么以及呃十多万这个设备的全负载的一个工作啊，同时呢，我们也有一个超大型的案例，是支持呃40万呃这样的一个呃终端接入的啊一个呃呃大型企业的一个案例，那么呃在终端接入的这些设备层面呢啊，是支持Windows Mac和移动端啊等各种的一些这个终端啊。那么呃，关于腾讯的一些零线的这个，呃，最佳实践呢，待会我的同事蔡东也会给大家介绍。

那么我简单说一下我们这次的一个，呃。护航计划吧，上周啊大家也知道像深圳啊呃上海啊等多个呃国内的一些呃这个疫情啊呈爆发趋势，这些地方啊相继启动了这个居家办公的一些计划，那么我们也在3月15号推出了一个这个呃远程办公护航计划啊，那么呃可以通过这个呃我们saras化的一些这样的模式啊，给企业提供啊高效的一些远程办公的啊这样的呃一个这个服务啊，同时呢啊在接入啊方面呢，会呃非常的便捷啊，通过呃一个呃云上的这样的一个呃主机啊我们saaras化的服务，可以便捷的将呃临时的网关和零时的连接器啊，跟企业自身的啊需要对外服务的一些应用进行打通，那么同时呢，我们端上的一些安全能力和身份验证手段呢，可以保障接入者的身份和接入的这个行为啊，是安全的。

啊，那么呃，大家如果想要了解或者想要这个体验啊，我们的这个离线接入方案的话，可以啊扫扫码啊，也可以扫我们这个呃办公体验的这样的一个呃呃问卷啊那么呃提交之后呢，就会有客服人员联系您啊，那么同时也可以直接添加我们的活动小助手啊，关于这方面的一些咨询啊，或者啊需要开通使用啊，那么啊可以直接联系我们的小伙伴们。啊，那么呃，总之呢啊，我们希望通过腾讯的一些最佳实践，能够啊为目前啊有急需远程办公啊的一些这样的一些企事业单位啊，能够提供一些办便捷的啊这样的一个办公的一个呃服务能够呃陪伴大家啊共度这个难关，好，谢谢。

好的好的，谢谢杨总的精彩分享，刚才总分享了一些保障企业远程办公安全、有效规避安全风险的措施，以及腾讯零信任解决方案的技术优势。在呃，我们分享的最后，杨总也提到了我们推出的远程办公护航计划，这个计划可以帮助企业迅速的部署零信任，做好远程办公方面的安全防护，特别是许多中小企业呀，他们的网络安全建设较为薄弱，面对突如其来的疫情，安全建设难以招架。所以再次提醒有需要的朋友可以扫描屏幕右下方的二维码。进群申请参加远程办公护航计划。嗯，很多人都知道腾讯是国内最早践行零信任的企业，从2016年开始就在内部实践落地零信任安全管理系统，在2020年疫情期间，腾讯I安全的满足了腾讯7万名员工10万台终端的远程办公需求，这些都是怎么实现的呢？接下来我们有请蔡东老师带来腾讯IA内部实践的经验分享，有请。

呃，蔡老师可以开一下麦。啊，能听见吗？啊，可以听见哦，不好意思，我刚才我以为在等你呢。

等一下。好的，大家稍稍等一下，在等待的期间可以扫码进群详细了解我们远程办公护航计划。呃，另外呃，您对腾讯IA还有另外的需求和问的话，都可以在群里发布，然后我们会有相应的人事为您解答。嗯，蔡老师这边OK了吗？OK，谢谢主持人。好的好。嗯，大家好，那我就开始了，那我今天主要是嗯，分享一些内部的实践，然后其实产品形态刚刚玉斌玉斌老师已经啊同步了一些，然后我就简单说啊，那我这边主要是腾讯企业it这边企业安全中心啊，主要是内网办公安全，同时也在做一些。零信任产品的一些技术的输出。

啊，PPT也大概几部分案例，到时候我就不讲了啊，主要是大概讲一下啊，零那个零信任腾讯实践这一部分嘛，那前面我会简单过啊，因为这个。可能很多人都知道零信任这个概念或者什么之类的，就不不再讲那么多啊，那其实啊，我们零信任那个。啊，主要是啊，原来只是一个理念呢，就是对什么都不信任，然后又去持续的持续的验证，也不去做任何假定啊，那这些做做完其实可能就对企业来说，可能就他为了。保护的点是就是他用这个理念，其实最终都是为了去保护他的。呃，企业的资产，或者是企业的关键的生产环节啊，之前也跟行业一些，其实大部分的企业可能保护的是数据资产会多一点。

啊，然后至于说那种生产可持续性或者什么那种就可能啊会会少一点啊，当然现在也有啊，像那些勒索啊什么之类的。那我们在在。里就只讲那个，呃，数据资产，那我们企业的企业的数据资产可能大部分都在服务器，然后或者是服务器下载到本地啊，可能本地也有一些主要是服务器的资产，那嗯，零星人在行业这几年我宣传可能落地最最多的还是。在访问的环节中去去体现。啊，那企业有两个关键的资源的场景，一个是服务器。啊，业务服务器之间的资源的访问，这是一种场景，另外一个是说，呃，类似像办公场景，在终端去访问这个服务器资源，大概是有两这两种场景，那零信任的这个理念啊。

包括呃，主流的落地都是为什么都在访问控制，因为这个它是在这访问的关键环节去。做对应的安全以及控制减少这个资源啊，就是这个服务业务，这数据的泄露的一个一个点，那我们关键是说在这个。嗯，关键的。业务场景下去解决哪些风险以达到啊，就我认为就是可能存在风险的地方，我都不会去假定，嗯说比如说他在这个设备在内网，它是安全的，那这服务器都是能访问，那这是啊，就是在这个理念下，它是不可行，它就要做这个不管你任何的访问。它都做持续的一些关键对象的一些验，以及关键安全状态的变化，它就会对应这访问都要去控制啊，比如说阻断访问，恶意访问或者什么这已达达到那个。

呃，服务器数据资产的保护，这个这个目的，那关大概的业务是这样的。那这里是行业现在。我们之前其实就推了两三年了，大概共识大概是说。有两种常见的技术落地场景，就是说呃，动端访问服务器资源这种场景啊，通过这样类似一个框架去去完成，有控制的节点，有网关节点，有联动安全其他安全系统的节点。然后终端也可以提供说有A整的方式或者微整的方式，然后达到保护右边这个资源这个。这个业务目标啊，那服务器也是类似啊。那这里就不多讲了。嗯，那下面我们就主要来讲，就说啊，我们L的那个事件，那L。

是我们腾讯的一个，呃，可以是一个办公的，呃，入口工具吧，每个人的桌面都有，那我们是要有一个。之前是有一个愿景是说，嗯，我要让LV提供一个这样的服务，就是你不管在什么地方，用什么设备，或者什么应用都能，或者是用什么应用程序啊，这里是应用程序啊。终端的应用程序，然后去做任何的工作，我们是希望达到一个目的，然后基于这个目的我们才去。构建啊对应的这个工这个这个这个系统。嗯，然后是我们是通过这个办公的这个场景，然后分析说我们关键的一些对象，我们要保障它的安全，比如说啊身份啊，终端啊，还有执行的应用啊，或者是那个链啊，比如说这个身份啊，仿冒伪造或者是利用终端，它这里面有的那个病毒，木有攻击什么都有，呃，应用也是，就包括一些应用是我们可知的，但他也会访问我们企业的资源或什么这些，这或者是他有恶意行为或者什么之类的，呃，链路这个也简单，比如中间人啊，截止啊什么各种各样的。

就大概是通过这样从几个关键的这个企业的这个办公的这个业务场景下去做的安全分析，然后这里是抽取的最关键的对象去做对应的。呃，安全安全安全，提供一些服务也好，加固也好，或者是提供一些检测能力也好，都都是OK的。

就基于这几个领域去去去去花大花大力气去投入啊这些啊，于斌总去啊，前面也有讲啊，那我们主要是解决终端安全，身份安全，应用安全，链安全，然后达到他去访问，不管是公有云，私有云，还是企业的内网的资源，这这种场景。啊，这个业务架构也不多讲啊。嗯，那我们其实呃，这里提供了啊，于斌总刚刚的那个PPT也有啊，就身份安全，我们有一个小的身份安全的系统，然后也能对接第三方，嗯，现在大概对接了行业大概有十几家吧。有十几家厂商啊，我们遵循一套协议标准去做啊，那设备安全的话。嗯，在外网的话，它其实主要是说，嗯。

就在内网，它是的，这个腾讯IV，它的理解是说。你这个设备要可信，那这里面包含了软件或者硬件的可信啊，那像我们公司的硬件的可信其实不是特别重要啊，我们只要要求说它安装了我们一些基础的防护，防护设备，满足我们公司的安全机械，那我们觉得就就它是基基本可信的啊，但是因为我们那个公司可能业务比较多啊，那面临着很多挑战，那可能会有一部分人他是需存在着。这个数据数据泄露安全，这种情况我们提供对应的保护。有一部分人是。就大部分人是病毒防病毒这种都是需要提供对应的服务的，嗯，那我们需要在这端提供这些能力，以便这个端它是我们信任的，那我们就对应有了啊，这些各种管控啊，或者是数据保护啊，甚至我们内网其实是还有更多这种反入侵的一些一些能力，还有一些办公工具啊，大概是是这些东西。

嗯，那腾讯IA它其实有一个。嗯，可能行业。比较少见的一种玩法就是说，呃，因为我们这个有一种有A卷的方式，那其实终端它发起的每个链接，它是从哪个应用的，当前的身份状态是怎么样，我们都是知道的，或者是啊，我们可以一会一直啊，就我们一直都会对他进行校验嘛。那因为那种啊，像进城一些什么。呃为呃就是说呃之前还有什么供应链攻击啊，或者什么，可能就是一个进程，呃，一个软件，它是个合法签名或者什么，但是突然说有问题，但。

呃，一般就是说。这种时候我们是可以在后台吊销这个进程的，那个可信的访问啊，甚至他，嗯，不是说一经但接入就OK，我们也可以阻断他，就不让他再继续访问了啊，这里有写，呃，大概画了个简要的图，就是说我们不除了仿冒的人，或者是一些有危害或者是未知的程序，其实我们也可以进行阻断，甚至我们也支持那个白名单。白名单的机制，就只有白名单的进程可以访问啊，这是会加大。那个恶意软件的那个，就是说你通过这个端，然后再进来我的内网，这种场景是会加大它的难度的。嗯，另外一个是说我们内网的一个实践比较成功的点是因为，呃，以前VN一些小运营商或者跨境，他丢包率超过一定的量的时候，他其实是VPN是很难提供服务的，呃，那我们这个是其实把它协议转转成那个。

应用层的，它的那个包的那个容错性会好一点，另外是跟我们啊腾讯的那个加速的网络，其实是形成了的对接，那包括我们，因为我们公司是有欧洲啊，有美国啊，各种各样的职场，包括我们的员工也经常在家里办公，那有时候他使用的运营商是说。它的出口路由IP，它都是会飘的，各种各样的问题啊，或者是偶尔就是稍稍链接，你比如说你用长链接，它不小心，它就嗯就断了，然后你断落几次的话，像一些传统的VPN，它直接有些时候是让你重新做身份验证，然后。遇到一些比较极端，比如城中村的一些网络，可能会一直让你在那里重申正义的，没办法工作。

那以前我们是遇到嗯，很多这种投诉啊，然后我们做零信任的那个初衷，其实最早是说他有。这个网络我们可以改造这些能力，其实最早的初衷是因为这个啊，然后嗯，然后这个体验。就我们内部论坛的投诉也这个点也降了很，反正这几年我是很少见过这类投诉了。嗯，然后还有一个。跟大家分享的一个东西就是说，呃，我们跟在这零信任网络接入以后，就身份认证，然后各种安全机械啊，防护状态都OK之后啊，我们内网的一些系统是跟我们这个RV是做强的，身份有有呃那个。打通的，就比如说我内网一些。呃的工具，我们做了一些一键登录我们内网的web，做做那个一键登录的集成，那那种的话对。

一些题啊，就我们刚开始在推广的时候，发现是用户他自动在帮我们推广这个新，就我们刚开始会度自动帮我们在推广这个东西，那其实是因为这个一键登录的功能就比较比较。嗯，就就因为这个也是自动推广了好多人，然后另外一个是那个全球加速，刚刚是有讲的。这个我就不再讲。呃，还有一个点，其实就是说我们用这一套以后。其实这在这访问过程办公的这个访问过程中，其实是有各种各样的安全问题的，那零信任的理念，它又是持续验证，永不信任啊，然后包括我们自己实践也知道，那假设我们端沦陷了，这里存在很多风险，端是被仿冒，也存在很很多风险，甚至流量也是有很多风险。

啊，那这里我们内网是有一个比较大的分析平台，是会联动啊，很多数据进行分析，然后对外的话，我们是跟其他产品去做那个联动也会。在新对外的一些新的产品也会提供一些。呃，就是因为我们这个访问过程，以及这个有的数据，网络数据，我们会提供一些基础的一个检测能力，但是内，呃，我们内网的检测是会。比较就是我们这套的信心来源于。啊，我们内网其实最大的成功是有一个比较强大的一个检测能力啊，每天都可以清洗啊，1000亿左右的热数据。就以便说你在这个过程有一些异常或风险，可以直接作用到这个网关进行阻断，隔离掉端上轮线对服务器区产生的风险啊。

这个主要的一个用用用场景啊。那这个是大概是这个应该是好多年前画的，就是其实是整套L是跟我们内网很多的系统进行了。联动以及打通嘛，那嗯，并且形成提供，呃，就是不仅是办公，可能还有安全各种领域的一种，不管是体验还是安全，它是综合性的提供给这个终端进行服务的啊。然后是呃是说就是说呃，我们在对外其实还会面临就是说。因为我们之前内部实践OK啊，腾讯云这边啊，那我们就是输出有人咨询嘛，那其实在外部输出的话，我们也在推进，就是说跟其他厂商那个接口联动啊，各种各样的标准的制定，那这里其实已经对接的有18个厂商就都跟。

都是及哦，我们共同这个工作组，就我们有一个零信任标准，工作组也在制定推进这些接口的对接啊。然后我们的接口是尽量就是。嗯，标准是尽量那种写那种就直接实现了，就直接对接了那种，不是那种比较模棱两可的。呃，那这个玉斌总刚才也说啊，那可能腾讯现在是一个最大的实践啊，那其实大家也知道，就是说这6万家员工啊。10万设备，包括我们公司的有各种各样的业务，包括代码设计啊。聊天啊，视频啊，各种各样的业务，其实这个流量是很大的。并发连接也是非常大峰值甚至有70几个G啊，那如果是这种业务，这这么深度的业务都放到家里来做的话。

嗯，传统的那个VPN，我估计扩容不知道扩多少设备。甚至可能也支撑不过来。嗯，那另外就是，嗯，前面分享这么多，其实。嗯，大家也会发现说，呃L它不仅仅是一个，呃，做个身份认，让你接入这样一个东西，当然做身份认证跟做这个访问控制这个东西，它是。啊，可能是一个企业实现最简单的那种。安全可以简单的低投入去产生安全风险啊，减少安全风险的一种投入吧，啊，但是像我们这种企业真的要运营久了，你会发现在这个访问过程，以及这里面产生的各种各样的风险，是经过实践的话，你会发现是需要多方面的安全的检测啊，响应，然后形成一个。

呃，联动的一个体系，然后来作用到这个这个这个网网络访问过程。也不仅仅是像以前说，哎，我接入身份认证啊什么就OK了，那我可能要对这些关键的对象，比如说数据啊，设备啊，应用啊，网络行为，我要对它在这个访问场景进行持续的检测，如果有问题，我可以阻断的访问，我减少我企业资源的。那个风险，当然我们也要提供一些能力，真正你实践的时候是要。给主体提供防护能力啊，保障了环境，那个OK的能，呃，那个比较安全的能力，呃，这个大概是我们在啊，就左边这个是已经发布，就在国际的ITU的发布的那个就是我我们中国自自己主导的，我们中国主导的，然后。啊，腾讯这边牵头，然后中国主导的这个标准的那个制定，然后是嗯。

嗯，说明就不仅仅是像。啊，我们国内之前我们看到的落地比较多的像这种访问的场景，那这里是对这访问过程以及这个防问过程中的关键的对象又做了一些检测以及防护的一些，就持续的检测和防护，并且作用到这个防过程的这个，呃，持续应该是叫我们这个叫持续保护吧，其protection是包含了，就持续保护是包含了，其实是。差不多基本所有安全的概念，因为所有的安全都是为了protection。这里是两个点。啊，谢谢大家这边。好的好的，谢谢蔡老师的精彩分享。

在刚才蔡老师的分享中，我们可以看到这六年来腾讯IOA的实践历程，腾讯IO的发，腾讯ioa的发展，其实也可以说是中国零信任从概念走向落地的缩影。目前，腾讯IOA在政务、医疗通、交通、金融等多个行业成功的应用，支持了百万终端设备的安全接入。相信在未来，腾讯安全也会将继续发挥自身在零信任领域的技术优势和实践经验，协同生态伙伴一同促进零信任产业的规寞发展，更好的护航产业互联网的发展。啊，我看到刚才在两位专家的演讲期间，直播间有很多朋友提问，看来大家对腾讯零信任解决方案和远程办公护航计划都非常的关注，我们选取了几个观众的提问，需要杨老师和蔡老师帮忙解答一下。

呃，第一个问题是。腾讯零信任对比市面上的传统VPN有什么优势和不同呢？啊，这个问题想要请玉斌老师和蔡老师分别解答一下。呃，首先请玉斌老师回答一下。嗯，好的好的，呃刚才那东运在讲解的过程中，其实也也带出了这个话题哈，那我觉得几方面吧，第一方面就是安全性的问题，因为呃传统V可能是在这个呃账号的管理啊，包括连接的时候的一些应用开放方面啊，比较容易被探测到，那包括连接的效率方面啊，采用长连接的方式啊，可能会导致效率上是有一些这样的，呃入网环境下连接啊会断的，或者有一些这个应用啊，会会会经常断了一些问题，那呃在这个安全性方面呢，我们刚才也其实也提到了，比如说在身份校验方面。

啊，在这个动态访问的权限方面啊，在服务侧的啊，端口隐藏啊等个方面呢，会有更高的一个安全性，同时呢，在连接效率方面呢，啊在弱网黄境的优化呀，包括呃刚才东运提到的啊，腾讯云加速的一些能力啊，可以让这个连接效率比VPN会更高啊，那么同时呢，啊我们的这个部署模式呢，也支持私有化saaras化啊部署，那么所以呢啊在这个成本上呢，呃，如果呃企业客户呢，是有多分支机构的话，那么成本上会更优啊，那么呃，还有比如说在协议支持方面啊，那么腾讯的I是支持流量的，那么这一块呢，这个的兼容性啊和连接方面的这个呃可靠性方面会更有保障。

啊对对对，我我讲那么多吧，然后看看啊那个东西有没有补充。好的，谢谢杨老师，那东老师这边有补充的吗？嗯，其实有一个。比较直接的不同就是说可能VIPVPN你建立连接可能就连接了，但是然后它的应用它可能就可以一一直访问，但是如果是I的话，它其实每一个。链接发起的访问。都可以进行它的安全状态的检查。假设有问题。可以不放心，就即便你是在前面做了校验。那这个其实啊，也可以回答一些人什么叫持续校验的一个一个概念，但这是一种访问场景的持续验啊。

然后这个是跟VPN它是不太一样的。另外一个是可能是因为它是新东西嘛，然后很多的部署架构啊，方案啊，其实是比VPN。会啊，可能实际用起来可以上规模的这种比较新的技术方案，就是软件级的部署，然后并且可以不高可用啊，不什么可以各种各样的方案去做啊，那VPN因为它的标准化程度很高，就是可能像一些甚至就是提供一个机器啊什么之类的。在现在这种行业就每家每户都有云啊，或者什么之类这种场景下是。有时候它的当然它这个优势也不是绝对的，就是相对当前的优势，它不会那么明显。大概是这个点，好的，谢谢东老师和玉斌老师的解答，那么现在有第二个问题，就是腾讯IA是不是面向大型企业的呢？它中小企业它适合部署吗？

这个问题想要给到玉斌老师。嗯，好的好的，呃，其实腾讯IA呢，呃，虽然在腾讯上应用非常广泛哈，那么我们也有几十万点的这种大型企业分支机构啊，跨国企业的案例啊，但是其实中小企业也是适用的啊，那么呃，首先呢，就是腾讯的解决方案呢，是有这个私有化和这个SARS化。啊等这个部署模式对于需替代V的应用并不复杂的话呢，那么我们可以支持S的这种啊用开啊按时计费的这种模式啊，那么呃，同时呢，呃I呢，也是支持模块化的一个，你比如说们的这个连接模块，我们的终端杀毒模块啊，管控模块，那么这些呢，都是可以根据中小企业的这个实际需要啊，去进行一些这个模块化的一些订阅的啊啊计划。

啊，那同时呢，我们这一次呢，也专门去针对中小企业呢，是开放了三个月的一个免费的这个体验啊，那么这一块呢，呃，在最近的呃，这一周的活动中呢，我们也陆续收到了啊，将近有1000个企业的一个这个呃这样的一个诉求，那我们也正在啊对部分企业进行一些有效的一些开放体验。好，谢谢大家。好的，谢谢玉斌老师啊，我们3月15号推出的那个远程办公护函计划之后，有1000多家企业来申请我们这个计划，说明大家对于呃，远程办公的需求还是很多的，嗯，大家有需求的话还可以。在扫码扫码呃进群报名参加远程办公的呼喊计划。

啊，那么接下来第三个问题是部署I之后，会不会影响到原来业务的流畅性和稳定性呢？这个问题想要给到东云老师。流畅性、稳定性。嗯。首先稳定性，其实啊。这个我们就不讲了，那个业务是怎么样，它就是怎么样的，那服务器要挂挂我们也没办法，但是这个流畅你可能是讲的是说是我会不会影响他的网络的体验或者说。因为因为像那个我们主要是解决访问的场景，那可能就是您说的是这个网络的问题嘛。嗯，这个网络的话，其实嗯，LV其实默认是说。你那边终端进程发起的时候，比如说你是个web浏览器，像标准协议，它可能就五个并发或者多少，那其实LV会对应给他发起转化出五个并发跟后台进行连接啊，那到我们的网关，我们网关可能也会转到五个并发到它的后台的那个机器啊，那其实从访问并发的能力，我们是不会限制，比如说把它压缩成一个隧道，或者是什么去复用一个隧道啊，那这种情况是在一些。

大部分网络质量好的情况下，我们的速度是会比隧道会好一点，嗯，然后另外一个是说在一些弱网络的场景下啊，可能网络环境特别差的，像一些什么。嗯。呃，城中村的运营商，别人拉的那个交换机，给人家弄的网络啊那种，嗯，会因为我们是。

其实如果你是web的话，基本它就是会走HTVS这种短连接，那我们也会转啊，就是我们也是基于这应用层，就比如说包丢了可以重传，那我的脚信息是在每一个网络请求包里，而不是说某一个链接，我要维持那个链接的上下文，那这里面是说，呃，看网络就是质量特别差，或者经量段那种场景，我们有时候也是能够提供啊，就大部分场景也是能提供服务的，就是相较以前的那种。依靠长链那种方案啊，当然也不是说长链它一无是处，再一些场景它也是有它的好处啊，但是我们用的加上我们公司的那个加速网络的话，呃，实际体验包括我们那个。公司内部的员工其实也是很敏感的，对这块的投诉也是因为改，从我们以前也是用VPN改成LV这套零星人的网络的接入以后，其实投诉是直接就降到甚至这几年，我估计我们内部论坛也是。

我是没见到过了好几好多年了。大概是这这几个方向。好的，谢谢东云老师，那么接下来我们提到最后一个问题，呃，我们企业如果如果购买了，可以定制界面和功能吗？这个问题想要给到玉斌老师。这样子我理解这个问题呢，呃，就是个性化的一些要求和和功能的模块化吧，那首先呢，我刚呃说到了，我们是提供一些模块化的功能，比如说接入的功能啊，还有这个呃杀毒管控啊呃，零星的一些呃这个功能我们都可以啊，这个模块化的呃功能。啊，那么呃界面方面呢，啊，那么目前呢，呃，我们对于呃标准化的一些产品呢，还不会去呃去这个呃做特别的一些定制，当然就说如果企业有这样的诉求，也可以联系我们的这个销售代表，那么呃我们也可以去这个呃兼顾这个功能和企业的个性化的一些呃需求方面啊，做一些具体的项目上的一些沟通工作吧。

好的，谢谢玉斌老师，呃呃，我们的公开课到这边就要快要结束了，有需要进一步了解腾讯LV的朋友，以及想要申请远程办公护航计划的朋友，都可以关注腾讯安全公众号，发送远程办公护航计划即可获取我们的申请表。我们看到今天是3月21号啊，深圳在之前的疫情当中按下了暂停键，但是今天我们的公交车，地铁都全面开始运营了。

我们的居家办公也告一段落，但是在居家办公的这一段时间，虽然深圳按下暂停键，但是各大公司、各行各业都还在线上奔跑。嗯，接下。呃，最后祝大家工作顺利，好的。再见。