专访易安联杨正权：创新要与用户需求匹配 在实践中重构安全边界

　　智能化时代，企业数字化转型加速，新兴技术与创新业务的叠加，不断突破着原有的企业安全边界，这种网络边界泛化带来了更为多源的安全风险。

　　ISC.AI 2024现场，我们采访了国内领先的“零信任”安全产品及解决方案提供商——江苏易安联网络技术有限公司(易安联)，与易安联创始人兼总经理杨正权就零信任现状及发展展开了对话。

　　易安联零信任方案拥有什么独特之处而被用户坚定作为零信任落地的不二选择?

　　杨正权：第一，易安联有先发优势，是进入到零信任赛道里面国内最早的一批，从基础理论研究、方案性框架研究到后面产品落地都具备先发优势。第二，在实践过程中，易安联在产品的创新和用户需求之间率先找到了切合点，一个新想法、一个新方案、一个新赛道，一定是理论先行，这时候跟用户需求、跟用户实际的网络场景和过去所采用的网络方案之间有比较大的差距，这时候创业公司需要把跟用户之间的差距弥补起来，并且还要把理论补足起来。因为传统的零信任理论来自于美国的规范和一些实践，这些实践适应生存是在美国的土壤和生态环境，和中国有很大差距，所以这块我们做了大量工作。总结起来两点：第一有先发优势，第二有落地实践跟用户之间需求统一性的实践，通过这两点我们取得了一定领先优势。

　　在您看来，让用户从以前传统网络安全解决方案接受零信任解决方案，这个过程需要让用户意识到什么?

　　杨正权：通常来讲，一方面是技术上的隐性，我们不停的跟用户做技术上的沟通，用户理解了新技术比传统技术带来的优势和变化，解决它问题痛点实质性有什么帮助。另一方面是有政策法规的推动，合规性要求的推动，如零信任在各个行业的行业反馈，公安有公安部350、351标准，在工信部有工信部的零信任落地实践方案，在运营商有各个运营商自己的落地实践方案标准，这些都是相辅相成的。当然，最终要有一个好的产品实现所谓的落地实践标准，这样用户理解起来你这个方案和运用起你这个方案没有太大障碍，当然也需要加以时间的推动，有些事情不是靠一蹴而就的。

　　零信任发展到现在已经有12年左右时间，如果往前推看规范已经有了接近15年左右的发展。但到现在为止，在美国或者欧洲西方国家已经取得了基本共识，不会对零信任本身有什么疑惑。国内还有一段时间要走。当然我们现在各个行业的标准包括金融行业的金标委实施零信任的方案等，最近我们看到医疗行业在跟进零信任的方案，教育行业虽然没有形成行业标准，但事实上通过实践之后现在各大高校逐渐迁移到零信任的方案上来。

　　我们当下零信任在国内安全发展行业情况怎么样，未来市场走向如何?

　　杨正权：大家知道一个新兴概念出来之后会呈笔直向上的曲线，是一个热词阶段，噪音也比较大。随着时间推移，2022年左右整个热词会迅速下降下来，这个下降是给大家一个冷却的时间，让大家真正的落地、实践、解决用户的痛点，我经常讲创新一定要和用户的需求匹配起来，如果你的创新是你自己的思路，你的实验室非常好的想法，但这些东西能不能落地下来呢?所以我们一定要跟用户需求匹配起来。零信任的第一波创新上扬曲线已经过去了，现在是再次呈上扬曲线，这次的上扬曲线里面最大一个概念是：大部分用户已经在选择大型网络安全新建方案时首选零信任方案，更多大数据局数字政府或者一机两用的方案就是选零信任方案，甚至在很多大型数字化方案比如数字政府方案、数字钢铁方案、数字化工方案，它的安全底座都是由零信任来建的，这是已经达成的基本共识，零信任的发展阶段已经到了一个务实建设的阶段。当然对零信任来讲，目标是要取代传统的防火墙、防毒墙这种利用病毒库、漏洞库、协议库的传统网络安全防守模式，在整个网络防御体系里面对网络安全设备的整体替换有非常多的路要走，包括对防火墙的升级，对web的升级，对统一终端安全的升级，甚至对零信任安全大脑的升级，要走到零信任上面来，有非常长的路要去走，目前在现实当中处在逐个环节逐个模块升级替代过程当中。在国内竞争态势上来讲，2022年之后有很多人离场了，没有泡沫的环境下，如果没有实践，没有实施性交付内容就会离场，剩下来是真正为零信任、为网络安全升级替代，向下一代网络安全防守方案升级过程当中最重要的一些核心力量。

　　易安联从2017年创立到现在收获了很多行业客户项目，能不能分享一些落地行业心得?

　　杨正权：对于一个创业公司来讲，当我们开始选择行业的时候，会选择几个相对来讲比较容易进入的行业，比如教育行业、电力行业等。后来我们进入到运营商行业、进入到现在做的大型数字化底座行业里面，对我们的挑战是非常大的，但这里头我们收获了非常多的经验，易安联一定是要让我们的产品跟用户需求匹配起来，这个过程当中，很多用户也就把对安全的期待都放到零信任方案里面来了，认为零信任是可以解决之前难以想象、不能解决的问题，现在是可以通过你的产品帮助用户实现目标，那固化到产品里面，就形成我们的优势竞争力。这个过程当中，我们进入到新行业时一定有比较长的学习期，需要跟用户、行业去进行深层交流。即便未来零信任在每个行业都中拥有各自的落地特征和落地经验，但还是不太可能像在欧洲或者西方那样，有一个标准方案走哪里都能实施，我们在这里面也要做很多的学习和适应。

　　刚才您提到在企业成长过程当中与用户需求相结合是我们面临的难点，从成立走到现在，在您看来未来网络安全行业还面临哪些挑战?除了用户需求结合之外?

　　杨正权：因为我在这一行27年，一直在干安全防守这个行业，安全风险和威胁是持续不断迭代的，从安全角度，是攻防两端，做防守这一套，防守这个行业最大特征是要去学习攻击者那套逻辑，包括未来有了AI之后，有了新型的攻击技术、攻击手段之后，我们总结了很多攻击的思路、方法等等。另外，攻击的特点也发生了变化，从个人到小型组织、大型组织到国家对抗，本身攻击形式会发生变化，所以你的防守模式也会发生变化。你固囿于一套逻辑、一套方法论显然是不够的，对于零信任来讲，未来面对的挑战很大，因为事实上到现在为止，各个厂家包括美国领先的如微软领先的方案也只解决了NIST规范50%-60%的问题。“网络安全”这个词本身是一个目标，我们最终要达到网络安全的目标，进入到自己的IDC、进入到自己的云里面的流量都是安全的，这个概念已经比网络安全概念小了很多，还有很多路没有走，有很多技术路径没有突破，包括我们要应用新的技术、AI技术实现网络安全防守的新能力。

　　在这个充满挑战的技术领域当中也充斥着激烈的竞争，易安联是如何保持自身的领先优势?

　　杨正权：我经常听很多人问：你的护城河究竟有多深?你的技术壁垒究竟有多高?所谓的创业公司，它的技术壁垒是逐渐迭代的，没有一个壁垒能够完全挡住后来者的竞争，所有的壁垒或者技术的护城河都是要逐渐在迭代的，所以你要不停的去创新。易安联从2023年开始逐渐投入到AI领域，用AI提升过去我们建造的动态策略中心，要把它升级成新形式的安全大脑，这是我们要去提前布局的。在这个布局之上，竞争对手当然也会看到，尤其现在的竞争跟五年前的竞争不一样，五年前的竞争是一帮创业者拥有新兴技术、拥有idea的这帮创业技术大拿们，现在面临的竞争是已经成型了的非常重量级的安全公司，面对他们的时候我们必须在技术手段上、技术能力上提前布局，来应对他们的竞争。当然在产品能力上、创新形态上还要有更多变化来面对他的竞争。

(本文不涉密)
责任编辑：路沙

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。