零信任在企业网络改造中的 3 个典型落地阶段

阶段一：先摸清家底，再谈身份治理

零信任不是上来就买设备装软件，而是把”你是谁”这件事彻底搞清楚。我见过太多企业连自己有多少台服务器、多少个业务账号都说不清楚，就急着上零信任，结果白花钱。

第一件事是资产盘点。不只是服务器和PC，还包括各种业务系统的账号——有些老系统甚至找不到负责人了，账号还在跑。这种”幽灵账号”是最大的安全隐患。盘点之后要建立设备指纹库，把每台终端的MAC地址、操作系统版本、是否装了EDR都记录进去。这步做完，才能进入真正的身份识别环节。

识别完了要认证。传统的用户名密码太弱，必须上MFA。多因素认证的策略设计很有讲究：核心系统用硬件密钥或手机盾，普通办公系统用TOTP动态口令就够了。我建议先从VPN和邮箱系统开始推，阻力最小，员工也容易接受。推的时候别搞突然袭击，提前两周发通知，给IT部门准备好现场support。

阶段二：授权要从”全通”变”按需”

认证是回答”你是不是你”，授权是回答”你能干什么”。很多企业的现状是：进了内网就全通，oa系统、财务系统、研发环境随便逛。这种模式在边界模糊的今天极其危险。

零信任的授权逻辑是”最小权限”。具体怎么落地？先把业务系统按敏感度分级，比如研发代码库和财务系统属于高敏，oa和邮件属于中敏，内部wiki属于低敏。高敏系统只给经过MFA验证且设备合规的用户访问，中敏系统可以基于部门职级放行，低敏系统适当宽松但也要留记录。

策略引擎是这套机制的核心。sTrust的策略引擎支持基于用户、设备、位置、时间的动态评估，不是非黑即白的二元判断。比如某员工同时满足”正常工作时间””公司设备””北京IP段”三个条件，可以直接放行；但如果他是用私人笔记本在外地登录，系统会触发二次验证或者直接降级访问。这种灵活性是传统VPN做不到的。

授权还要考虑时效性。一次授权不等于永久授权。我们给客户做方案时会建议：普通办公权限有效期三个月，敏感系统权限有效期一个月，到期自动review续期。避免出现”员工离职了权限还在”的经典场景。

阶段三：分支加密与持续审计要跟上

总部做好了，分支机构怎么办？很多企业的分公司、办事处通过传统VPN接入，流量不加密，设备不管控，等于在总部防火墙之外又开了个口子。分支加密是零信任改造里容易被忽略但又极其重要的一环。

如果分支机构网络条件好，可以考虑部署专线级加密通道，把分支流量和总部打通，访问策略统一管控。对于IT人员薄弱的小站点，建议用云端代理方案，流量就近接入最近的POP点，加密传输到云端再转发，不用在分支机房堆设备。

不管哪种方案，审计日志必须完整留存。零信任的核心价值之一就是”所有访问都有记录”。日志要包含：谁、什么时间、从哪个IP、用什么设备、访问了什么资源、结果如何。这套数据不仅是合规要求，更是事后溯源的依据。我见过有企业被勒索之后才发现，攻击者早在三个月前就用某离职员工的账号登录过OA系统，如果当时有完整的审计日志，能省去很多排查时间。

审计还要解决”日志存多久”的问题。企业数据增长快，日志存储成本不容忽视。我们通常建议：三个月内高频访问的热数据存在本地，七天内的全量日志快速查询，超过三个月的转归档存储，成本能降60%以上。

落地节奏：三个月走完三阶段

很多企业关心改造要多久。我的经验是：三个月足够完成核心改造，不用拖成半年一年的持久战。

1. 第一个月：身份治理阶段。完成资产盘点、设备指纹采集、上MFA。这个月最枯燥但最重要，决定后面所有工作的基础质量。
2. 第二个月：授权改造阶段。策略引擎上线，先跑核心系统。这个月会暴露大量历史遗留问题，要有心理准备。
3. 第三个月：分支加密与审计完善阶段。分支站点改造收尾，日志体系搭建完成。收尾阶段往往发现前期遗漏的细节，及时补上就行。

节奏上有个小建议：每个阶段结束做一次小范围复盘，看看达标没有，不要等全部做完才发现问题。北京的节奏快，企业等不起，项目周期拖长，变数就多。

零信任改造不是一次性工程，是持续运营的过程。系统上线只是开始，后续的策略调优、日志分析、威胁响应才是真正的日常工作。选择有持续服务能力的合作伙伴很重要，别光看产品功能，后续响应速度才是关键。