专访派拉软件李广兵：从身份认证走向一体化零信任的“自我革新”

在被誉为80年代最出色的警匪片《铁面无私》中，肖恩·康纳利所扮演的一名老练警察在为凯文·科斯特纳扮演的新手官员指点迷津时曾提到，这个世界教给我们的第一课是：不要相信任何人。

这句话亦适用于如今的网络安全世界。在云端和移动端的重要性越发凸显的当下，传统边界已变得模糊，数据无处不有，威胁也无处不在。

当入侵者能够轻而易举通过黑客攻击和防火墙漏洞进入基于边界的安全系统时，曾经流行的“城堡/护城河”方法便显得力不从心起来。

于是，人们一边高喊着：“不要相信任何人”，一边高举起秉持着“永不信任、持续验证”策略的“零信任安全”旗帜。

他们坚信，在零信任安全网络中，没有人能获得免费通行证，即使身处网络边界内也不例外。

近日，朋湖网专访了国内零信任厂商派拉软件副总经理李广兵，在回溯派拉软件过往的发展迭代历程中，他告诉朋湖网，决定企业生命线长度的，在于被市场“抛弃”之前先完成自我革新，跟上时代的步伐。

自2008年成立以来，从统一身份认证管理平台到以身份为中心的零信任安全体系再到一体化零信任安全解决方案，派拉软件似乎将“自我革新”深深刻进了其DNA中，而不断的创新与变革也为其赢得了市场的回应，如今派拉软件已积累了上千家客户，覆盖政府、央国企、金融、 汽车 、制造业、医疗/医药、房地产及教育行业等各个领域。

01

明者穷则思变、因时而变：从身份认证到零信任

有这么一则故事：

传说中古时候有一种动物叫做梧鼠，它能利用腹侧的膜做短距离的飞行，但却连房子也飞不过去；它会爬树，却爬不高，连树顶都爬不上去；它也能游泳，却连小河沟也游不过去；它也会挖洞，却挖不成能藏自己的洞穴；它也会奔跑，却跑不过其它的动物，连人都能轻易地追上它。

《荀子·劝学》言：“螣蛇无足而飞，梧鼠五技而穷。”尽管它身怀五种技能，但最终还是能被老鹰轻易地抓到。

对于派拉软件而言，在刚成立的那几年，所面临的境遇似乎与上则故事略有相似。当时，派拉软件主要业务方向聚焦在了技术与咨询服务方面，上云服务、安全认证服务、性能管理什么都会一点儿，什么路好像都可以走通，但却没有一条能够看得长远的路。

博而不精，结果只会是梧鼠之技。“我们决心还是要‘专注’，专注一个赛道，去做精、做深、做大。”李广兵表示，在经过了前几年的打磨后，2012年开始，派拉软件便将精力专注在了身份安全领域。

身份安全要做什么？在Gartner的定义中，身份安全，主要是为了确保主体能够安全地访问相应资源。

在此之中，用户需要先经过身份认证系统识别身份，才能进入访问控制器。访问控制器依据用户的身份和授权数据决定用户是否能够访问某个资源。

可以说，身份认证技术是构建网络安全体系的第一关，是名副其实的“门禁”，也是网络安全的基石所在。

“随着国内数字化的飞速发展尤其是作为一个人口大国，身份安全的市场空间和重要作用都不容小觑。”李广兵讲道。

而彼时，国内的网络安全的方向还主要集中于如防火墙、入侵检测等方面的安全硬件的研发上，出于对“基于‘边界’的安全访问机制未来可能会被打破”的判断，加之身份安全市场还是一片新蓝海，派拉软件便开始了对身份安全的专注。

在“专注”之下，凭借着扎实的技术积累，派拉软件赢得了一批又一批客户的信任，公司也驶入了发展的快车道。

同时，“专注”也为派拉软件带来了更多发展的可能性。2016年，伴随着云计算、移动互联、物联网等新兴技术的发展，数字经济的到来，用户的数据也变得越来越多，派拉软件便顺势而为，开始拓展另一条业务线，即数据安全，“但派拉软件不做传统数据库管理，而是与身份认证安全管理紧密结合起来，去对数据进行安全访问管理。”李广兵表示。

与此同时，派拉软件也将大数据、AI等技术应用到身份安全产品当中，打造了新一代的统一身份认证管理平台，并有所延伸至应用安全领域。

这是第一次革新，在身份安全与数据安全、应用安全三管齐下下，派拉软件的生命线得以拓宽；而第二次革新，派拉软件将目光瞄准了零信任。

2020年，在疫情的影响下，远程办公成为了大多数企业的选择，但同时，企业的安全边界也愈发模糊，基于边界的安全防护体系正在瓦解。

正如中国通信院发布的《数字化时代零信任安全蓝皮报告》指出，数字化转型浪潮下，企业传统安全架构面临三大挑战：一是上云、应用架构升级等技术转型带来新的安全风险；二是工作空间和供应链协同的数字化引入更多的安全隐患；三是新零售、物联网等产品服务创新面临多样的安全威胁。

如何在受限于远程和多种非企业设备终端的情况下，保护企业数据的访问安全和合规使用？

基于零信任理念的安全架构成为其中一种解决方案，“永不信任，持续验证”的零信任让安全边界变得无所不在，也最大限度地保证了资源的被可信访问。

同年，中国信息通信研究院发布的《中国网络安全产业白皮书(2019年)》中，更是首次将零信任安全技术和5G、云安全等并列列为我国网络安全重点细分领域技术。

风口之下，何不作为？于是，派拉软件围绕着零信任进行了一系列生态产品的开发，构建了基于零信任理念的安全架构治理体系，为企业提供涵盖终端、访问通道到云端的全场景数字身份治理解决方案，同时为用户、应用、数据提供全面的安全保障机制。

“从传统身份安全转向零信任身份安全，一方面是出于外部网络环境及企业安全需求的变化，另一方面也是派拉软件有着良好的转型基础。”李广兵表示，零信任安全的本质是以身份为中心进行动态访问控制，而派拉软件在身份安全领域已积累了十多年，基础扎实，也具备着天然的优势，零信任安全的应用场景能够全覆盖认证的全链路，即“人”的身份治理、“物”的身份治理、“服务”的身份治理、以及“数据”的身份治理。

《周易·系辞》下有言：“易穷则变，变则通，通则久。”

从传统身份安全厂商转向零信任身份安全厂商的十多年间，派拉软件始终牢记于心的是：穷则思变、因时而变。

而变为革新、新则思进。

02

达者变为革新、新则思进：走向一体化零信任安全

“我刚进入网络安全行业的时候，大家讲到安全基本上就是防火墙、杀毒软件等，但现在来看，企业面临的网络安全威胁种类变得越多了，勒索软件、网络钓鱼和有针对性的攻击数量每年都在增加。”李广兵讲道。

“对于网络安全厂商而言，技术的不断研发创新固然重要，但更多需要思考的地方在于：如何在解决安全的前提下，保证产品使用的便捷性。”他强调。

“因为面临的网络安全威胁种类变多了，一家网络安全厂商很难解决企业的所有安全问题，但要是让企业堆上十来个管理平台或系统，对其网络安全的运营能力是一个极大的挑战，到时候虽然安全了，但后续的运维却增加了不少负担。”

为了满足企业更多样化的安全需求，并保证产品的便捷性，派拉软件决定做一体化的解决方案。

在一年多零信任安全实践的基础上，派拉软件不断丰富完善零信任产品矩阵，并以身份为核心，推出了一体化端到端零信任解决方案。

具体来说，就是将零信任安全能力从IAM延伸到终端安全、SDP、细粒度授权、安全网关、用户行为分析、数据访问安全等领域，同时可支持远程办公、移动设备接入、远程运维、互联网业务访问等多种复杂的应用场景。通过基于持续动态的风险评估策略进行访问控制，以助力企业构建体系化的端到端的安全防护能力。

“在不断创新的路上，我们一直在思考产品如何能更进一步。”李广兵讲道，产品竞争优势就在于跟客户更进一步，也就是贴近客户需求，客户的痛点在于端到端的安全防护能力，那企业就需要通过不断的自主研发创新去解决客户的问题。

03

写在最后

以前，我们信任着城堡和护城河的安全方法：城堡/护城河外部，即网络外部的每个人都是“坏的”，里面的每个人都是“好的”。

但如今，城堡与护城河已不复存在，工作场所已然发生了天翻地覆的变化，人们的工作空间不再拘泥于办公室。云的兴起改变了一切，带来了便捷性的同时也瓦解了网络边界。

正如城堡和护城河已成为过去一样，传统的“城堡和护城河”的安全方法也逐渐被时代所抛弃。

从“信任但验证”策略到“从不信任，始终验证”的转变，毋庸置疑，零信任安全的时代已经到来。

在时代的洪流中，派拉软件唯一能做的事，即终日乾乾，与时偕行。

通过在 配置第三方认证(RADIUS)，指向DKEY动态密码认证服务器(内置RADIUS SERVER)，用户通过拨入进行帐号+密码认证，通过之后获取动态密码(令牌产生/短信接收)，进行二次验证，通过之后即放行。
方案1：短信认证
该的双因子认证技术是基于短消息发送动态密码的方式，IT管理员会为每个用户绑定其手机号。
短信密码通过短信方式将包含随机密码的文本发送至用户手机上，通常用户会随身携带手机，无需携带额外硬件，无需安装软件，因此它是安全与便捷紧密结合的双因子认证解决方案。
11 认证流程
结合DKEY短信密码认证，通常 帐号是托管在AD/LDAP中，在完成域帐号认证之后，认证服务器会随机生成一个一次性密码并通过短信网关发送到用户手机上，用户输入至二级认证框并提交验证后才能完成认证;
这是域账户和动态密码的双重认证，因而能够很有效的保证账户信息的安全性。
用户登录认证的流程如下：
1 用户在网络接入设备 (拨号客户端or Web)提供的登录页面中输入用户的帐号口令;
在PC上通过Web访问的截图如下：
2 通过radius协议将帐号和加密后的口令提交给radius动态短信认证系统进行认证，通过再通知d出二级认证页面，并触发短信至用户手机上;
在PC上通过Web访问的截图如下：
3 用户收到动态口令短信之后在提供的进一步输入动态口令的页面中输入动态密码，并提交后，再通过radius协议将动态密码传输给radius系统做进一步认证。
12 优缺点分析
优势：
(1) 无需携带额外设备
(2) 安全便捷
(3) 管理成本低
(4) 适合登陆频度不高的用户移动办公
(5) 实现基于手机审计
(6) 永久使用，节省认证终端更换成本
劣势：
(1) 短信可能出现延时或丢失
(2) 手机欠费、无手机信号(如国外出差)，则无法正常使用
方案2：动态令牌
该的双因子认证技术是基于硬件令牌方式，IT管理员会为每个用户分配分发一枚令牌，用户登录时输入静态密码+令牌上显示的6位随即数字，即可完成登录，是目前最为常用的强身份认证方案。
动态令牌是一种硬件形式动态密码生成器，主流是基于时间型，其每隔60秒变化一个密码，密码一次性使用有效，另外由于密码生成及使用与用户终端无关，用户采用笔记本、智能机、平板都可以方便使用动态密码认证。
它最大优点在于认证响应度高，密码产生物理隔离，然而采用此种方式用户需携带额外硬件设备，移动办公用户可能由于忘记携带或者丢失导致无法认证情形。
21 认证流程
可采用两种方式：
(1) 同上，短信认证流程。
(2) 采取密码+动态密码组合方式，一级认证。
22 优缺点分析
优势：
(1) 使用便捷
(2) 高安全
(3) 业务响应度高
(4) 认证高可靠性
(5) 适合登陆频度较高的用户
劣势：
(1) 令牌生命周期，3年需更换
(2) 有物流及发放管理，因此管理成本较高
方案3：短信密码 + 动态令牌混合认证
该的双因子认证技术是基于硬件令牌、短信密码混合认证方式，兼顾两种认证手段的特点，可以实现一个用户同时绑定短信和令牌两种认证手段，易可实现分别为用户分配短信密码和令牌其中一种方式，满足不同用户的双因子认证需求。
更多强项采用此种方式，实现双因子认证。
31 认证流程
同短信认证。
32 优缺点分析
优势：
(1) 结合短信密码和动态令牌的两种优点
(2) 高可靠性
(3) 根据用户使用场景，选择相应的认证手段
劣势：
(1)管理员需管理两种认证终端

辽宁企业登记实名认证入口打不开了的原因如下。
1、网络设置的问题，这种原因比较多出现于需要手动指定IP、网关、DNS服务器联网方式下，及使用代理服务器上网的。仔细检查计算机的网络设置。
2、DNS服务器的问题，当IE无法浏览网页时，可先尝试用IP地址来访问，如果可以访问，那么应该是DNS的问题，造成DNS的问题可能是连网时获取DNS出错或DNS服务器本身问题，这时你可以手动指定DNS服务(地址可以是你当地ISP提供的DNS服务器地址，也可以用其它地方可正常使用DNS服务器地址。
3、IE浏览器本身的问题：当IE浏览器本身出现故障时，自然会影响到浏览了。或者IE被恶意修改破坏也会导致无法浏览网页。这时可以尝试用“上网助手IE修复专家”来修复，或者重新IE。
4、网络防火墙的问题：如果网络防火墙设置不当，如安全等级过高、不小心把IE放进了阻止访问列表、错误的防火墙策略等，可尝试检查策略、降低防火墙安全等级或直接关掉试试是否恢复正常。

---