零信任重構(gòu)網(wǎng)絡(luò)安全體系

1、企業(yè)業(yè)務(wù)復(fù)雜度增加、信息安全防護壓力增大，催生零信任架構(gòu)。企業(yè)上云、數(shù)字化轉(zhuǎn)型加速、網(wǎng)絡(luò)基 礎(chǔ)設(shè)施增多導(dǎo)致訪問資源的用戶/設(shè)備數(shù)量快速增長，網(wǎng)絡(luò)邊界的概念逐漸模糊；用戶的訪問請求更加復(fù) 雜，造成企業(yè)對用戶過分授權(quán)；攻擊手段愈加復(fù)雜以及暴露面和攻擊面不斷增長，導(dǎo)致企業(yè)安全防護壓力加大。面對這些新的變化，傳統(tǒng)的基于邊界構(gòu)建、通過網(wǎng)絡(luò)位置進行信任域劃分的安全防護模式已經(jīng) 不能滿足企業(yè)要求。零信任架構(gòu)通過對用戶和設(shè)備的身份、權(quán)限、環(huán)境進行動態(tài)評估并進行最小授權(quán)， 能夠比傳統(tǒng)架構(gòu)更好地滿足企業(yè)在遠程辦公、多云、多分支機構(gòu)、跨企業(yè)協(xié)同場景中的安全需求。零信任架構(gòu)涉及多個產(chǎn)品組件，對國內(nèi)網(wǎng)安行業(yè)形成增量需求

2、。零信任的實踐需要各類安全產(chǎn)品組合， 將對相關(guān)產(chǎn)品形成增量需求：1）IAM/IDaaS等統(tǒng)一身份認證與權(quán)限管理系統(tǒng)/服務(wù)，實現(xiàn)對用戶/終端的 身份管理；2）安全網(wǎng)關(guān)：目前基于SDP的安全網(wǎng)關(guān)是一種新興技術(shù)方向，但由于實現(xiàn)全應(yīng)用協(xié)議加密流 量代理仍有較大難度，也可以基于現(xiàn)有的NGFW、WAF、VPN產(chǎn)品進行技術(shù)升級改造；3）態(tài)勢感知、 SOC、TIP等安全平臺類產(chǎn)品是零信任的大腦，幫助實時對企業(yè)資產(chǎn)狀態(tài)、威脅情報數(shù)據(jù)等進行監(jiān)測；4） EDR、云桌面管理等終端安全產(chǎn)品的配合，實現(xiàn)將零信任架構(gòu)拓展到終端和用戶；5）日志審計：匯聚各 數(shù)據(jù)源日志，并進行審計，為策略引擎提供數(shù)據(jù)。此外，可信API代理等其

3、他產(chǎn)品也在其中發(fā)揮重要支撐 作用。零信任的實踐將推動安全行業(yè)實現(xiàn)商業(yè)模式轉(zhuǎn)型，進一步提高廠商集中度。目前國內(nèi)網(wǎng)安產(chǎn)業(yè)已經(jīng)經(jīng)過 多年核心技術(shù)的積累，進入以產(chǎn)品形態(tài)、解決方案和服務(wù)模式創(chuàng)新的新階段。零信任不是一種產(chǎn)品，而 是一種全新的安全技術(shù)框架，通過重塑安全架構(gòu)幫助企業(yè)進一步提升防護能力?；谝蕴W(wǎng)的傳統(tǒng)架構(gòu) 下安全設(shè)備的交互相對較少，并且能夠通過標準的協(xié)議進行互聯(lián)，因而導(dǎo)致硬件端的采購非常分散，但 零信任的實踐需要安全設(shè)備之間相互聯(lián)動、實現(xiàn)多云環(huán)境下的數(shù)據(jù)共享，加速推動安全行業(yè)從堆砌安全 硬件向提供解決方案/服務(wù)發(fā)展，同時對客戶形成強粘性。我們認為研發(fā)能力強、產(chǎn)品線種類齊全的廠商 在其中的優(yōu)勢

4、會越發(fā)明顯。2核心要點3核心要點由于中美安全市場客戶結(jié)構(gòu)不同以及企業(yè)上公有云速度差異，美國零信任SaaS公司的成功之路在國內(nèi)還 缺乏復(fù)制基礎(chǔ)。美國網(wǎng)絡(luò)安全需求大頭來自于企業(yè)級客戶，這些企業(yè)級客戶對公有云的接受程度高，過 去幾年上云趨勢明顯。根據(jù)Okta發(fā)布的2019工作報告，Okta客戶平均擁有83個云應(yīng)用，其中9%的 客戶擁有200多個云應(yīng)用。這種多云時代下企業(yè)級用戶統(tǒng)一身份認證管理難度大、企業(yè)內(nèi)外網(wǎng)邊界極為 模糊的環(huán)境，是Okta零信任SaaS商業(yè)模式得以發(fā)展的核心原因。目前國內(nèi)網(wǎng)絡(luò)安全市場需求主要集中于 政府、行業(yè)（金融、運營商、能源等），這些客戶目前上云主要以私有云為主，網(wǎng)安產(chǎn)品的部署

5、模式仍 未進入SaaS化階段。但隨著未來我國公有云滲透率的提升，以及網(wǎng)安向企業(yè)客戶市場擴張，零信任相關(guān) 的SaaS業(yè)務(wù)將會迎來成長機會。投資建議：零信任架構(gòu)的部署模式有望提升國內(nèi)網(wǎng)安市場集中度，將進一步推動研發(fā)能力強、擁有全線 安全產(chǎn)品的頭部廠商擴大市場份額、增加用戶粘性，重點推薦啟明星辰、綠盟科技、深信服、南洋股份， 關(guān)注科創(chuàng)新星奇安信、安恒信息。風(fēng)險提示：技術(shù)發(fā)展進度不及預(yù)期；網(wǎng)安行業(yè)景氣度不及預(yù)期可比公司估值對比表資料來源：Wind、招商證券（深信服、安恒信息盈利預(yù)測來自Wind一致預(yù)測）4零信任：三大核心組件、六大要素零信任的實踐將為安全行業(yè)帶來增量需求國內(nèi)外安全廠商均已積極布局零信任

6、相關(guān)產(chǎn)品投資建議1.1 零信任架構(gòu)的興起與發(fā)展零信任架構(gòu)是一種端到端的企業(yè)資源和數(shù)據(jù)安全方法，包括身份（人和非人的實體）、憑證、訪問管理、操 作、端點、宿主環(huán)境和互聯(lián)基礎(chǔ)設(shè)施。零信任體系架構(gòu)是零信任不是“不信任”的意思，它更像是“默認不信任”，即“從零開始構(gòu)建信任”的思想。 零信任安全體系是圍繞“身份”構(gòu)建，基于權(quán)限最小化原則進行設(shè)計，根據(jù)訪問的風(fēng)險等級進行動態(tài)身份 認證和授權(quán)。防火墻、VPN、UTM、入侵檢測等安全網(wǎng)關(guān)產(chǎn)品提供了強大的邊界防護能力，但檢測和阻斷內(nèi)部網(wǎng)絡(luò)攻 擊的能力不足，并且也無法保護企業(yè)邊界外的主體（例如，遠程工作者、基于云的服務(wù)、邊緣設(shè)備等）。于是從2004年開始，耶利哥論

7、壇（Jericho Forum)開始為了定義無邊界趨勢下的網(wǎng)絡(luò)安全問題并尋求解 決方案，2010年零信任術(shù)語正式出現(xiàn)，并于2014年隨著移動互聯(lián)、云環(huán)境、微服務(wù)等新場景的出現(xiàn)被大 幅采用獲得越來越廣泛地認可。圖1：零信任的發(fā)展歷史資料來源：招商證券整理2004年 耶利哥論壇（Jericho Forum)開始為了定義無邊界趨勢下的網(wǎng)絡(luò)安全問題并尋求解決方案2010年零信任術(shù)語最早由Forrester的首席分析 師約翰金德維（John Kindervag）正式提出2011-2017年Google BeyondCorp實施落地2017年業(yè)界廠商大力跟進，包括思科、微軟、 亞馬遜、Cyxtera201

8、8年至今中央部委、國家機關(guān)、中大型企 業(yè)開始探索實踐零信任安全架構(gòu)561.2 零信任架構(gòu)的三大核心組件零信任的核心組件包括策略 引擎（Policy Engine, PE）、 策 略 管 理 器 （Policy Administrator, PA）和策略 執(zhí)行點（PolicyEnforcement Point, PEP）。這些核心組件負責(zé)從收集、 處理相關(guān)信息到?jīng)Q定是否授 予權(quán)限的全過程。通過這些組件可以實現(xiàn)的零信任架構(gòu)的核心能力有：身 份認證、最小權(quán)限、資源隱 藏、微隔離、持續(xù)信任評估 和動態(tài)訪問控制。圖2：零信任架構(gòu)資料來源：NIST零信任架構(gòu)白皮書、招商證券資料來源：NIST零信任架構(gòu)白皮

9、書、招商證券表1：零信任架構(gòu)核心組件組件功能工作方式備注策略引擎（Policy Engine, PE）最終決定是否授予訪問 權(quán)限輸入企業(yè)安全策略及外部 信息（如IP類名單、威脅 情報服務(wù)），做出授予或 拒絕訪問的決定與PA配對使用，PE做出（并記錄）決策，PA執(zhí)行決策（批準或拒絕）策略管理器（Policy Administrator, PA）建立客戶端與資源之間 的連接（是邏輯職責(zé)，而非物理連接）生成針對具體會話的身份 驗證令牌或憑證，供客戶 端用于訪問企業(yè)資源實現(xiàn)時可以將PE和PA作 為單個服務(wù)策略執(zhí)行點（Policy Enforcement Point, PEP）負責(zé)啟用、監(jiān)視并最終 終止

10、主體和企業(yè)資源之 間的連接。PEP 與 PA 通信以轉(zhuǎn)發(fā)請 求，或從 PA 接收策略更 新策略管理器與策略執(zhí)行點 通過控制面板(Control Plane)保持通信7知識因素（用戶所知道的）密碼PIN手勢占有因素（用戶所擁有的）證書 軟件硬件口令固有因素（用戶的特征）生物因素（指紋、五 官、聲音）行為因素（打字速度、使用鼠標的習(xí)慣）隱形屬性地理位置 設(shè)備特征該部分單獨不能成為 驗證的因素，但是可 以增強驗證的可信度單點登錄（SSO，Single Sign On）指的是在一個多系統(tǒng)共存的環(huán)境下，用戶在一處登錄后 同時也登錄了其他的系統(tǒng)。因此在進入其他協(xié) 作系統(tǒng)之后無需重復(fù)登錄，提高了用戶的使用

11、體驗。用戶SSO程序1程序2程序3零信任的身份認證有兩方面的含義。一方面是網(wǎng)絡(luò)中的用戶和設(shè)備都被賦予了數(shù)字身份，將用戶和設(shè)備 構(gòu)建成為訪問主體進行身份認證，另一方面是用戶和設(shè)備能進行組合以靈活滿足需要。身份認證是零信任的基石。零信任的整個身份識別、信用評估和權(quán)限授予都建立在身份之上。身份與訪問管理(IAM)可以通過多因子身份驗證(MFA)和單點登錄（SSO）等身份驗證模型實現(xiàn)。MFA指的是身份認證過程中要求用戶提供兩個或多個身份驗證因素：圖3：多因素認證因素資料來源：招商證券圖4：單點登錄示意圖資料來源：招商證券1.3 零信任的六大實現(xiàn)要素身份認證8在將用戶和設(shè)備的身份數(shù)字化之后，系統(tǒng)需要通過

12、確認用戶的身份、用戶的訪問權(quán)限、設(shè)備的安全程度、 設(shè)備的訪問權(quán)限等來判斷用戶和設(shè)備的信任等級。確認用戶的身份：方式主要為多因素身份認證，如推送登錄請求、短信、密碼、指紋等。確認設(shè)備的身份：主要通過設(shè)備的識別碼、設(shè)備的安全性等確認。圖5：用戶/設(shè)備的信任建立方式資料來源：思科、招商證券1.3 零信任的六大實現(xiàn)要素身份認證用戶設(shè)備程序單獨授權(quán)用戶設(shè)備程序整體授權(quán)零信任架構(gòu)例如，允許員工通過企業(yè) 發(fā)放的工作筆記本電腦提交源代碼，但是禁止員工使用手機進行類似操作，說 明權(quán)限是基于“員工信息+工作用筆記本電腦”這個實體所授予的，若采用“員工信息+手機”則不符合授權(quán)的 實體，因此不能提交源代碼，從而終端的

13、風(fēng)險可以得到很好控制。而傳統(tǒng)架構(gòu)下，不論終端如何，只要 員工提供了賬號和密碼均能提交，安全風(fēng)險很難得到控制。9最小權(quán)限指的是一個實體被授予的權(quán)限僅限于完成任務(wù)所需要的；并且如果需要更高訪問權(quán)限，則只能在 需要的時候獲得。權(quán)限授予的主體是一個信息集合，集合內(nèi)包括用戶、應(yīng)用程序和設(shè)備3類實體信息。傳統(tǒng)架構(gòu)一般單獨對 各個實體；但是在零信任網(wǎng)絡(luò)中，將3類實體組成的網(wǎng)絡(luò)代理作為整體授權(quán)，這3類實體形成密不可分的 整體，共同構(gòu)成用戶訪問上下文。網(wǎng)絡(luò)代理具有短時性特征，授權(quán)時按需臨時生成，因此在用戶請求權(quán)限時根據(jù)實時狀態(tài)臨時生成相應(yīng)的網(wǎng) 絡(luò)代理即可實現(xiàn)當(dāng)下的最小權(quán)限。圖6：零信任架構(gòu)授權(quán)方式與傳統(tǒng)架構(gòu)的區(qū)

14、別傳統(tǒng)架構(gòu)資料來源：招商證券1.3 零信任的六大實現(xiàn)要素最小授權(quán)10資產(chǎn)隱藏指的是核心資產(chǎn)的各種訪問路徑被零信任架構(gòu)隱藏在組件之中，默認情況對訪問主體不可見，只 有經(jīng)過認證、具有權(quán)限、信任等級符合安全策略要求的訪問請求才予以放行，保護的是從用戶到服務(wù)器的 南北向的數(shù)據(jù)流。資產(chǎn)的訪問路徑的隱藏是通過隱藏業(yè)務(wù)端口的方式實現(xiàn)的。端口可以認為是打開業(yè)務(wù)的門，因此是攻擊者 攻擊的目標。傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)中，用戶需要通過客戶端先建立與服務(wù)器的連接，因此服務(wù)器的端口就 被暴露在公網(wǎng)中，若客戶端存在漏洞則很容易被利用，企業(yè)為了抵抗攻擊，有兩種應(yīng)對策略。第一種為將端口暴露在公網(wǎng)上，對訪問進行過濾，即WAF。由于

15、WAF是公開的，因此每個人都可以研究如何繞過防御或者對WAF進行攻擊。第二種策略為通過VPN接入，不把業(yè)務(wù)端口暴露在公網(wǎng)。雖然可以減少暴露面，但是由于VPN本身 還有暴露一個VPN的端口，因此仍舊存在危險。零信任架構(gòu)下資產(chǎn)的訪問需要先通過可信應(yīng)用代理/可信API代理/網(wǎng)關(guān)認證，再被授予相應(yīng)的訪問權(quán)限， 這部分流程與企業(yè)資源無關(guān)，因此企業(yè)的資源被隱藏在零信任的組件之后。圖7：傳統(tǒng)的先連接后認證授權(quán)方式資料來源：IMKP、招商證券圖8：零信任的預(yù)認證、預(yù)授權(quán)方式資料來源：IMKP、招商證券1.3 零信任的六大實現(xiàn)要素資產(chǎn)隱藏11NIST白皮書提到的一種實現(xiàn)方式為SDP（軟件定義邊界，softwar

16、e-defined perimeter）技術(shù)，SDP使用中在部署安全邊界的技術(shù)，可以將服務(wù)與不安全的網(wǎng)絡(luò)隔離開來。它可以實現(xiàn)對端口的隱藏，攻擊者接入發(fā)現(xiàn)IP地址上沒有內(nèi)容，然而有權(quán)限的業(yè)務(wù)人員卻可以正常訪問。SDP實現(xiàn)隱藏端口的效果是通過SDP客戶端和SDP網(wǎng)關(guān)實現(xiàn)的。SDP網(wǎng)關(guān)的默認規(guī)則為關(guān)閉所有端口， 拒絕一切連接，因此實現(xiàn)“隱身”的效果。而用戶要求連接的時候需要SDP客戶端使用帶有用戶身份和申請 訪問的端口的數(shù)據(jù)包“敲門”，SDP網(wǎng)關(guān)驗證通過后來自該用戶IP的流量才能訪問端口。因此通過將訪問業(yè) 務(wù)的端口放在SDP網(wǎng)關(guān)之后就可以實現(xiàn)將業(yè)務(wù)隱藏在組件之中的效果，只有先通過認證、獲得授權(quán)才能

17、獲取資源。即使端口對用戶開放之后，由于攻擊者的IP與用戶的IP不同，因此仍舊無法訪問。并且該端口對用戶只是 暫時開放，需要SDP客戶端定期敲門保持端口開放。圖9：攻擊者直接攻擊VPN的端口資料來源：Transient Access Use Cases、招商證券圖10：SDP下攻擊者無法找到端口攻擊資料來源：Transient Access Use Cases、招商證券1.3 零信任的六大實現(xiàn)要素資產(chǎn)隱藏12資料來源：安全內(nèi)參、招商證券微隔離技術(shù)指的是將服務(wù)器與服務(wù)器之間隔離，一個服務(wù)器訪問另一個服務(wù)器之前需要認證身份是否可 信。微隔離是零信任架構(gòu)的重要組成部分，SDP保護的是用戶與服務(wù)器之間的

18、安全，微隔離技術(shù)是用于 實現(xiàn)服務(wù)器與服務(wù)器之間的東西向數(shù)據(jù)流安全。微隔離目前主要應(yīng)用于數(shù)據(jù)中心，該技術(shù)通常面向工作負 載而不是面向用戶。對于在外部的攻擊者，防火墻可以發(fā)揮作用；但是對于已經(jīng)進入內(nèi)網(wǎng)的攻擊者，在沒有實現(xiàn)微隔離的時 候，攻擊者會攻擊到所有服務(wù)器；而實現(xiàn)微隔離之后攻擊范圍大大減少。微隔離有點像疫情時期的口罩。面對大量的人口流動，每棟大樓門前的體溫檢測機有時候作用有限，很容易有無癥狀的感染者進入大廈。如果每個人都帶上口罩，互相隔離就能很好地防止病毒的傳播。圖11：傳統(tǒng)隔離模式圖12：微隔離模式資料來源：安全內(nèi)參、招商證券1.3 零信任的六大實現(xiàn)要素微隔離13基于agent客戶端的實現(xiàn)基

19、于云原生的實現(xiàn)基于第三方防火墻的實現(xiàn)優(yōu) 點與底層無關(guān)，支持多云隔離功能與基礎(chǔ)架構(gòu)都是云提供的，所 以兩者兼容性更好，操作界面也類似網(wǎng)絡(luò)人員更熟悉缺 點必須在每個服務(wù)器上安裝agent 客戶端，可能有資源占用問題無法跨越多個云環(huán)境進行統(tǒng)一管控防火墻本身跑在服務(wù)器上， 缺少對底層的控制目前主要有三種方式可以實現(xiàn)微隔離，分別為基于agent客戶端的實現(xiàn)、基于云原生的實現(xiàn)和基于第三方 防火墻的實現(xiàn)基于agent客戶端的實現(xiàn)：這種實現(xiàn)方法指的是在每個服務(wù)器上安裝agent客戶端，在需要的時候agent調(diào)用主機的防火墻實現(xiàn)服務(wù)器之間訪問的控制；基于云原生的實現(xiàn)：這種實現(xiàn)方法指的是使用云平臺基礎(chǔ)設(shè)備自身的防

20、火墻實現(xiàn)訪問控制；基于第三方防火墻的實現(xiàn)：這種實現(xiàn)方法指的是給重要的或有需要的服務(wù)器配備單獨防火墻。圖13：從左到右分別為基于agent客戶端的實現(xiàn)、基于云原生的實現(xiàn)和基于第三方防火墻的實現(xiàn)示意圖資料來源：安全內(nèi)參、招商證券資料來源：安全內(nèi)參、招商證券這三種方法具有各自的優(yōu)點和缺點，因此企業(yè)需要根據(jù)自己的業(yè)務(wù)和需求進行配置。表2：三種方法的優(yōu)缺點1.3 零信任的六大實現(xiàn)要素微隔離14持續(xù)信任評估是構(gòu)建零信任架構(gòu)的關(guān)鍵，是通過策略引擎（Policy Engine，PE）來實現(xiàn)的。持續(xù)信任評 估指的是在用戶訪問的過程中的設(shè)備安全和安全變化、訪問行為都被記錄下來用于評估實時的安全等級， 并用來評估當(dāng)

21、下的可信任程度。它基于數(shù)字身份形成初步評估，并形成主體信任，然后在此基礎(chǔ)上再根據(jù)主體和設(shè)備的認證強度、設(shè)備風(fēng) 險和周圍環(huán)境等進行動態(tài)信任程度的調(diào)整。傳統(tǒng)的信任評估是靜態(tài)的，一旦獲得權(quán)限就不再變動，而持續(xù) 信任評估則會根據(jù)主體狀態(tài)進行調(diào)整。PE負責(zé)最終決定是否授予指定訪問主體對資源（訪問客體）的訪問權(quán)限。在確定好企業(yè)安全策略，并將IP黑名單、威脅情報服務(wù)等信息輸入PE后，PE決定授予或拒絕對該資源的訪問，策略引擎的核心作用是 信任評估?？傊?，獲得權(quán)限只是開始，零信任架構(gòu)還會在訪問進程中持續(xù)判定主體當(dāng)下的情況是否適合訪問，動態(tài)地 決定下一步的動作，比如阻斷回話、允許會話、進一步判定、有限制的允許等

22、。訪問行為周圍 環(huán)境終端 環(huán)境持 續(xù) 信 任 評 估 策 略 引 擎允許 訪問阻斷 訪問進一 步判 定圖14：持續(xù)信任評估引擎工作原理示意圖資料來源：招商證券圖15：信任引擎計算信任評分并授權(quán)資料來源：NIST零信任網(wǎng)絡(luò)、招商證券1.3 零信任的六大實現(xiàn)要素持續(xù)信任評估15動態(tài)訪問控制體現(xiàn)了零信任架構(gòu)的安全閉環(huán)能力，它根據(jù)信任評估持續(xù)調(diào)整用戶的權(quán)限。它使用了RBAC（以角色為基礎(chǔ)的存取控制）和ABAC（基于屬性的訪問控制）的組合授權(quán)實現(xiàn)靈活的訪 問控制。舉個例子，假如疫情期間有人想要進辦公樓，辦公樓相當(dāng)于企業(yè)的數(shù)據(jù)，網(wǎng)絡(luò)攻擊相當(dāng)于病毒：路人員工角色判別中級權(quán)限： 在街上溜達中級權(quán)限： 在街上溜

23、達ABAC基于用戶+設(shè)備+其他要素管理， 細粒度，但操作復(fù)雜且占用資源較大員工A健康碼通行證路人B高級權(quán)限： 進辦公樓（健康）圖16：RBAC與ABAC的工作原理示意圖RBAC基于用戶角色管理， 粗粒度，但是操作簡便員工A路人B高級權(quán)限： 進辦公樓（健康狀況未知）資料來源：招商證券1.3 零信任的六大實現(xiàn)要素動態(tài)訪問控制161.4 Google BeyondCorp體系是零信任最成功的實踐之一在零信任發(fā)展過程中，谷歌的BeyondCorp模式是最成功的的實踐之一。BeyondCorp是一種無企業(yè)網(wǎng)絡(luò)特權(quán)的新模式，用戶和設(shè)備的訪問都基于權(quán)限，與網(wǎng)絡(luò)位置無關(guān)，無論是 在公司、家庭網(wǎng)絡(luò)、酒店或是咖啡

24、店。所有對企業(yè)資源的訪問都是基于設(shè)備狀態(tài)和用戶權(quán)限進行全面認證、 授權(quán)和加密的。因此員工無需使用傳統(tǒng)的VPN即可實現(xiàn)在任何地點的安全訪問。圖17：BeyondCorp 組件和工作流資料來源：BeyondCorp、招商證券17機場wifi訪問 企業(yè)內(nèi)網(wǎng)訪問代 理重定向到SSO訪問代理（持有設(shè)備證書和 單點登錄令牌）訪問控制引擎授權(quán) 檢查獲取服務(wù)指向設(shè)備證書小明提供雙 因素認證重定向通過持 續(xù) 認 證谷歌大樓內(nèi)訪 問企業(yè)內(nèi)網(wǎng)電腦提供設(shè)備證書電腦提供1.4 Google BeyondCorp體系是零信任最成功的實踐之一在BeyondCorp系統(tǒng)改造過程中有幾個關(guān)鍵點：安全識別設(shè)備：只有受控設(shè)備（ma

25、naged devices）才能訪問企業(yè)應(yīng)用，并且所有受控設(shè)備都有唯一標識安全識別用戶：用戶/群組數(shù)據(jù)庫與谷歌的員工信息形成密切的數(shù)據(jù)集成消除基于網(wǎng)絡(luò)位置的信任：即使是在谷歌辦公大樓內(nèi)部的客戶端設(shè)備也被分配到無特權(quán)網(wǎng)絡(luò)中，介入這個網(wǎng)絡(luò)只有經(jīng)過代理網(wǎng)關(guān)的認證授權(quán)后才能繼續(xù)訪問企業(yè)應(yīng)用訪問控制：通過查詢多個數(shù)據(jù)來源持續(xù)推斷每個用戶/設(shè)備的權(quán)限，權(quán)限可能隨時改變，并且本次訪 問權(quán)限的級別將為后續(xù)級別提供參考信息那么接下來我們看看員工是如何使用BeyondCorp的：假設(shè)員工在谷歌大樓內(nèi)接入內(nèi)網(wǎng)，則電腦需與 RADIUS服務(wù)器進行802.1x握手，無需通過訪問代理訪問。假如該員工在出差過程中需要在機場

26、登錄內(nèi)網(wǎng) 就會經(jīng)歷以下的過程：圖18：員工接入內(nèi)網(wǎng)流程示意圖資料來源：招商證券18零信任：三大核心組件、六大要素零信任的實踐將為安全行業(yè)帶來增量需求國內(nèi)外安全廠商均已積極布局零信任相關(guān)產(chǎn)品投資建議192.1 零信任安全解決方案主要包括四個模塊目前零信任安全解決方案主要包括統(tǒng)一信任管理平臺、安全訪問網(wǎng)關(guān)、安全管理平臺和可信終端套件四個 產(chǎn)品組成。圖19：零安全解決方案主要產(chǎn)品及其架構(gòu)資料來源：綠盟科技、招商證券20通過處理終端信息與統(tǒng)一信任管理平臺進行數(shù)據(jù)傳輸。2.1 零信任安全解決方案主要包括四個模塊統(tǒng)一信任管理平臺：統(tǒng)一信任管理平臺至少具備身份認證模塊、權(quán)限管理模塊和安全審計模塊，集合了用

27、戶、認證、授權(quán)、應(yīng)用、審計的統(tǒng)一管理功能，是用戶身份和訪問管理的平臺。其中，統(tǒng)一身份認證（Identity and Access Management，簡稱IAM）是平臺內(nèi)最重要的功能組件，包含了SSO和MFA）。 IAM在工作過程中與零信任各組件之間協(xié)調(diào)聯(lián)動，根據(jù)安全管理平臺的分析的決策對用戶可信度進行認證， 并將信息傳遞給安全認證網(wǎng)關(guān)，整個過程處于動態(tài)之中，實現(xiàn)持續(xù)的可信驗證。因此IAM是零信任身份認 證的關(guān)鍵。圖20：IAM功能資料來源：Sennovate、招商證券設(shè)備代理/網(wǎng)關(guān)：傳統(tǒng)的接入方式為通過VPN接入，而零信任架構(gòu)下更多地是基于SDP技術(shù)的設(shè)備代理+網(wǎng) 關(guān)接入。這種部署方式與V

28、PN相比有一定優(yōu)勢，但是由于目前技術(shù)很難達到零信任方案要求的全流量加 密且攜帶必要標識信息，且高性能VPN也可以根據(jù)應(yīng)用安裝從而實現(xiàn)應(yīng)用層的控制并且目前VPN的普及 程度更廣，所以基于SDP的設(shè)備代理/網(wǎng)關(guān)取代VPN還需要一段時間。安全管理平臺：安全管理平臺相當(dāng)于零信任架構(gòu)中的大腦，決定信用評估的策略引擎就在安全管理平臺之 下。它通過收集情報數(shù)據(jù)、其他風(fēng)險數(shù)據(jù)、使用日志等信息，經(jīng)過分析評估之后做出決策并將決策下發(fā)信 任管理平臺。終端安全：終端安全類產(chǎn)品提供設(shè)備的安全狀態(tài)信息，分為終端安全服務(wù)平臺和可信終端Agent兩部分。 可信終端Agent負責(zé)收集終端環(huán)境信息、保護終端安全與提供終端訪問代理

29、的功能，終端安全服務(wù)平臺則21由于企業(yè)的架構(gòu)與業(yè)務(wù)開展方式不同，部署零信任的方式也有差異。擁有多分支機構(gòu)的企業(yè)：在擁有總部和位于各地的分支機構(gòu)或遠程工作的員工的企業(yè)部署方式為，策略 引擎(PE)/策略管理器(PA)通常作為云服務(wù)托管，終端資產(chǎn)安裝代理或訪問資源門戶。多云/云到云的企業(yè)：企業(yè)有一個本地網(wǎng)絡(luò)，但使用多個云服務(wù)提供商承載應(yīng)用、服務(wù)和數(shù)據(jù)。此時需要 企業(yè)架構(gòu)師了解各個云提供商的基礎(chǔ)上，在每個資源訪問點前放置策略執(zhí)行點，PE和PA可以位于云或第 三方云提供商上的服務(wù)，客戶端直接訪問策略執(zhí)行點。存在外包服務(wù)或非員工訪問的企業(yè)：企業(yè)有時需要外包在現(xiàn)場為企業(yè)提供服務(wù)，或非員工會在會議中心與員工

30、交互。這種情況下，PE和PA可以作為云服務(wù)或在局域網(wǎng)上托管，企業(yè)可以安全代理或通過門戶訪問 資源，沒有安全代理的系統(tǒng)不能訪問資源但可訪問互聯(lián)網(wǎng)。跨企業(yè)協(xié)作：企業(yè)A、B員工協(xié)作，其中企業(yè)B的員工需要訪問企 業(yè)A的數(shù)據(jù)庫，這種情況與擁有多分支機構(gòu)企業(yè)相似，作為云服務(wù) 托管的PE和PA允許各方訪問數(shù)據(jù)庫，且企業(yè)B的員工需安裝代理 或通過Web代理網(wǎng)關(guān)訪問。面向公眾或客戶提供服務(wù)的企業(yè)：零信任只對企業(yè)的客戶或注冊用戶適用，但由于請求的資產(chǎn)很可能不是企業(yè)所有所以零信任的 實施受限。圖22：擁有多分支機構(gòu)的企業(yè)圖23：多云/云到云的企業(yè)圖24：存在外包服務(wù)或非員工訪問的企業(yè)圖21：跨企業(yè)協(xié)作資料來源：NI

31、STZero Trust Architecture、招商證券2.2 零信任的主要部署場景222.3 零信任將會對部分安全產(chǎn)品帶來增量效應(yīng)零信任作為一種網(wǎng)絡(luò)安全解決方案的思路，它的部署需要一系列的產(chǎn)品配合，有些產(chǎn)品是零信任特有的， 有些功能則只需要建立在原來設(shè)備的基礎(chǔ)上整合入零信任平臺即可。具體來看，零信任的實踐需要各類安全產(chǎn)品組合，將對相關(guān)產(chǎn)品形成增量需求：1）IAM/IDaaS等統(tǒng)一身 份認證與權(quán)限管理產(chǎn)品/服務(wù)；2）安全接入網(wǎng)關(guān)：基于SDP實現(xiàn)的安全接入網(wǎng)關(guān)與VPN相比有一定優(yōu)勢， 但是由于目前技術(shù)很難達到零信任方案要求的全流量加密且攜帶必要標識信息，因為高性能VPN也可以根據(jù)應(yīng)用安裝從而

32、實現(xiàn)應(yīng)用層的控制并且目前VPN的普及程度更廣；3）態(tài)勢感知、TIP等安全平臺類產(chǎn) 品是零信任的大腦，幫助實時對資產(chǎn)狀態(tài)、威脅情報數(shù)據(jù)等進行監(jiān)測；4）EDR、云桌面管理等終端安全產(chǎn)品的配合，實現(xiàn)將零信任架構(gòu)拓展到終端和用戶；（5）日志審計：匯聚企業(yè)終端、網(wǎng)絡(luò)設(shè)備、主機、 應(yīng)用、安全系統(tǒng)等產(chǎn)生的日志，并進行審計，為策略引擎提供數(shù)據(jù)輸入 。此外，NGFW、WAF、可信 API代理等產(chǎn)品也在其中發(fā)揮重要支撐作用。圖25：零信任解決方案架構(gòu)資料來源：綠盟科技、招商證券23零信任抓住了目前網(wǎng)絡(luò)安全用戶的痛點， 零信任是未來網(wǎng)絡(luò)安全技術(shù)的重要發(fā)展方 向。根據(jù)Cybersecurity的調(diào)查，目前網(wǎng)絡(luò) 安全的

33、最大的挑戰(zhàn)是私有應(yīng)用程序的訪問 端口十分分散，以及內(nèi)部用戶的權(quán)限過多。 62%的企業(yè)認為保護遍布在各個數(shù)據(jù)中心 和云上的端口是目前最大的挑戰(zhàn)，并且 61%的企業(yè)最擔(dān)心的是內(nèi)部用戶被給予的 權(quán)限過多的問題。這兩點正是零信任專注 解決的問題，現(xiàn)在有78%的網(wǎng)絡(luò)安全團隊 在嘗試采用零信任架構(gòu)。2.4 零信任將會成為安全行業(yè)未來的重要發(fā)展方向圖26：未來是否會采用零信任架構(gòu)？資料來源：Cybersecurity、招商證券圖27：目前端口防護面臨的最大的挑戰(zhàn)？圖28：目前企業(yè)安全最擔(dān)憂的事情？24零信任：三大核心組件、六大要素零信任的實踐將為安全行業(yè)帶來增量需求國內(nèi)外安全廠商均已積極布局零信任相關(guān)產(chǎn)品投

34、資建議25海外零信任市場蓬勃發(fā)展，眾多安全廠商已通過自研或收購?fù)瞥鐾暾鉀Q方案。Google BeyondCorp、 微軟的Azure Zero Trust Framework都經(jīng)過了公司內(nèi)部的實踐后推出的產(chǎn)品。Okta為代表的身份安全廠商 推出的零信任解決方案以“身份認證”為重點。思科、賽門鐵克等公司推出的方案則以網(wǎng)絡(luò)實施方式為主。 另外外延并購也常見于零信任產(chǎn)品發(fā)展的過程中，如OKTA在2018年并購ScaleFT。3.1 海外眾多安全廠商通過自研或收購切入零信任市場供應(yīng)商產(chǎn)品或服務(wù)名稱AkamaiEnterprise Application AccessCato NetworksCato

35、 Cloud思科Duo Beyond（收購）CloudDeep TechnologyDeepCloud SDPCloudflareCloudflare AccessInstaSafeSecure AccessMeta NetworksNetwork as a Service PlatformNew EdgeSecure Application NetworkOktaOkta身份云SAIFEContinuum賽門鐵克Luminate安全訪問云（收購）VerizonVidder Precision Access（收購）ZscalerPrivate AccessGoogleBeyondCorp供應(yīng)商

36、產(chǎn)品或服務(wù)名稱BlackRidge TechnologyTransport Access ControlCertes NetworksZero Trust WANCyxteraAppGate SDPGoogle Cloud Platform (GCP)云身份感知代理（云IAP）Microsoft （僅Windows 系統(tǒng)）Azure AD Application ProxyPulse SecurePulse SDPSafe-TSoftware-Defined Access SuiteUnisysStealthWaverley LabsOpen Source Software Defined P

37、erimeterZentera SystemsCloud-Over-IP (COiP) Access資料來源：Gartner、招商證券表3：海外零信任服務(wù)的代表提供商表4：海外零信任產(chǎn)品的代表提供商262009年2010年公 司 成立推出SSO產(chǎn)品推出IAM產(chǎn)品Okta身份云（Identity Cloud）2013年推出通用目錄（Universal Directory）產(chǎn) 品2014年推出移動管理（Mobility Management）產(chǎn)品身份云與SSO和通用目錄集成提供身份云API對外開放，可與合作伙伴或第三方產(chǎn)品集成2015年推出自適應(yīng)多因 素身份認證（Adaptive Multi-Fa

38、ctorAuthentication）， 并集成于身份云2016年推出生命周期管 理 （Lifecyle Management）， 擴展所有產(chǎn)品 系列的預(yù)配置功能2018年收購零信任安全公司ScaleFT， 訪問管理平臺 可實現(xiàn)無VPN的遠程安全訪問2019年收購工作流程自動化公司 Azuqua以簡化 身份創(chuàng)建流程3.2 海外零信任公司專注身份認證產(chǎn)品的Okta資料來源：Gartner、招商證券Okta以身份管理起家，通過內(nèi)生外延成為零信任領(lǐng)域的領(lǐng)導(dǎo)廠商。Okta的兩位創(chuàng)始人曾擔(dān)任Salesforce早 期高管，后因意識到多云多終端時代統(tǒng)一身份管理的重要性而創(chuàng)辦Okta。Okta于2009年創(chuàng)

39、立，在身份認證 領(lǐng)域持續(xù)深耕成為領(lǐng)先廠商。Okta在2018年收購零信任安全公司ScaleFT，ScaleFT的技術(shù)和VPN這種邊界 防護技術(shù)不一樣，是通過用戶狀態(tài)、用戶權(quán)限去進行安全管理。Okta核心競爭力在于與多款云應(yīng)用產(chǎn)品集成。與企業(yè)客戶常用的6500多款云應(yīng)用進行了集成，這是Okta最強力的競爭優(yōu)勢，通過Okta可以登錄包括AWS、Office365等多個應(yīng)用。此外公司產(chǎn)品標準化程度高， 通過鼠標點擊即可安裝，操作簡單；企業(yè)管理員可以為全公司配置通用內(nèi)部系統(tǒng)，配置時間短；可滿足企 業(yè)用戶對頁面的個性化需求等。圖29：Okta不斷通過內(nèi)生外延深耕身份管理資料來源：Okta招股書、招商證券

40、圖30：IAM產(chǎn)品的Gartner魔力象限圖31：Okta身份認證平臺支持的部分軟件資料來源：Okta官網(wǎng)、招商證券27Okta的商業(yè)模式以訂閱制為主。Okta給客戶提供服務(wù)主要是以Saas的方式進行并收取訂閱費，輔以少量 的開發(fā)服務(wù)，目前其訂閱收入占到總收入的95%左右。由于美國企業(yè)上云進度快，Okta過去幾年收入增速迅猛。美國信息安全需求大頭來自于企業(yè)級客戶，這 些企業(yè)級客戶對公有云的接受程度高，過去幾年上云趨勢明顯：根據(jù)Okta發(fā)布的 2019工作報告， Okta客戶平均擁有83個云應(yīng)用，其中9%的客戶擁有200多個云應(yīng)用，并且這一數(shù)字還在繼續(xù)增長。Okta 通過統(tǒng)一身份認證產(chǎn)品很好地解

41、決了多云時代部署越來越多應(yīng)用的企業(yè)級應(yīng)用用戶單點登錄管理的需求，幫助其營收在過去幾年大幅增長。3.2 Okta充分受益于美國企業(yè)上云大趨勢0.41010.85911.60335.860793%89%89%2.599993%92%3.992586%87%88%89%90%91%92%93%94%94%95%01234567201520162017201820192020營業(yè)收入（億美元）訂閱收入占比圖32：Okta營業(yè)收入與訂閱收入/總收入情況資料來源：Okta招股書、年報、招商證券圖33：Okta平均每位用戶擁有的應(yīng)用數(shù)圖34：Okta平均每位用戶擁有的應(yīng)用數(shù)（對用戶規(guī)模分類）資料來源：Okt

42、a官網(wǎng)、招商證券持續(xù)不斷地集成多云應(yīng)用，是Okta的核心競 爭力。在2020年7月底，被Okta集成的云應(yīng)用多達6500款?？蛻艉透邇r值客戶數(shù)量持續(xù)增長，高續(xù)費率 顯示極強客戶黏性。在2020年7月底，Okta 的客戶數(shù)高達8950家，其中給Okta貢獻10 萬美元年合同以上的客戶數(shù)量達到1685家。公司過去12個月的凈續(xù)費率達到119%，顯 示出良好的客戶黏性。3.2 OKTA具有良好的財務(wù)數(shù)據(jù)表現(xiàn)500055006000650040004500500055006000650070002017201820192020120%123%121%120%119%123%122%121%120%11

43、9%118%117%124%2019202028凈續(xù)費率圖35：Okta大客戶數(shù)量及其占總客戶數(shù)比重圖36：Okta凈續(xù)費率201620172018資料來源：Okta年報、招股書、招商證券圖37：Okta第三方軟件集成數(shù)目第三方軟件集成數(shù)目（個）443691103814671959266267136595062648312%14%16%17%16%14%12%10%8%6%4%2%0%18% 18%20%90008000700060005000400030002000100002016201720182019資料來源：Okta年報、招股書、招商證券2020合同價值10萬美元客戶數(shù)（個） 合同價

44、值10萬美元客戶數(shù)（個） 合同價值10萬美元客戶/總客戶293.2 零信任Saas企業(yè)Zscaler也顯示出良好的財務(wù)數(shù)據(jù)28003250390010%15%20%0%5%10%15%20%0100020003000400050002019客戶數(shù)（位）53.7125.7190.2805.30%57%51%302.859%60%58%56%54%52%50%48%46%44%25%35030025020015010050020152016201720182019收入（百萬美元）116%115%115%117%118%113%114%115%116%117%118%119%2019續(xù)費率67.09

45、6.5156.4390.044%62%65%257.651%0%20%40%60%80%0.0100.0200.0300.0400.0500.0201720182019訂單數(shù)（百萬美元）增長率20172018資料來源：Zscaler年報、招股書、招商證券Zscaler零信任產(chǎn)品ZAP客戶持續(xù)增長，并且黏性很強。Zscaler成立于2008年。Zscaler通過云平臺提供安 全服務(wù)，其安全節(jié)點分布在全球100個數(shù)據(jù)中心。截止2019年7月底為3900個客戶提供服務(wù)，其中400家為 全球2000強，且新增訂單金額仍在快速增長。Zscaler主要產(chǎn)品包括Web網(wǎng)關(guān)解決方案Internet Acces

46、s（ZIP） 和提供遠程訪問云上內(nèi)部應(yīng)用程序功能的Private Access（ZAP），前者主要功能是保護客戶免受惡意流量 攻擊，后者是零信任，收費方式基本是訂閱制。Zscaler的續(xù)費率為118%，同樣顯示出了良好的客戶黏性。圖38：公司續(xù)費率情況圖38：公司新增訂單情況2015201620172018圖38：公司客戶數(shù)及福布斯世界2000強覆蓋率20152016圖38：公司收入情況30由于中美安全市場客戶結(jié)構(gòu)不同以及企業(yè)上公有云速度差異，美國零信任SaaS公司的成功之路在國內(nèi)還缺乏 復(fù)制基礎(chǔ)。美國網(wǎng)絡(luò)安全需求大頭來自于企業(yè)級客戶，這些企業(yè)級客戶對公有云的接受程度高，過去幾年上 云趨勢明顯

47、。根據(jù)Okta發(fā)布的2019工作報告，Okta客戶平均擁有83個云應(yīng)用，其中9%的客戶擁有200 多個云應(yīng)用。這種多云時代下企業(yè)級用戶統(tǒng)一身份認證管理難度大、企業(yè)內(nèi)外網(wǎng)邊界極為模糊的環(huán)境，是 Okta零信任SaaS商業(yè)模式得以發(fā)展的核心原因。目前國內(nèi)網(wǎng)絡(luò)安全市場需求主要集中于政府、行業(yè)（金融、 運營商、能源等），這些客戶目前上云主要以私有云為主，網(wǎng)安產(chǎn)品的部署模式仍未進入SaaS化階段。但隨 著未來我國公有云滲透率的提升，以及網(wǎng)安向企業(yè)客戶市場擴張，零信任相關(guān)的SaaS業(yè)務(wù)將會迎來成長機會。3.3 零信任對國內(nèi)安全廠商格局的影響與美國存在一定差異啟明星6%奇安信6%深信服 5%天融信5%綠盟科

48、 技 3%其他75%目前零信任技術(shù)發(fā)展給國內(nèi)廠商帶來的機會，在 于提升市場份額的集中度，利好產(chǎn)品線齊全的龍 頭廠商如奇安信、啟明星辰、綠盟科技、深信服 等。在零信任技術(shù)之前，信息安全通常是被動防 御，以獨立、堆砌的方式去部署各種各樣的盒子（防火墻、IPS、IDS等）。在這樣的情況下，各 個廠商之間的設(shè)備相互獨立，不需要很強的聯(lián)動 能力，因此我們看到安全市場是一個較為分散的 市場。但是隨著客戶面臨的安全環(huán)境越發(fā)復(fù)雜，以及以零信任、云原生為代表的新技術(shù)出現(xiàn)，使 得信息安全向主動防御轉(zhuǎn)變。這個時候需要信息安全設(shè)備之間相互聯(lián)動、數(shù)據(jù)共享，研發(fā)能力強、 產(chǎn)品種類齊全的廠商優(yōu)勢會越發(fā)明顯，不斷蠶食 研發(fā)能

49、力弱、產(chǎn)品單一的廠商的份額。我們可以 從各個公司官網(wǎng)看到，包括奇安信、啟明星辰、 綠盟科技、深信服等多家廠商都推出了零信任的 整體解決方案。圖38：國內(nèi)網(wǎng)安行業(yè)競爭格局仍然相對分散資料來源：艾瑞咨詢、招商證券313.3 國內(nèi)網(wǎng)安公司已紛紛開始布局零信任相關(guān)產(chǎn)品資料來源：各公司官網(wǎng)、招商證券目前我國眾多網(wǎng)安廠商均提供了零信任安全平臺或者在產(chǎn)品中采用了零信任思路：表5：國內(nèi)網(wǎng)安公司的零信任產(chǎn)品布局企業(yè)名稱主要產(chǎn)品/方案產(chǎn)品特點啟明星辰零信任安全管控平臺將人、設(shè)備、服務(wù)和應(yīng)用的身份均抽象成主體身份，以身份為中心，通過對主體身份屬性的持續(xù)身份認證動態(tài)授權(quán)，保障資源和數(shù)據(jù)的訪問和使用安全、綠盟科技零信任

50、安全解決方案組合終端安全，身份識別與管理，網(wǎng)絡(luò)安全，應(yīng)用和數(shù)據(jù)安全，安全分析協(xié)作與響應(yīng)等模塊，構(gòu)建自適應(yīng) 訪問控制的零信任安全架構(gòu)奇安信奇安信零信任安全解基于數(shù)字身份，對所有訪問請求進行加密、認證和強制授權(quán)，進行持續(xù)信任評估，并動態(tài)調(diào)整權(quán)限，建立 決方案一種動態(tài)的信任關(guān)系深信服深信服aTrust安全解 決方案在零信任的基礎(chǔ)上做了增強，通過信任和風(fēng)險的反饋控制，實現(xiàn)“精確而足夠”的信任。同時，終端、邊界、 外網(wǎng)的已有安全設(shè)備可以基于信任和風(fēng)險的閉環(huán)進行聯(lián)動零信任VPN圍繞“以身份為中心，構(gòu)建可信訪問、智能權(quán)限、極簡運維的零信任安全架構(gòu)”的核心價值理念，實現(xiàn)全面 能力升級，助力用戶實現(xiàn)規(guī)?；?、全員

51、遠程辦公天融信軟件定義安全SDSec 解決方案該系統(tǒng)基于縱深防御模型，東西向微分段、零信任機制幫助云平臺解決虛機間東西向流量深度防護問題， 為用戶云上業(yè)務(wù)保駕護航天融信虛擬化分布式零信任，微分段保護東西向流量；分布式部署，無安全處理 “瓶頸”，線速轉(zhuǎn)發(fā)，水平擴展；安全策略部署防火墻貼近應(yīng)用，保障安全；虛機隨意遷移，策略全程有效安恒信息明御主機安全及管理 系統(tǒng)集成了豐富的系統(tǒng)防護與加固、網(wǎng)絡(luò)防護與加固等功能的主機安全產(chǎn)品；通過內(nèi)核級東西向流量隔離技術(shù)， 實現(xiàn)網(wǎng)絡(luò)隔離與防護；觸發(fā)登錄防護后，自動聯(lián)動添加微隔離規(guī)則迪普科技網(wǎng)絡(luò)安全風(fēng)險管控平幫助用戶實現(xiàn)資產(chǎn)測繪、漏洞感知及運營管理的產(chǎn)品，基于零信任安全理念，借助實時采