说人话 :: Luca's Blog

按理说，说人话应该不难。可惜在现实中，我见了不少反例。

上学时，我一度喜欢优美的辞藻——这可能来自学校教育，我家孩子现在写作文，也会追求“好词好句”——这很像现在自媒体提到的“金句”。但我在写所谓好词好句时，笔力不够，往往画虎成犬，那种文字，精美、空洞。

后来读海明威，觉得更适合自己的性格，转头爱上了简单、干净、讲清楚的写法，甚至以“减到不能再减”为美。

参加工作后，在信息安全行业，学习部分伙伴做售前的讲义，往往诸多术语、缩写，更可怕的还有很多自造的概念与缩写，造词者不说，听者绝无可能自行理解。

那时猜度：可能这种方式，最容易凸显专业性。我学不会，往往还是按自己的简单方式讲，客户听懂就好。

之所以提起“说人话”，是想推荐“虎盾零信任访问安全系统”。

知识星球面临一些网络安全问题。

与业务相关的问题有：不断有新业务上线，旧业务下线导致资产梳理困难。外部黑客的扫描、主管部门安全检查带来的压力。

与账号相关的问题有：人员的入职、离职、调岗，随之而来的账号分发、清理、权限调整，长期维护很复杂。面对内外部威胁的账号安全管理（弱口令检查、防撞库攻击等）。

与数据安全相关的问题有：互联网行业提倡更透明的文化与员工需要合理使用部分敏感数据之间的矛盾。法律法规对隐私保护、安全合规、数据安全的要求需要遵循。

用了虎符网关后，我问我们 CTO：有用吗？他说：

虎符网关对咱的价值体现在开箱即用的用户身份双重验证能力（账号密码 + 一次性口令）以及相应管理能力，用了之后，确实提高了复杂的内部业务安全性，同时减少了研发、维护和管理成本。

内部业务管理更容易。比如：

内部业务系统上线、下线操作都变得简单。

有统一入口，不用再手工向同事分发内部业务网址。

可以明确的授权哪些同事可以访问什么内部业务。

对敏感数据的访问、使用有监测和保护。

外部安全更可控。比如：

业务隐身，针对业务服务器、域名的随机扫描与攻击基本消除。

所以，如果你面临着跟我们差不多的网络安全问题，或许也可以试试虎符网络的产品。

“虎盾”是好朋友王伟的作品——他创业做“虎符网络”，获得两轮融资，产品在政府、金融、电力、互联网等行业都有成功应用，他还担任了杭州余杭区的政协委员。

王伟年轻时混在网上，使用过的 ID 有 alert7、姑苏烂叶，我与他共事过两年，并且一起运维了十几年的“安全焦点”网站，他给我的印象，一直是白净斯文，平时默默搞研究写代码专研得很深，不太沟通——除非是讨论技术问题——那会时不时与人争执得面红耳赤。不太社交——一杯啤酒下肚也面红耳赤。

他第一次创业，被阿里收购。待了几年，耐不住创造的欲望，再次创业，做的就是虎符。因为信任他，连带着，我也信任了他做的产品。

推荐完毕，以下就准备原文照登了——我觉得，至少在“说人话”这个方向上，虎符跟王伟的性格有点像——不擅长沟通，讲的多是技术语言，有很大改进空间。

虎符网络的旗舰产品——虎盾零信任访问安全系统（简称“虎盾”），定位于通过轻量化改造帮助用户构建以身份为中心的可信身份网络和零信任安全底座，让用户随时随地安全办公。

虎盾将传统的基于网络区域边界的安全防护模式，转变为身份经过可信验证后才建立访问连接的防护模式；并通过可信身份验证、设备环境感知、多源信任评估、自适应权限控制等多种技术，为企业筑造可信身份的应用安全访问边界，打造随时随地可以安全接入的访问环境。

虎盾采用管控分离设计，主要由零信任客户端（可选）、零信任控制中心、零信任安全网关组成；整体方案利用“端+网关”构建了一个应用层虚拟的私有可信身份网络，让所有用户身份、应用资源、设备信息、网络流量、用户行为等要素都呈现在一个计算平面内，实现应用暴露面收敛、应用资源管控、实名身份流量、可信设备管控等效果。除了提升企业的整体安全水位外，同时也降低了IT运维和运营成本。

虎盾典型应用场景

虎盾可有效解决远程接入场景下的多种类型安全问题，典型适用场景包括：

1、企业私有Web应用安全访问（知识星球的业务场景）

对于金融、大型企业、互联网等行业客户，需要数量众多且相对独立的私有应用支持其复杂业务系统。随着应用的逐年增加，为了提升业务效率，往往同时还需要将私有应用接入到身份认证和SSO单点登录系统。对于此类业务场景，存在安全和管理两类典型痛点。

安全方面，每个私有应用都可能是一个潜在的业务风险暴露面。云化的趋势让很多企业的内部应用迁移到云上，导致了内部应用直接暴露在互联网上，加大了风险。

管理方面，分期分批建设的不同私有应用有的接了统一身份和SSO，有的使用自有账号体系，还有甚至是没有账号体系，造成用户访问权限管理混乱。由于没有统一的认证体系，对不同的业务应用要配置不同的账号，可能导致弱密码、离职员工账号权限滥用等情况。

简单总结，此类场景需要解决的两个核心问题：如何收敛互联网暴露面，及如何提升管理效率，降低管理成本。

虎盾通过在互联网上为企业私有Web应用构建可信的虚拟身份网络，将所有Web应用都塞回到内网，解决私有Web应用面临的来自外部的网络攻击和来自内部的数据泄露及滥用；同时虎盾支持对接用户已有的各类认证体系，构建统一的认证体系规范账号管理和分发，降低管理成本。

虎盾构建了一个虚拟的内网，没有通过MFA等身份核验将无法进入这个网络，解决内部应用的互联网暴露面的问题。

虎盾将所有企业的私有Web应用都纳入到统一认证，统一身份对接，统一管控等，解决接入用户身份混乱、管理成本高的问题。

支持轻量的统一身份中心，支持Oauth2和JWT协议，帮助企业构建低成本的单点登录系统。

在知识星球完成部署后，由于实现了内网应用在互联网上的隐身，针对业务服务器、域名的随机扫描与攻击基本消除；业务账号统一管理，账号分发、账户权限清晰，且启用双因素认证，安全性大大增强；在构建统一身份认证体系和接入内网应用过程中，也完成了对业务的重新梳理，业务资产更清晰，业务上下线一目了然，在提高复杂内部业务系统安全性的同时也降低了管理成本。

2、外包人员远程接入

对于运营商、教育、企业等行业用户，第三方的外包人员远程接入成为常态。由于外包人员相对不可控，设备共用、账号共享等问题频发，导致企业信息化资源、数据安全岌岌可危。

虎盾支持对终端用户身份可信辨识，所有远程接入访问均需要经过虎盾进行身份验证和终端、环境、行为的可信确认，并支持准入安全管控、异常行为分析、数据泄露风险分析、行为审计分析，实现身份可信、行为感知、审计追溯的能力。

3、重保和HVV

HVV期间，一般红队在真正攻击之前会摸清攻击目标在整个互联网中的资产暴露面情况，并通过探测到的突破口渗入内网发动进一步的攻击和渗透。例如，近年的HVV很多红队的突破口是暴露在互联网上的VPN设备，通过VPN穿透到整个内网。因此，管控内网应用在互联网上的资产暴露面尤为重要。

虎盾基于可信设备和风险感知能力体系，让接入的所有服务在互联网上隐身，让不可信设备寸步难行；同时对设备身份和用户身份进行鉴别，以用户身份为访问凭证进行接入授权访问。此外，虎盾具备一键重保功能，启用后不再接收敲门暗语，让终端无法通过身份认证环节，从而实现非可信终端无法访问到内网应用，从源头阻断红队的攻击。

4、H5微应用安全访问

随着超级APP（企业微信，政务微信，钉钉，飞书）出现，企业和政务前端应用越来越多的搬到了这类超级APP的工作台，原来从内网访问的应用现在就变成了从移动端APP中访问，这给企业安全造成了极大的冲击。典型安全隐患是各类小程序后端的应用服务器将会直接暴露在互联网上。

虎盾可以实现将超级APP内H5微应用隐藏在零信任网关之后，对后端服务器进行互联网暴露面的隐藏，把后端服务器重新塞回到企业内网和政务内网，并且可以做全应用的敏感数据泄漏治理，快速解决小程序导致的数据泄漏风险。

5、多分支办公业务安全访问

对于多分支子公司、办事处、合作伙伴的企业，各分支机构企业内部资源的访问需求不断增加。传统的以网络区域划分、边界隔离的方案往往开放较为粗旷的访问权限，导致业务系统逐步暴露在开放的企业内网，外部威胁随时可能渗透到企业内网；此外边界隔离方案也难以支撑内网精细化、频繁变更的权限控制需求。

虎盾通过全域流量身份化、动态访问控制等关键技术，为企业大内网的访问重塑安全边界：基于用户身份进行ACL策略，以组织结构、角色、个人等多维度进行权限关联与匹配，权限更灵活、管理更简单、可视；发现终端环境、用户身份、访问行为存在安全风险时，系统能够自动收缩用户的访问权限，对不满足安全条件的访问，进行增强认证；通过多源属性检测、第三方安全能力集成，实现多源属性信任评估，更精确地识别异常行为和未知威胁。

6、内外网统一访问控制

很多企事业单位的网络规划过程中，内外网接入是分批分期独立建设。移动互联网普及、BYOD、4A办公等趋势，对企业现有接入控制策略产生巨大冲击。内外网接入的不一致，除了影响业务连续性之外，也给安全管理带来极大的挑战，企业需要建设内外网统一的访问控制体系，以满足安全管理需求。

虎盾可以无缝对接企业已有的多类型身份认证体系，通过统一身份认证和访问接入，建立统一的访问控制体系，实现全面身份化，构建基于身份的动态、自适应访问控制体系。所有的终端访问都需进行统一的用户身份校验和终端/系统/应用的可信确认，并进行细粒度的权限访问校验，然后通过零信任安全网关代理访问具体的业务，这样能极大的减少企业内部资产非授权访问的行为。

虎盾上执行的统一认证和安全基线，方便管理员的日常管理维护，并通过转换为扫码登录等方式解决内网应用弱口令顽疾。

7、多云、多数据中心业务安全接入

对于同时使用多个云服务或数据中心的企业，往往在不同的云和数据中心上部署不同的业务。很多企业不愿意也没有能力在多个云上构建企业网络来保障访问策略的统一，但需要安全的访问多个云上的资源。用户要适配不同的云服务商提供的访问控制策略接口，没有统一入口，缺少跨公有云的统一资源安全访问能力。

虎盾为企业提供同时连接多个云平台/数据中心的能力，通过零信任控制中心集中部署，提供统一的访问控制策略，实现统一的授权管理。当用户要访问某个云上业务的时，通过零信任控制中心进行认证鉴权后，与相应的零信任安全网关建立连接，然后通过该网关代理访问应用。通过这种方式，实现了多云统一接入、统一安全基线、统一权限体系、一致访问体验。

虎符新产品预告

2022年，虎符网络将发布全新战略产品线——虎影数据访问安全系统（简称“虎影”）。虎影定位是新一代数据访问安全解决方案，基于虚拟投影技术，将应用执行和显示分离，确保数据的所有权和使用权分离，实现安全的数据传输、使用、共享，敏感数据开放和共享全流程“不落地”、“可用不可见”。

虎影可应用于各类数据开放、共享交换等业务场景，可满足数据不落地、防勒索病毒、远程浏览器隔离（RBI）等安全需求，典型应用场景包括内部员工办公数据访问、第三方和外包人员数据共享、内部运维和研发人员数据使用等。

作为虎符网络的第一条数据安全产品线，虎影可以与已有的虎盾访问安全产品线集成构建基于零信任的数据安全防护体系，让所有数据访问和安全管控都以身份为基础，在有效缓解外部攻击和内部威胁、收缩攻击面的同时，避免企业数据泄漏风险，严密保护企业数据资产安全。

如果你真的看完了，说明真的对他们的产品挺上心，那可以从他们公众号获取进一步信息：