打包提供零信任产品，「赛赋科技」想帮企业解决云时代的安全管理问题

云计算已经成为新的生产力，但同时也给信息安全带来了新挑战。首先，企业业务处于云端，可能暴露在公共互联网中。企业存储在云平台中的应用、数据等资产更加脆弱。再加上由于身份权限等内部威胁层出不穷，云时代的网络安全问题对企业而言愈发重要。

为了应对这些问题，零信任安全架构在近年得到越来越多人的认可。这一理念于2010年由咨询公司 Forrester 的分析师约翰·金德维格首次提出，指在“所有网络流量都不可信”的基础上，验证并保护所有来源、限制并严格执行访问控制、检查并记录所有网络流量日志。它的本质是以身份为基石的动态访问控制，即以身份为基础，通过动态访问控制技术，以细粒度的应用、接口、数据为核心保护对象，遵循最小权限原则，构筑端到端的身份边界。

36氪日前了解到的一家网络安全初创公司——赛赋科技， 主打零信任智能安全服务 ，通过零信任认证入口、安全中心和安全网关，统一连接和管理企业内应用、云应用、API权限等，提升企业安全性和管理效率。从产品端来看，赛赋的三款主要产品包括Quicker北斗智能身份令牌、IDaaS天宫统一安全控制中心和DSG猎户业务安全代理网关。这三款产品协作产生作用，分别承担认证、授权和访问控制的功能。

目前，业内认为零信任安全架构主要由四个组件构成，分别是用以验证的设备端安全管理组件、验证用户的统一身份管理、不断评估并最小化权限的动态访问控制网关以及持续自适应风险和评估信任的智能安全大脑。赛赋的产品也基本围绕这几个方面提供安全服务。

其中智能身份令牌是通过设备认证、用户识别、终端安全等技术手段确认“你是谁”，起到认证作用。IDaaS统一安全控制中心的作用是进行账号与权限等信息的匹配，进行身份授权。猎户业务安全代理网关和业务系统对接，其作用是在系统前增加一道防护，当员工、合作伙伴以及客户有需求访问时，代理网关会和身份安全控制中心交互，只有当身份确认无误且权限清晰之后才可访问系统。如果有安全风险，代理网关还会起到拦截、报警等作用。

在产品打磨上，公司创始人杨大伟认为难点主要在产品的适配性和系统本身的安全性。

首先因为国内的系统标准不统一，产品需要做到可配置化，适应不同公司的不同场景。如果做不到这一点，产品就会变成定制化开发项目，这种方式并不适合初创公司的成长。在面对有些需要定制的需求时，赛赋的方式是将其抽离成产品需求，进行产品配置，不会进行代码修改或版本定制。第二是自身产品的安全性，赛赋会通过和业内威胁情报相结合，不断测试从而提升系统自身安全性，这也是业内的常规做法。

在商业模式上，该公司目前提供本地和云端两个版本的产品，云端的SaaS版本目前对小客户免费。目前在客户选择上，赛赋倾向于服务互联网公司这种有痛点且对新事物接受能力更强的客户，现有客户数量在几十家。

根据中国信通院2019年发布的《中国网络安全产业白皮书》，当下零信任已经从概念走向落地，国内外企业目前多基于零信任解决身份管理和访问控制的问题，聚焦软件定义边界、微隔离等方向。比如谷歌的 BeyondCorp 基于设备、用户、动态访问控制和行为感知策略实现零信任构想。具体来看，其所有流量通过统一的访问代理来实现认证和授权，并实时更新指纹库中的用户、设备、状态、历史用户行为可信度等相关信息，利用动态的多轮打分机制对请求来源进行信任层级划分。国内市场上也有杭州云缔盟、奇安信等厂商提供自己的零信任解决方案，其中云缔盟的零信任安全能力平台包含三个组件：零信任客户端、零信任分布式云网关和零信任策略控制器，主要服务客户为游戏公司等。奇安信主要覆盖政府和传统行业。杨大伟认为赛赋和传统安全公司的市场定位不同，正如上文提到，赛赋目前定位于服务互联网客户，而后者主要服务政府、银行、能源、医疗等垂直行业。切入市场的不同导致了做法的不同，后者常需定制化开发，和赛赋主打可配置、轻量级的产品理念有所不同。

团队方面，公司目前团队成员在十几人，大部分为产品研发人员。创始人杨大伟毕业于北京邮电大学，是资深网络安全从业者，曾任360产品和营销高级管理人员；资深通信工程师、爱立信全球服务工程师，拥有10年产品和销售管理经验。