“信任是网络安全最大的漏洞。”10月21日，奇安信集团董事长齐向东在第六届世界互联网大会“一带一路”互联网国际合作论坛上表示，超过85%的网络安全威胁来自于内部，对内部人的信任所造成的危害程度，远远超过黑客攻击和病毒造成的损失。

今年9月，国外媒体最新披露的消息显示，“震网”病毒的初始感染是靠荷兰情报机构雇佣的内鬼操作完成的。荷兰特工上演“间谍行动”，潜入伊朗某核心国防组织，获取了伊朗从欧洲采购非法核计划设备活动的关键情报。

齐向东表示，只有解决好信任这个网络安全最大的漏洞，才能维护网络空间安全。无数真实发生的网络安全事件表明，几乎所有的网络安全事件和账号、密码、电脑、手机、服务器、路由器等被控有关。因此，奇安信提出了一套 “零信任”架构，策略就是不再信任任何设备、任何IP、任何身份、任何账号。

他以APT攻击举例说，攻击者的最终目的就是假冒身份，借助合法终端实施攻击。比如，“蔓灵花”APT组织曾通过假冒应用侵入目标的移动设备，上传用户信息，并监控用户操作。“我们应该假设网络始终存在外部威胁和内部威胁，仅通过网络位置来评估信任是不够的。”齐向东说，要按照“零信任”的原则搭建安全体系，重新构建一套访问控制的信任基础。这套体系的授权和访问不再像以往那样一成不变，而是动态的，持续对风险进行度量和评估，根据评估结果对访问进行动态授权。

“以不信任的态度和方法评估出的信任，才是真正可以被信任的。”齐向东介绍，“零信任架构”有四个特性：第一是全面身份化，数字世界的所有参与者，包括人、设备和系统都得有抽象的数字身份，并根据需要建立绑定关系，作为一个不可分割的身份整体进行认证和授权；第二是风险度量化，采用大数据分析技术，持续收集用户和设备的环境数据、用户的业务访问行为数据，并进行风险建模和关联分析，度量潜在的安全风险；第三是权限动态化，访问权限不是静态分配的，而是基于属性和风险度量的结果进行动态调整；第四是管理自动化，基于机器学习算法，采用智能身份分析引擎，实现自适应访问控制和安全策略的自动化调优，推动从管理到治理的跨越。