至于隐私计算 ， 高峰觉得 ， 虽然安全多方计算当前处于“泡沫破裂期” ， 但同属隐私计算工具集的机密计算TEE ， 在云厂商的推广之下 ， 未来会被更广泛地使用 。

以下是访谈部分（经36氪不改变原意的编辑）： 媒体：很多企业提出了零信任的概念和举措 ， 但可能也会产生过度防御 。 你觉得企业的零信任或者其他安全措施 ， 应如何避免过度防御？
高峰：我觉得“零信任”并不是过度防御 ， 因为新的安全技术不一定增加安全复杂度 。 很多时候一些新的、平台化的安全技术 ， 需要把之前孤立的安全能力整合起来 ， 并未增加复杂度 。 “零信任”的理念 ， 其实也是用一些持续评估的、显性信任去替代隐性信任 。
怎么理解呢？举个例子 ， 大家都知道企业经常把网络分成外网和内网 ， 外网可能没办法访问企业的一些应用 ， 要连接VPN把它变成一个内网的延伸 。 而内网好像任何系统都能访问 ， 而且管控也比较松 ， 属于隐性的信任 。 但其实 ， 内网并不比外网更安全 。 像现在越来越多的勒索病毒、勒索事件 ， 很多时候并不是外部人员攻击系统之后再勒索 ， 更多还是内部人员的操作出了问题 。 所以 ， 是我们对内网的一些“隐性信任” ， 造成了这些严重损失 。 “零信任”就是去除这个“隐性信任” 。
媒体：结合场景具体怎么理解？
高峰：我们不认为内网是安全的 ， 我们觉得内网的访问也是要经过验证的 。 这个验证也不会增加用户的负担 ， 只是在访问的时候要考虑用户的多种场景 。 用户可能还是要输入“用户名、密码” ， 但又不需提供更多信息 ， 因为这些信息其实是被动收集的 。 企业通过客户的综合访问与环境情景 ， 最终决定是否授权 。 比如：一个用户10分钟前用中国的一个IP访问这个应用 ， 但过了5分钟就显示为一个美国的IP ， 这时我们就要考虑到这个事情的风险程度 。 而且 ， 这里说的是“考虑” ， 也不是一定要禁止 。 比如一个零售的企业 ， 可能觉得用户如果用VPN登陆系统 ， 显示美国IP没有问题 。 但是如果是金融企业 ， 或许就不让这个用户访问了 。 企业需要综合评估访问的安全性 ， 然后再授权 。
并且 ， 企业要在用户访问的过程中持续监控 。 现在大部分技术没办法持续监控访问的情况 ， 很多时候 ， 一个人连上VPN以后就一直用 ， 等到超时才会中断 。 但“零信任”要求在用户的访问中 ， 持续对用户进行监控 。 举个例子 ， 用户连上一个系统后 ， 可能会点到一些钓鱼软件或者访问一些非法网站 ， 这会让设备暴露在风险中 。 所以 ， “零信任”就是实时在用户访问的全程 ， 持续验证、持续发现访问风险 。 当风险出现的时候 ， 如果需要的话 ， 它能够帮企业中断访问 。
总之 ， 我觉得“零信任”是要解决已有安全部署中存在的一些问题 。 特别是当现在许多资产已经处在各个地方 ， 不再有一个非常清晰的安全边界的情况下 ， “零信任”基于身份 ， 是一个比较好的安全概念 。
媒体：一些观点认为 ， “零信任”需要拿到更细粒度的业务数据才能进行精确的策略下发工作 。 你怎么看？以及这种思路是可以被SDP、IAM以及网络微隔离企业实现的吗？
高峰：我觉得“零信任”其实更多是一种理念吧 。 当然 ， 这种观点是对的 ， 就是有更多的业务数据 ， 能够帮助更好的授权 。 但是我觉得实施“零信任”的关键 ， 并不是一定要有更多的细粒度业务数据 。 它的理念是持续评估 ， 以显性的信任去代替隐性的信任 ， 就是用验证过的信任代替隐性的、主观上认为“这就是安全”的方式 。

• win10系统打开运行对话框的快捷键方法
• 挑战 Google 搜索？OpenAI 发布最强 AI 对话系统 ChatGPT
• 17年前天地对话的孩子成了航天人
• 产品经理|对话乐视：想打造欢乐直播间，与贾跃亭站台相比，更希望他造车成功
• 学生|上海05后学霸称和马斯克对话没意义：一起工作才是真交流 年龄是最大优势
• 独家对话九合创投王啸：在最熟悉的领域赚最多的钱
• 从物流仓储管理到多元化资管平台？36氪对话黑石龙地CEO黄咏祥
• 马斯克 G20 对话实录：不确定世界的「第一性原理」
• |对话真我realme徐起：中国市场是重点，数字系列回归做“中端卷王”
• 百万量级的多模态对话数据集来了，153万张图片4000多主题