一、企業網絡安全現狀

現有老牌企業的信息化建設，大多起源于2000年前后，而某些業務系統由于數據量龐大，升級改造的腳步一直很緩慢。在安全形勢越來越嚴峻的今天，企業目前信息化主要面臨以下問題：

1.企業部分系統技術架構老舊

在二十年前進行系統開發，往往只關注其可用性，安全性與保密性的考量并不多。這便帶來了一個問題，若企業某些業務系統運用了二十年，無論期間進行過多少次安全升級，都是基于最初的技術架構，安全性只是作為防御性措施，無法進行全局性的考量。這些系統最初并未進行過“三同時”制度的考驗，即便進行修補、整改，也與目前的中間件、數據庫、操作系統、安全標準存在極大的差異，數據的安全性無法得到切實的保障。

2.網絡安全過于依賴安全設備

目前，安全管理做的出色的企業，往往依托于大量安全設備的堆積。用網閘做好數據鏈路層的隔離，用防火墻做好網絡層和傳輸層的訪問控制，用應用防火墻、防病毒在考慮成本的前提下，網絡安全所有設備的采購、授權、管理、維護成本，對企業提出了一定的挑戰；而且所有設備并不都一定可以做到完全可信，近年來頻發的安全設備零日漏洞，便凸顯了這一點矛盾，往往越信任越依賴的設備，會造成越嚴重的后果。

3.信任域往往不夠安全

在過去設計的信息系統架構中，往往通過防火墻將網絡區分為內網和外網；外網是遍布安全隱患的“黑暗森林”，要隨時嚴格提防；而內網便相對來說被信任的多。而事實上，在技術發展到今天，除了被嚴格制度隔離使用的內外網系統，內網也是屬于重災區。一封釣魚郵件，一個上傳木馬，一次社工的文件發送，便能輕易的打穿內網的防護，讓內網終端作為內應，把堆積在互聯網上的安全設備架空，輕易的從背面攻陷信息系統。

二、引入零信任概念后的安全管理

基于以上的理由，引入零信任的信息架構勢在必行。零信任技術主要有以下特點。

1.多層次比對用戶訪問系統的信息

用戶訪問時，系統會從CA、IP、MAC、會話等多維度進行認證。這樣，即便用戶被冒用，全方位的冒用也極難實現，從而保護好系統訪問的域。

2.從底層設計收斂訪問面。

以往的系統往往是基于“信任”，即不被禁止的用戶即可訪問系統的資源，而零信任架構恰恰相反，基于“不信任”，若用戶未得到事先授權，便無法訪問系統的任何資源。這樣大幅收斂了系統的默認權限，使得所有的訪問都是基于“預先的設定”，從而避免權限的越界。

3.持續性的保護。

零信任不止關注系統安全，同樣關注連接安全、終端安全，實現整體的訪問保護。現有的技術系統，用戶端、服務端、網絡端往往是割裂的，互相并不傳遞信息，也就意味著終端的失陷未能及時被發現，造成服務端與網絡端的同時失陷。而基于零信任技術，可以從用戶的狀態、網絡的狀態、連接的狀態進行全面監控，對于每次的新連接均進行驗證，對于重要參數的變化實時響應，做出切斷連接或屏蔽終端的響應，避免多點連續失陷。

4.有助于云服務的安全。

在傳統的安全理念中，云安全實現較為困難，若部署私有云，仍要投入大量的維護成本，與傳統的IDC機房無很大差異。引入零信任安全架構后，在鏈路網關進行鑒權后，基于用戶身份、設備安全、可信應用、目標業務系統的訪問控制等粒度中，可以簡單輕便的實現安全訪問的目標。

三、引入零信任網絡安全的技術路線

基于零信任架構的特點，現有信息化架構可以以如下技術路線引入零信任。

1.建設統一的SDP架構

SDP架構的零信任方式，可以最輕松的匹配現有的網絡架構。采購SDP的控制器，包括零信任網關、授權平臺等設備，做好人與用戶的身份認證，通過集權平臺進行統一授信，通過多維度監控進行安全監控，通過SOC等設備進行統一日志收集，設置難以匿名的訪問控制框架，確保所有的訪問應用基于實名化、授信化、可追溯化。

2.進行服務端服務模塊化拆解

對于現有的信息服務進行拆解，將系統統一控制的數據庫、應用平臺、計算資源、中間件等資源進行模塊化拆解，基于用戶權限定制最小化的服務模塊，僅服務于個體用戶的個體需求，同時進行服務間訪問的授信管控，以低權限模式進行服務隔離，避免單點失陷造成的擴散效應。

3.進行客戶端的安全管控

在所有訪問客戶端上安裝統一的安全管控軟件。該軟件實現安全基線檢查、使用人員身份認證、基礎信息收集等功能，確保終端與用戶的一致性，確保建立連接時的安全可信，確保終端信息的不可冒用性，從而進一步縮減安全風險。

4.引入區塊鏈及人工智能技術

目前零信任技術的框架十分先進，可以針對現有的網絡安全風險進行一定的控制；但仍存在管理復雜、集權系統風險較高等問題。基于管理復雜問題，可以引入AI學習算法，將用戶認證、用戶授信通過AI算法實時跟進，僅將異常訪問行為傳遞給管理人員，可以大大的降低管理員的操作強度。針對集權系統風險較高的問題，可以采用去中心化的權限系統，認證策略、認證通過與否通過周邊終端、路徑設備、服務器等多方進行分布式判斷，將集權系統分布式放置，從而避免中心被破全盤失守的潛在風險。

結語

在當今世界的網絡安全局勢下，只有不斷創新、不斷結合新技術，針對痛點進行不斷的改進，針對問題敏捷的解決，才能在網絡安全工作中尋得先機。零信任的概念已經提出了數年，只有及時引入，積極應用，才能做好數字化轉型，保護好基于企業的算力資源，為企業健康發展保駕護航。