一、企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

現(xiàn)有老牌企業(yè)的信息化建設(shè)，大多起源于2000年前后，而某些業(yè)務(wù)系統(tǒng)由于數(shù)據(jù)量龐大，升級(jí)改造的腳步一直很緩慢。在安全形勢(shì)越來越嚴(yán)峻的今天，企業(yè)目前信息化主要面臨以下問題：

1.企業(yè)部分系統(tǒng)技術(shù)架構(gòu)老舊

在二十年前進(jìn)行系統(tǒng)開發(fā)，往往只關(guān)注其可用性，安全性與保密性的考量并不多。這便帶來了一個(gè)問題，若企業(yè)某些業(yè)務(wù)系統(tǒng)運(yùn)用了二十年，無論期間進(jìn)行過多少次安全升級(jí)，都是基于最初的技術(shù)架構(gòu)，安全性只是作為防御性措施，無法進(jìn)行全局性的考量。這些系統(tǒng)最初并未進(jìn)行過“三同時(shí)”制度的考驗(yàn)，即便進(jìn)行修補(bǔ)、整改，也與目前的中間件、數(shù)據(jù)庫、操作系統(tǒng)、安全標(biāo)準(zhǔn)存在極大的差異，數(shù)據(jù)的安全性無法得到切實(shí)的保障。

2.網(wǎng)絡(luò)安全過于依賴安全設(shè)備

目前，安全管理做的出色的企業(yè)，往往依托于大量安全設(shè)備的堆積。用網(wǎng)閘做好數(shù)據(jù)鏈路層的隔離，用防火墻做好網(wǎng)絡(luò)層和傳輸層的訪問控制，用應(yīng)用防火墻、防病毒在考慮成本的前提下，網(wǎng)絡(luò)安全所有設(shè)備的采購、授權(quán)、管理、維護(hù)成本，對(duì)企業(yè)提出了一定的挑戰(zhàn)；而且所有設(shè)備并不都一定可以做到完全可信，近年來頻發(fā)的安全設(shè)備零日漏洞，便凸顯了這一點(diǎn)矛盾，往往越信任越依賴的設(shè)備，會(huì)造成越嚴(yán)重的后果。

3.信任域往往不夠安全

在過去設(shè)計(jì)的信息系統(tǒng)架構(gòu)中，往往通過防火墻將網(wǎng)絡(luò)區(qū)分為內(nèi)網(wǎng)和外網(wǎng)；外網(wǎng)是遍布安全隱患的“黑暗森林”，要隨時(shí)嚴(yán)格提防；而內(nèi)網(wǎng)便相對(duì)來說被信任的多。而事實(shí)上，在技術(shù)發(fā)展到今天，除了被嚴(yán)格制度隔離使用的內(nèi)外網(wǎng)系統(tǒng)，內(nèi)網(wǎng)也是屬于重災(zāi)區(qū)。一封釣魚郵件，一個(gè)上傳木馬，一次社工的文件發(fā)送，便能輕易的打穿內(nèi)網(wǎng)的防護(hù)，讓內(nèi)網(wǎng)終端作為內(nèi)應(yīng)，把堆積在互聯(lián)網(wǎng)上的安全設(shè)備架空，輕易的從背面攻陷信息系統(tǒng)。

二、引入零信任概念后的安全管理

基于以上的理由，引入零信任的信息架構(gòu)勢(shì)在必行。零信任技術(shù)主要有以下特點(diǎn)。

1.多層次比對(duì)用戶訪問系統(tǒng)的信息

用戶訪問時(shí)，系統(tǒng)會(huì)從CA、IP、MAC、會(huì)話等多維度進(jìn)行認(rèn)證。這樣，即便用戶被冒用，全方位的冒用也極難實(shí)現(xiàn)，從而保護(hù)好系統(tǒng)訪問的域。

2.從底層設(shè)計(jì)收斂訪問面。

以往的系統(tǒng)往往是基于“信任”，即不被禁止的用戶即可訪問系統(tǒng)的資源，而零信任架構(gòu)恰恰相反，基于“不信任”，若用戶未得到事先授權(quán)，便無法訪問系統(tǒng)的任何資源。這樣大幅收斂了系統(tǒng)的默認(rèn)權(quán)限，使得所有的訪問都是基于“預(yù)先的設(shè)定”，從而避免權(quán)限的越界。

3.持續(xù)性的保護(hù)。

零信任不止關(guān)注系統(tǒng)安全，同樣關(guān)注連接安全、終端安全，實(shí)現(xiàn)整體的訪問保護(hù)。現(xiàn)有的技術(shù)系統(tǒng)，用戶端、服務(wù)端、網(wǎng)絡(luò)端往往是割裂的，互相并不傳遞信息，也就意味著終端的失陷未能及時(shí)被發(fā)現(xiàn)，造成服務(wù)端與網(wǎng)絡(luò)端的同時(shí)失陷。而基于零信任技術(shù)，可以從用戶的狀態(tài)、網(wǎng)絡(luò)的狀態(tài)、連接的狀態(tài)進(jìn)行全面監(jiān)控，對(duì)于每次的新連接均進(jìn)行驗(yàn)證，對(duì)于重要參數(shù)的變化實(shí)時(shí)響應(yīng)，做出切斷連接或屏蔽終端的響應(yīng)，避免多點(diǎn)連續(xù)失陷。

4.有助于云服務(wù)的安全。

在傳統(tǒng)的安全理念中，云安全實(shí)現(xiàn)較為困難，若部署私有云，仍要投入大量的維護(hù)成本，與傳統(tǒng)的IDC機(jī)房無很大差異。引入零信任安全架構(gòu)后，在鏈路網(wǎng)關(guān)進(jìn)行鑒權(quán)后，基于用戶身份、設(shè)備安全、可信應(yīng)用、目標(biāo)業(yè)務(wù)系統(tǒng)的訪問控制等粒度中，可以簡(jiǎn)單輕便的實(shí)現(xiàn)安全訪問的目標(biāo)。

三、引入零信任網(wǎng)絡(luò)安全的技術(shù)路線

基于零信任架構(gòu)的特點(diǎn)，現(xiàn)有信息化架構(gòu)可以以如下技術(shù)路線引入零信任。

1.建設(shè)統(tǒng)一的SDP架構(gòu)

SDP架構(gòu)的零信任方式，可以最輕松的匹配現(xiàn)有的網(wǎng)絡(luò)架構(gòu)。采購SDP的控制器，包括零信任網(wǎng)關(guān)、授權(quán)平臺(tái)等設(shè)備，做好人與用戶的身份認(rèn)證，通過集權(quán)平臺(tái)進(jìn)行統(tǒng)一授信，通過多維度監(jiān)控進(jìn)行安全監(jiān)控，通過SOC等設(shè)備進(jìn)行統(tǒng)一日志收集，設(shè)置難以匿名的訪問控制框架，確保所有的訪問應(yīng)用基于實(shí)名化、授信化、可追溯化。

2.進(jìn)行服務(wù)端服務(wù)模塊化拆解

對(duì)于現(xiàn)有的信息服務(wù)進(jìn)行拆解，將系統(tǒng)統(tǒng)一控制的數(shù)據(jù)庫、應(yīng)用平臺(tái)、計(jì)算資源、中間件等資源進(jìn)行模塊化拆解，基于用戶權(quán)限定制最小化的服務(wù)模塊，僅服務(wù)于個(gè)體用戶的個(gè)體需求，同時(shí)進(jìn)行服務(wù)間訪問的授信管控，以低權(quán)限模式進(jìn)行服務(wù)隔離，避免單點(diǎn)失陷造成的擴(kuò)散效應(yīng)。

3.進(jìn)行客戶端的安全管控

在所有訪問客戶端上安裝統(tǒng)一的安全管控軟件。該軟件實(shí)現(xiàn)安全基線檢查、使用人員身份認(rèn)證、基礎(chǔ)信息收集等功能，確保終端與用戶的一致性，確保建立連接時(shí)的安全可信，確保終端信息的不可冒用性，從而進(jìn)一步縮減安全風(fēng)險(xiǎn)。

4.引入?yún)^(qū)塊鏈及人工智能技術(shù)

目前零信任技術(shù)的框架十分先進(jìn)，可以針對(duì)現(xiàn)有的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行一定的控制；但仍存在管理復(fù)雜、集權(quán)系統(tǒng)風(fēng)險(xiǎn)較高等問題。基于管理復(fù)雜問題，可以引入AI學(xué)習(xí)算法，將用戶認(rèn)證、用戶授信通過AI算法實(shí)時(shí)跟進(jìn)，僅將異常訪問行為傳遞給管理人員，可以大大的降低管理員的操作強(qiáng)度。針對(duì)集權(quán)系統(tǒng)風(fēng)險(xiǎn)較高的問題，可以采用去中心化的權(quán)限系統(tǒng)，認(rèn)證策略、認(rèn)證通過與否通過周邊終端、路徑設(shè)備、服務(wù)器等多方進(jìn)行分布式判斷，將集權(quán)系統(tǒng)分布式放置，從而避免中心被破全盤失守的潛在風(fēng)險(xiǎn)。

結(jié)語

在當(dāng)今世界的網(wǎng)絡(luò)安全局勢(shì)下，只有不斷創(chuàng)新、不斷結(jié)合新技術(shù)，針對(duì)痛點(diǎn)進(jìn)行不斷的改進(jìn)，針對(duì)問題敏捷的解決，才能在網(wǎng)絡(luò)安全工作中尋得先機(jī)。零信任的概念已經(jīng)提出了數(shù)年，只有及時(shí)引入，積極應(yīng)用，才能做好數(shù)字化轉(zhuǎn)型，保護(hù)好基于企業(yè)的算力資源，為企業(yè)健康發(fā)展保駕護(hù)航。