摘要：企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)日趨綜合化、復(fù)雜化，計(jì)算機(jī)網(wǎng)絡(luò)安全邊界日趨模糊。當(dāng)前，數(shù)字化發(fā)展已呈時(shí)代發(fā)展和推動(dòng)技術(shù)更新的必要階段，諸多新興技術(shù)如云平臺(tái)、物聯(lián)網(wǎng)(Internetof Things)、大數(shù)據(jù)和移動(dòng)互聯(lián)的技術(shù)成長(zhǎng)也為各大企業(yè)提供了新鮮和活力。云平臺(tái)和物聯(lián)網(wǎng)(Internetof Things)為企業(yè)的經(jīng)濟(jì)數(shù)據(jù)提供了走出“邊界”的可能，而大數(shù)據(jù)和移動(dòng)互聯(lián)又為企業(yè)外部服務(wù)與內(nèi)部串聯(lián)形成良好的協(xié)同聯(lián)系。顯然，當(dāng)下的企業(yè)網(wǎng)絡(luò)安全技術(shù)已然不再是單純的和易于被識(shí)別的，它的“安全邊界”逐步被瓦解，以往傳統(tǒng)的網(wǎng)絡(luò)技術(shù)和系統(tǒng)方案顯然不再適用于當(dāng)代企業(yè)網(wǎng)絡(luò)基礎(chǔ)。那么，在該文中將主要探討建立網(wǎng)絡(luò)安全新范式加強(qiáng)計(jì)算機(jī)維護(hù)。

　　關(guān)鍵詞：網(wǎng)絡(luò)安全技術(shù);網(wǎng)絡(luò)安全新范式;零信任安全架構(gòu)(ZTA);計(jì)算機(jī)維護(hù)

　　1 計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀與網(wǎng)絡(luò)安全新范式建立的必要性

　　數(shù)字化時(shí)代經(jīng)濟(jì)創(chuàng)新的業(yè)務(wù)絕大多數(shù)始于云平臺(tái)和大數(shù)據(jù)搭建，此類IT架構(gòu)實(shí)現(xiàn)業(yè)務(wù)與數(shù)據(jù)集中化，而系統(tǒng)風(fēng)險(xiǎn)也隨之集中化。我們知道，系統(tǒng)數(shù)據(jù)風(fēng)險(xiǎn)一直以來(lái)都是經(jīng)濟(jì)創(chuàng)新業(yè)務(wù)最被關(guān)注的問題之一。尤其是近些年來(lái)，諸多企業(yè)出現(xiàn)數(shù)據(jù)外泄的事件，不得不為計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的發(fā)展擔(dān)憂[1] 。

　　依據(jù)相關(guān)調(diào)查數(shù)據(jù)剖析，計(jì)算機(jī)數(shù)據(jù)外泄由企業(yè)內(nèi)部人員導(dǎo)致是其主要原因之一。企業(yè)內(nèi)部人員一般在特定范圍內(nèi)可以擁有一定合法的訪問權(quán)限，如果存在憑證丟失或權(quán)限濫用的情況，企業(yè)網(wǎng)絡(luò)數(shù)據(jù)外泄的可能性即極大的提升。另外，企業(yè)網(wǎng)絡(luò)數(shù)據(jù)泄漏還有另外一個(gè)主要原因，那就是外部攻擊，從相關(guān)數(shù)據(jù)分析來(lái)看，黑客攻擊企業(yè)內(nèi)網(wǎng)的手段不一定多先進(jìn)，絕大部分黑客攻擊僅僅是竊取憑證或“爆破”弱口令，以此破壞企業(yè)內(nèi)網(wǎng)，或盜取企業(yè)數(shù)據(jù)訪問權(quán)限。

　　綜合以上論述，導(dǎo)致企業(yè)網(wǎng)絡(luò)數(shù)據(jù)外泄的原因主要有兩方面。企業(yè)在網(wǎng)絡(luò)方面的意識(shí)逐步提升，隨之帶來(lái)的是加大網(wǎng)絡(luò)安全維護(hù)成本投入。但是，從近些年來(lái)的成效來(lái)看，加大網(wǎng)絡(luò)安全維護(hù)成本投入并沒有保障網(wǎng)絡(luò)數(shù)據(jù)外泄事件的概率下降。究其原因，企業(yè)在進(jìn)行基礎(chǔ)構(gòu)架搭建時(shí)有所疏忽，隨著時(shí)代進(jìn)步，IT技術(shù)架構(gòu)也在不斷優(yōu)化，數(shù)字化技術(shù)的發(fā)展也在很大程度上推動(dòng)了IT技術(shù)構(gòu)架演變。顯然，新型IT技術(shù)架構(gòu)已經(jīng)不能從傳統(tǒng)架構(gòu)理念出發(fā)，我們僅僅改變“基礎(chǔ)”以上的結(jié)構(gòu)而忽視了“基礎(chǔ)”改造，那么這個(gè)“基礎(chǔ)”就成了木桶拼板中“最短”的那一塊[2]。

　　傳統(tǒng)網(wǎng)絡(luò)安全維護(hù)是依存于邊界的架構(gòu)體系。它首先要求的是找到安全邊界，然后將系統(tǒng)網(wǎng)絡(luò)分為幾個(gè)不同的區(qū)塊，包括外網(wǎng)、DMZ 和內(nèi)網(wǎng)。然后，邊界部署防火墻、WAF、IPS 等網(wǎng)絡(luò)安全維護(hù)產(chǎn)品，從而為企業(yè)網(wǎng)絡(luò)構(gòu)造防護(hù)墻。通過分析，傳統(tǒng)網(wǎng)絡(luò)安全維護(hù)架構(gòu)體系顯然已經(jīng)默許了內(nèi)網(wǎng)安全重要于外網(wǎng)安全，很大程度上已經(jīng)預(yù)設(shè)了內(nèi)網(wǎng)用戶的信任。另外，云平臺(tái)技術(shù)發(fā)展模糊了內(nèi)網(wǎng)與外網(wǎng)之間的界限，也導(dǎo)致了物理安全邊界難以識(shí)別。顯然，企業(yè)根本不能實(shí)現(xiàn)依存于傳統(tǒng)安全架構(gòu)設(shè)施搭建，而僅能依托于更加更為先進(jìn)且靈活的技術(shù)措施來(lái)識(shí)別或認(rèn)證一直處于動(dòng)態(tài)且變化的用戶、設(shè)備及網(wǎng)絡(luò)系統(tǒng)，零信任安全架構(gòu)(ZTA)(ZTA)正是因此原理成為時(shí)代發(fā)展的必需，也是計(jì)算網(wǎng)絡(luò)安全架構(gòu)與維護(hù)系統(tǒng)安全與穩(wěn)定并重的必然。

　　2 零信任安全架構(gòu)(ZTA)在計(jì)算機(jī)維護(hù)中的運(yùn)用

　　零信任安全是由福雷斯特公司的首席分析師約翰·約翰開創(chuàng)的。自2014年12月以來(lái)，谷歌已經(jīng)發(fā)表了六篇beyond corp相關(guān)文章，全面概述了 beyond corp 的架構(gòu)及其自 2011 年以來(lái)的執(zhí)行情況。2017年，這個(gè)行業(yè)，包括思科、微軟、亞馬遜、cyx?tera等等。自2018年以來(lái)，我國(guó)中央部委、國(guó)家機(jī)關(guān)、大中型企業(yè)開始探索零信任身份安全框架的實(shí)踐。零信任安全的本質(zhì)是訪問控制范式從傳統(tǒng)的以網(wǎng)絡(luò)為中心向以身份為中心的轉(zhuǎn)變。零信任身份安全體系結(jié)構(gòu)一般由三個(gè)子系統(tǒng)組成：設(shè)備與用戶認(rèn)證代理、可信訪問網(wǎng)關(guān)和智能身份平臺(tái)。例如，很久以前，我們可能不得不輸入密碼，隨機(jī)數(shù)字驗(yàn)證碼，短信驗(yàn)證碼，還有安全密鑰。現(xiàn)在，如果你的手機(jī)上安裝了電子郵件App，你只需掃描二維碼，這種認(rèn)證既方便又高效。

　　零信任身份安全體系結(jié)構(gòu)以“身份”作為新的邊界思想，將訪問控制從邊界轉(zhuǎn)移到個(gè)人設(shè)備和用戶。打破傳統(tǒng)的邊界保護(hù)思想，建立基于身份的信任機(jī)制，遵循對(duì)設(shè)備和用戶進(jìn)行身份認(rèn)證然后訪問業(yè)務(wù)的原則，然后自動(dòng)信任任何內(nèi)部或外部的人/設(shè)備/應(yīng)用程序，對(duì)任何試圖訪問網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用程序的人/設(shè)備/應(yīng)用程序進(jìn)行身份認(rèn)證之后再授權(quán)，并提供一種動(dòng)態(tài)的細(xì)粒度訪問控制策略，以滿足最小特權(quán)原則。通過提供用戶和企業(yè)之間的安全訪問來(lái)保護(hù)政府?dāng)?shù)據(jù)的安全技術(shù)。

　　2.1 零信任身份安全架構(gòu)的技術(shù)方案

　　零信任身份安全體系結(jié)構(gòu)對(duì)傳統(tǒng)的邊界安全體系結(jié)構(gòu)進(jìn)行了重新評(píng)估和檢驗(yàn)，提出了一種新的啟示：網(wǎng)絡(luò)始終處于各種威脅之中，包括內(nèi)部外界，也包括外部威脅，并且信任評(píng)估不僅只通過網(wǎng)絡(luò)位置進(jìn)行，缺省情況下，網(wǎng)絡(luò)內(nèi)外的任何設(shè)備或系統(tǒng)都不能被信任。認(rèn)證和授權(quán)應(yīng)該作為訪問控制信任基礎(chǔ)，要將設(shè)備、用戶多元數(shù)據(jù)作為依據(jù)，零信任能夠扭轉(zhuǎn)訪問控制模式，推動(dòng)了網(wǎng)絡(luò)安全構(gòu)架轉(zhuǎn)變，即：“網(wǎng)絡(luò)為中心”轉(zhuǎn)變?yōu)?ldquo;以身份為中心”，基于技術(shù)視角，零信任身份安全體系結(jié)構(gòu)依托先進(jìn)的身份管理技術(shù)，對(duì)人、設(shè)備、系統(tǒng)進(jìn)行智能化、動(dòng)態(tài)化智能訪問控制[3]。

　　零信任身份安全架構(gòu)的技術(shù)方案，包括三個(gè)部分，即：業(yè)務(wù)訪問主體、業(yè)務(wù)訪問代理、智能身份安全平臺(tái)，如上圖1。

　　業(yè)務(wù)請(qǐng)求發(fā)起人就是業(yè)務(wù)訪問主體，請(qǐng)求包括諸多內(nèi)容，如網(wǎng)絡(luò)用戶、系統(tǒng)設(shè)備和程序應(yīng)用。傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用機(jī)制通常是通過認(rèn)證與授權(quán)分離作業(yè)，而零信任身份安全體系構(gòu)架則將業(yè)務(wù)訪問主體、業(yè)務(wù)訪問代理和智能身份安全平臺(tái)三部分視為一個(gè)整體，如此一來(lái)即可降低系統(tǒng)數(shù)據(jù)被竊取或外泄的風(fēng)險(xiǎn)。零信任身份安全架構(gòu)的實(shí)操過程往往是將系統(tǒng)設(shè)備與企業(yè)用戶進(jìn)行綁定。

　　訪問數(shù)據(jù)平臺(tái)的實(shí)際控制要點(diǎn)為業(yè)務(wù)訪問代理，業(yè)務(wù)訪問代理的關(guān)鍵在于對(duì)能夠?qū)?shí)際執(zhí)行者訪問進(jìn)行控制。一般來(lái)說(shuō)，訪問代理會(huì)將業(yè)務(wù)隱藏，只能夠通過系統(tǒng)設(shè)備、企業(yè)用戶進(jìn)行驗(yàn)證，并且其訪問主體的訪問權(quán)限充足，業(yè)務(wù)訪問數(shù)據(jù)通道必須進(jìn)行加密，只有加密之后，才能夠?qū)①Y源開放，實(shí)現(xiàn)共享。

　　零信任身份安全體系架構(gòu)的控制平臺(tái)就是智能身份平臺(tái)，在這個(gè)平臺(tái)上，訪問主體與業(yè)務(wù)訪問代理，能夠進(jìn)行信息交互，在具有一定安全保護(hù)的范圍下進(jìn)行信任評(píng)估與授權(quán)認(rèn)證，并將平臺(tái)安全配置的參數(shù)予以協(xié)商完成。當(dāng)前，企業(yè)網(wǎng)絡(luò)安全技術(shù)管理平臺(tái)對(duì)零信任安全架構(gòu)非常適用，可便捷實(shí)現(xiàn)用戶身份認(rèn)證、治理及動(dòng)態(tài)化授權(quán)與分析等功能。

　　2.2零信任身份安全架構(gòu)的基本原則

　　業(yè)務(wù)訪問代理、業(yè)務(wù)訪問代理和智能身份安全平臺(tái)需要各種技術(shù)支持，包括架構(gòu)組件、交互邏輯等，體系結(jié)構(gòu)按照一定的結(jié)構(gòu)原則，借由映射的安全能力，對(duì)零信任身份進(jìn)行驗(yàn)證，以此滿足IT環(huán)境的各種安全需求，具體如下：

　　1)整體標(biāo)識(shí)原則。所有訪問對(duì)象都需要確認(rèn)，包括人員，設(shè)備等等。不僅需要管理者的身份，還需要網(wǎng)絡(luò)代理人，且網(wǎng)絡(luò)代理人并不是孤立的個(gè)體。

　　2)應(yīng)用級(jí)控制原則。業(yè)務(wù)訪問需求并非在網(wǎng)絡(luò)層工作，而是在應(yīng)用程序?qū)樱⑶遥W(wǎng)絡(luò)層一般都是通過應(yīng)用程序代理實(shí)現(xiàn)的。應(yīng)用代理的全過程都需要加密，并且要執(zhí)行全流程代理。

　　3)閉環(huán)安全原則。進(jìn)行信任級(jí)別評(píng)估需要多方支持，如：訪問代理屬性、行為以及上下文等，并根據(jù)信任級(jí)別動(dòng)態(tài)、要對(duì)訪問權(quán)限要實(shí)時(shí)調(diào)控，以保障網(wǎng)絡(luò)內(nèi)部可以形成一個(gè)閉環(huán)的安全系統(tǒng)。

　　4)強(qiáng)有力的業(yè)務(wù)聚合原則。零信任體系架構(gòu)自身具備極高的安全屬性，在執(zhí)行安全防護(hù)時(shí)，要以實(shí)際業(yè)務(wù)場(chǎng)景與安全情況為依據(jù)，進(jìn)行構(gòu)架設(shè)計(jì)。零信任架構(gòu)要具備靈活的環(huán)境適應(yīng)性，因此，要根據(jù)實(shí)際需求進(jìn)行拓展。

　　5)多場(chǎng)景覆蓋原則。現(xiàn)代rT環(huán)境有多種業(yè)務(wù)接入場(chǎng)景，包括數(shù)據(jù)中心服務(wù)互訪場(chǎng)景、接入終端以及用戶接入業(yè)務(wù)等。為了能夠保障零信任體系架構(gòu)功能性，必須要嚴(yán)格遵循多場(chǎng)景覆蓋原則，綜合對(duì)各種場(chǎng)景進(jìn)行分析，以此保障系統(tǒng)的可伸縮性與擴(kuò)展性。

　　6)高連桿元件原則。零信任體系架構(gòu)的另一主要特性就是高度的連接性，每個(gè)組件之間要具備互調(diào)性，以此構(gòu)建一個(gè)完整的體系，以此緩解來(lái)自外部的各種威脅，形成一個(gè)安全閉環(huán)。在實(shí)際操作中，產(chǎn)品組件不能堆放，產(chǎn)品之間的連接是實(shí)現(xiàn)零信任效果的重要基礎(chǔ)。

　　2.3零信任身份安全架構(gòu)的技術(shù)實(shí)踐究其本質(zhì)，零信任是建立在訪問主體、訪問對(duì)象之間的一個(gè)控制系統(tǒng)，并具有動(dòng)態(tài)可信訪問功能，其核心能力可以概括為業(yè)務(wù)安全訪問、動(dòng)態(tài)訪問、密鑰等各種功能，建立在各種數(shù)字身份的基礎(chǔ)上，網(wǎng)絡(luò)會(huì)對(duì)默認(rèn)不可行的訪問請(qǐng)求進(jìn)行認(rèn)證、加密，對(duì)各種相關(guān)數(shù)據(jù)進(jìn)行持續(xù)的信任評(píng)估，根據(jù)信任級(jí)別動(dòng)態(tài)對(duì)訪問權(quán)限進(jìn)行調(diào)整，最后，進(jìn)行各種信息關(guān)系的建立。在零信任體系架構(gòu)中，訪問對(duì)象是受保護(hù)的核心資源，被保護(hù)的資源有很多種，如：操作功能、資產(chǎn)數(shù)據(jù)等。人、設(shè)備、應(yīng)用程序等都可作為訪問主體，在一定的訪問權(quán)限內(nèi)，對(duì)相關(guān)實(shí)體進(jìn)行綁定，從而實(shí)現(xiàn)定義與限定主題"

　　以身份為中心。本文所研究的安全構(gòu)架是將身份作為中心，具有動(dòng)態(tài)方法與自動(dòng)化控制功能，身份認(rèn)證則是零信任安全架構(gòu)實(shí)現(xiàn)的前提條件。在已認(rèn)證總體身份的前提下，網(wǎng)絡(luò)用戶、系統(tǒng)設(shè)備、程序應(yīng)用以及其他業(yè)務(wù)構(gòu)建一個(gè)統(tǒng)一整體，同時(shí)，還具備數(shù)字化的身份識(shí)別功能，對(duì)導(dǎo)尿管太訪問機(jī)制與控制系統(tǒng)進(jìn)行深入搭建，系統(tǒng)安全管理范圍可以延伸到整個(gè)身體實(shí)體之中。

　　持續(xù)認(rèn)證。零信任安全架構(gòu)無(wú)法一次性對(duì)身份有效性進(jìn)行認(rèn)證，即便使用較高強(qiáng)度的雙重身份認(rèn)證也必須利用持續(xù)認(rèn)證予以評(píng)估信任度。比如，不斷剖析和識(shí)別訪問用戶的操作行為才能完全實(shí)現(xiàn)動(dòng)態(tài)化評(píng)估用戶信任度。

　　動(dòng)態(tài)訪問控制。以往的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)平臺(tái)使用的訪問控制機(jī)制為宏二進(jìn)制邏輯，其核心依托靜態(tài)授權(quán)規(guī)則、黑白列表技術(shù)等，這些技術(shù)可實(shí)現(xiàn)一次性評(píng)估，本文所研究的安全平臺(tái)訪問機(jī)制則是一種持續(xù)評(píng)估的系統(tǒng)概念，使用微觀決策的邏輯，經(jīng)持續(xù)評(píng)估業(yè)務(wù)訪問主體的信任度和外部環(huán)境風(fēng)險(xiǎn)，是否授權(quán)是以動(dòng)態(tài)化評(píng)估結(jié)果所決定的。客戶主體的信任度評(píng)估過程可依據(jù)認(rèn)證方法和系統(tǒng)設(shè)備運(yùn)行狀態(tài)、程序應(yīng)用等多方面因素實(shí)現(xiàn)。值得一提的是，外部環(huán)境風(fēng)險(xiǎn)的評(píng)估一般涉及介入時(shí)間、源IP地址、源位置、接入頻率和系統(tǒng)設(shè)備相似度等時(shí)空因素。

　　智能身份分析。本文研究的安全系統(tǒng)將持續(xù)認(rèn)證、動(dòng)態(tài)訪問作為核心，因此大大提升了管理開銷，更好地實(shí)現(xiàn)零信任身份安全體系登錄。系統(tǒng)還具備智能分析功能，能夠幫助人們實(shí)現(xiàn)適應(yīng)性訪問控制，同時(shí)還能夠?qū)Ω鞣N策略違規(guī)進(jìn)行分析、檢測(cè)，從而觸發(fā)引擎自動(dòng)或者手動(dòng)干預(yù)，進(jìn)而實(shí)現(xiàn)系統(tǒng)內(nèi)部的閉環(huán)治理。

　　智能身份分析有助于零信任安全架構(gòu)平臺(tái)能夠根據(jù)實(shí)際需求實(shí)現(xiàn)訪問與控制，且這項(xiàng)功能還能夠使用用戶的權(quán)限、扮演角色和使用策略予以分析，也可以對(duì)潛在策略違規(guī)行為予以檢測(cè)，同時(shí)也可以自動(dòng)方式或手動(dòng)方式觸發(fā)工作流，進(jìn)而對(duì)閉環(huán)質(zhì)量進(jìn)行調(diào)整和干預(yù)。本文研究的安全體系采用了灰度理論，在保證安全性和連續(xù)認(rèn)證易用性的前提下，提高固化的一次性強(qiáng)認(rèn)證的安全性，采用基于風(fēng)險(xiǎn)的動(dòng)態(tài)授權(quán)和信任持久性措施取代基于二進(jìn)制決策的靜態(tài)授權(quán)。使用開放和智能的身份治理來(lái)優(yōu)化封閉和剛性的身份管理。

　　3結(jié)束語(yǔ)

　　伴隨著計(jì)算機(jī)技術(shù)發(fā)展，基于傳統(tǒng)的維護(hù)計(jì)算機(jī)系統(tǒng)穩(wěn)定需求，保證計(jì)算機(jī)網(wǎng)絡(luò)安全成為必要性。傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)理念是基于邊界的安全架構(gòu)。當(dāng)前，計(jì)算機(jī)網(wǎng)絡(luò)即便已經(jīng)逐步實(shí)現(xiàn)全網(wǎng)信息化，計(jì)算機(jī)用戶獲取網(wǎng)絡(luò)信息十分便捷。然而，計(jì)算機(jī)網(wǎng)絡(luò)是否安全一直都是大眾用戶所共同關(guān)心的問題。我們知道，用戶信息、系統(tǒng)漏洞和病毒入侵都可能危害計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的安全，計(jì)算機(jī)用戶的網(wǎng)絡(luò)體驗(yàn)受到了極大的影響。那么，基于計(jì)算機(jī)網(wǎng)絡(luò)安全我們不再完全依仗傳統(tǒng)的計(jì)算手段，應(yīng)該建立網(wǎng)絡(luò)安全新范式。零信任安全架構(gòu)(ZTA)(ZTA)應(yīng)運(yùn)而生。本文通過剖析計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)在，并闡述網(wǎng)絡(luò)安全新范式建立的必要性，重點(diǎn)探討零信任安全架構(gòu)(ZTA)在計(jì)算機(jī)維護(hù)中的運(yùn)用，以期為行業(yè)朋友提供借鑒。

　　參考文獻(xiàn)：

　　[1]劉斌，數(shù)據(jù)加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)通信安全中的應(yīng)用初探[J.中國(guó)新i信，2018，20(7)：28.

　　[2]劉馨澤，數(shù)據(jù)加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用價(jià)值[J電術(shù)5件1程，2018(9)：197.

　　[3]王秀波零信任架構(gòu)網(wǎng)絡(luò)安全解決方案J.智能建筑，2019(3)63-67.

　　[4]曾玲，劉星江，基于零信任的安全架構(gòu)J]通信技術(shù)，2020，53(7)：1750-1754.

　　[5]何鈺龍，網(wǎng)絡(luò)安全技術(shù)在計(jì)算機(jī)維護(hù)中的應(yīng)用研究[J.信息記錄材料，2020，21(3)：109-111.

期刊VIP網(wǎng)，您身邊的高端學(xué)術(shù)顧問

文章名稱： 網(wǎng)絡(luò)安全技術(shù)在計(jì)算機(jī)維護(hù)中的運(yùn)用

文章地址： http://www.hfdisheng.com/mianfeiwx/59221.html