王堅

摘要：企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)日趨綜合化、復(fù)雜化，計算機(jī)網(wǎng)絡(luò)安全邊界日趨模糊。當(dāng)前，數(shù)字化發(fā)展已呈時代發(fā)展和推動技術(shù)更新的必要階段，諸多新興技術(shù)如云平臺、物聯(lián)網(wǎng)（Internetof Things）、大數(shù)據(jù)和移動互聯(lián)的技術(shù)成長也為各大企業(yè)提供了新鮮和活力。云平臺和物聯(lián)網(wǎng)（Internetof Things）為企業(yè)的經(jīng)濟(jì)數(shù)據(jù)提供了走出“邊界”的可能，而大數(shù)據(jù)和移動互聯(lián)又為企業(yè)外部服務(wù)與內(nèi)部串聯(lián)形成良好的協(xié)同聯(lián)系。顯然，當(dāng)下的企業(yè)網(wǎng)絡(luò)安全技術(shù)已然不再是單純的和易于被識別的，它的“安全邊界”逐步被瓦解，以往傳統(tǒng)的網(wǎng)絡(luò)技術(shù)和系統(tǒng)方案顯然不再適用于當(dāng)代企業(yè)網(wǎng)絡(luò)基礎(chǔ)。那么，在該文中將主要探討建立網(wǎng)絡(luò)安全新范式加強(qiáng)計算機(jī)維護(hù)。

關(guān)鍵詞：網(wǎng)絡(luò)安全技術(shù);網(wǎng)絡(luò)安全新范式;零信任安全架構(gòu)（ZTA）;計算機(jī)維護(hù)

中圖分類號：TP393? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2021）19-0036-02

1 計算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀與網(wǎng)絡(luò)安全新范式建立的必要性

數(shù)字化時代經(jīng)濟(jì)創(chuàng)新的業(yè)務(wù)絕大多數(shù)始于云平臺和大數(shù)據(jù)搭建，此類IT架構(gòu)實現(xiàn)業(yè)務(wù)與數(shù)據(jù)集中化，而系統(tǒng)風(fēng)險也隨之集中化。我們知道，系統(tǒng)數(shù)據(jù)風(fēng)險一直以來都是經(jīng)濟(jì)創(chuàng)新業(yè)務(wù)最被關(guān)注的問題之一。尤其是近些年來，諸多企業(yè)出現(xiàn)數(shù)據(jù)外泄的事件，不得不為計算機(jī)網(wǎng)絡(luò)安全實現(xiàn)數(shù)字化轉(zhuǎn)型的發(fā)展擔(dān)憂[1] 。

依據(jù)相關(guān)調(diào)查數(shù)據(jù)剖析，計算機(jī)數(shù)據(jù)外泄由企業(yè)內(nèi)部人員導(dǎo)致是其主要原因之一。企業(yè)內(nèi)部人員一般在特定范圍內(nèi)可以擁有一定合法的訪問權(quán)限，如果存在憑證丟失或權(quán)限濫用的情況，企業(yè)網(wǎng)絡(luò)數(shù)據(jù)外泄的可能性即極大的提升。另外，企業(yè)網(wǎng)絡(luò)數(shù)據(jù)泄漏還有另外一個主要原因，那就是外部攻擊，從相關(guān)數(shù)據(jù)分析來看，黑客攻擊企業(yè)內(nèi)網(wǎng)的手段不一定多先進(jìn)，絕大部分黑客攻擊僅僅是竊取憑證或“爆破”弱口令，以此破壞企業(yè)內(nèi)網(wǎng)，或盜取企業(yè)數(shù)據(jù)訪問權(quán)限。

綜合以上論述，導(dǎo)致企業(yè)網(wǎng)絡(luò)數(shù)據(jù)外泄的原因主要有兩方面。企業(yè)在網(wǎng)絡(luò)方面的意識逐步提升，隨之帶來的是加大網(wǎng)絡(luò)安全維護(hù)成本投入。但是，從近些年來的成效來看，加大網(wǎng)絡(luò)安全維護(hù)成本投入并沒有保障網(wǎng)絡(luò)數(shù)據(jù)外泄事件的概率下降。究其原因，企業(yè)在進(jìn)行基礎(chǔ)構(gòu)架搭建時有所疏忽，隨著時代進(jìn)步，IT技術(shù)架構(gòu)也在不斷優(yōu)化，數(shù)字化技術(shù)的發(fā)展也在很大程度上推動了IT技術(shù)構(gòu)架演變。顯然，新型IT技術(shù)架構(gòu)已經(jīng)不能從傳統(tǒng)架構(gòu)理念出發(fā)，我們僅僅改變“基礎(chǔ)”以上的結(jié)構(gòu)而忽視了“基礎(chǔ)”改造，那么這個“基礎(chǔ)”就成了木桶拼板中“最短”的那一塊[2]。

傳統(tǒng)網(wǎng)絡(luò)安全維護(hù)是依存于邊界的架構(gòu)體系。它首先要求的是找到安全邊界，然后將系統(tǒng)網(wǎng)絡(luò)分為幾個不同的區(qū)塊，包括外網(wǎng)、DMZ和內(nèi)網(wǎng)。然后，邊界部署防火墻、WAF、IPS等網(wǎng)絡(luò)安全維護(hù)產(chǎn)品，從而為企業(yè)網(wǎng)絡(luò)構(gòu)造防護(hù)墻。通過分析，傳統(tǒng)網(wǎng)絡(luò)安全維護(hù)架構(gòu)體系顯然已經(jīng)默許了內(nèi)網(wǎng)安全重要于外網(wǎng)安全，很大程度上已經(jīng)預(yù)設(shè)了內(nèi)網(wǎng)用戶的信任。另外，云平臺技術(shù)發(fā)展模糊了內(nèi)網(wǎng)與外網(wǎng)之間的界限，也導(dǎo)致了物理安全邊界難以識別。顯然，企業(yè)根本不能實現(xiàn)依存于傳統(tǒng)安全架構(gòu)設(shè)施搭建，而僅能依托于更加更為先進(jìn)且靈活的技術(shù)措施來識別或認(rèn)證一直處于動態(tài)且變化的用戶、設(shè)備及網(wǎng)絡(luò)系統(tǒng)，零信任安全架構(gòu)（ZTA）（ZTA）正是因此原理成為時代發(fā)展的必需，也是計算網(wǎng)絡(luò)安全架構(gòu)與維護(hù)系統(tǒng)安全與穩(wěn)定并重的必然。

2 零信任安全架構(gòu)（ZTA）在計算機(jī)維護(hù)中的運(yùn)用

零信任安全是由福雷斯特公司的首席分析師約翰·約翰開創(chuàng)的。自2014年12月以來，谷歌已經(jīng)發(fā)表了六篇beyond corp相關(guān)文章，全面概述了beyond corp的架構(gòu)及其自2011年以來的執(zhí)行情況。2017年，這個行業(yè)，包括思科、微軟、亞馬遜、cyxtera等等。自2018年以來，我國中央部委、國家機(jī)關(guān)、大中型企業(yè)開始探索零信任身份安全框架的實踐。零信任安全的本質(zhì)是訪問控制范式從傳統(tǒng)的以網(wǎng)絡(luò)為中心向以身份為中心的轉(zhuǎn)變。零信任身份安全體系結(jié)構(gòu)一般由三個子系統(tǒng)組成：設(shè)備與用戶認(rèn)證代理、可信訪問網(wǎng)關(guān)和智能身份平臺。例如，很久以前，我們可能不得不輸入密碼，隨機(jī)數(shù)字驗證碼，短信驗證碼，還有安全密鑰?，F(xiàn)在，如果你的手機(jī)上安裝了電子郵件App，你只需掃描二維碼，這種認(rèn)證既方便又高效。

零信任身份安全體系結(jié)構(gòu)以“身份”作為新的邊界思想，將訪問控制從邊界轉(zhuǎn)移到個人設(shè)備和用戶。打破傳統(tǒng)的邊界保護(hù)思想，建立基于身份的信任機(jī)制，遵循對設(shè)備和用戶進(jìn)行身份認(rèn)證然后訪問業(yè)務(wù)的原則，然后自動信任任何內(nèi)部或外部的人/設(shè)備/應(yīng)用程序，對任何試圖訪問網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用程序的人/設(shè)備/應(yīng)用程序進(jìn)行身份認(rèn)證之后再授權(quán)，并提供一種動態(tài)的細(xì)粒度訪問控制策略，以滿足最小特權(quán)原則。通過提供用戶和企業(yè)之間的安全訪問來保護(hù)政府?dāng)?shù)據(jù)的安全技術(shù)。

2.1 零信任身份安全架構(gòu)的技術(shù)方案

零信任身份安全體系結(jié)構(gòu)對傳統(tǒng)的邊界安全體系結(jié)構(gòu)進(jìn)行了重新評估和檢驗，提出了一種新的啟示：網(wǎng)絡(luò)始終處于各種威脅之中，包括內(nèi)部外界，也包括外部威脅，并且信任評估不僅只通過網(wǎng)絡(luò)位置進(jìn)行，缺省情況下，網(wǎng)絡(luò)內(nèi)外的任何設(shè)備或系統(tǒng)都不能被信任。認(rèn)證和授權(quán)應(yīng)該作為訪問控制信任基礎(chǔ)，要將設(shè)備、用戶多元數(shù)據(jù)作為依據(jù)，零信任能夠扭轉(zhuǎn)訪問控制模式，推動了網(wǎng)絡(luò)安全構(gòu)架轉(zhuǎn)變，即：“網(wǎng)絡(luò)為中心”轉(zhuǎn)變?yōu)椤耙陨矸轂橹行摹?，基于技術(shù)視角，零信任身份安全體系結(jié)構(gòu)依托先進(jìn)的身份管理技術(shù)，對人、設(shè)備、系統(tǒng)進(jìn)行智能化、動態(tài)化智能訪問控制[3]。

零信任身份安全架構(gòu)的技術(shù)方案，包括三個部分，即：業(yè)務(wù)訪問主體、業(yè)務(wù)訪問代理、智能身份安全平臺，如上圖1。

業(yè)務(wù)請求發(fā)起人就是業(yè)務(wù)訪問主體，請求包括諸多內(nèi)容，如網(wǎng)絡(luò)用戶、系統(tǒng)設(shè)備和程序應(yīng)用。傳統(tǒng)的計算機(jī)網(wǎng)絡(luò)安全應(yīng)用機(jī)制通常是通過認(rèn)證與授權(quán)分離作業(yè)，而零信任身份安全體系構(gòu)架則將業(yè)務(wù)訪問主體、業(yè)務(wù)訪問代理和智能身份安全平臺三部分視為一個整體，如此一來即可降低系統(tǒng)數(shù)據(jù)被竊取或外泄的風(fēng)險。零信任身份安全架構(gòu)的實操過程往往是將系統(tǒng)設(shè)備與企業(yè)用戶進(jìn)行綁定。