張兆天

（中央廣播電視總臺，北京 100000）

1 新媒體系統(tǒng)的零信任網(wǎng)絡(luò)

隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的日益更新，新媒體系統(tǒng)在信息和廣電產(chǎn)業(yè)的占比持續(xù)增強。作為關(guān)系到網(wǎng)絡(luò)安全和信息化的核心業(yè)務(wù)系統(tǒng)，新媒體系統(tǒng)的網(wǎng)絡(luò)安全對于維護行業(yè)和國家的戰(zhàn)略安全尤為關(guān)鍵[1]。

當前的新媒體系統(tǒng)一般使用“以網(wǎng)絡(luò)邊界劃定信任等級，規(guī)定邊界內(nèi)信任關(guān)系固定”的網(wǎng)絡(luò)安全結(jié)構(gòu)和策略。這些復雜、僵化的安全策略和網(wǎng)絡(luò)系統(tǒng)，如果安全配置和漏洞修復不當，則較難有效地阻止新媒體系統(tǒng)被勒索軟件、僵尸網(wǎng)絡(luò)和高級持續(xù)性威脅（Advanced Persistent Threat，APT）利用，使攻擊者能夠訪問敏感客戶數(shù)據(jù)[2]。

為更好地解決上述威脅，新媒體系統(tǒng)的網(wǎng)絡(luò)安全需要一種基于信任的授權(quán)機制，用于監(jiān)控和協(xié)調(diào)網(wǎng)絡(luò)的不同節(jié)點。這種網(wǎng)絡(luò)管理可以幫助確定有授權(quán)的用戶和設(shè)備訪問敏感數(shù)據(jù)和系統(tǒng)服務(wù)，并根據(jù)身份的真實性分配責任。基于上述考慮，可以構(gòu)建美國國家標準與技術(shù)研究院特別出版物（National Institute of Standards and Technology Special Publication，NIST SP）定義的零信任（Zero Trust）網(wǎng)絡(luò)安全模型。零信任模型是一種安全框架，不信任網(wǎng)絡(luò)內(nèi)外的任何人或設(shè)備，而是對每個訪問請求進行身份驗證、授權(quán)和加密。零信任模型用于指導網(wǎng)絡(luò)安全策略的制定和實施的基本原則如下[3]。

第一，不信任任何人（和任何事物）。規(guī)定所有用戶、設(shè)備、數(shù)據(jù)包或輸入都可能受到威脅，不隱含鎖定的信任。強化身份驗證是零信任模型安全授權(quán)機制的核心，包括多因素認證（Multi-Factor Authentication，MFA）、生物識別驗證及單點登錄（Single Sign On，SSO）等方法。

第二，取消邊界。傳統(tǒng)的網(wǎng)絡(luò)邊界在云中心化、遠程工作和內(nèi)部威脅的環(huán)境下已經(jīng)發(fā)生了變化或消失，不再存在隱含的信任區(qū)域。

第三，應(yīng)用最小權(quán)限原則。零信任模型的授權(quán)應(yīng)基于最小權(quán)限原則，即用戶或設(shè)備僅獲得完成其任務(wù)所必需的最小權(quán)限，盡可能默認拒絕訪問，這有助于減少潛在的安全風險。

第四，動態(tài)、基于風險的策略。使用動態(tài)、上下文相關(guān)的風險評估和嚴格的策略執(zhí)行。訪問控制策略應(yīng)能夠動態(tài)適應(yīng)不同的情況，如用戶角色、位置及設(shè)備狀態(tài)等。

第五，要求強身份驗證和授權(quán)。所有資源訪問請求和網(wǎng)絡(luò)流量必須經(jīng)過身份驗證和授權(quán)。進行更詳細的管理，確保只有合適的用戶或設(shè)備可以訪問特定的資源。

第六，記錄、監(jiān)控、檢查和適應(yīng)。持續(xù)監(jiān)控網(wǎng)絡(luò)活動，以便及時發(fā)現(xiàn)和響應(yīng)異常行為。同時，審計日志可用于事后分析和合規(guī)性檢查，如流量監(jiān)控、輸入驗證、狀態(tài)記錄、分析、警報、自適應(yīng)信任級別、問題預防和恢復措施。

第七，實施深度防御。保護設(shè)備和通信，保護弱點，以對手的思維方式考慮并增加橫向移動的工作復雜性。

第八，完整生命周期的零信任安全。在零信任模型下進行完整的生命周期安全管理，安全不應(yīng)是后補的事項。隨著威脅環(huán)境和技術(shù)的變化，授權(quán)機制也需要不斷更新和調(diào)整，以保持其有效性。

第九，默認保密性和完整性。對所有通信進行加密，保護靜態(tài)數(shù)據(jù)，驗證數(shù)據(jù)的完整性。

第十，在權(quán)衡中找到合適的平衡點。在成本與收益、安全與可用性、成本與風險/影響之間找到合適的平衡點。應(yīng)用自動化工具管理授權(quán)和響應(yīng)安全事件，同時保留人工干預的能力，以處理復雜或緊急的情況。

這些原則旨在幫助網(wǎng)絡(luò)安全系統(tǒng)建成更高效、更靈活的網(wǎng)絡(luò)安全策略，以適應(yīng)各類不斷演變的網(wǎng)絡(luò)威脅和復雜的網(wǎng)絡(luò)環(huán)境。

2 零信任安全網(wǎng)絡(luò)構(gòu)建的問題

零信任模型在新媒體系統(tǒng)中的應(yīng)用確實帶來了網(wǎng)絡(luò)安全水平的顯著提升，特別是在結(jié)合虛擬化技術(shù)的復雜系統(tǒng)環(huán)境中。零信任模型的核心理念是“永不信任，始終驗證”，這意味著系統(tǒng)不再依賴傳統(tǒng)的邊界防御，而是在任何一次訪問時都進行身份驗證和授權(quán)。零信任模型通過持續(xù)驗證所有用戶和設(shè)備的身份和權(quán)限和適應(yīng)各種設(shè)備和用戶，能夠安全訪問系統(tǒng)，更有效地減少系統(tǒng)的攻擊面，防止未授權(quán)訪問和內(nèi)部威脅。

作為新媒體系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)升級，尤其是結(jié)合使用虛擬化的復雜系統(tǒng)環(huán)境，零信任模型在提升新媒體系統(tǒng)的網(wǎng)絡(luò)安全方面具有明顯的優(yōu)勢，但也存在一些不足和挑戰(zhàn)，具體如下。

第一，實施的復雜性。零信任模型的實施可能相當復雜和具有挑戰(zhàn)性。它需要深入理解網(wǎng)絡(luò)，包括所有用戶、設(shè)備、應(yīng)用程序和數(shù)據(jù)。此外，可能需要對現(xiàn)有的安全基礎(chǔ)設(shè)施進行重大更改，可能導致業(yè)務(wù)停頓和成本增加。

第二，對資源的增加需求。實施和維護零信任模型可能需要大量資源。它要求對網(wǎng)絡(luò)活動進行持續(xù)監(jiān)控和管理，這可能會對系統(tǒng)的信息技術(shù)（Information Technology，IT）資源造成壓力。此外，需要先進的安全工具和技術(shù)，可能導致成本增加[4]。

第三，用戶體驗問題。零信任模型的嚴格訪問控制可能導致用戶挫敗感。如果連續(xù)的驗證過程妨礙了他們高效完成任務(wù)，可能會導致其抵制采用零信任模型。在某些情況下，員工可能嘗試繞過安全控制，無意中創(chuàng)建新漏洞。

第四，持續(xù)的管理和維護需求。零信任模型依賴嚴格定義的權(quán)限網(wǎng)絡(luò)，但公司在不斷發(fā)展，員工的角色和位置變化頻繁。訪問控制必須隨之更新，以確保正確的人員訪問特定信息。保持權(quán)限的準確性和最新性需要持續(xù)的投入，可能難以跟上。

第五，可能影響系統(tǒng)效率。引入零信任模型可能影響系統(tǒng)效率。系統(tǒng)安全穩(wěn)定的核心挑戰(zhàn)是在不阻礙工作流程的情況下鎖定攻擊性的網(wǎng)絡(luò)和程序訪問。持續(xù)認證改變了訪問者在初始階段一次性認證后長期訪問系統(tǒng)信息的方式，無論是基于證書、加密認證協(xié)議還是非加密協(xié)議，不同的協(xié)議都需要在安全性和資源消耗之間進行權(quán)衡。如果個人角色更新和被鎖定在文件或應(yīng)用程序外，系統(tǒng)的使用效率可能大幅降低。

第六，安全風險。盡管零信任旨在提高安全性，但引入零信任模型可能面臨策略配置錯誤、內(nèi)部威脅和技術(shù)漏洞等挑戰(zhàn)。例如，信任代理（連接應(yīng)用程序和用戶的服務(wù)）配置錯誤可能成為潛在的故障點，也可能成為系統(tǒng)的攻擊目標；本地物理設(shè)備和實施零信任模型的技術(shù)可能存在漏洞，這些漏洞可能被攻擊者利用來繞過安全控制，可能遭到攻擊和數(shù)據(jù)盜?。涣阈湃蜗到y(tǒng)賬戶身份認證的最新技術(shù)仍不能解決完全可靠的問題[5]。

第七，虛假警報風險。由于零信任模型安全的嚴格性，零信任模型的安全系統(tǒng)可能對非惡意行為過于敏感，導致合法用戶或活動被標記為可疑和頻繁的虛假警報的風險。這可能導致用戶和管理員的負擔增加，需要花費更多的時間和資源去核查和處理這些警報，從而影響工作效率。而這類虛假信息也將導致用戶對安全系統(tǒng)的信任度下降，進而可能忽視真正的安全警告。

第八，對技術(shù)的依賴。零信任模型安全高度依賴新的安全工具和技術(shù)，包括用于身份驗證、加密和網(wǎng)絡(luò)分段。新的安全工具和技術(shù)形成解決方案時，可能出現(xiàn)兼容性和集成問題，需要高水平的技術(shù)能力來確保系統(tǒng)穩(wěn)定運行。隨著技術(shù)的發(fā)展，需要定期更新和維護上述技術(shù)的安全系統(tǒng)，以應(yīng)對新的威脅和挑戰(zhàn)。如果這些技術(shù)更新和維護失效，可能使系統(tǒng)安全性降低。

3 相關(guān)技術(shù)方案

為克服上述挑戰(zhàn)，需規(guī)劃合適的零信任網(wǎng)絡(luò)結(jié)構(gòu)。規(guī)劃零信任安全網(wǎng)絡(luò)結(jié)構(gòu)的核心就是零信任安全網(wǎng)關(guān)的網(wǎng)絡(luò)結(jié)構(gòu)。零信任的安全網(wǎng)關(guān)是零信任網(wǎng)絡(luò)架構(gòu)的關(guān)鍵組件之一，幫助網(wǎng)絡(luò)系統(tǒng)實施零信任的原則，提高網(wǎng)絡(luò)安全性，減少潛在威脅的影響，并確保只有經(jīng)過身份驗證和授權(quán)的實體才能訪問網(wǎng)絡(luò)資源。如本文論述的使用虛擬化環(huán)境的新媒體系統(tǒng)，零信任模型的安全網(wǎng)關(guān)需將隔離區(qū)（Demilitarized Zone，DMZ）與互聯(lián)網(wǎng)、DMZ區(qū)與Overlay層、DMZ區(qū)與Underlay層做安全切割。為平衡零信任的安全網(wǎng)關(guān)的成本效率和業(yè)務(wù)系統(tǒng)的安全可用，本文使用如圖1所示的零信任的網(wǎng)絡(luò)方案。

圖1 零信任安全的網(wǎng)絡(luò)規(guī)劃方案

結(jié)合上述零信任的網(wǎng)絡(luò)規(guī)劃，針對構(gòu)建零信任模型過程的挑戰(zhàn)和問題，本文提出的相關(guān)建議和方案如下。

第一，簡化實施流程。做好系統(tǒng)規(guī)劃和技術(shù)規(guī)劃，使用成熟的解決方案和工具，降低實施的復雜性。采用逐步實施的方法，先從最關(guān)鍵的資源開始，逐漸擴展到其他系統(tǒng)和服務(wù)。

第二，優(yōu)化資源分配。合理規(guī)劃和分配資源，確保有足夠的計算和網(wǎng)絡(luò)資源來支持零信任架構(gòu)。結(jié)合使用本系統(tǒng)的虛擬化技術(shù)，可以提高零信任系統(tǒng)資源的使用效率。

第三，改善用戶體驗。通過用戶友好的認證方法，如多因素認證，來平衡系統(tǒng)的安全性和可用性。對用戶進行技術(shù)培訓，做好零信任系統(tǒng)使用的技術(shù)管控。

第四，自動化管理和維護。利用自動化工具簡化管理任務(wù)，減少人工干預。實施持續(xù)的監(jiān)控和日志記錄，以便及時發(fā)現(xiàn)和響應(yīng)安全事件。

第五，減輕對生產(chǎn)力的影響。實施零信任策略時，確保對業(yè)務(wù)流程的影響最小化。合理配置訪問控制策略，避免不必要的限制。

第六，降低安全風險。定期評估和更新安全策略，確保與當前的威脅情景保持一致。實施綜合的風險管理程序。

第七，減少虛假警報。通過優(yōu)化安全系統(tǒng)的配置和規(guī)則，減少虛假警報的發(fā)生。定期審核和調(diào)整安全事件的響應(yīng)機制。

第八，減少對單一技術(shù)的依賴。采用多元化的技術(shù)和供應(yīng)商，減少對單一技術(shù)或供應(yīng)商的依賴。確保系統(tǒng)的可擴展性和兼容性。

4 結(jié)語

零信任模型是一種技術(shù)策略，也是一種組織文化和操作模式的技術(shù)更新。模型的實施面臨著多方面的挑戰(zhàn)，包括實施的復雜性、資源需求的增加、用戶體驗問題、持續(xù)的管理和維護需求、可能對生產(chǎn)力的影響、安全風險、虛假警報風險以及對技術(shù)的依賴。本文論述的虛擬化環(huán)境的新媒體系統(tǒng)，通過綜合考慮技術(shù)、人員和流程等的多方面因素，合理地規(guī)劃和持續(xù)地優(yōu)化有關(guān)的方案，既能提高網(wǎng)絡(luò)安全性，也可以解決零信任構(gòu)建過程的挑戰(zhàn)和問題。