摘要：隨著社會(huì)經(jīng)濟(jì)的不斷發(fā)展，通信網(wǎng)絡(luò)的規(guī)模也越來(lái)越大，接入通信網(wǎng)絡(luò)的終端也越來(lái)越多元復(fù)雜化，隨之帶來(lái)各種風(fēng)險(xiǎn)隱患。針對(duì)這些問(wèn)題，本文嘗試引入零信任架構(gòu)方案，通過(guò)梳理現(xiàn)有通信網(wǎng)絡(luò)存在的各種問(wèn)題，并在此基礎(chǔ)上進(jìn)行未知流量的分析，進(jìn)而針對(duì)這些問(wèn)題提出適合分析結(jié)果的具體方案，綜合考慮通信網(wǎng)絡(luò)的便捷性與安全性，以實(shí)現(xiàn)通信網(wǎng)絡(luò)安全性能的有效提升。

關(guān)鍵詞：零信任架構(gòu)；通信網(wǎng)絡(luò)；安全訪問(wèn)

doi：10.3969/J.ISSN.1672-7274.2025.03.017

中圖分類號(hào)：TN 915.08 " " " " "文獻(xiàn)標(biāo)志碼：A " " " " " "文章編碼：1672-7274（2025）03-00-04

Optimization of Access Control Strategy for Communication Network Security Based on Zero Trust Architecture

CHEN Xuejian

（China Mobile Communications Group Guizhou Co.， Ltd.， Guiyang 550081， China）

Abstract： With the continuous development of the social economy， the scale of communication networks is also increasing， and the terminals accessing communication networks are becoming more diverse， which brings various risks and hidden dangers. In response to these requirements， this article attempts to introduce a zero trust architecture solution. By sorting out various problems existing in existing communication networks and analyzing unknown traffic based on this， specific solutions suitable for the analysis results are proposed to comprehensively consider the convenience and security of communication networks， in order to effectively improve communication network security.

Keywords： zero trust architecture; communication network; secure access

隨著社會(huì)經(jīng)濟(jì)的不斷發(fā)展，信息化建設(shè)體系越來(lái)越成熟[1]。依托信息化的大量云應(yīng)用、移動(dòng)互聯(lián)辦公也逐漸成熟，在享受信息化帶來(lái)的便利的同時(shí)，信息安全問(wèn)題日益凸顯。在萬(wàn)物互聯(lián)的新時(shí)代，依托通信網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)空間安全保證已經(jīng)成為信息網(wǎng)絡(luò)發(fā)展的重要工作[2-3]。各類系統(tǒng)的數(shù)量與規(guī)模不斷增多，使得各類終端設(shè)備也相應(yīng)增大，這些設(shè)備上往往無(wú)法全部部署相應(yīng)的安全軟件或代理，同時(shí)存在較多的漏洞，更容易受到外界的攻擊[4-5]。業(yè)界專家利用端口混淆、跳變等方法有效降低了攻擊性，但這類方法往往忽略了隱私和計(jì)算資源的成本[6]。針對(duì)這些不足，本文嘗試引入零信任架構(gòu)方案，多層面剖析現(xiàn)有通信網(wǎng)絡(luò)存在的安全問(wèn)題，針對(duì)這些問(wèn)題進(jìn)行樣本與未知惡意流量的分析，進(jìn)而對(duì)通信網(wǎng)絡(luò)信息安全防護(hù)方案進(jìn)行設(shè)計(jì)，旨在進(jìn)一步提高信息網(wǎng)絡(luò)安全防護(hù)水平，為通信網(wǎng)絡(luò)優(yōu)化提升提供技術(shù)支撐與參考。

1 " 零信任架構(gòu)

零信任網(wǎng)絡(luò)接入模型旨在阻止外界對(duì)應(yīng)用基礎(chǔ)設(shè)施的攻擊，有效提升用戶網(wǎng)絡(luò)安全水平，是一種安全解決方案，其具體的方式是：首先認(rèn)證，其次準(zhǔn)入，最后實(shí)現(xiàn)動(dòng)態(tài)、按需進(jìn)行網(wǎng)絡(luò)應(yīng)用安全的鏈接與訪問(wèn)[7-8]。零信任是一種現(xiàn)代的安全模式，其可以理解為“堅(jiān)決不信任，始終保持驗(yàn)證”，即它要求所有的設(shè)備與用戶，不管其處于網(wǎng)絡(luò)組織的內(nèi)部還是外部，都需要經(jīng)過(guò)權(quán)限的驗(yàn)證與認(rèn)證，才能則被賦予對(duì)應(yīng)的權(quán)限，以確保網(wǎng)絡(luò)安全。零信任架構(gòu)原理如圖1所示。

圖1 零信任架構(gòu)原理圖

①客戶端使用單個(gè)數(shù)據(jù)包認(rèn)證方式向控制器發(fā)出申請(qǐng)，提出訪問(wèn)的需求。

②控制器對(duì)客戶端的用戶進(jìn)行信息驗(yàn)證，如果通過(guò)，則通知網(wǎng)關(guān)進(jìn)行動(dòng)態(tài)開(kāi)門，為申請(qǐng)者提供入口，同時(shí)利用客戶端發(fā)起到網(wǎng)關(guān)的鏈接。

③客戶端向網(wǎng)關(guān)發(fā)出申請(qǐng)請(qǐng)求，網(wǎng)關(guān)根據(jù)申請(qǐng)者的相關(guān)信息及對(duì)應(yīng)的安全策略進(jìn)行驗(yàn)證與匹配分析。

④網(wǎng)關(guān)對(duì)臨時(shí)授權(quán)的訪問(wèn)進(jìn)行雙向加密式連接，客戶端通過(guò)加密通道對(duì)網(wǎng)關(guān)所指派的應(yīng)用資源或者服務(wù)進(jìn)行有區(qū)別訪問(wèn)。

零信任即“在驗(yàn)證之前不相信任何人”，通過(guò)消除系統(tǒng)架構(gòu)中的隱含信任來(lái)防治安全漏洞，要求每個(gè)接入點(diǎn)都必須進(jìn)行驗(yàn)證，而不是自動(dòng)信任網(wǎng)絡(luò)內(nèi)的實(shí)際用戶。采用多層方法來(lái)保護(hù)現(xiàn)有的網(wǎng)絡(luò)環(huán)境，具體可以包括以下幾點(diǎn)假設(shè)：7層威脅防范；網(wǎng)絡(luò)分段；簡(jiǎn)化的細(xì)粒度用戶訪問(wèn)控制；安全系統(tǒng)自動(dòng)化；全面安全監(jiān)控。零信任架構(gòu)在設(shè)計(jì)上不存在傳統(tǒng)的網(wǎng)絡(luò)邊界，摒棄了傳統(tǒng)的安全邊界模式。從本質(zhì)上來(lái)說(shuō)，零信任安全不僅僅是承認(rèn)網(wǎng)絡(luò)內(nèi)部和外部都存在一定的威脅，同時(shí)假定入侵不可避免或者實(shí)際已經(jīng)發(fā)生。因而，從實(shí)際情況來(lái)說(shuō)，零信任安全系統(tǒng)持續(xù)進(jìn)行惡意活動(dòng)的監(jiān)控，同時(shí)將每個(gè)用戶的相應(yīng)權(quán)限控制在工作范圍內(nèi)，這樣確保防止用戶的惡意攻擊或其他的橫向攻擊，確保核心的數(shù)據(jù)資源不受此危險(xiǎn)。

控制器將記錄客戶端的訪問(wèn)過(guò)程用日志，一旦發(fā)現(xiàn)異常訪問(wèn)或安全措施無(wú)效，則隨時(shí)中斷連接。

針對(duì)通信網(wǎng)絡(luò)安全提出開(kāi)集分類，一方面最小化已知分類風(fēng)險(xiǎn)，另一方面也最小化開(kāi)放空間風(fēng)險(xiǎn)，具體如式（1）所示：

（1）

式中，Ro（f）是最小化開(kāi)放空間風(fēng)險(xiǎn)；是分類經(jīng)驗(yàn)風(fēng)險(xiǎn)。

而對(duì)于信息網(wǎng)絡(luò)數(shù)據(jù)較多/樣本較少的狀況下，本文依托訓(xùn)練集Strain訓(xùn)練分類網(wǎng)絡(luò)P，使其對(duì)所有的類樣本的預(yù)測(cè)結(jié)果都盡量接近于真實(shí)值，具體如式（2）所示：

（2）

式中，P為分類網(wǎng)絡(luò)；y為真實(shí)的標(biāo)簽；x為所有類樣本。

2 " 案例分析

智能終端接入通信網(wǎng)絡(luò)更加趨于多元化、多樣化、復(fù)雜化，其更新的速度也愈來(lái)愈快，在應(yīng)用過(guò)程中所產(chǎn)生的安全問(wèn)題也對(duì)通信網(wǎng)絡(luò)的信息安全產(chǎn)生了影響，特別是針對(duì)傳統(tǒng)的、離散的通信運(yùn)營(yíng)業(yè)務(wù)而言，安全防護(hù)的成本與代價(jià)也逐漸增加[9-10]。不同模塊之間的接口缺乏系統(tǒng)性保護(hù)，終端的漏洞往往會(huì)導(dǎo)致網(wǎng)絡(luò)安全的不確定性。

零信任安全的防御架構(gòu)包括以下幾點(diǎn)：

（1）身份與訪問(wèn)管理。在零信任模型中，身份是安全的核心。所有用戶、設(shè)備和服務(wù)在訪問(wèn)資源前，必須經(jīng)過(guò)嚴(yán)格的身份驗(yàn)證。這包括多因素認(rèn)證、生物識(shí)別技術(shù)、行為分析等多種手段，以確保只有合法用戶才能獲得訪問(wèn)權(quán)限。通過(guò)持續(xù)監(jiān)控訪問(wèn)行為，系統(tǒng)能夠及時(shí)發(fā)現(xiàn)并響應(yīng)異常活動(dòng)。

（2）最小權(quán)限原則。遵循最小權(quán)限原則意味著每個(gè)用戶或服務(wù)只被授予完成其任務(wù)所需的最小權(quán)限。這種策略使攻擊者成功入侵系統(tǒng)后，所能造成的損害范圍較小，從而降低了安全風(fēng)險(xiǎn)。

（3）持續(xù)監(jiān)控與響應(yīng)。零信任安全模型強(qiáng)調(diào)對(duì)系統(tǒng)和網(wǎng)絡(luò)的持續(xù)監(jiān)控。通過(guò)實(shí)時(shí)分析網(wǎng)絡(luò)流量、用戶行為、系統(tǒng)日志等，系統(tǒng)能夠及時(shí)發(fā)現(xiàn)并響應(yīng)潛在的安全威脅。這包括自動(dòng)隔離受感染的設(shè)備、觸發(fā)警報(bào)通知管理員等響應(yīng)措施。

（4）微隔離。微隔離技術(shù)通過(guò)在數(shù)據(jù)中心、云環(huán)境或物聯(lián)網(wǎng)網(wǎng)絡(luò)中實(shí)施細(xì)粒度的訪問(wèn)控制，進(jìn)一步增強(qiáng)了安全性。其允許管理員根據(jù)上下文信息（如用戶身份、設(shè)備類型、地理位置等）動(dòng)態(tài)調(diào)整訪問(wèn)策略，從而確保只有經(jīng)過(guò)授權(quán)的流量才能在系統(tǒng)內(nèi)部流動(dòng)。

（5）數(shù)據(jù)保護(hù)。在零信任模型中，數(shù)據(jù)保護(hù)至關(guān)重要。其包括加密敏感數(shù)據(jù)、實(shí)施數(shù)據(jù)丟失防護(hù)策略、監(jiān)控?cái)?shù)據(jù)訪問(wèn)行為等。通過(guò)確保數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中的安全性，系統(tǒng)能夠防止數(shù)據(jù)泄露和濫用。

（6）基礎(chǔ)設(shè)施安全。零信任安全模型注重基礎(chǔ)設(shè)施的安全性。其包括確保網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲(chǔ)系統(tǒng)等硬件設(shè)施的物理和邏輯安全，以及定期更新和補(bǔ)丁管理，以防止已知漏洞被利用。

（7）自動(dòng)化與智能化。隨著技術(shù)的不斷發(fā)展，自動(dòng)化和智能化成為零信任安全模型的重要組成部分。通過(guò)利用機(jī)器學(xué)習(xí)和人工智能等技術(shù)，系統(tǒng)能夠自動(dòng)分析威脅情報(bào)、優(yōu)化安全策略、提高響應(yīng)速度和準(zhǔn)確性。

（8）合規(guī)性與審計(jì)。最后，零信任安全模型還注重合規(guī)性和審計(jì)。其包括確保系統(tǒng)符合行業(yè)標(biāo)準(zhǔn)和法規(guī)要求、定期進(jìn)行安全審計(jì)和滲透測(cè)試以驗(yàn)證系統(tǒng)的安全性。通過(guò)記錄和跟蹤所有訪問(wèn)行為和安全事件，系統(tǒng)能夠提供詳細(xì)的審計(jì)日志以供后續(xù)分析和調(diào)查。

零信任安全模型的八大支柱共同構(gòu)成了一個(gè)全面而堅(jiān)固的防御架構(gòu)，旨在應(yīng)對(duì)當(dāng)前網(wǎng)絡(luò)環(huán)境的復(fù)雜性和多樣性。通過(guò)實(shí)施這些措施能夠顯著降低安全風(fēng)險(xiǎn)，確保數(shù)據(jù)和資源的安全。

此外，對(duì)于終端使用者用戶而言，無(wú)論是用戶的安全意識(shí)還是賬戶的安全隱患，都成為容易被攻擊的 薄弱環(huán)節(jié)。研究表明，使用網(wǎng)絡(luò)口令或計(jì)算機(jī)密碼時(shí)存在諸多漏洞，這些漏洞容易誘發(fā)網(wǎng)絡(luò)安全故障。此外，垃圾短信也成為安全隱患，部分垃圾信息未經(jīng)允許便竊取用戶身份信息、商業(yè)信息等，不法分子利用此類信息竊取商業(yè)機(jī)密或散布非法信息。

為深入分析零信任架構(gòu)方案的有效性，研究選取了經(jīng)過(guò)400次訓(xùn)練后的模型進(jìn)行對(duì)比。試驗(yàn)中發(fā)現(xiàn)，初始60個(gè)訓(xùn)練批次權(quán)重值設(shè)為0，后續(xù)訓(xùn)練保持權(quán)重值為0.5，可加速模型收斂。位置分類閾值根據(jù)訓(xùn)練集最佳分類表現(xiàn)設(shè)定為0.81。在訓(xùn)練過(guò)程中，交叉閾值設(shè)為1.85時(shí)，小樣本分類性能最優(yōu)。

實(shí)驗(yàn)重點(diǎn)分析了對(duì)比學(xué)習(xí)對(duì)檢測(cè)小樣本類性能的提升效果。對(duì)比了采用Sim對(duì)比學(xué)習(xí)的模型與不采用對(duì)比學(xué)習(xí)的模型性能。經(jīng)過(guò)200次訓(xùn)練，不采用對(duì)比學(xué)習(xí)的模型呈現(xiàn)收斂趨勢(shì)，而采用對(duì)比學(xué)習(xí)的模型在充分訓(xùn)練后性能進(jìn)一步提升，展現(xiàn)出更強(qiáng)檢測(cè)能力。研究通過(guò)對(duì)比分析不同模型檢測(cè)性能，驗(yàn)證了零信任架構(gòu)方案的有效性，并揭示了對(duì)比學(xué)習(xí)在提升小樣本類檢測(cè)性能方面的潛力。同時(shí)，應(yīng)高度重視網(wǎng)絡(luò)口令、計(jì)算機(jī)密碼及垃圾短信等安全隱患，采取有效措施加強(qiáng)網(wǎng)絡(luò)安全防護(hù)。

在實(shí)際通信網(wǎng)絡(luò)運(yùn)行中，常出現(xiàn)概念漂移、網(wǎng)絡(luò)宕機(jī)、高并發(fā)訪問(wèn)出錯(cuò)等諸多問(wèn)題，因此相應(yīng)的模型要能快速進(jìn)行訓(xùn)練并應(yīng)用。所以在測(cè)試時(shí)需綜合考慮相同時(shí)間內(nèi)，對(duì)集中方法的良性、小樣本已知類的平均指標(biāo)進(jìn)行計(jì)算，具體的計(jì)算結(jié)果如表1所示。

如表1所示，盡管隨機(jī)森林的方法具有一定的優(yōu)勢(shì)，但無(wú)法兼顧精度與召回率，且對(duì)比精度，本文的模型由于加入了對(duì)比學(xué)習(xí)及再訓(xùn)練的方法，在各個(gè)階段都表現(xiàn)出最佳的性能，特別在小樣本類的精度上有明顯的提升。

互聯(lián)網(wǎng)技術(shù)的發(fā)展也為網(wǎng)絡(luò)信息安全問(wèn)題提供了新的解決方案，為了進(jìn)一步強(qiáng)化在新興領(lǐng)域方面的安全管理，必須積極引入智能網(wǎng)控制技術(shù)，制定合理、完善、有效的通信網(wǎng)絡(luò)安全防護(hù)措施。同時(shí)，針對(duì)新的業(yè)務(wù)，需要提前采取相應(yīng)的安全措施，從最原始的業(yè)務(wù)設(shè)計(jì)環(huán)節(jié)消除潛在的漏洞。新興技術(shù)的發(fā)展也會(huì)造成傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)、防護(hù)機(jī)制無(wú)法滿足日益復(fù)雜化的多元安全防護(hù)需求，必須制定合理、有效、完善的新型安全防護(hù)措施。

3 " 結(jié)束語(yǔ)

隨著社會(huì)經(jīng)濟(jì)的不斷發(fā)展，通信網(wǎng)絡(luò)的規(guī)模也越來(lái)越大，接入通信網(wǎng)絡(luò)的終端也呈現(xiàn)多元化、多樣化的特征。因此，合理、有效、安全地進(jìn)行通信網(wǎng)絡(luò)安全訪問(wèn)控制是極為重要的，針對(duì)這些需求，本文嘗試引入零信任架構(gòu)，通過(guò)深入剖析現(xiàn)有通信網(wǎng)絡(luò)存在的各類問(wèn)題，綜合考慮、分析通信網(wǎng)絡(luò)實(shí)際的便捷性與安全性并進(jìn)行未知惡意流量的分析，進(jìn)而提出防護(hù)的具體方案，以更好地服務(wù)于通信網(wǎng)絡(luò)建設(shè)。

參考文獻(xiàn)

[1] 王興鵬，許曉榮，胡安迪，等.Nakagami-m衰落信道下存在竊聽(tīng)攻擊的認(rèn)知中繼網(wǎng)絡(luò)安全性與可靠性折中方案[J].電信科學(xué)，2018，34（12）：9-620.

[2] 劉雅婷，王永程，強(qiáng)延飛，等.基于隨機(jī)映射與聚類的網(wǎng)絡(luò)流量異常檢測(cè)[J].計(jì)算機(jī)仿真，2019，36（3）：5-10.

[3] 張?jiān)?，張俊楠，吳曉春，?基于改進(jìn)灰狼優(yōu)化算法的服務(wù)功能鏈映射算法[J].電信科學(xué)，2022，38（11）：16-22.

[4] 陳偉雄，楊曉晨，春增軍，等.電力企業(yè)網(wǎng)絡(luò)安全威脅情報(bào)管理體系的研究與實(shí)踐[J].電信科學(xué)，2022，3（7）：95-100.

[5] 廖明，陳明，周冀，等.基于大數(shù)據(jù)融合算法的DNS日志分析系統(tǒng)[J].電信科學(xué)，2019，35（5）：11-15.

[6] 成秀珍，呂衛(wèi)鋒，徐明輝，等.元計(jì)算：零信任下的新型計(jì)算范式[J].山東大學(xué)學(xué)報(bào)：理學(xué)版，2023，58（9）：1-15.

[7] 劉恒宇.\"互聯(lián)網(wǎng)+醫(yī)療\"模式下信息安全零信任架構(gòu)建設(shè)與應(yīng)用[J].醫(yī)學(xué)信息學(xué)雜志，2020，41（8）：5-8.

[8] 田由輝.基于零信任架構(gòu)的網(wǎng)絡(luò)安全防護(hù)思路[J].信息技術(shù)與信息化，2020，4（5）：4-8.

[9] 王奕鈞.基于零信任機(jī)制的工業(yè)互聯(lián)網(wǎng)邊界防護(hù)方案研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2024，3（3）：34-40.

[10] 沈閱，李佳.電信網(wǎng)絡(luò)智能安全防御體系及運(yùn)營(yíng)生態(tài)的研究與探討[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2023，36（12）：41-45.