■ 云南 王军峰

编者按：如今传统的网络安全边界变得越来越模糊，目前的网络防御技术存在诸多漏洞，为黑客攻击提供了极大的便利。随着网络攻击演变得更加复杂，新的网络安全防御思维应运而生。

由公安部第三研究所网络安全法律研究中心与百度联合发布的2019年《网络犯罪治理防范白皮书》中披露，每分钟因网络犯罪导致的经济损失高达290万美元，每分钟泄露的可标识数据记录为8100条，数据表明，33.9%数据泄露事件与内部威胁有关。

认识到了现有安全防御的不足以及应对愈趋严峻的安全态势，我们需要更好的东西，而零信任模型恰好就能得到最好的结果。

网络先天存在的缺陷

1.网络协议的缺陷

TCP/IP协议是建立在可信的环境之下，由于在其设计初期人们过分强调其开发性和便利性，没有仔细考虑其安全性，因此很多的网络协议都存在严重的安全漏洞，给Internet留下了许多安全隐患。

2.终端系统漏洞

互联网的飞速发展打破了常规的时间、空间限制，使我们可以服务的人群变得无限多。然而，互联网带来无限多客户的同时也带来了无限多的黑客。在黑客面前，任何细微漏洞都可能被捕获，导致安全风险被无限放大。特别是两个基本假设的成立让我们无所适从：

任何应用程序都会存在漏洞；黑客总是比用户更早地发现漏洞。

3.边界防火墙的缺陷

由于传统的防御体系侧重于互联网、第三方等边界的网络安全防护，认为只要构筑了企业的数字护城河，通过防火墙、WAF、IPS等边界安全产品或方案，就能实现企业的网络安全。

这种网络安全架构假设或默认了内网比外网更安全，在某种程度上预设了对内网中的人、设备和系统的信任，从而忽视内网安全措施的加强。网络边界的安全防护一旦被突破，即使只有一台计算机被攻陷，攻击者也能够在安全的网络中心内部自由移动。

网络安全面临的重大挑战

在网络新时代，网络攻击给我们带来了新威胁和大挑战，主要面临着6大新威胁。

第一，网络攻击正在威胁国家安全。敌对势力通过网络攻击可以在敌对国家内部的网络空间搞破坏，最终达到影响民意等目的，甚至实现“颜色革命”。

第二，网络战威胁国防安全。网络战已经成为国际冲突的常见形式，网络战时时刻刻都在发生，网络战会成为未来战争的首选，给国家国防安全带来了严重威胁。

第三，网络攻击也在威胁国家关键基础设施安全。物联网、工业互联网正在把虚拟世界和物理世界打通，所有原先虚拟世界的攻击都可以直接影响现实物理世界，通过网络就可以破坏水、电、气、交通、能源等关键基础设施。

第四，网络攻击威胁社会稳定和公共安全。现在整个社会的运转、公共服务、老百姓的吃喝玩乐都建立在网络之上。一旦遭受网络攻击，社会秩序就会混乱。

第五，网络攻击威胁金融和经济安全。互联网金融已经深入大众生活，而针对金融系统的网络攻击也层出不穷，威胁金融和经济安全。例如区块链的火热也让虚拟货币已经成为黑客攻击的新目标。

第六，网络攻击威胁用户个人安全。数据显示，网络犯罪正在成为第一大犯罪类型，未来绝大多数犯罪都可能借助网络实施。网络犯罪除了造成用户隐私泄露、财产损失外，甚至也在影响人身安全。

传统的可信任网络体系面临巨大挑战，无法满足安全的需求。我们需要构建零信任体系，以管理战略情报的思维来管理数据。

零信任网络构建提升网络安全

互联网给我们带来了很多的安全方面的经验教训，人们意识到旧的网络防护体系需要打破。

2010年John Kindervag提出信任网络（亦称零信任架构）模型，零信任是一个安全概念，中心思想是不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入内部系统的人/事/物进行验证。

简言之，零信任的策略就是不相信任何人。除非网络明确知道接入者的身份，否则任谁都别想进入。什么IP地址、主机之类的，不知道用户身份或者不清楚授权途径的，统统不放进来。

零信任架构假设网络自始至终充满外部和内部威胁，不能仅凭网络位置来评估信任，从传统的以网络为中心转变为以身份为中心进行访问控制，这种转变的必然性是因为网络边界正在瓦解，已经无法区分内外网，因此，索性将内网按照互联网安全的思路进行建设，而互联网对业务的安全防护的典型解决方案就是基于身份与访问控制。因此，零信任安全自然而然的将身份和访问控制作为信任重建的基石。

1.加强用户身份验证

每个人都有身份，它是现实社会中个体的象征，是个体进行社会活动的基础，在网络系统中，身份就是社会人/用户所对应的数字个体的标识，是用户在网络系统中活动的基础。认证对于零信任网络至关重要，它是强制行为，在现行的网络结构中主要包括密码认证、生物特征认证和安全令牌认证。

密码是常用的认证机制，安全性高的密码需要具备以下的特征。

长度足够长：最近的NIST密码标准建议密码长度最小为8位，但是具有高度安全意识的个人通常使用的密码长度为20位以上。

难以猜测：最好利用随机数生成器生成的数值作为密码，每个应用和服务都选用不同的、位数足够长且难以猜测的密码。

生物特征识别更加便捷安全，如指纹、虹膜扫描、掌纹、人脸识别等技术。虽然生物特征识别有助于提高系统安全性，但是这种机制的一些天然缺陷也不可忽略：生物特征认证极大依赖于物理特征的精准度量，攻击者可能欺骗传感器；另一个缺点是它们不可变更。

安全令牌是一种应用于用户认证的硬件设备，随做安全企业的发展，越来越多的企业倾向于使用硬件机制认证用户身份，将用户身份与硬件设备绑定，大大减小了用户凭证被复制和盗窃的风险。

2.建立设备信任

在零信任网路中建立设备信任至关重要，建立设备信任是基石，直接影响零信任网络架构的成败。

大多数网络安全事件都和攻击者获得信任设备的控制性相关，这种情况一旦发生，信任就将被彻底瓦解，无法通过设备来确保安全信任链的建立。必须确保使用标准化的健康合规要求，对网络生态系统中对接入的设备进行一致的扫描和监测，如果没有这些措施，将很难在整个网络上运行健康检查，也将为恶意行为体提供访问网络和网络资源的机会。网络环境已经延伸到了接触生态系统的每一台设备，这一切都要做好抵御攻击的防护，包括受管和非受管的端点：移动设备、平板电脑以及物联网设备。

有效的零信任安全战略意味着您必须审核每台设备；确保其值得信赖；授予访问权限；然后随时隔离、保护和控制每台接触网络的设备。因为设备验证属于一个重要环节，因此要对设备进行清点。

3.加密认证

在零信任网络中，系统接收到的所有数据包都是不可信的，因此在处理封装与数据包中的数据之前必须严格检查这些数据包，强认证机制是完成该项该项检查的受选方案。

加密是零信任安全的一个关键组件，因为它假定网络本身不可信任，网络上的任何数据都必须相应地受到保护。还应考虑与过程/处理中数据相关的风险，并对该阶段的数据管理进行加密，此外还应考虑传输或静止的数据。

加密和认证通常是紧密相关的，尽管其目的截然不同。加密提供机密性，用于确保只有接收者才能读取发送的数据；认证则用于接收者可以验证消息确实是由所声明的对象发送的。

4.审查访问行为

有效的零信任策略包括监控访问行为和分析模式和趋势。为了增加从开关中使用抽象的流量分析管道，在整个网络的安装了流量监控的用户设备来模拟非特权网络中的行为。

这个流量监控检测作为每一个设备的基础服务，检查所有输入和输出流量，长期记录并分析网络流量，能够发现现有网络中存在哪些类型的网络连接。

收集并记录所有网络流量后，基于高级系统连接对网络流量进行分类，有了这些网络定义，就可以更好的执行已知连接的访问控制，感知网络中通信模式的变化。

网络流量和网络上用户/设备行为的日志和监控，这将提供对网络映射的更好理解，并使识别可能指示对网络资源的未经许可访问的异常行为变得更加容易。用诸如安全信息管理、高级安全分析平台、安全用户行为分析和其他分析系统这样的工具，使安全专家能够实时地观察正在发生的事情和更智能地定向防御。对网络相关事件数据的分析，有助于在实际事件发生之前制定主动安全措施。

结语

零信任是一个演进式的框架，而不是革命性的方法。它建立在现有的安全概念之上，并没有引入一种全新的网络安全方法。与大多数安全概念一样，零信任依赖于对组织的服务、数据、用户、端点的基本理解。关于前期资源投资，没有“免费午餐”。策略定义、部署概念、信任确定（和衰退）、执行机制、日志聚合等，都需要在部署解决方案之前考虑。