摘要：企業網絡基礎設施建設日趨綜合化、復雜化，計算機網絡安全邊界日趨模糊。當前，數字化發展已呈時代發展和推動技術更新的必要階段，諸多新興技術如云平臺、物聯網(Internetof Things)、大數據和移動互聯的技術成長也為各大企業提供了新鮮和活力。云平臺和物聯網(Internetof Things)為企業的經濟數據提供了走出“邊界”的可能，而大數據和移動互聯又為企業外部服務與內部串聯形成良好的協同聯系。顯然，當下的企業網絡安全技術已然不再是單純的和易于被識別的，它的“安全邊界”逐步被瓦解，以往傳統的網絡技術和系統方案顯然不再適用于當代企業網絡基礎。那么，在該文中將主要探討建立網絡安全新范式加強計算機維護。

　　關鍵詞：網絡安全技術;網絡安全新范式;零信任安全架構(ZTA);計算機維護

　　1 計算機網絡安全現狀與網絡安全新范式建立的必要性

　　數字化時代經濟創新的業務絕大多數始于云平臺和大數據搭建，此類IT架構實現業務與數據集中化，而系統風險也隨之集中化。我們知道，系統數據風險一直以來都是經濟創新業務最被關注的問題之一。尤其是近些年來，諸多企業出現數據外泄的事件，不得不為計算機網絡安全實現數字化轉型的發展擔憂[1] 。

　　依據相關調查數據剖析，計算機數據外泄由企業內部人員導致是其主要原因之一。企業內部人員一般在特定范圍內可以擁有一定合法的訪問權限，如果存在憑證丟失或權限濫用的情況，企業網絡數據外泄的可能性即極大的提升。另外，企業網絡數據泄漏還有另外一個主要原因，那就是外部攻擊，從相關數據分析來看，黑客攻擊企業內網的手段不一定多先進，絕大部分黑客攻擊僅僅是竊取憑證或“爆破”弱口令，以此破壞企業內網，或盜取企業數據訪問權限。

　　綜合以上論述，導致企業網絡數據外泄的原因主要有兩方面。企業在網絡方面的意識逐步提升，隨之帶來的是加大網絡安全維護成本投入。但是，從近些年來的成效來看，加大網絡安全維護成本投入并沒有保障網絡數據外泄事件的概率下降。究其原因，企業在進行基礎構架搭建時有所疏忽，隨著時代進步，IT技術架構也在不斷優化，數字化技術的發展也在很大程度上推動了IT技術構架演變。顯然，新型IT技術架構已經不能從傳統架構理念出發，我們僅僅改變“基礎”以上的結構而忽視了“基礎”改造，那么這個“基礎”就成了木桶拼板中“最短”的那一塊[2]。

　　傳統網絡安全維護是依存于邊界的架構體系。它首先要求的是找到安全邊界，然后將系統網絡分為幾個不同的區塊，包括外網、DMZ 和內網。然后，邊界部署防火墻、WAF、IPS 等網絡安全維護產品，從而為企業網絡構造防護墻。通過分析，傳統網絡安全維護架構體系顯然已經默許了內網安全重要于外網安全，很大程度上已經預設了內網用戶的信任。另外，云平臺技術發展模糊了內網與外網之間的界限，也導致了物理安全邊界難以識別。顯然，企業根本不能實現依存于傳統安全架構設施搭建，而僅能依托于更加更為先進且靈活的技術措施來識別或認證一直處于動態且變化的用戶、設備及網絡系統，零信任安全架構(ZTA)(ZTA)正是因此原理成為時代發展的必需，也是計算網絡安全架構與維護系統安全與穩定并重的必然。

　　2 零信任安全架構(ZTA)在計算機維護中的運用

　　零信任安全是由福雷斯特公司的首席分析師約翰·約翰開創的。自2014年12月以來，谷歌已經發表了六篇beyond corp相關文章，全面概述了 beyond corp 的架構及其自 2011 年以來的執行情況。2017年，這個行業，包括思科、微軟、亞馬遜、cyx?tera等等。自2018年以來，我國中央部委、國家機關、大中型企業開始探索零信任身份安全框架的實踐。零信任安全的本質是訪問控制范式從傳統的以網絡為中心向以身份為中心的轉變。零信任身份安全體系結構一般由三個子系統組成：設備與用戶認證代理、可信訪問網關和智能身份平臺。例如，很久以前，我們可能不得不輸入密碼，隨機數字驗證碼，短信驗證碼，還有安全密鑰。現在，如果你的手機上安裝了電子郵件App，你只需掃描二維碼，這種認證既方便又高效。

　　零信任身份安全體系結構以“身份”作為新的邊界思想，將訪問控制從邊界轉移到個人設備和用戶。打破傳統的邊界保護思想，建立基于身份的信任機制，遵循對設備和用戶進行身份認證然后訪問業務的原則，然后自動信任任何內部或外部的人/設備/應用程序，對任何試圖訪問網絡和業務應用程序的人/設備/應用程序進行身份認證之后再授權，并提供一種動態的細粒度訪問控制策略，以滿足最小特權原則。通過提供用戶和企業之間的安全訪問來保護政府數據的安全技術。

　　2.1 零信任身份安全架構的技術方案

　　零信任身份安全體系結構對傳統的邊界安全體系結構進行了重新評估和檢驗，提出了一種新的啟示：網絡始終處于各種威脅之中，包括內部外界，也包括外部威脅，并且信任評估不僅只通過網絡位置進行，缺省情況下，網絡內外的任何設備或系統都不能被信任。認證和授權應該作為訪問控制信任基礎，要將設備、用戶多元數據作為依據，零信任能夠扭轉訪問控制模式，推動了網絡安全構架轉變，即：“網絡為中心”轉變為“以身份為中心”，基于技術視角，零信任身份安全體系結構依托先進的身份管理技術，對人、設備、系統進行智能化、動態化智能訪問控制[3]。

　　零信任身份安全架構的技術方案，包括三個部分，即：業務訪問主體、業務訪問代理、智能身份安全平臺，如上圖1。

　　業務請求發起人就是業務訪問主體，請求包括諸多內容，如網絡用戶、系統設備和程序應用。傳統的計算機網絡安全應用機制通常是通過認證與授權分離作業，而零信任身份安全體系構架則將業務訪問主體、業務訪問代理和智能身份安全平臺三部分視為一個整體，如此一來即可降低系統數據被竊取或外泄的風險。零信任身份安全架構的實操過程往往是將系統設備與企業用戶進行綁定。

　　訪問數據平臺的實際控制要點為業務訪問代理，業務訪問代理的關鍵在于對能夠對實際執行者訪問進行控制。一般來說，訪問代理會將業務隱藏，只能夠通過系統設備、企業用戶進行驗證，并且其訪問主體的訪問權限充足，業務訪問數據通道必須進行加密，只有加密之后，才能夠將資源開放，實現共享。

　　零信任身份安全體系架構的控制平臺就是智能身份平臺，在這個平臺上，訪問主體與業務訪問代理，能夠進行信息交互，在具有一定安全保護的范圍下進行信任評估與授權認證，并將平臺安全配置的參數予以協商完成。當前，企業網絡安全技術管理平臺對零信任安全架構非常適用，可便捷實現用戶身份認證、治理及動態化授權與分析等功能。

　　2.2零信任身份安全架構的基本原則

　　業務訪問代理、業務訪問代理和智能身份安全平臺需要各種技術支持，包括架構組件、交互邏輯等，體系結構按照一定的結構原則，借由映射的安全能力，對零信任身份進行驗證，以此滿足IT環境的各種安全需求，具體如下：

　　1)整體標識原則。所有訪問對象都需要確認，包括人員，設備等等。不僅需要管理者的身份，還需要網絡代理人，且網絡代理人并不是孤立的個體。

　　2)應用級控制原則。業務訪問需求并非在網絡層工作，而是在應用程序層，并且，網絡層一般都是通過應用程序代理實現的。應用代理的全過程都需要加密，并且要執行全流程代理。

　　3)閉環安全原則。進行信任級別評估需要多方支持，如：訪問代理屬性、行為以及上下文等，并根據信任級別動態、要對訪問權限要實時調控，以保障網絡內部可以形成一個閉環的安全系統。

　　4)強有力的業務聚合原則。零信任體系架構自身具備極高的安全屬性，在執行安全防護時，要以實際業務場景與安全情況為依據，進行構架設計。零信任架構要具備靈活的環境適應性，因此，要根據實際需求進行拓展。

　　5)多場景覆蓋原則。現代rT環境有多種業務接入場景，包括數據中心服務互訪場景、接入終端以及用戶接入業務等。為了能夠保障零信任體系架構功能性，必須要嚴格遵循多場景覆蓋原則，綜合對各種場景進行分析，以此保障系統的可伸縮性與擴展性。

　　6)高連桿元件原則。零信任體系架構的另一主要特性就是高度的連接性，每個組件之間要具備互調性，以此構建一個完整的體系，以此緩解來自外部的各種威脅，形成一個安全閉環。在實際操作中，產品組件不能堆放，產品之間的連接是實現零信任效果的重要基礎。

　　2.3零信任身份安全架構的技術實踐究其本質，零信任是建立在訪問主體、訪問對象之間的一個控制系統，并具有動態可信訪問功能，其核心能力可以概括為業務安全訪問、動態訪問、密鑰等各種功能，建立在各種數字身份的基礎上，網絡會對默認不可行的訪問請求進行認證、加密，對各種相關數據進行持續的信任評估，根據信任級別動態對訪問權限進行調整，最后，進行各種信息關系的建立。在零信任體系架構中，訪問對象是受保護的核心資源，被保護的資源有很多種，如：操作功能、資產數據等。人、設備、應用程序等都可作為訪問主體，在一定的訪問權限內，對相關實體進行綁定，從而實現定義與限定主題"

　　以身份為中心。本文所研究的安全構架是將身份作為中心，具有動態方法與自動化控制功能，身份認證則是零信任安全架構實現的前提條件。在已認證總體身份的前提下，網絡用戶、系統設備、程序應用以及其他業務構建一個統一整體，同時，還具備數字化的身份識別功能，對導尿管太訪問機制與控制系統進行深入搭建，系統安全管理范圍可以延伸到整個身體實體之中。

　　持續認證。零信任安全架構無法一次性對身份有效性進行認證，即便使用較高強度的雙重身份認證也必須利用持續認證予以評估信任度。比如，不斷剖析和識別訪問用戶的操作行為才能完全實現動態化評估用戶信任度。

　　動態訪問控制。以往的計算機網絡安全技術平臺使用的訪問控制機制為宏二進制邏輯，其核心依托靜態授權規則、黑白列表技術等，這些技術可實現一次性評估，本文所研究的安全平臺訪問機制則是一種持續評估的系統概念，使用微觀決策的邏輯，經持續評估業務訪問主體的信任度和外部環境風險，是否授權是以動態化評估結果所決定的。客戶主體的信任度評估過程可依據認證方法和系統設備運行狀態、程序應用等多方面因素實現。值得一提的是，外部環境風險的評估一般涉及介入時間、源IP地址、源位置、接入頻率和系統設備相似度等時空因素。

　　智能身份分析。本文研究的安全系統將持續認證、動態訪問作為核心，因此大大提升了管理開銷，更好地實現零信任身份安全體系登錄。系統還具備智能分析功能，能夠幫助人們實現適應性訪問控制，同時還能夠對各種策略違規進行分析、檢測，從而觸發引擎自動或者手動干預，進而實現系統內部的閉環治理。

　　智能身份分析有助于零信任安全架構平臺能夠根據實際需求實現訪問與控制，且這項功能還能夠使用用戶的權限、扮演角色和使用策略予以分析，也可以對潛在策略違規行為予以檢測，同時也可以自動方式或手動方式觸發工作流，進而對閉環質量進行調整和干預。本文研究的安全體系采用了灰度理論，在保證安全性和連續認證易用性的前提下，提高固化的一次性強認證的安全性，采用基于風險的動態授權和信任持久性措施取代基于二進制決策的靜態授權。使用開放和智能的身份治理來優化封閉和剛性的身份管理。

　　3結束語

　　伴隨著計算機技術發展，基于傳統的維護計算機系統穩定需求，保證計算機網絡安全成為必要性。傳統的網絡安全架構理念是基于邊界的安全架構。當前，計算機網絡即便已經逐步實現全網信息化，計算機用戶獲取網絡信息十分便捷。然而，計算機網絡是否安全一直都是大眾用戶所共同關心的問題。我們知道，用戶信息、系統漏洞和病毒入侵都可能危害計算機系統和網絡的安全，計算機用戶的網絡體驗受到了極大的影響。那么，基于計算機網絡安全我們不再完全依仗傳統的計算手段，應該建立網絡安全新范式。零信任安全架構(ZTA)(ZTA)應運而生。本文通過剖析計算機網絡安全現在，并闡述網絡安全新范式建立的必要性，重點探討零信任安全架構(ZTA)在計算機維護中的運用，以期為行業朋友提供借鑒。

　　參考文獻：

　　[1]劉斌，數據加密技術在計算機網絡通信安全中的應用初探[J.中國新i信，2018，20(7)：28.

　　[2]劉馨澤，數據加密技術在計算機網絡安全中的應用價值[J電術5件1程，2018(9)：197.

　　[3]王秀波零信任架構網絡安全解決方案J.智能建筑，2019(3)63-67.

　　[4]曾玲，劉星江，基于零信任的安全架構J]通信技術，2020，53(7)：1750-1754.

　　[5]何鈺龍，網絡安全技術在計算機維護中的應用研究[J.信息記錄材料，2020，21(3)：109-111.

期刊VIP網，您身邊的高端學術顧問

文章名稱： 網絡安全技術在計算機維護中的運用

文章地址： http://www.qxgy.net/mianfeiwx/59221.html