當網路安全邊界防護逐漸模糊，零信任或將成下一輪爆點

“零信任的本質是一種理念和思路，不是某種固定的技術，也不是對既有技術和體系結構的顛覆。”在日前由國家資訊中心《資訊保安研究》雜誌社主辦的網路安全創新發展高峰論壇上，中國資訊保安研究院副院長左曉棟這樣說。

隨著國家政策為數字化轉型創造利好環境，數字化轉型不斷深入，以雲計算、人工智慧、大資料為主的新一代數字技術正改造企業IT架構，資訊化環境也逐漸從之前的“以網路為中心”變成現在的“以資料為中心”，傳統的邊界防護模式逐漸“失靈”。

根據IDC研究，近年來，遠端辦公、業務協同、分支互聯等業務需求快速發展，企業原有的網路邊界逐漸泛化，導致基於邊界的傳統安全架構不再可靠，零信任成為一個必選項。當前，不僅奇安信、深信服、網宿科技等安全企業機構相繼圍繞零信任展開角逐，騰訊等一眾大廠也紛紛重磅加碼。零信任或將成為網路安全下一輪爆發點。

“在萬物互聯趨勢下，數字化重塑全域產業鏈，網路邊界具有易變化、複雜化、模糊化和不確定等特點。”芯盾時代CTO孫悅也認為，企業需要改變傳統的邊界防護模式，應以持續不間斷地驗證進行認證和風險評估，在原來的網路邊界基礎上，構建以身份為邊界的零信任安全模式。

左曉棟表示，零信任的產生有客觀必然性，源於網路安全風險加大，傳統信任模型受到挑戰；零信任的實質是對訪問控制的新要求，不是網路安全的全部。

“零信任是框架不是具體技術，是技術組合不是單一技術，可由多種方法實現，而不是固化的方式。”國家資訊科技安全研究中心總師郭曉雷也認為，我國資料安全保護相關要求及訪問控制應用情況，需要建立包含物理裝置、資訊系統、資料等在內的資源清單並加強標識化管理，對資源實施細粒度訪問控制，開展持續的面向信任的監測和分析。

在北京數字認證股份有限公司董事長詹榜華看來，信任是數字互動的基礎和前提，而零信任安全是以建立網路信任和管理網路信任為基礎，多種安全保障措施協同構建網路安全保障體系的理念或思路。

他認為，實現零信任安全的關鍵能力體現為“五大支柱、三個層面”——五大支柱是指身份、裝置、網路、應用、資料，每個支柱的能力均從三個層面展開，即感知與分析、自動化響應與動態調整、策略管理。

以支柱之一“身份”為例，詹榜華認為，密碼技術是解決網路身份問題的核心技術和最佳實踐，透過數字證書、OTP令牌、FIDO認證等方式實現身份鑑別；而到了“裝置信任”這一支柱中，裝置的信任要素包含硬體配置的可信和軟體配置的可信，而程式碼簽名則是解決裝置的軟體配置可信問題的關鍵技術。

資料是數字化時代的生產資料，資料安全是數字化的前提。“面向數字化業務保障，重點圍繞保護資料和應用，構建內生安全系統；透過經營安全落地形成實戰化安全體系，實現對網路安全的動態掌控；結合零信任與資料實體防護，構建資料安全技術防禦體系。”基於零信任的資料安全體系建設思路，奇安信集團總裁吳雲坤這樣說。

“資料安全事件呈上升趨勢。2020年，洩露的記錄總數超過370億，與2019年相比增加了141％。”恆安嘉新解決方案產品設計院副院長李鵬超說。在本屆高峰論壇資料安全分論壇上，《資料安全複合治理白皮書》釋出，從多角度展現了資料安全領域的最新研究成果。（文/光明網記者 李政葳）

來源： 光明網