網絡安全技術在計算機維護中的運用

王堅

摘要：企業網絡基礎設施建設日趨綜合化、復雜化，計算機網絡安全邊界日趨模糊。當前，數字化發展已呈時代發展和推動技術更新的必要階段，諸多新興技術如云平臺、物聯網（Internetof Things）、大數據和移動互聯的技術成長也為各大企業提供了新鮮和活力。云平臺和物聯網（Internetof Things）為企業的經濟數據提供了走出“邊界”的可能，而大數據和移動互聯又為企業外部服務與內部串聯形成良好的協同聯系。顯然，當下的企業網絡安全技術已然不再是單純的和易于被識別的，它的“安全邊界”逐步被瓦解，以往傳統的網絡技術和系統方案顯然不再適用于當代企業網絡基礎。那么，在該文中將主要探討建立網絡安全新范式加強計算機維護。

關鍵詞：網絡安全技術;網絡安全新范式;零信任安全架構（ZTA）;計算機維護

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）19-0036-02

1 計算機網絡安全現狀與網絡安全新范式建立的必要性

數字化時代經濟創新的業務絕大多數始于云平臺和大數據搭建，此類IT架構實現業務與數據集中化，而系統風險也隨之集中化。我們知道，系統數據風險一直以來都是經濟創新業務最被關注的問題之一。尤其是近些年來，諸多企業出現數據外泄的事件，不得不為計算機網絡安全實現數字化轉型的發展擔憂[1] 。

依據相關調查數據剖析，計算機數據外泄由企業內部人員導致是其主要原因之一。企業內部人員一般在特定范圍內可以擁有一定合法的訪問權限，如果存在憑證丟失或權限濫用的情況，企業網絡數據外泄的可能性即極大的提升。另外，企業網絡數據泄漏還有另外一個主要原因，那就是外部攻擊，從相關數據分析來看，黑客攻擊企業內網的手段不一定多先進，絕大部分黑客攻擊僅僅是竊取憑證或“爆破”弱口令，以此破壞企業內網，或盜取企業數據訪問權限。

綜合以上論述，導致企業網絡數據外泄的原因主要有兩方面。企業在網絡方面的意識逐步提升，隨之帶來的是加大網絡安全維護成本投入。但是，從近些年來的成效來看，加大網絡安全維護成本投入并沒有保障網絡數據外泄事件的概率下降。究其原因，企業在進行基礎構架搭建時有所疏忽，隨著時代進步，IT技術架構也在不斷優化，數字化技術的發展也在很大程度上推動了IT技術構架演變。顯然，新型IT技術架構已經不能從傳統架構理念出發，我們僅僅改變“基礎”以上的結構而忽視了“基礎”改造，那么這個“基礎”就成了木桶拼板中“最短”的那一塊[2]。

傳統網絡安全維護是依存于邊界的架構體系。它首先要求的是找到安全邊界，然后將系統網絡分為幾個不同的區塊，包括外網、DMZ和內網。然后，邊界部署防火墻、WAF、IPS等網絡安全維護產品，從而為企業網絡構造防護墻。通過分析，傳統網絡安全維護架構體系顯然已經默許了內網安全重要于外網安全，很大程度上已經預設了內網用戶的信任。另外，云平臺技術發展模糊了內網與外網之間的界限，也導致了物理安全邊界難以識別。顯然，企業根本不能實現依存于傳統安全架構設施搭建，而僅能依托于更加更為先進且靈活的技術措施來識別或認證一直處于動態且變化的用戶、設備及網絡系統，零信任安全架構（ZTA）（ZTA）正是因此原理成為時代發展的必需，也是計算網絡安全架構與維護系統安全與穩定并重的必然。

2 零信任安全架構（ZTA）在計算機維護中的運用

零信任安全是由福雷斯特公司的首席分析師約翰·約翰開創的。自2014年12月以來，谷歌已經發表了六篇beyond corp相關文章，全面概述了beyond corp的架構及其自2011年以來的執行情況。2017年，這個行業，包括思科、微軟、亞馬遜、cyxtera等等。自2018年以來，我國中央部委、國家機關、大中型企業開始探索零信任身份安全框架的實踐。零信任安全的本質是訪問控制范式從傳統的以網絡為中心向以身份為中心的轉變。零信任身份安全體系結構一般由三個子系統組成：設備與用戶認證代理、可信訪問網關和智能身份平臺。例如，很久以前，我們可能不得不輸入密碼，隨機數字驗證碼，短信驗證碼，還有安全密鑰?，F在，如果你的手機上安裝了電子郵件App，你只需掃描二維碼，這種認證既方便又高效。

零信任身份安全體系結構以“身份”作為新的邊界思想，將訪問控制從邊界轉移到個人設備和用戶。打破傳統的邊界保護思想，建立基于身份的信任機制，遵循對設備和用戶進行身份認證然后訪問業務的原則，然后自動信任任何內部或外部的人/設備/應用程序，對任何試圖訪問網絡和業務應用程序的人/設備/應用程序進行身份認證之后再授權，并提供一種動態的細粒度訪問控制策略，以滿足最小特權原則。通過提供用戶和企業之間的安全訪問來保護政府數據的安全技術。

2.1 零信任身份安全架構的技術方案

零信任身份安全體系結構對傳統的邊界安全體系結構進行了重新評估和檢驗，提出了一種新的啟示：網絡始終處于各種威脅之中，包括內部外界，也包括外部威脅，并且信任評估不僅只通過網絡位置進行，缺省情況下，網絡內外的任何設備或系統都不能被信任。認證和授權應該作為訪問控制信任基礎，要將設備、用戶多元數據作為依據，零信任能夠扭轉訪問控制模式，推動了網絡安全構架轉變，即：“網絡為中心”轉變為“以身份為中心”，基于技術視角，零信任身份安全體系結構依托先進的身份管理技術，對人、設備、系統進行智能化、動態化智能訪問控制[3]。

零信任身份安全架構的技術方案，包括三個部分，即：業務訪問主體、業務訪問代理、智能身份安全平臺，如上圖1。

業務請求發起人就是業務訪問主體，請求包括諸多內容，如網絡用戶、系統設備和程序應用。傳統的計算機網絡安全應用機制通常是通過認證與授權分離作業，而零信任身份安全體系構架則將業務訪問主體、業務訪問代理和智能身份安全平臺三部分視為一個整體，如此一來即可降低系統數據被竊取或外泄的風險。零信任身份安全架構的實操過程往往是將系統設備與企業用戶進行綁定。