• 不 限
  • 期刊论文
  • 硕博论文
  • 会议论文
  • 报 纸
  • 英文论文
  2. 您的位置
  3. 首页
  4. 期刊论文
  5. 基于零信任的网络安全模型架构与应用研究

基于零信任的网络安全模型架构与应用研究

来源 :科技资讯 | 被引量 : 0次 | 上传用户:wangtan2
【摘 要】
DOI:10.16661/j.cnki.1672-3791.2107-5042-9133  摘 要:随着新技术的快速发展,传统的网络安全模型无法满足企业信息安全防护要求,基于零信任的网络安全模型应运而生,被众多企业选择。该文阐述并分析了传统网络安全模型的优缺点,并对零信任网络安全模型的架构进行了详细阐述,在此基础上以零信任网络安全模型在某网信息安全支撑技术平台上的实践为例,提出了基于零信任架构的安
【作 者】
李欢欢 徐小云 王红蕾 
【出 处】
科技资讯
【发表日期】
2021年17期
【关键词】
零信任 信任评估 动态访问 网络安全 
下载到本地 , 更方便阅读
下载此文 赞助VIP
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  DOI:10.16661/j.cnki.1672-3791.2107-5042-9133
  摘  要:随着新技术的快速发展,传统的网络安全模型无法满足企业信息安全防护要求,基于零信任的网络安全模型应运而生,被众多企业选择。该文阐述并分析了传统网络安全模型的优缺点,并对零信任网络安全模型的架构进行了详细阐述,在此基础上以零信任网络安全模型在某网信息安全支撑技术平台上的实践为例,提出了基于零信任架构的安全应用解决方案。
  关键词:零信任 信任评估 动态访问 网络安全
  中图分类号:TP393.8     文献标识码:A   文章编号:1672-3791(2021)06(b)-0007-03
  Research on the Architecture and Application of Network Security Model Based on Zero Trust
  LI Huanhuan XU Xiaoyun WANG Honglei
  (Aostar Information Technology Co., Ltd., Chengdu, Sichuan Province,610041 China)
  Abstract: With the rapid development of new technology, the traditional network security model can not meet the requirements of enterprise information security protection, the network security model based on zero trust arises at the historic moment, has been chosen by many enterprises. This paper first analyzes the advantages and disadvantages of the traditional network security model, and elaborates on the architecture of the zero trust network security model. On this basis, taking the practice of the zero trust network security model on a network information security support technology platform as an example, this paper proposes a security application solution based on the zero trust architecture.
  Key Words: Zero trust; Trust assessment; Dynamic access; Cyber security

多数企业当前主要采用传统的网络安全模型,即对网络进行分区并设置网络隔离的模型,企业使用边界防护设备将企业网络设置为企业内网与企业外网,从而构建出企业自身的网络安全防护体系。随着云计算、大数据、物联网、移动互联网等新兴技术的发展,企业的业务架构与网络应用环境已发生较大变化。从而导致基于边界防护的传统网络安全模型不足以满足新环境下的网络安全要求,在一些进化的持续性威胁攻击面前无法有效防护网络与系统安全,内网安全事故也因此频繁发生。

针对传统的网络安全模型无法满足当前企业在数字化转型阶段对网络安全的需求,基于零信任的网络安全模型应运而生。对任一访问企业网络的主体,包括发起访问的人员、发起访问的设备以及被访问的应用,在每次访问时都默认为不可信状态,需要通过持续的身份验证以及访问授权来构建动态访问的信任。这是零信任网络安全模型的核心思想,其本质是以访问主体的身份为中心来进行访问控制[1]

该文首先阐述并分析了传统网络安全模型的优缺点,然后对零信任网络安全模型的架构进行详细阐述,在此基础上以零信任网络安全模型在某网信息安全支撑技术平台上的实践为例,提出了基于零信任架构的安全应用解决方案。
  1  传统网络安全模型
  当前传统网络安全模型一般采用在企业网络边界上设置隔离认证区,对访问与数据交互进行认证与控制。针对一个存在企业内外网数据交互需求的传统网络,传统网络安全模型将建立基于网络位置的可信控制模型,利用可信控制模型将企业网络划分为企业内网和企业外网。在此网络架构下一般默认企业内网为可信网络,企业外网络为不可信网络。内网可以根据业务系统的实际需要,划分为多个子网络,子网络之间存在物理或逻輯上的隔离。为维护企业内网的安全、保护内网数据,企业内外网之间通过边界隔离认证区进行连接,从而实现内外网的可控通信。然而传统网络安全模型存在信任过度的问题,由于网络安全信任策略限制,来自外部的网络攻击如果传过隔离认证区,攻击者可随意访问内部网络;来自内网的网络攻击,更是难以防护,网络安全难以得到保障[2-3]。传统网络架构,如图1所示。
  2  零信任安全网络模型
  零信任安全网络模型对企业网络中每位用户与每台设备发起的每次连接,以及申请的每次服务请求,在认证策略判决之前默认为不可信的。零信任安全网络模型的认证不是一站式服务,而是精细为对每次服务请求都做可信判断。零信任网络逻辑如图2所示。   与传统的网络安全模型不同,零信任网络模型不单考虑来自外网的网络攻击,同时增加了对来自内网网络攻击的防护。对企业业务访问中的所有行为实体,都使用零信任安全网络模型进行評估,确保每个行为实体的可信任。因而,零信任安全网络模型具有以下特性:
  首先是多维度身份认证特性。在零信任安全网络模型中,身份认证的对象不仅仅是与传统的网络安全模型一样,对网络业务访问用户以及访问的设备进行认证。同时还会将用户信息、访问设备的主机信息、访问业务系统的行为特征以及用户权限等都作为身份认证的对象,对多维信息进行融合,构建出用户画像,从多个维度对访问对象的可信度进行评估。
  其次是动态访问控制特性。零信任完全网络模型的访问控制策略不再是固定不变的,其访问控制策略是建立在身份认证与授权重构的双重访问控制之上。他通过对网络访问主体的多维度信息进行实时判断,确认当前访问的风险。同时对控制策略以及应用访问权限进行实时调控,来应对可能发生的网络攻击。
  最后是可变信任管理特性。不同于传统的基于用户与权限预分配的访问策略,零信任网络采用更精细的信任评估访问机制。对企业网络中的访问行为进行全生命周期的监管,同时不断计算网络访问行为在零信任网络模型中的信任评分,并依据实时评分数值大小,对实体赋予不同的访问权限,实现对访问实体的可变信任管理。
  在零信任安全网络模型中,用于实时计算访问实体信任评分的信任评估算法,是零信任网络的核心,其维护着整个零信任网络的正常运作。信任评估算法的输入包含用户信息、设备状态、用户权限、行为属性、访问信息、访问策略以及外部威胁等。其中用户信息包含用户名、用户权限、用户属性以及应用角色等。设备信息包含设备MAC地址、设备IP等信息。设备状态包含当前设备的操作系统版本以及安装的应用软件版本号、补丁包版本号等情况以及设备是否中毒等。访问信息包含用户待访问资源的属性、类别信息与安全等级等。行为属性包含用户访问网络的行为特性、用户习惯、访问时间、访问来源IP地址、访问来源物理位置信息、访问频度等。外部威胁包含网络监测到的恶意攻击以及已知漏洞等信息[3-4]
  3  零信任安全网络模型的应用研究
  随着互联网的发展,某电网公司信息系统不断推广建设和延伸覆盖,内、外网业务不断增加,致使复杂多样的用户类型需使用不同的终端访问企业内、外网系统开展工作。给公司的网络资源、信息安全带来了新的挑战,在访问策略、协议安全、数据传输、密钥安全性方面提出更严苛的整改要求以至于满足公司信息化建设安全标准。为保障网络安全,加强数字化转型进程中的网络安全风险防控,公司开展防范新业务应用安全风险的技术攻关。随后使用零信任安全网络模型代替传统的网络安全模型,从而提升了新一代数字化业务平台网络安全防护能力。零信任安全网络模型的应用,加强了公司对企业数据资产和公民个人信息的安全保护,强化了公司对企业内外网的安全防护能力,提高了企业网络的安全态势感知与应急处置能力[5]
  零信任安排评估模型中的信任评估算法由用户风险画像、风险基线库、可信身份风控模型、智能身份分析服务、可信身份服务以及风险数据采集服务等几部分组成。
  通过用户的类型、权限数量、常用IP以及上次信任评分等情况,构建用户风险画像,评估用户静态信任值。智能身份分析服务通过对风险数据的分析,形成实时的用户风险评估结果,支撑用户动态访问控制。通过智能身份分析服务数据,提供多因子认证访问策略和执行,实现动态可信身份服务[6]。应用的整体架构如图3所示。
  4  结语
  在愈来愈多的云环境、远程办公等应用访问需求下,基于零信任的网络安全模型将得到愈来愈多的应用,并逐步替代传统的网络安全模型。零信任网络安全模型不仅仅带来了安全技术本身的突破,同时还是传统网络模式下的网络防护机制、网络访问管理模式一种突破。然而机制的突破将面临诸多企业已有资产的再利用等问题,零信任网络将与传统网络在较长的一段时间内将协同工作,结合零信任网络安全模型中的风险管理方法以及身份认证、全生命周期监测等技术,共同解决企业网络访问中面临的威胁,保障企业网络安全。
  参考文献
  [1]刘欢,杨帅,刘皓.零信任安全架构及应用研究[J].通信技术,2020,53(7):1745-1749.
  [2]曾玲,刘星江.基于零信任的安全架构[J].通信技术,2020,53(7):1750-1754.
  [3]洪涛,龚文涛.基于模糊数学的信任度评估方法[J].自动化技术与应用,2020,39(2):41-44.
  [4]吉尔曼,巴斯.零信任网络:在不可信网络中构建安全系统[M].奇安信身份安全实验室,译.北京:人民邮电出版社,2019:1-123.
  [5]叶马力.零信任安全模型在央企安全管理中的应用研究[J].电子世界,2019(11):164-165.
  [6]左英男.零信任架构在关键信息基础设施安全保护中的应用研究[J].保密科学技术,2019(11):33-38.
  作者简介:李欢欢(1987—),男,硕士,工程师,研究方向为计算机视觉。
  徐小云(1993—),女,硕士,助理工程师,研究方向为机器学习。
  王红蕾(1991—),女,硕士,助理工程师,研究方向为计算机视觉。

其他文献
新时代高校审计信息化开发思考与实践
DOI:10.16661/j.cnki.1672-3791.2105-5042-1261  摘 要:该文研究了在《教育部关于加强直属高等学校内部审计工作的意见》《教育部关于推进直属高等学校内部审计信息化建设的意见》政策要求下,如何结合大数据时代特点和高等学校内部审计信息化业务的实践,二次开发中普审计软件,逐步构建审计信息化管理系统,推进数字化审计方式,规范审计流程,提高审计工作效率,更好地服务于高
期刊
大数据时代高校审计信息化建设中普审计软件
基于网络教学团队的协同教学模式探究
摘 要:协同教学在教学创新方面具有明显的优势,通过教学团队的协同教学,实现优势互补、协同发展,推动教学改革和教學质量的提升。该文通过对协同教学的内涵界定及协同教学的特征分析,梳理归纳协同教学模式的基本类型,提出了基于网络教学团队的协同教学模式及协同教学策略,并对协同教学实践中的一站式团队模式、横向和纵向资源共享及个性化学习推荐等问题进行了反思及探讨。  关键词:网络教学团队 协同教学 教学模式 开
期刊
网络教学团队协同教学教学模式开放大学
基于BIM和VISSIM的信号交叉口交通组织优化研究
摘 要:信号交叉口是新时代城市交通中的重要节点,交叉口的交通组织能力成为道路交通网络能力当中的重要指标,设计的科学合理可以降低事故发生,保障道路网络通行能力,从而保证整个城市交通网络的顺畅。如果设计不合理、不恰当则可能成为影响城市交通网络的瓶颈。基于BIM和VISSIM的信号交叉口交通组织优化利用了现代仿真模拟软件针对网络获取的交通大数据进行模拟与仿真测试评估,最终确定高性能信号交叉口交通组织方案
期刊
BIMVISSIM信号交叉口交通组织优化
基于文献计量的数字签名现状研究与热点分析
摘 要:随着计算机及互联网技术的快速发展,数字签名普及范围也越来越广,数字签名技术在信息安全、金融、医院、政治、军事等领域应用广泛,与人们的工作与生活联系日益密切。该文主要借助了CiteSpace、SATI和Ucinet软件,通过文献计量分析、科学知识图谱分析和社会网络分析等方法,以CNKI全文数据库为基础对数字签名的研究现状、存在的问题以及未来发展进行分析,以期对数字签名领域的科学研究有所助益。
期刊
数字签名文献计量分析CITESPACESATIUCINET
港口大型装卸机械设备运行状态智能监测技术研究
摘 要:該文针对行业内对港口企业大型装卸机械设备运行状态的自动监测需求,基于物联网采集、传输技术,研究港口大型装卸机械设备运行状态的监测与传输技术方案,方案研究具体包括针对港区作业特点,开展整体框架研究、功能组成研究、关键性设备选型研究、与保养系统和相关作业系统的对接方式研究。并在此基础上研制一套面向多并发、高异质的综合性采集平台软件原型。该软件原型可实现对港口作业的典型性港机设备、空压设备、移动
期刊
装卸机械设备物联网累时器传输技术
计算机网络安全中的防火墙技术运用探讨
摘 要:伴随现代科学技术的持续发展,防火墙技术运用于计算机网络安全中的水平也在持续提升。基于文献资料法,该文首先对计算机网络安全和防火墙进行了简单概述,然后分析了防火墙技术的主要类型,包含包过滤型和应用代理型两类技术,最后探讨了计算机网络安全防火墙技术的运用,指出要从安全配置、日志监控与网络访问中,通过防火墙技术阻隔安全问题。  关键词:计算机 网络安全 防火墙技术 包过滤 应用代理  中图分类号
期刊
计算机网络安全防火墙技术包过滤应用代理
市政工程施工中地下管线施工技术分析
DOI:10.16661/j.cnki.1672-3791.2107-5042-6674  摘 要:隨着我国城市化水平的不断进步和经济的快速发展,对我国市政工程地下管线施工技术也进行了一系列的发展和进步。由于我国的地域辽阔,不同城市之间的纸质环境也存在着很大的区别,在进行地下管线施工工程之前,地下管线施工单位,不仅要对施工地点的实际情况进行详细的了解,同样也要进行勘察工作。结合这些内容,该文从市政
期刊
市政工程施工地下管线施工地下管线施工技术分类技术分析
微机原理实验的远程在线操控探索
摘 要:《微机原理及应用》是机械工程学科的一门专业基础课程,同时它也是实践性很强的一门课程,需要更多的实践类实验去帮助学生。该文主要对《微机原理及应用》课程中实验课的远程在线操控进行了有益的探索。主要通过远程监控软件对实验室的实验仪器直接进行操作,利用网络缩短在家和实验室的距离,完成远程的实验课程内容。这是对单片机线上实验课的一种尝试,课内的实验课实践证明这种实验框架设计可以满足课程对实验操作的要
期刊
微机原理在线教育实践教学远程操控
探讨加热炉改造过程中耐火材料的应用
DOI:10.16661/j.cnki.1672-3791.2107-5042-4394  摘 要:耐火材料是指非金属材料在无荷重的情况下能耐超过1 600 ℃的高温,随着现代科技与工艺的进步,耐火材料实现了多重改革,特别是各类耐火材料矿产资源的发现、挖掘、提炼技术的进步,为将加热炉改造得更加精良提供了基础与保障。基于此,该文深入探究了耐火材料在加热炉上的发展历程及应用,并为之后加热炉的改造提供有
期刊
加热炉耐火材料发展历程应用
基于RSYNC的Linux系统迁移上云方案实现
DOI:10.16661/j.cnki.1672-3791.2107-5042-5725  摘 要:随着业务系统上云规模不断扩大,越来越多的业务系统客户提出了迁移上云需求,如何把现有物理机上的系统迁移到云计算管理平台上作为一台虚拟机运行是一个关键问题。该文提出基于RSYNC的文件级同步方案进行Linux操作系统的全量及增量迁移。经测试,该方案能实现为任意X86环境(传统硬件架构、虚拟化、异构云)之
期刊
数据镜像备份工具虚拟机迁移上云可引导Linux系统