新媒體系統(tǒng)的零信任安全方案

張兆天

（中央廣播電視總臺(tái)，北京 100000）

1 新媒體系統(tǒng)的零信任網(wǎng)絡(luò)

隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的日益更新，新媒體系統(tǒng)在信息和廣電產(chǎn)業(yè)的占比持續(xù)增強(qiáng)。作為關(guān)系到網(wǎng)絡(luò)安全和信息化的核心業(yè)務(wù)系統(tǒng)，新媒體系統(tǒng)的網(wǎng)絡(luò)安全對(duì)于維護(hù)行業(yè)和國家的戰(zhàn)略安全尤為關(guān)鍵[1]。

當(dāng)前的新媒體系統(tǒng)一般使用“以網(wǎng)絡(luò)邊界劃定信任等級(jí)，規(guī)定邊界內(nèi)信任關(guān)系固定”的網(wǎng)絡(luò)安全結(jié)構(gòu)和策略。這些復(fù)雜、僵化的安全策略和網(wǎng)絡(luò)系統(tǒng)，如果安全配置和漏洞修復(fù)不當(dāng)，則較難有效地阻止新媒體系統(tǒng)被勒索軟件、僵尸網(wǎng)絡(luò)和高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）利用，使攻擊者能夠訪問敏感客戶數(shù)據(jù)[2]。

為更好地解決上述威脅，新媒體系統(tǒng)的網(wǎng)絡(luò)安全需要一種基于信任的授權(quán)機(jī)制，用于監(jiān)控和協(xié)調(diào)網(wǎng)絡(luò)的不同節(jié)點(diǎn)。這種網(wǎng)絡(luò)管理可以幫助確定有授權(quán)的用戶和設(shè)備訪問敏感數(shù)據(jù)和系統(tǒng)服務(wù)，并根據(jù)身份的真實(shí)性分配責(zé)任?；谏鲜隹紤]，可以構(gòu)建美國國家標(biāo)準(zhǔn)與技術(shù)研究院特別出版物（National Institute of Standards and Technology Special Publication，NIST SP）定義的零信任（Zero Trust）網(wǎng)絡(luò)安全模型。零信任模型是一種安全框架，不信任網(wǎng)絡(luò)內(nèi)外的任何人或設(shè)備，而是對(duì)每個(gè)訪問請(qǐng)求進(jìn)行身份驗(yàn)證、授權(quán)和加密。零信任模型用于指導(dǎo)網(wǎng)絡(luò)安全策略的制定和實(shí)施的基本原則如下[3]。

第一，不信任任何人（和任何事物）。規(guī)定所有用戶、設(shè)備、數(shù)據(jù)包或輸入都可能受到威脅，不隱含鎖定的信任。強(qiáng)化身份驗(yàn)證是零信任模型安全授權(quán)機(jī)制的核心，包括多因素認(rèn)證（Multi-Factor Authentication，MFA）、生物識(shí)別驗(yàn)證及單點(diǎn)登錄（Single Sign On，SSO）等方法。

第二，取消邊界。傳統(tǒng)的網(wǎng)絡(luò)邊界在云中心化、遠(yuǎn)程工作和內(nèi)部威脅的環(huán)境下已經(jīng)發(fā)生了變化或消失，不再存在隱含的信任區(qū)域。

第三，應(yīng)用最小權(quán)限原則。零信任模型的授權(quán)應(yīng)基于最小權(quán)限原則，即用戶或設(shè)備僅獲得完成其任務(wù)所必需的最小權(quán)限，盡可能默認(rèn)拒絕訪問，這有助于減少潛在的安全風(fēng)險(xiǎn)。

第四，動(dòng)態(tài)、基于風(fēng)險(xiǎn)的策略。使用動(dòng)態(tài)、上下文相關(guān)的風(fēng)險(xiǎn)評(píng)估和嚴(yán)格的策略執(zhí)行。訪問控制策略應(yīng)能夠動(dòng)態(tài)適應(yīng)不同的情況，如用戶角色、位置及設(shè)備狀態(tài)等。

第五，要求強(qiáng)身份驗(yàn)證和授權(quán)。所有資源訪問請(qǐng)求和網(wǎng)絡(luò)流量必須經(jīng)過身份驗(yàn)證和授權(quán)。進(jìn)行更詳細(xì)的管理，確保只有合適的用戶或設(shè)備可以訪問特定的資源。

第六，記錄、監(jiān)控、檢查和適應(yīng)。持續(xù)監(jiān)控網(wǎng)絡(luò)活動(dòng)，以便及時(shí)發(fā)現(xiàn)和響應(yīng)異常行為。同時(shí)，審計(jì)日志可用于事后分析和合規(guī)性檢查，如流量監(jiān)控、輸入驗(yàn)證、狀態(tài)記錄、分析、警報(bào)、自適應(yīng)信任級(jí)別、問題預(yù)防和恢復(fù)措施。

第七，實(shí)施深度防御。保護(hù)設(shè)備和通信，保護(hù)弱點(diǎn)，以對(duì)手的思維方式考慮并增加橫向移動(dòng)的工作復(fù)雜性。

第八，完整生命周期的零信任安全。在零信任模型下進(jìn)行完整的生命周期安全管理，安全不應(yīng)是后補(bǔ)的事項(xiàng)。隨著威脅環(huán)境和技術(shù)的變化，授權(quán)機(jī)制也需要不斷更新和調(diào)整，以保持其有效性。

第九，默認(rèn)保密性和完整性。對(duì)所有通信進(jìn)行加密，保護(hù)靜態(tài)數(shù)據(jù)，驗(yàn)證數(shù)據(jù)的完整性。

第十，在權(quán)衡中找到合適的平衡點(diǎn)。在成本與收益、安全與可用性、成本與風(fēng)險(xiǎn)/影響之間找到合適的平衡點(diǎn)。應(yīng)用自動(dòng)化工具管理授權(quán)和響應(yīng)安全事件，同時(shí)保留人工干預(yù)的能力，以處理復(fù)雜或緊急的情況。

這些原則旨在幫助網(wǎng)絡(luò)安全系統(tǒng)建成更高效、更靈活的網(wǎng)絡(luò)安全策略，以適應(yīng)各類不斷演變的網(wǎng)絡(luò)威脅和復(fù)雜的網(wǎng)絡(luò)環(huán)境。

2 零信任安全網(wǎng)絡(luò)構(gòu)建的問題

零信任模型在新媒體系統(tǒng)中的應(yīng)用確實(shí)帶來了網(wǎng)絡(luò)安全水平的顯著提升，特別是在結(jié)合虛擬化技術(shù)的復(fù)雜系統(tǒng)環(huán)境中。零信任模型的核心理念是“永不信任，始終驗(yàn)證”，這意味著系統(tǒng)不再依賴傳統(tǒng)的邊界防御，而是在任何一次訪問時(shí)都進(jìn)行身份驗(yàn)證和授權(quán)。零信任模型通過持續(xù)驗(yàn)證所有用戶和設(shè)備的身份和權(quán)限和適應(yīng)各種設(shè)備和用戶，能夠安全訪問系統(tǒng)，更有效地減少系統(tǒng)的攻擊面，防止未授權(quán)訪問和內(nèi)部威脅。

作為新媒體系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)升級(jí)，尤其是結(jié)合使用虛擬化的復(fù)雜系統(tǒng)環(huán)境，零信任模型在提升新媒體系統(tǒng)的網(wǎng)絡(luò)安全方面具有明顯的優(yōu)勢(shì)，但也存在一些不足和挑戰(zhàn)，具體如下。

第一，實(shí)施的復(fù)雜性。零信任模型的實(shí)施可能相當(dāng)復(fù)雜和具有挑戰(zhàn)性。它需要深入理解網(wǎng)絡(luò)，包括所有用戶、設(shè)備、應(yīng)用程序和數(shù)據(jù)。此外，可能需要對(duì)現(xiàn)有的安全基礎(chǔ)設(shè)施進(jìn)行重大更改，可能導(dǎo)致業(yè)務(wù)停頓和成本增加。

第二，對(duì)資源的增加需求。實(shí)施和維護(hù)零信任模型可能需要大量資源。它要求對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行持續(xù)監(jiān)控和管理，這可能會(huì)對(duì)系統(tǒng)的信息技術(shù)（Information Technology，IT）資源造成壓力。此外，需要先進(jìn)的安全工具和技術(shù)，可能導(dǎo)致成本增加[4]。

第三，用戶體驗(yàn)問題。零信任模型的嚴(yán)格訪問控制可能導(dǎo)致用戶挫敗感。如果連續(xù)的驗(yàn)證過程妨礙了他們高效完成任務(wù)，可能會(huì)導(dǎo)致其抵制采用零信任模型。在某些情況下，員工可能嘗試?yán)@過安全控制，無意中創(chuàng)建新漏洞。

第四，持續(xù)的管理和維護(hù)需求。零信任模型依賴嚴(yán)格定義的權(quán)限網(wǎng)絡(luò)，但公司在不斷發(fā)展，員工的角色和位置變化頻繁。訪問控制必須隨之更新，以確保正確的人員訪問特定信息。保持權(quán)限的準(zhǔn)確性和最新性需要持續(xù)的投入，可能難以跟上。

第五，可能影響系統(tǒng)效率。引入零信任模型可能影響系統(tǒng)效率。系統(tǒng)安全穩(wěn)定的核心挑戰(zhàn)是在不阻礙工作流程的情況下鎖定攻擊性的網(wǎng)絡(luò)和程序訪問。持續(xù)認(rèn)證改變了訪問者在初始階段一次性認(rèn)證后長期訪問系統(tǒng)信息的方式，無論是基于證書、加密認(rèn)證協(xié)議還是非加密協(xié)議，不同的協(xié)議都需要在安全性和資源消耗之間進(jìn)行權(quán)衡。如果個(gè)人角色更新和被鎖定在文件或應(yīng)用程序外，系統(tǒng)的使用效率可能大幅降低。

第六，安全風(fēng)險(xiǎn)。盡管零信任旨在提高安全性，但引入零信任模型可能面臨策略配置錯(cuò)誤、內(nèi)部威脅和技術(shù)漏洞等挑戰(zhàn)。例如，信任代理（連接應(yīng)用程序和用戶的服務(wù)）配置錯(cuò)誤可能成為潛在的故障點(diǎn)，也可能成為系統(tǒng)的攻擊目標(biāo)；本地物理設(shè)備和實(shí)施零信任模型的技術(shù)可能存在漏洞，這些漏洞可能被攻擊者利用來繞過安全控制，可能遭到攻擊和數(shù)據(jù)盜?。涣阈湃蜗到y(tǒng)賬戶身份認(rèn)證的最新技術(shù)仍不能解決完全可靠的問題[5]。

第七，虛假警報(bào)風(fēng)險(xiǎn)。由于零信任模型安全的嚴(yán)格性，零信任模型的安全系統(tǒng)可能對(duì)非惡意行為過于敏感，導(dǎo)致合法用戶或活動(dòng)被標(biāo)記為可疑和頻繁的虛假警報(bào)的風(fēng)險(xiǎn)。這可能導(dǎo)致用戶和管理員的負(fù)擔(dān)增加，需要花費(fèi)更多的時(shí)間和資源去核查和處理這些警報(bào)，從而影響工作效率。而這類虛假信息也將導(dǎo)致用戶對(duì)安全系統(tǒng)的信任度下降，進(jìn)而可能忽視真正的安全警告。

第八，對(duì)技術(shù)的依賴。零信任模型安全高度依賴新的安全工具和技術(shù)，包括用于身份驗(yàn)證、加密和網(wǎng)絡(luò)分段。新的安全工具和技術(shù)形成解決方案時(shí)，可能出現(xiàn)兼容性和集成問題，需要高水平的技術(shù)能力來確保系統(tǒng)穩(wěn)定運(yùn)行。隨著技術(shù)的發(fā)展，需要定期更新和維護(hù)上述技術(shù)的安全系統(tǒng)，以應(yīng)對(duì)新的威脅和挑戰(zhàn)。如果這些技術(shù)更新和維護(hù)失效，可能使系統(tǒng)安全性降低。

3 相關(guān)技術(shù)方案

為克服上述挑戰(zhàn)，需規(guī)劃合適的零信任網(wǎng)絡(luò)結(jié)構(gòu)。規(guī)劃零信任安全網(wǎng)絡(luò)結(jié)構(gòu)的核心就是零信任安全網(wǎng)關(guān)的網(wǎng)絡(luò)結(jié)構(gòu)。零信任的安全網(wǎng)關(guān)是零信任網(wǎng)絡(luò)架構(gòu)的關(guān)鍵組件之一，幫助網(wǎng)絡(luò)系統(tǒng)實(shí)施零信任的原則，提高網(wǎng)絡(luò)安全性，減少潛在威脅的影響，并確保只有經(jīng)過身份驗(yàn)證和授權(quán)的實(shí)體才能訪問網(wǎng)絡(luò)資源。如本文論述的使用虛擬化環(huán)境的新媒體系統(tǒng)，零信任模型的安全網(wǎng)關(guān)需將隔離區(qū)（Demilitarized Zone，DMZ）與互聯(lián)網(wǎng)、DMZ區(qū)與Overlay層、DMZ區(qū)與Underlay層做安全切割。為平衡零信任的安全網(wǎng)關(guān)的成本效率和業(yè)務(wù)系統(tǒng)的安全可用，本文使用如圖1所示的零信任的網(wǎng)絡(luò)方案。

圖1 零信任安全的網(wǎng)絡(luò)規(guī)劃方案

結(jié)合上述零信任的網(wǎng)絡(luò)規(guī)劃，針對(duì)構(gòu)建零信任模型過程的挑戰(zhàn)和問題，本文提出的相關(guān)建議和方案如下。

第一，簡化實(shí)施流程。做好系統(tǒng)規(guī)劃和技術(shù)規(guī)劃，使用成熟的解決方案和工具，降低實(shí)施的復(fù)雜性。采用逐步實(shí)施的方法，先從最關(guān)鍵的資源開始，逐漸擴(kuò)展到其他系統(tǒng)和服務(wù)。

第二，優(yōu)化資源分配。合理規(guī)劃和分配資源，確保有足夠的計(jì)算和網(wǎng)絡(luò)資源來支持零信任架構(gòu)。結(jié)合使用本系統(tǒng)的虛擬化技術(shù)，可以提高零信任系統(tǒng)資源的使用效率。

第三，改善用戶體驗(yàn)。通過用戶友好的認(rèn)證方法，如多因素認(rèn)證，來平衡系統(tǒng)的安全性和可用性。對(duì)用戶進(jìn)行技術(shù)培訓(xùn)，做好零信任系統(tǒng)使用的技術(shù)管控。

第四，自動(dòng)化管理和維護(hù)。利用自動(dòng)化工具簡化管理任務(wù)，減少人工干預(yù)。實(shí)施持續(xù)的監(jiān)控和日志記錄，以便及時(shí)發(fā)現(xiàn)和響應(yīng)安全事件。

第五，減輕對(duì)生產(chǎn)力的影響。實(shí)施零信任策略時(shí)，確保對(duì)業(yè)務(wù)流程的影響最小化。合理配置訪問控制策略，避免不必要的限制。

第六，降低安全風(fēng)險(xiǎn)。定期評(píng)估和更新安全策略，確保與當(dāng)前的威脅情景保持一致。實(shí)施綜合的風(fēng)險(xiǎn)管理程序。

第七，減少虛假警報(bào)。通過優(yōu)化安全系統(tǒng)的配置和規(guī)則，減少虛假警報(bào)的發(fā)生。定期審核和調(diào)整安全事件的響應(yīng)機(jī)制。

第八，減少對(duì)單一技術(shù)的依賴。采用多元化的技術(shù)和供應(yīng)商，減少對(duì)單一技術(shù)或供應(yīng)商的依賴。確保系統(tǒng)的可擴(kuò)展性和兼容性。

4 結(jié)語

零信任模型是一種技術(shù)策略，也是一種組織文化和操作模式的技術(shù)更新。模型的實(shí)施面臨著多方面的挑戰(zhàn)，包括實(shí)施的復(fù)雜性、資源需求的增加、用戶體驗(yàn)問題、持續(xù)的管理和維護(hù)需求、可能對(duì)生產(chǎn)力的影響、安全風(fēng)險(xiǎn)、虛假警報(bào)風(fēng)險(xiǎn)以及對(duì)技術(shù)的依賴。本文論述的虛擬化環(huán)境的新媒體系統(tǒng)，通過綜合考慮技術(shù)、人員和流程等的多方面因素，合理地規(guī)劃和持續(xù)地優(yōu)化有關(guān)的方案，既能提高網(wǎng)絡(luò)安全性，也可以解決零信任構(gòu)建過程的挑戰(zhàn)和問題。