网络安全-全球战略焦点

 

　　美国政府高度重视网络安全，继2021年发布《改善国家网络安全的行政命令》，同步在2022年1月26日也正式发布了《向零信任安全方法迁移的联邦战略》，旨在重塑美国对于现代化网络安全威胁的可持续防御能力。我国也在“十四五”规划和2035年纲要中强调要加强网络安全保护，建立健全关键信息基础设施保护体系、加强网络安全风险评估和审查、加强网络安全基础设施建设、提升网络安全威胁应急响应能力、加强网络安全关键技术研发、加强网络安全宣传教育和人才培养等。

 

　　零信任的改革：破除被动打补丁的护城墙安全模式，基于身份细颗粒的动态管理才是王道

 

　　垂直行业在数字化转型的大背景下也在基础IT架构中引入了上云服务、移动计算等热点技术，内网外网的物理边界逐渐消失，病毒木马迭代速度也远超从前，终端数量更是成指数形式增长，此时如何实现实时高效的管控成为了行业发展的困境之一。

 

　　传统网络安全架构通过安全边界将网络划分为内网、外网、隔离区等不同区域，默认内网的安全性更高，预设内网中的设备与系统的可信度，随后在边界上部署防火墙等网络安全产品对其进行重重维护，形成企业业务的数字护城河。

 

　　但是不断升级的高级持续性攻击早已突破早前的安全边界，对内网的威胁持续升级，此时更灵活的动态识别、认证、访问控制等成为了各企业最为核心的诉求，在这个契机下，融合软件定义边界(SDP)、增强的身份管理(IAM)、微隔离(MSG)三大技术的零信任架构悄然诞生，它默认任何终端都不可信的原则，依靠基于设备、用户以及行为模式的动态管理实现不同资源细粒度的访问控制，解决VPN账号鉴权、环境识别和横向移动等安全缺陷带来的安全策略管理问题，建立对内部资源的保护机制。

 

　　为什么是你——“零信任”

 

　　零信任架构不单纯是安全技术创新，也不仅是安全设备升级改造，本质是一种网络安全管理机制、设计模型、规划实践的变革。

 

　　近年来，零信任安全产业态势良好，谷歌、微软、思科等巨头企业率先落地实践零信任架构，同时这些龙头企业示范带头效应吸引了一大批安全初创企业成功上市，全球零信任安全产业集群已初步形成。

 

　　以谷歌BeyondCrop为例，经历过高度复杂的高级持续性攻击——极光行动之后，谷歌意识到，以往的默认可信是把双刃剑，默认连接让互联网实现了突飞猛进的发展，与此同时，信息、资源共享时的安全性也成为了互联网安全的阻力，这便是零信任架构BeyondCorp萌芽的因。不同于以往的判定标准，BeyondCorp的访问策略建立在设备信息、状态和关联用户的基础上，对用户行为与设备状态进行分析，不再局限于用户物理登录地点或来源网络作为访问服务或工具。BeyondCorp在实施过程中始终遵循：

 

　　发起连接时所在的网络不能决定你可以访问的服务；

 

　　服务访问权限的授予以我们对你和你的设备的了解为基础；

 

　　对服务的访问必须全部通过身份验证，获得授权并经过加密。

 

　　谷歌零信任平台BeyondCorpEnterprise

 

　　BeyondCorp组件图和访问数据流

 

　　复盘和展望零信任网络安全的“危”&“机”：中国起步晚发展空间大

 

　　自2010年五名乌克兰黑客入侵了美国新闻专线，到2019年让全世界为之“震惊”的美国路易斯安那州新奥尔良市勒索软件攻击事件，网络安全的重要性不断刷新着全球对其的认知。2021年，燃油管道公司ColonialPipeline遭受勒索软件攻击让美国东海岸汽油燃料输送管道被迫关闭，美国政府当即宣布国家进入紧急状态，这一事件让拜登上台后立即宣布了一项关于改善国家网络安全的新行政命令，强调要在公共和私营企业中部署零信任，推进零信任的落地实践，并声明政府对零信任架构推动云技术迁移的高度重视和支持，望其可以实现政府网络安全现代化、软件供应链安全、事件检测和响应以及对威胁的整体抵御能力。2021年9月7日，美国管理与预算办公室（OMB）发布了《联邦零信任战略》——《美国政府向零信任网络安全原则的迁移》报告。2021年11月，美以零信任实施方案为核心的Thunderdome（雷霆穹顶）项目一经发布便受到了各国的广泛关注，这一系列的举措让各界感受到了美国全面推进零信任网络安全领域战略部署的决心和魄力。

 

　　对比来看我国零信任领域的发展就略显滞后，虽自2018年开始陆续有零信任产品落地，市场处于萌芽阶段，但是和国际市场相比仍存在差距。2019年9月工信部发布的《关于促进网络安全产业发展的指导意见（征集意见稿）》中，将“零信任安全”列入需要“着力突破的网络安全关键技术”。2021年《网络安全产业高质量发展三年行动计划（2021-2023年）》的发布让网络安全市场明确“加快开展基于开发安全运营、主动免疫、零信任等框架，推动创新技术发展与网络安全体系研发。加快发展动态边界防护技术，鼓励企业深化微隔离、软件定义边界、安全访问服务边缘框架等技术产品应用”是当前工作的目标。

 

　　截至目前，中国已经完成了零信任的初步建设，但是仍缺少系统性的战略布局。在标准体系建设方面，2021年6月中国通信学会组织开展《零信任能力成熟度》标准研制工作，对美已发布的部分标准进行对标立项，因此技术体系上仍需扩展与完善。在产业发展方面，根据2021年第三方咨询机构Forrester筛选出34家国际零信任方案供应商代表，我国仅有3家厂商入选，对比美国谷歌、微软等国际知名企业，我国缺少有影响力的龙头企业引领产业创新发展。此外，中国网络安全市场规模正在加速扩张，根据IDC2021年上半年中国IT安全服务市场跟踪报告显示，2021年上半年我国厂商收入规模较2020年同期实现翻倍增长，涨幅高达110%，中国IT安全服务市场正式进入需求全面爆发期，预计2025年我国网络安全总体市场规模将达到188亿美元，由此可见我国市场虽处于发展初期但是具有很强大的爆发力，目前急需建设具有行业影响力的公共服务平台来支撑上下游协同创新，产业生态建设方面仍需细致并长远的规划。

 

　　中国信通院算网融合团队携手产业伙伴共推我国零信任产业高质量发展

 

　　零信任在中国的全面落地部署实践需要产业界各方力量的支持，中国信息通信研究院算网融合团队将携手产业合作伙伴从四方面共同推进我国零信任产业高质量发展。

 

　　一、加快建设标准体系

 

　　中国信息通信研究院算网融合团队以ZeroTrustReady为共识，携手各个伙伴全面跟进零信任参考架构、关键技术、融合应用等全球最新进展，同步针对零信任三大关键技术软件定义边界、身份安全管理和微隔离和零信任能力成熟度模型深入开展标准研制工作。

 

　　二、推进测试评估体系

 

　　中国信息通信研究院算网融合团队全面打造ZeroTrustReady评测体系以垂直行业用户的共性需求为基准，结合当前产业发展水平，联合业内主流的ICT网络安全服务提供商、网络安全解决方案提供商和网络安全设备提供商，制定基准测试规范，对齐各生态参与方解决方案、产品功能实现和服务标准，引导和促进产业发展。测试模块涵盖SDP、IAM、MSG三大技术体系，从设备、方案、服务多个维度展开全方位的测试评估。

 

　　三、鼓励试点示范应用

 

　　中国信息通信研究院算网融合团队紧跟行业数字化升级转型的国际趋势，启动了“2021年度零信任优秀评选”活动，在党政、金融、能源、交通等多个垂直行业领域广泛征集零信任应用实践案例，将对优秀案例进行宣传推广，鼓励零信任产品方案服务供应商不断升级产品和创新技术应用，促使各行各业在实践中推进零信任架构的部署与实施。

 

　　四、打造产业协作平台

 

　　中国信息通信研究院算网融合团队致力于构筑开放融合的产业合作平台，依托算网融合产业及标准推进委员会（TC621)，从第三方视角切入为企业群体建立供需合作。开启行业应用联合开放实验室建设，推动垂直行业的试点应用，赋能中小企业开展零信任部署，不断优化零信任安全生态。