导读

安全领域有一个算式：“100-1=0”，哪怕安全防护做到了100分，一旦出现一例安全风险事件，那么之前所做的一切努力都会白费。数字经济时代，数字技术快速演进，新技术态势下的网络安全威胁和风险不断涌现扩散，物联网、工业互联网等新型应用场景致使物理网络安全边界防护模式逐步瓦解，用户、设备、业务、平台等多样化趋势不可阻挡，新场景叠加的安全风险不可忽视。为了应对逐渐复杂的网络环境，尽可能降低风险事件“1”的出现概率，一种新的网络安全技术架构——零信任（Zero Trust）逐步走进公众视野。

1、传统网络安全防护独木难支

过去，一家企业往往拥有明显的网络边界，基础设施、数据、应用等资源位于企业数据中心内网，仅向互联网开放有限端口甚至完全不开放，风险暴露面小，众多威胁主要从边界外通过端口向内网发起攻击，例如网络渗透、网络劫持、数据破坏和窃取等，企业通过边界防护即可抵御绝大部分的威胁。如今，随着数字技术的广泛应用，在极大增加互联互通便利性的同时，网络边界也逐渐模糊，尤其在近来受疫情影响、远程办公越发普遍的情况下，数据不再局限于企业内网，而是向云端、终端扩展，网络安全的边界屡遭破壁。具体而言，突出表现为以下三个方面。

云计算弱化安全边界防护能力

云计算已经成为信息基础设施重要支撑，云化模式下,企业数据中心东西向流量（即内部横向的流量）占比高达70%，而边界防火墙一般保护的是南北向流量（即内外交互的纵向的流量）。一旦攻击者突破边界防火墙,进一步横向移动就不会受到阻碍。

应用架构升级，安全边界模糊

企业应用架构随基础架构的升级而不断演进，从单体应用架构向微服务架构变化，这就促进了分布式部署模式的发展。应用系统的分布式部署将数据分散存储于多台独立的机器设备上，打破了传统单体架构部署于数据中心内的模式，传统网络安全边界逐渐消失。

网络安全环境变化，防护要求提高

网络安全环境从互联网安全扩大到网络空间安全。在互联网安全时代，主要防止数据被破坏、被泄漏和网络瘫痪；而在网络空间安全时代，安全目标是包含设施、数据、用户、操作在内整个网络空间的系统安全，对安全防护能力的要求随之提升，传统安全防护的劣势凸显。

随着全球数字化转型的持续深入，在蓬勃发展的数字技术手段支撑下，零信任网络安全新模式应运而生。

2、零信任：安全防护“头号玩家”

区别于传统的预设访问黑名单、白名单，零信任秉持“永不信任，始终验证”原则，认为企业不应该默认信任网络内部或外部的任何人、设备、系统和应用，而是应该基于认证和授权重构访问控制的信任基础，并且基于尽可能多的数据源对访问者进行持续的可信度评估，根据评估结果动态地调整授权和访问控制策略。企业搭建零信任架构，通过综合用户身份、位置、数据、历史行为等上下文信息，执行认证授权，可以限制数据的东西向移动，降低企业资源访问过程中的安全风险，有效防止数据泄露，提升企业数字化转型中新IT架构的安全性。

零信任发展历程

相比于传统的边界防护安全，零信任在护航企业数字化转型过程中能够提供更灵活、更优质的安全能力。其基本原则归纳如下。

ⅰ.  默认一切参与因素不可信：零信任的信任关系源自于对所有参与对象（包括网络、应用、终端、访问主体、数据、工作负载等）和行为（包括访问请求、连接建立、策略下发等）的动态验证，它们共同构成一次端到端的资源访问。零信任不为以上任何参与因素预制信任条件。

ⅱ.  最小权限：零信任强调资源按需分配，仅授予各行为所需的最小权限，且对每个行为单独授权。

ⅲ.  持续动态访问控制和授权：对资源的访问控制由动态授权策略决定，一旦动态授权策略依据发生变化，将重新计算授权。这一动作将在一次端到端资源访问的全生命周期中持续进行。

ⅳ.  持续安全防护：确保进行资源访问的参与对象处于安全状态，通过安全产品及工具，及时发现安全问题，并采取措施降低安全风险。

零信任三大技术

3、广阔的想象空间

数字化浪潮之下，各行各业都在积极进行数字化转型，零信任的应用场景越来越广泛，国际上零信任产业已经初具规模。国内来看，早在2019年9月，工信部《关于促进网络安全产业发展的指导意见（征求意见稿）》就已将“零信任安全”列入需要“着力突破的网络安全关键技术”，腾讯、阿里、华为等也利用各自在安全领域的技术优势，纷纷推出了零信任整体解决方案。

Google率先在企业内部实践零信任并提出完整解决方案。Google部署了Beyond Corp零信任模型，通过安全识别用户、安全识别设备、消除基于网络位置的信任、将应用和工作流公网化、实现基于设备清单的访问控制等手段，让每位Google员工都可以在不借助VPN的情况下通过不受信任的网络顺利开展工作。在这种全新的无特权内网访问模式下, 访问只依赖于设备和用户身份凭证，而与用户所处的网络位置无关。同时，Google还总结出Beyond Corp的一部分能力，做成了商业化产品，比如为Google Cloud Platform增加的新服务IAP（基于身份识别的访问代理）等。

金融业一直走在科技应用的前沿。近年来，金融机构在业务线上化移动化推进过程中，分支机构接入需求增多、对外开放接口增多、后疫情时代远程办公需求增多，安全风险也相应增加。尤其在金融机构数字化转型过程中，随着数字技术的快速演进，金融机构数据能力建设不断强化，保护数据安全、筑牢金融与科技风险防火墙，成为建设数字安全生态的题中之义。零信任当前仍是前沿技术，落地应用主要集中在大型商业银行，但其前景受到业内高度肯定。比如建设银行部署了零信任架构产品，以零信任客户端、零信任分布式网关、零信任控制器为主要组件，构建终端-互联网-云的弹性安全区域。该产品通过零信任网络对用户、设备、应用、报文进行持续验证，确保访问的安全可信，同时让整个数字生态系统在互联网上隐藏，从而降低被攻击的风险，在保证各类设备都能随时随地访问业务系统、服务、数据等的同时，实现灵活、无缝、安全的访问体验。

总 结

作为产业数字金融综合服务商，聚均科技融合人工智能、大数据、区块链、云计算、OCR等丰富的数字技术手段，构建智能风控平台，基于不同产业链特点挖掘、分析数据信息，与金融机构原有风控平台对接，助力金融机构形成“交易信用+主体信用”相结合的风控管理体系，帮助金融机构实现更及时、高效、全面的风险管控，助力金融机构业务发展，服务其高质量数字化转型。

参考文献：
   【1】中国信通院：《网络安全先进技术与用于发展系列报告—零信任技术（Zero Trust）》
   【2】腾讯金融研究院，腾讯云，毕马威：《数实共生·2022 金融科技十大趋势展望》
   【3】万联智慧：《国务院：发挥央行征信中心动产融资统一登记公示系统作用，提高供应链金融数字化水平》
   【4】阿卡迈公司：Where to Start With Zero Trust Security
   【5】陈本峰，李雨航，高巍，CSA（大中华区）SDP工作组：《零信任网络安全：软件定义边界 SDP 技术架构指南》
   【6】开源证券：《零信任，网络安全理念的重塑》
   【7】中国信息通信研究院云计算与大数据研究所，腾讯云计算（北京）有限公司：《数字化时代零信任安全蓝皮报告》
   【8】袁笑鹏：《金融行业的零信任安全战略》
   【9】缔盟云：《中国建设银行零信任落地案例》
   【10】张驰，曾繁华：《齐向东：“互联网安全”时代终结 “网络空间安全”时代到来》