网络安全技术在计算机维护中的运用

王坚

摘要：企业网络基础设施建设日趋综合化、复杂化，计算机网络安全边界日趋模糊。当前，数字化发展已呈时代发展和推动技术更新的必要阶段，诸多新兴技术如云平台、物联网（Internetof Things）、大数据和移动互联的技术成长也为各大企业提供了新鲜和活力。云平台和物联网（Internetof Things）为企业的经济数据提供了走出“边界”的可能，而大数据和移动互联又为企业外部服务与内部串联形成良好的协同联系。显然，当下的企业网络安全技术已然不再是单纯的和易于被识别的，它的“安全边界”逐步被瓦解，以往传统的网络技术和系统方案显然不再适用于当代企业网络基础。那么，在该文中将主要探讨建立网络安全新范式加强计算机维护。

关键词：网络安全技术;网络安全新范式;零信任安全架构（ZTA）;计算机维护

中图分类号：TP393      文献标识码：A

文章编号：1009-3044（2021）19-0036-02

1 计算机网络安全现状与网络安全新范式建立的必要性

数字化时代经济创新的业务绝大多数始于云平台和大数据搭建，此类IT架构实现业务与数据集中化，而系统风险也随之集中化。我们知道，系统数据风险一直以来都是经济创新业务最被关注的问题之一。尤其是近些年来，诸多企业出现数据外泄的事件，不得不为计算机网络安全实现数字化转型的发展担忧[1] 。

依据相关调查数据剖析，计算机数据外泄由企业内部人员导致是其主要原因之一。企业内部人员一般在特定范围内可以拥有一定合法的访问权限，如果存在凭证丢失或权限滥用的情况，企业网络数据外泄的可能性即极大的提升。另外，企业网络数据泄漏还有另外一个主要原因，那就是外部攻击，从相关数据分析来看，黑客攻击企业内网的手段不一定多先进，绝大部分黑客攻击仅仅是窃取凭证或“爆破”弱口令，以此破坏企业内网，或盗取企业数据访问权限。

综合以上论述，导致企业网络数据外泄的原因主要有两方面。企业在网络方面的意识逐步提升，随之带来的是加大网络安全维护成本投入。但是，从近些年来的成效来看，加大网络安全维护成本投入并没有保障网络数据外泄事件的概率下降。究其原因，企业在进行基础构架搭建时有所疏忽，随着时代进步，IT技术架构也在不断优化，数字化技术的发展也在很大程度上推动了IT技术构架演变。显然，新型IT技术架构已经不能从传统架构理念出发，我们仅仅改变“基础”以上的结构而忽视了“基础”改造，那么这个“基础”就成了木桶拼板中“最短”的那一块[2]。

传统网络安全维护是依存于边界的架构体系。它首先要求的是找到安全边界，然后将系统网络分为几个不同的区块，包括外网、DMZ和内网。然后，边界部署防火墙、WAF、IPS等网络安全维护产品，从而为企业网络构造防护墙。通过分析，传统网络安全维护架构体系显然已经默许了内网安全重要于外网安全，很大程度上已经预设了内网用户的信任。另外，云平台技术发展模糊了内网与外网之间的界限，也导致了物理安全边界难以识别。显然，企业根本不能实现依存于传统安全架构设施搭建，而仅能依托于更加更为先进且灵活的技术措施来识别或认证一直处于动态且变化的用户、设备及网络系统，零信任安全架构（ZTA）（ZTA）正是因此原理成为时代发展的必需，也是计算网络安全架构与维护系统安全与稳定并重的必然。

2 零信任安全架构（ZTA）在计算机维护中的运用

零信任安全是由福雷斯特公司的首席分析师约翰·约翰开创的。自2014年12月以来，谷歌已经发表了六篇beyond corp相关文章，全面概述了beyond corp的架构及其自2011年以来的执行情况。2017年，这个行业，包括思科、微软、亚马逊、cyxtera等等。自2018年以来，我国中央部委、国家机关、大中型企业开始探索零信任身份安全框架的实践。零信任安全的本质是访问控制范式从传统的以网络为中心向以身份为中心的转变。零信任身份安全体系结构一般由三个子系统组成：设备与用户认证代理、可信访问网关和智能身份平台。例如，很久以前，我们可能不得不输入密码，随机数字验证码，短信验证码，还有安全密钥。现在，如果你的手机上安装了电子邮件App，你只需扫描二维码，这种认证既方便又高效。

零信任身份安全体系结构以“身份”作为新的边界思想，将访问控制从边界转移到个人设备和用户。打破传统的边界保护思想，建立基于身份的信任机制，遵循对设备和用户进行身份认证然后访问业务的原则，然后自动信任任何内部或外部的人/设备/应用程序，对任何试图访问网络和业务应用程序的人/设备/应用程序进行身份认证之后再授权，并提供一种动态的细粒度访问控制策略，以满足最小特权原则。通过提供用户和企业之间的安全访问来保护政府数据的安全技术。

2.1 零信任身份安全架构的技术方案

零信任身份安全體系结构对传统的边界安全体系结构进行了重新评估和检验，提出了一种新的启示：网络始终处于各种威胁之中，包括内部外界，也包括外部威胁，并且信任评估不仅只通过网络位置进行，缺省情况下，网络内外的任何设备或系统都不能被信任。认证和授权应该作为访问控制信任基础，要将设备、用户多元数据作为依据，零信任能够扭转访问控制模式，推动了网络安全构架转变，即：“网络为中心”转变为“以身份为中心”，基于技术视角，零信任身份安全体系结构依托先进的身份管理技术，对人、设备、系统进行智能化、动态化智能访问控制[3]。

零信任身份安全架构的技术方案，包括三个部分，即：业务访问主体、业务访问代理、智能身份安全平台，如上图1。

业务请求发起人就是业务访问主体，请求包括诸多内容，如网络用户、系统设备和程序应用。传统的计算机网络安全应用机制通常是通过认证与授权分离作业，而零信任身份安全体系构架则将业务访问主体、业务访问代理和智能身份安全平台三部分视为一个整体，如此一来即可降低系统数据被窃取或外泄的风险。零信任身份安全架构的实操过程往往是将系统设备与企业用户进行绑定。