零信任网络安全架构由什么组成的
零信任网络安全架构主要由网络身份管理、网络身份认证、网络访问授权、传输安全保障和行为安全监控这五个核心部分组成,各部分协同工作,构建起全方位的安全防护体系 。下面为你详细介绍各组成部分的功能与运作机制。
网络身份管理网络身份管理负责对网络实体全生命周期的管理,确保所有实体来源可信、安全可控 。其管理对象涵盖用户、应用和设备,甚至可将一个网络中的网络实体视为整体进行简化管理 。1、人员管理:包括身份注册、安全审查、安全培训、身份变更处理和身份注销处理 。身份注册时,系统根据安全等级录入用户基本信息如姓名、年龄,或高级信息如身份证号、生物特征等,为可信度评估提供基础 。完成可信度初始评估后,对人员进行安全审查,调阅其信用信息、履历和犯罪记录等 。安全审查通过前,限制其网络访问 。当人员正式成为员工或客户,在开放访问前进行安全培训 。在高安全等级系统中,使用过程中还需不断安全提示和强化培训 。人员身份信息或安全审查信息变更时,及时更新 。人员不再使用信息系统,及时关闭其所有权限并注销 ,必要时让其签署保密条款 。2、设备管理:结合资产管理系统,对设备采购来源、用途等基本信息,以及 IP 地址、证书状态进行登记和更新,并记录变更日志 。根据网络安全等级,选择可靠供应商,必要时进行背景调查 。接收设备时,进行系统安全检测,如病毒扫描、漏洞扫描 。设备上线前和运行中,及时安全加固,包括病毒查杀、修补漏洞等 。设备不再接入网络,下线处理,高安全要求机构需拆除设备硬盘或擦除数据后,才能转作他用或报废 。3、应用身份管理:主要关注应用的开发、测评和部署阶段 。开发阶段明确安全性需求,确定是否允许使用高风险数据库或第三方插件 。开发完成后,组织专业机构测评应用安全性,检查是否存在已知漏洞、是否符合安全性设计要求 。部署阶段对应用进行上线审批,建立软件白名单,通过终端管控软件控制设备允许运行的软件 。
网络身份认证不同网络实体采用不同认证方式 。人员认证可基于口令、生物特征或私人持有的基于硬件的可信处理模块(TPM)等;设备和应用通过软数字证书或设备绑定的 TPM 认证;网络可通过代理设备或软件代理整体对外认证 。1、认证方式选择:根据风险高低决定,环境风险低时,身份认证可通过传递身份标识实现;风险高时,采用更安全方式 。通常采用 “初始强认证” 与 “使用时弱认证” 结合,兼顾安全性和便利性 。“初始强认证” 在系统开设、业务开通阶段进行,如用户到银行开户出示身份证,新员工入职接受安全审查 。之后进入 “使用时弱认证” 阶段,如银行颁发银行卡和设置口令,公司办理员工证 ,但都需在线验证 。2、可变强度认证:当环境风险变化,如首次使用新设备或进行高风险操作时,及时调整认证强度 。首次使用新设备风险较高,需强认证、设置口令并绑定设备,后续可使用口令操作,再次更换新设备时,重复强认证流程 。
网络访问授权实现基于网络实体身份对网络访问进行无特权的权限管控和访问控制,保证所有访问都必须得到授权 。严格遵循最小权限原则,根据用户角色、工作内容和业务需求,精准分配权限 。例如在企业资源规划(ERP)系统中,财务人员拥有对财务数据的读写权限,可进行账务处理、报表生成等操作;而普通员工仅能查看与自身相关的费用报销等信息,无法进行修改和删除操作 。权限不是固定不变的,系统会根据实时的访问情况和风险评估动态调整 。
传输安全保障实现访问数据在网络传输过程中的安全可信,确保数据访问不可抵赖、内容不被窃取 。常见方法是采用加密技术,如SSL/TLS(安全套接层 / 传输层安全)协议 。在电商网站的支付环节,用户输入的银行卡号、密码等敏感信息,通过 SSL/TLS 协议加密后在网络中传输 。即使数据在传输过程中被截取,由于加密的存在,攻击者也难以获取真实信息 。同时,通过数字证书等方式对通信双方的身份进行验证,防止中间人攻击 。
行为安全监控对网络实体的运行状态和网络行为进行持续监测,及时发现异常行为并抑制网络攻击对系统的影响 。通过建立行为基线,收集和分析用户行为、设备状态、网络流量等数据 。例如,企业通过监控员工的网络访问行为,分析其访问频率、访问内容等数据,建立正常行为模式 。若员工在非工作时间频繁访问敏感数据,或短时间内大量下载数据,系统会判定为异常行为,及时发出警报,并采取限制访问等措施 。同时,利用人工智能和机器学习技术,对潜在的安全威胁进行预测和防范 。
拓展阅读1、什么是 TPM 可信处理模块?:TPM 是一种集成在计算机硬件中的芯片,用于存储加密密钥和数字证书,提供基于硬件的安全功能,增强设备的安全性和可信度 。2、SSL/TLS 协议如何进行身份验证?:服务器将数字证书发送给客户端,客户端验证证书的合法性和真实性,确认服务器身份;若需要双向认证,服务器也会验证客户端证书,完成身份验证 。3、如何建立有效的用户行为基线?:收集用户在一段时间内的正常行为数据,包括登录时间、访问资源、操作频率等,利用数据分析技术进行统计和建模,确定正常行为的范围和特征,以此建立行为基线 。
