查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《检察装备技术新动态》
用“零信任架构”应对智慧检务时代的网络安全新挑战
【作者】 左英男【作者单位】 奇安信集团{副总裁}
【分类】 法律信息化【期刊年份】 2019年
【期号】 1【页码】 70
【全文】法宝引证码CLI.A.1283550    
  

引言

十三五期间,最高人民检察院明确提出了智慧检务建设、检察大数据行动指南等重大战略,目标是有序引导全国各地检察机关充分运用新一代信息技术,依托大数据及人工智能等前沿科技,开展检察大数据中心、大数据共享交换平台、智慧检务应用的探索创新,推进检察工作由信息化向智能化跃升。

随着“云大移物智”等新兴IT技术在检察行业的深入应用,检察机关正在大踏步迈入数字化和智能化的新时代。大数据中心和智慧检务的建设使得业务应用和数据高度集中,也不可避免地造成了网络安全风险的高度集中。此外,云计算、大数据平台、微服务架构等新兴IT技术的应用,也造成了传统的网络安全理念和架构、传统的网络安全技术和方案在新兴IT技术架构下的失效,给智慧检务的发展带来了全新的网络安全挑战。

新IT技术架构下的网络安全新挑战

在传统的IT技术架构下,网络安全架构是基于网络边界防护的安全架构。人们在构建网络安全体系时,首先把网络划分为外网、内网、DMZ区等不同的安全区域,然后在网络边界上通过部署防火墙、WAF、IPS等传统网络安全技术手段进行重重防护,构筑业务应用的数字护城河。这种网络安全架构假设或默认了内网比外网更安全,在某种程度上预设了对内网中的人、设备、系统和应用的信任,从而忽视内网安全措施的加强。美国Verizon公司《2017年数据泄露调查报告》指出,造成企业数据泄露的原因主要有两类,一是外部攻击,二是内部威胁。随着网络攻防技术的发展,新型的网络攻击手段层出不穷,攻击者面对层层设防的网络边界,往往会放弃代价高昂的强攻手段,而是针对单位内部网络中的计算机,采用钓鱼邮件、水坑攻击等方法渗透到网络内部,轻松绕过网络边界安全防护措施。由于人们往往认为内网是可信任的,所以攻击者一旦突破单位的网络安全边界进入内网,常常会如入无人之境。此外,单位内部员工、外包运维人员等“内部用户”通常拥有特定业务和数据的合法访问权限,一旦出现凭证丢失、权限滥用或恶意非授权访问等问题,同样会导致组织的数据泄漏。

此外,随着智慧检务的逐步发展,新IT技术架构的引入,导致传统的内外网络边界变得模糊,数据在不同的业务系统、不同的平台之间流动,业务和数据的访问者也变得复杂多样,因此,很难找到物理上的网络安全边界,人们自然无法基于传统的边界安全架构理念构筑网络安全基础设施。因此,在新的IT技术架构下,传统的网络安全架构理念如果不能随需应变,自然会成为木桶最短的那块木板。

“零信任架构”的应对之道

零信任架构(或零信任安全、零信任模型)这个概念最早是由美国Forrester的分析师John?Kindervag于2010年提出的。John非常敏锐地发现传统的基于边界的网络安全架构存在缺陷,通常被认为“可信”的内部网络充满着威胁,信任被过度滥用,并指出“信任是安全的致命弱点”。因此,John创造出了零信任(Zero?Trust)这个概念,“从来不信任,始终在校验”(Never?trust, always?verify)是零信任的核心思想。零信任架构重新评估和审视了传统的边界安全架构,并给出了解决问题的新思路:

■应该假设网络自始至终充满外部和内部威胁,不能仅凭网络位置来评估信任;来自北大法宝

■默认情况下不应该信任网络内部或外部的任何人、设备、系统,需要基于认证和授权重构访问控制的信任基础;

■并且这种访问控制授权不是静态的,而是要基于对访问主体的风险度量和信任评估结果进行动态调整。

零信任对访问控制进行了范式上的颠覆,引导网络安全架构从网络中心化走向身份中心化。从技术方案层面来看,零信任安全架构是借助现代身份管理技术实现对人、设备和系统的全面、动态、智能的访问控制。零信任架构的技术方案包


  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对土豪我们做朋友好不好
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1283550      关注法宝动态: