开启“零信任”网络安全时代

2018年过半，我们看到网络安全行业出现了重大颠覆，日益复杂且放肆的网络攻击迫使企业转向使用“零信任”的网络安全模式。

希拉里因邮件门而无缘美国总统、德勤管理员账号被黑客破解致使500多万份内部邮件遭泄漏……通过窃取口令实施网络攻击是黑客常用的一种策略。事实上，根据Verizon发布的《2017年数据泄露报告》，在黑客入侵导致的安全事件中，81%都与盗用身份有关。IT界表示：如果每个人都可能成为嫌疑人，那么我们选择不相信任何人。用户只能在有明确授权时，才能使能访问系统，建立信任。

“零信任网络”是由Forrester、Gartner等众多安全公司在2013年提出的安全概念。Forrester认为，当前以数据为中心的世界，威胁不仅仅来自于外部，需要采用"零信任"模型构建安全的网络。在"零信任"网络中，不再有可信的设备、接口和用户，所有的流量都是不可信任的。现实中也确实如此，技术高超的APT攻击者总有办法进入企业网络，企业的内部员工有意、无意地也会对信息安全造成损害。来自任何区域、设备和员工的访问都可能造成安全危害。因此"零信任"是当前网络对安全的最新要求，必须进行严格的访问控制和安全检测。通过"零信任"网络，网络和安全专家可以用多个并行的交换核心构建网络，安全地实现网络分段，实现安全防护，达到合规标准，并能集中地管理网络。

零信任网络能提供更好的数据泄露防护，但通往零信任网络的道路却困难曲折。零信任模型的核心思想，是网络边界内外的任何东西，在没经过验证之前都不予信任。用传统安全方法挡不住数据泄露的公司企业目前越来越关注零信任网络模型了。

那么，我们该如何实现零信任策略呢？

要实现零信任策略，首先要有相应的条件策略，指定哪些人能访问哪些数据；其次就是要弄清用户身份，确保登入者的确就是其所声称的那个人。

为此，企业不仅应该根据员工职位提供相应的访问权限，甚至还应该实行“最小权限”策略，这样既可以限制黑客的横向攻击，又能在数据泄露前检测到异常行为。而且，企业还应在账户密码的基础上，采用可信身份认证方式。

目前流行的一种认证方式是多因素身份认证（MFA），在用户输入用户名和密码之后，只需在手机上同步完成人脸识别、指纹识别、图片密码、一键确认、OTP动态口令中的一种认证方式，即可顺利登陆，免除了等待和输入随机性短信验证码的麻烦。由于黑客也无法绕过这一环节，所以即使窃取到了账户密码也无法登陆。

除此之外，在人工智能时代，企业还应该积极拥抱AI技术，让零信任网络变得更加便捷和安全。目前处于前沿领域的AI行为识别身份认证技术，可以通过传感器多维度、多规则地收集用户日常登录系统的物理操作行为和使用习惯，然后基于卷积神经网络和循环神经网络等技术剔除干扰和噪声，持续深度学习其行为特征，建立识别模型并与用户本人进行相似度匹配，即可对用户身份进行确认。通过这些核心技术，不仅能有效进行人机识别，而且还能精确分辨操作者是否为用户本人。另外，在用户输入密码的过程，相当于同时完成了密码验证和行为验证，用户全程无感知，不增加身份认证步骤，不改变用户使用习惯，在增强身份鉴别的同时，兼顾了便捷性和易用性。

小编寄语：

虽然小编坚信人间有真情，人间有真爱。但是在如今高速便捷的网络信息时代，我们也应穿上金刚盔甲，打造自己的“零信任”小天地。

注：相关信息源自网络