數(shù)字化時代，企業(yè)如何基于全要素資產(chǎn)重構網(wǎng)絡安全信任體系？

12月26日，TGO鯤鵬會北京年度家宴舉辦，來自多家企業(yè)CEO、CTO、技術負責人等管理者共聚一堂，共同探討全球前沿技術的想象和未來。騰訊安全咨詢中心負責人陳顥明發(fā)表了《如何重構網(wǎng)絡安全信任體系》的主題演講，并從網(wǎng)絡信任體系遇到的挑戰(zhàn)、信任體系重構的思路，以及信任體系建立等關鍵維度，對當前數(shù)字化浪潮下的企業(yè)所面臨的安全信任建設問題給出了自己的解讀和建議。

隨著當前高新技術的快速落地，數(shù)字化已成企業(yè)發(fā)展核心驅動力的同時，但也使基于邊界的傳統(tǒng)網(wǎng)絡安全架構無法滿足企業(yè)數(shù)字化升級之需，企業(yè)迫切需要一個支持無邊界及云上資源安全訪問的解決方案。

針對如何建立IT身份與自然人的信任關系，陳顥明提出了重構信任建設體系的新思路。在他看來，身份和信任體系一直都是企業(yè)安全建設的短板，信任體系重構需重點圍繞識別保護對象、梳理依賴關系、人與資產(chǎn)和賬號綁定關系、統(tǒng)一賬號生命周期管理、強身份認證、無邊界訪問控制、行為監(jiān)控和審計、動態(tài)授權、資產(chǎn)間訪問管控等九個重要層面展開，才能不斷強化多因素認證、無邊界訪問控制、行為監(jiān)控、動態(tài)授權、數(shù)字實體的訪問關系。

其中，防護對象識別是信任體系建設的前提，需要對所有數(shù)字實體資產(chǎn)(需要細化到數(shù)據(jù)，服務和接口)進行識別，注冊并標識唯一身份ID，連同自然人的網(wǎng)絡身份ID，建立人與資產(chǎn)和賬號的綁定關系，以此實現(xiàn)人、數(shù)字實體和賬號的“全要素”信任管理體系。

在整個信任體系的建設過程中，可以保證人和證形成強關聯(lián)，盡可能做到雙因素認證，基于依賴關系，進行訪問授權，保證數(shù)字實體資產(chǎn)的操作全記錄和全監(jiān)控，從而實現(xiàn)“全要素”安全管控。

最后，陳顥明還結合了騰訊構建的信任體系架構和能力圖譜，提出包括資產(chǎn)全要素和依賴關系梳理、信任能力梳理、能力差距分析、信任場景梳理、規(guī)劃場景建設路徑、完成信任體系構建等關鍵維度的重構路徑。企業(yè)只有了解信任建設的能力目標，根據(jù)能力視圖、業(yè)務優(yōu)先級規(guī)劃建設場景路徑，才能分場景、分階段完成信任整體能力體系的建設。

以下為陳顥明演講實錄：

很高興有這次機會溝通，我本人20年來一直做信息安全，我們做信息安全這么多年，一直在思考一個問題，信任問題，當然這是我們信息安全的一個核心的問題。我們說大家在座的都是技術大佬，網(wǎng)絡上TCP/IP協(xié)議是不夠信任、不夠可靠的一個協(xié)議，所以導致我們有各種各樣的安全問題，包括剛才主持人說的DDoS攻擊就是用了TCP/IP三次握手這種不夠嚴謹?shù)囊粋€問題導致很多問題，很多信息安全問題跟信任都有非常大的關系，因為信任體系建立的不夠強壯，導致很多安全問題的出現(xiàn)。

所以，我們選擇了信任這個話題，主要現(xiàn)在大家都在提零信任或者各種信任體系，尤其今年在疫情期間，大家可能都得在家庭辦公、遠程辦公，導致開始從家里或者在外圍連公司企業(yè)網(wǎng)。怎么保證信任問題，這個話題今年提的頻次特別高，所以我們今天談談信任，就是信息安全的信任問題。

先來盤點一下那些年我們構建的信任體系。最早我們接觸的信任體系是，PKI和CA體系，當時各種加解密、公私鑰、認證中心、授權中心，是網(wǎng)絡安全最為重要的解決方案。當時我記得很多銀行開始上這些PKI體系，導致系統(tǒng)異常的復雜，因為每筆業(yè)務都需要注冊證書、發(fā)證、授權，加解密等一系列操作。

另外，邊界隔離。隨著網(wǎng)絡日趨復雜化，大家開始考慮網(wǎng)絡區(qū)域劃分和隔離，每個網(wǎng)絡區(qū)域是有信任關系的，低安全級別的區(qū)域不能向高安全區(qū)域級別的訪問，把安全域劃分好，網(wǎng)絡隔離措施做好，就是相對比較安全架構，這是另外一種信任的模式。

大家對信任的探索一直沒有停，后來大家開始考慮一個簡單的方法，從人下手，管好人的認證，其實就像我們現(xiàn)實中，人去到什么地方，只要有一個員工卡或者身份證，就能進去，身份管理體系在各個企業(yè)開始逐步推行。也就是說企業(yè)要建一個基于用戶身份的全生命周期的管理，從他入職到我進入到這個部門，到產(chǎn)生線上的業(yè)務，包括我內部的辦公應用，通過IAM體系統(tǒng)一管起來。后來發(fā)現(xiàn)運維人員和高權限的人越來越多，開始考慮把這些人通過CA、堡壘主機管理起來，像銀行的數(shù)據(jù)管理員掌握數(shù)據(jù)太多了，權限太大，用特權賬號管理體系來管理。

然而，隨著IT高新技術最近兩年爆發(fā)式的變革，云計算、大數(shù)據(jù)、微服務架構、應用的輕量化包括5G包括移動互聯(lián)網(wǎng)的產(chǎn)生，發(fā)現(xiàn)以前邊界的防護體系基本被打破了，大家都在倡導互聯(lián)互通，原來還相對牢固的信任和隔離措施，突然顯得問題多多，甚至是不太適用，用戶和應用的關系越來越復雜，權限管理失控，包括之前所倡導的PKI體系，其實在IT變革過程當中遇到很多阻力和問題。

舉個實戰(zhàn)攻防演練實例，之前我們提到相關的安全體系該企業(yè)都已經(jīng)建立了，但紅方的攻擊隊很輕易的可以突破我們邊界的防護措施，比方說企業(yè)VPN，只要你沒有做雙因素認證，利用社工庫、各種帳號的破解辦法它會很快速的入侵到內網(wǎng)，進入到內網(wǎng)更可怕的是橫向移動，因為我們說我們在企業(yè)內防守的話南北向防的很嚴，但東西向，尤其很多企業(yè)現(xiàn)在上云了，云的虛擬機之間的訪問控制基本上很容易被突破，再加上內部還有一些賬號集權管理系統(tǒng)，如AD域、堡壘主機，網(wǎng)管服務器，一旦被突破，整個內部的應用和系統(tǒng)基本全部突破，這就是目前企業(yè)在信任體系的現(xiàn)狀。

為什么呢?最關鍵的核心是身份管理體系建立的還不夠強壯，很多企業(yè)更多的是圍繞著基礎架構安全，邊界防護，安全域劃分隔離措施，縱深防御。但在紅藍對抗或者高級別的攻擊對抗場景下很容易突破的，這里面提到一個問題就是企業(yè)如何把信任體系做的足夠健壯，黑客攻擊到內部系統(tǒng)大多的是利用了企業(yè)現(xiàn)有比較薄弱的身份和賬號管理體系，欺騙了你的認證體系，進到內網(wǎng)進而發(fā)動攻擊。

直到今年，大家開始提零信任、SDP、微隔離，這是最近聽的最多的三個詞，零信任體系提出來核心還是希望從對任何用戶，任何設備是不信任的，怎么建立信任關系，持續(xù)認證持續(xù)鑒權，這是谷歌最開始提出來的思路，因為他之前遭受了惡意攻擊事件，所有的網(wǎng)絡安全措施全部失效，之后他們一狠心，把以前傳統(tǒng)的安全建設模式和體系全部改掉，按照全新的信任體系架構再重新搭建。

零信任今年雖然很火但大家都不太懂，到底他包含哪些具體內容，怎么搭建?有哪些要素構成?以及信任體系核心是什么?為了究其根源，我也查了一些對于“信任”的定義，給了我很多啟發(fā)，也給大家分享一下。信任這個詞在社會學它的解釋是信任是相信對方是誠實、可信賴、正直的。另外，信任是涉及交易或交換關系的基礎。信任被認為是一種依賴關系。

信任是需要建立關系的，如果沒有具體的關系很難信任，這也就是我們?yōu)槭裁磿盏皆p騙電話詐騙短信，一般像年輕人可能置之不理，但老年人不一定。其實核心就是沒有建立信任關系的聯(lián)系，其實都可以斷掉。通常我們在信息安全管理過程中，似乎沒有真正考慮過這點，就是信任是一種依賴關系，是有關聯(lián)，有業(yè)務關系或者有依存關系，這是信任的前提。底下還有比較重要的一些概念，交換過程中間信任者要值得信任的證據(jù)，這個證據(jù)一定要證明你是這個自然人或者你是可信的設備，這一點也是關鍵。

而英文對Trust的定義是，相信這個人是好的，誠實的，還有一個關鍵的點，這個事兒是安全靠譜的。也就是說，信任，不光要考慮對人的信任，還得考慮對的資產(chǎn)和行為的信任。我們所有的實體，我們說現(xiàn)在有一個詞叫數(shù)字實體，其實這個詞很關鍵，也就是說因為我們之前理解的IT資產(chǎn)很簡單，服務器、終端包括我們的應用，可能就到這個粒度了。實際上，隨著云計算的發(fā)展，包括微服務的發(fā)展，你會發(fā)現(xiàn)每一個應用、服務、應用的接口，這應該都屬于數(shù)字實體，我們做身份管理需要把這些所有的數(shù)字實體都得考慮進去。

同樣我們說所有的數(shù)字實體，騰訊提了一個概念叫做“全要素”。我們要重構信任體系，需要考慮全要素身份體系的定義，其中包括身份體系的關聯(lián)關系，也就是全要素之間的關聯(lián)關系，以及全要素的安全控制體系。

當然，我們加一個IT層面要考慮的問題，就是把IT或者說數(shù)字實體的資源和自然人要關聯(lián)起來，而且是緊密關聯(lián)起來，以上這些都應該是我們考慮信任體系重構的關鍵要素。

我們把剛才字面意思的解讀得到的一些啟發(fā)再放到整個網(wǎng)絡環(huán)境里面，第一個要素自然人，人一定是我們安全管控的核心，人要依靠終端、用身份ID、通過帳號、獲取認證拿到授權，去操作相應的資產(chǎn)，記錄下日志和監(jiān)控。在整個人到資產(chǎn)之間的訪問鏈條來看，黑客會從哪邊兒入手呢? 就是帳號，他從帳號入手會把你前面的鏈條全部切斷，我直接用你的帳號獲取認證，進行操作，你溯源的話只是溯源到帳號，實際上你很難抓到他相關的其他內容，你就會發(fā)現(xiàn)如果在整個帳號體系和前端沒有打通的環(huán)境下，我們的溯源工作基本就失敗了，這個就是我們目前很多站點被黑客攻擊，實際上很難溯源，抓不到源頭，因為和自然人、相關IT身份沒有真正強綁定，這里面有些問題出在，比如有些企業(yè)多人共用帳號，一個人多個ID，帳號和自然人沒有真正實體綁定，帳號體系沒有是統(tǒng)一的管理體系，這些都是造成這些方面的一些原因。

認證，在整個這個過程中還是重中之重，人和證一定要強關聯(lián)，現(xiàn)在有很多人臉核身、人證核身技術，我們推薦企業(yè)客戶一定要做賬號的雙因素認證，核心就是要人和帳號體系一定要強綁定，或者死綁定，這個才能確保你的安全性。

另外一個比較嚴重的問題是，攻擊者只要拿到內網(wǎng)的權限，橫向移動幾乎是暢通無阻的。這里的問題通常是，授權粒度不夠，沒有達到資源級授權，缺乏流量和行為審計，缺乏違規(guī)操作識別和管控，資產(chǎn)間訪問控制粒度不夠。數(shù)字實體全要素資產(chǎn)的操作需要有全記錄和全監(jiān)控，騰訊在這點做的比較好，所有應用的操作日志以及網(wǎng)絡流量全部記錄下來，為后面溯源包括做安全事件分析做好充足的準備。

總體來講，建立一個完整的信任體系，身份帳號的管理，包括我們的自然人和帳號的，人臉核身和認證，包括后續(xù)對于你對實體的操作包括權限控制需要做完整和嚴格的管控體系。

后面就是把前面所思考的點做一個匯總，做好一個信任體系，我總結了9點：

第一是識別保護對象。保護對象就是剛才提到的所有數(shù)字實體全要素的資產(chǎn)要識別清楚，到底在體系內有多少是數(shù)字資產(chǎn)，是關鍵的數(shù)字實體，這塊要真正的識別清楚。以前只管人或者只管服務器設備、終端、數(shù)據(jù)庫。但在云時代下，這個管理顆粒度還需要細化到數(shù)據(jù)，服務甚至是應用接口。

第二是梳理依賴關系。這是之前提到的關鍵點，當這兩個連接在業(yè)務上沒有充分依賴關系的話，就不要讓它連起來，但在實際場景下，連接和訪問關系異常復雜，安全管理者根本不知道誰和誰有關系，他們自由的連接，真正是“互聯(lián)互通”，但我覺得作為信息安全管理者或者說信息管理者，如果二者之間沒有依賴關系，就可以考慮不要連接。

第三是人、資產(chǎn)和帳號的強綁定。某些互聯(lián)網(wǎng)企業(yè)在這方面做得非常好，作為自然人的員工進入到企業(yè)有企業(yè)微信，企業(yè)微信有Open ID這個唯一標識的ID，再和其他應用帳號再關聯(lián)，和企業(yè)HR的信息直接關聯(lián)，所以它會通過Open ID把所有帳號包括個人信息全部關聯(lián)起來，最后不管是做了任何事情，都可以通過Open ID去檢索和查詢，永遠能溯到源頭。

第四是帳號的全生命周期管理。因為很多企業(yè)現(xiàn)在帳號體系比較分散，有可能一個企業(yè)是多個IAM系統(tǒng)，還沒有做后臺數(shù)據(jù)的打通，各自為政，這里面就存在一個人可能多個帳號，而且一個人在多個不同的IAM平臺里面，這里面管理會有很大的問題。

這里我們強調是新一代的IAM，因為IAM是比較老的體系，但它要適應現(xiàn)在新的IT基礎設施，目前我們也發(fā)現(xiàn)很多企業(yè)在升級IAM，主要關鍵點是哪些點?一個是它得支撐所有數(shù)字實體，以前身份管理體系不會考慮微服務或者API接口，這些可能不在他的考慮范圍之內，所以現(xiàn)在要支持這些，還有多方的認證協(xié)議，我們認證協(xié)議已經(jīng)變的五花八門，而且各種生物識別技術，協(xié)議支持要跟得上。還有就是常提到的原生安全，以及還有現(xiàn)在我把身份管理變成一個云服務，需要兼容這些特征。以前我們身份管理更多的是依賴于AD、LDAP做身份數(shù)據(jù)的管理，其實現(xiàn)在大家都在用開源數(shù)據(jù)庫做整個身份數(shù)據(jù)統(tǒng)一的管理。所以這都是現(xiàn)代IAM典型的特征，大家可以思考下在現(xiàn)有IAM體系里面怎么做一些升級和提升。

第五是強身份的認證，這就是常說的雙因素或多因素認證，其核心目的就是把自然人和帳號建立強綁定關系。

第六是無邊界的訪問控制，現(xiàn)在的網(wǎng)絡環(huán)境已經(jīng)打破了原有互聯(lián)網(wǎng)的邊界，區(qū)域防護，原來特別嚴格的安全域劃分，都是對于自由訪問的，所以無邊界的訪問控制也是現(xiàn)在企業(yè)必須考慮的一個新的方向。包括應用隱藏，單包授權和動態(tài)端口以及雙向加密通信，通過無邊界訪問控制，實現(xiàn)外網(wǎng)應用隱藏，當攻擊者找不到應用就很難對它造成攻擊，防守效果明顯。

第七是嚴格的行為監(jiān)控和審計。大家現(xiàn)在已經(jīng)開始做行為建模，群體和單體的建模，之間做一些比較，做類似于UEBA的技術研究，尤其是建立不同權限用戶的正常行為模型，去分析違規(guī)操作，用戶行為這塊其實考慮的是正常人，但它帳號體系包括信任體系建立完以后，用戶可能在內部做違規(guī)操作，這些全靠監(jiān)控和審計系統(tǒng)進行用戶行為分析了。

第八是持續(xù)的動態(tài)授權。根據(jù)用戶權限的變化要做一些授權的改變，這就是要借助于人工智能要做一些權限動態(tài)的分配?；谟脩粜袨榈谋O(jiān)控和審計分析，一旦發(fā)現(xiàn)有違規(guī)和異常操作，實時進行動態(tài)調整訪問權限，及時阻斷操作。

第九是資產(chǎn)之間的訪問控制，也就是說數(shù)字實體之間訪問怎么控制，一個是API網(wǎng)關，調用通過API網(wǎng)關對應用間訪問和調用進行統(tǒng)一的認證，授權和訪問控制；還有微隔離技術，其實也是通過在容器上，包括在虛擬主機上做一些微隔離控制，實現(xiàn)東西向細粒度控制，這是目前各企業(yè)網(wǎng)絡安全防護的短板。

最后，我們結合以上這些點完整的構建了騰訊信任體系的架構和能力圖譜。實際上，我們在一些場合也做了一些測試，包括在線上做了一個系統(tǒng)的基于能力圖譜的評價，可以對這個基于能力圖譜對現(xiàn)有信任體系做一個整體的自評估，看看自己在哪些領域哪些部分現(xiàn)在做到什么程度，然后去考慮未來整個網(wǎng)絡信任體系如何去重構或者如何提升。

因為時間關系我今天就講這些，感謝大家!

（免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）