0　引　言

　　網(wǎng)絡信任是網(wǎng)絡信息安全的重要內(nèi)容和核心支撐，能夠為網(wǎng)絡空間中各類實體活動提供有效保障。通過建立網(wǎng)絡信任體系，形成覆蓋黨政、軍隊以及互聯(lián)網(wǎng)等不同應用場景的網(wǎng)絡信任服務能力，有效支撐針對各類網(wǎng)絡實體的身份鑒別、授權服務、行為分析等服務能力，從而建立網(wǎng)絡實體間的互信互認機制。

　　隨著網(wǎng)絡實體類型的全網(wǎng)化擴展和信任保障需求的多樣化增強，傳統(tǒng)靜態(tài)保障、服務分割的信任保障模式已不能滿足網(wǎng)絡信任體系發(fā)展要求。同時，隨著網(wǎng)絡信息系統(tǒng)安全服務需求的不同提升，以及網(wǎng)絡安全和網(wǎng)絡信任領域技術體制、架構理念的飛速發(fā)展，傳統(tǒng)網(wǎng)絡信任體系需要借鑒和應用更多先進的理念技術，在繼承發(fā)展、體系兼容的基礎上為網(wǎng)絡信息系統(tǒng)提供更靈活、更高效和更可靠的網(wǎng)絡信任服務能力。

　　近年來，零信任架構作為一種不斷發(fā)展成熟的全新安全架構理念，已經(jīng)被各國網(wǎng)絡安全企業(yè)和政府軍隊高度關注，正在為關鍵信息系統(tǒng)提供穩(wěn)定可靠的身份和訪問安全保障。隨著零信任架構的持續(xù)演進，“以身份為基石、業(yè)務安全訪問、持續(xù)信任評估和動態(tài)訪問控制”的關鍵能力將為傳統(tǒng)網(wǎng)絡信任體系的動態(tài)發(fā)展提供全新思路和有效支撐。

　　1　網(wǎng)絡信任體系

　　網(wǎng)絡信任體系作為網(wǎng)絡信息系統(tǒng)的重要組成部分，主要是在網(wǎng)絡空間建立不同網(wǎng)絡實體間的信任關系，確保將人員、設備、應用、數(shù)據(jù)等所有網(wǎng)絡實體通過信任關系進行連接，采集實體行為日志、維護實體信任關系，最終形成面向不同應用場景的網(wǎng)絡實體信任聯(lián)盟域和可信鏈。

　　網(wǎng)絡信任體系需要重點解決兩個問題。一個是不同網(wǎng)絡實體間可靠信任關系的安全建立。網(wǎng)絡信息交互過程應該具備保密性，信息訪問主體、客體之間能夠基于身份認證過程確保雙方身份合法、權限適度。另一個是要為網(wǎng)絡實體提供行為分析手段，為信息交互提供判責追責機制。因此，網(wǎng)絡信任體系的構建，需要基于傳統(tǒng)密碼技術，從身份認證、授權管理、行為分析等多角度建立網(wǎng)絡實體信任協(xié)同模型，解決網(wǎng)絡空間中實體身份鑒別、授權訪問、責任認定等信任保障問題。

　　圖1　網(wǎng)絡信任體系服務定位

　　如圖1所示，由各類身份認證基礎設施和網(wǎng)絡信任服務系統(tǒng)構建形成網(wǎng)絡信任體系，面向黨政軍、企業(yè)、個人用戶提供信任服務支撐，滿足網(wǎng)絡空間業(yè)務處理、信息交互等過程的安全可信需求。各類身份認證基礎設施是基礎，能夠基于密碼技術、以PKI（Public Key Infrastructure，公鑰基礎設施）認證體制為支撐，為網(wǎng)絡空間人員、設備、應用等實體提供身份管理和憑證支撐。網(wǎng)絡信任服務系統(tǒng)以數(shù)字證書為核心，建立身份管理、身份認證、授權管理、責任認定和可信時間等信任服務能力，構建信任聯(lián)盟，實現(xiàn)各人員、設備及應用全網(wǎng)全程信任服務。

　　信任聯(lián)盟作為網(wǎng)絡信任服務體系信任關系的一種直觀映射，能夠在人員、設備、應用等實體之間以信任評估為基礎，建立網(wǎng)絡信任聯(lián)盟域。假設設備B信任人員A，能夠允許人員A在設備B上進行操作系統(tǒng)登錄；應用C信任設備B，能夠允許設備B訪問應用C；此時，基于線性信任傳遞機制，應用C可以直接信任人員A；人員A、設備B、應用C之間構建形成信任聯(lián)盟。但是在實際網(wǎng)絡信任服務過程中，從“A→B、B→C”并不能簡單地得出“A→C”；這種信任傳遞過程還需要結合信任評估、傳遞環(huán)境等因素，對傳遞可信度進行調(diào)整，最終構建形成動態(tài)信任聯(lián)盟機制。

　　2　零信任架構

　　零信任架構是由Forrester在2010年提出的安全模型，是一種網(wǎng)絡/數(shù)據(jù)安全的實體到實體方法，是一種區(qū)別于傳統(tǒng)安全方案只關注邊界防護，而更關注數(shù)據(jù)保護的架構方法。

　　區(qū)別于傳統(tǒng)邊界安全架構，零信任架構提出了一種新的安全架構模式，對傳統(tǒng)邊界安全架構思路重新進行了評估與審視，默認情況下不信任網(wǎng)絡空間中的任何人員、設備、軟件和數(shù)據(jù)等訪問實體，需要基于持續(xù)性的實體信任評估對認證和授權的信任基礎進行動態(tài)重構。零信任架構模型核心組件如圖2所示。

　　零信任架構模型核心組件由數(shù)據(jù)平面、控制平面和身份保障基礎設施組成，其中控制平面是零信任架構的支撐部分，數(shù)據(jù)平面是交互部分，身份保障基礎設施是保障部分，控制平面實現(xiàn)對數(shù)據(jù)平面的指揮和配置。

　　數(shù)據(jù)平面主要包括信任代理組件。作為各類訪問主體開展業(yè)務安全訪問過程的交互入口，是實現(xiàn)資源動態(tài)訪問控制的關鍵執(zhí)行點。信任代理將資源訪問請求轉發(fā)至控制平面動態(tài)訪問控制引擎進行處理，通過身份認證、權限判定等過程實現(xiàn)訪問主體合法性驗證，驗證通過后放行業(yè)務請求。同時，信任代理支持對資源訪問信息進行按需加密，提升業(yè)務訪問過程的安全性。

　　控制平面主要包括動態(tài)訪問控制引擎和信任評估引擎組件。動態(tài)訪問控制引擎作為零信任架構控制平面的核心判定點，能夠基于身份認證、授權服務、訪問控制等基礎設施實現(xiàn)與信任代理協(xié)同聯(lián)動，確保所有訪問請求強制認證和動態(tài)信任。

　　其中，身份認證過程由傳統(tǒng)單因子、靜態(tài)認證方式，演進為支持身份認證策略動態(tài)調(diào)整的強制認證模式。授權服務過程由傳統(tǒng)基于靜態(tài)規(guī)則的權限判定，演進為基于信任等級、安全策略和評估結果的動態(tài)權限調(diào)整服務。信任評估引擎作為控制平面的中樞神經(jīng)，是信任評估過程的能力實現(xiàn)點，支持與訪問控制引擎動態(tài)聯(lián)動，為各類實體提供基于信任評估結果的權限策略判定支撐。

　　信任評估引擎通過采集網(wǎng)絡空間中各類實體行為日志信息和外部分析平臺結果，綜合運用安全大數(shù)據(jù)分析和智能推理技術，實現(xiàn)實體身份持續(xù)融合構建、行為日志持續(xù)審計分析、信任程度持續(xù)度量評估，支撐動態(tài)訪問控制過程。

　　身份保障基礎設施能夠為各類訪問主體提供身份管理和權限服務功能，有效支撐零信任架構模型以身份為基石的能力構建。其中，身份管理過程從全生命周期角度實現(xiàn)對各類網(wǎng)絡實體的身份管理，權限服務過程能夠實現(xiàn)不同粒度的資源訪問授權服務，服務模式由傳統(tǒng)靜態(tài)、封閉的固定保障模式逐步演進為動態(tài)、靈活的協(xié)同服務模式。

　　3　零信任架構在網(wǎng)絡信任體系中的應用

　　基于零信任架構模型以身份為中心的動態(tài)可信訪問控制體系基礎，網(wǎng)絡信任體系能夠面向身份認證、授權管理、信任評估等多個層面，實現(xiàn)信任服務能力增強和提升。在日常辦公、移動業(yè)務和軍事信息等網(wǎng)絡應用場景下，基于零信任架構的網(wǎng)絡信任體系正在得到逐步應用，為用戶和設備訪問應用、應用和服務接口調(diào)用等各場景提供橫向協(xié)同、縱向聯(lián)動的動態(tài)可信訪問控制保障。

　　3.1　傳統(tǒng)辦公網(wǎng)絡零信任架構應用

　　基于零信任架構的傳統(tǒng)網(wǎng)絡信任體系與零信任架構模型本身相似，針對傳統(tǒng)辦公網(wǎng)絡業(yè)務應用所涉及的各因素，對零信任控制平面進行能力細化和服務擴展，從而滿足不同業(yè)務應用高安全、強認證、多模式、重審計等安全保障需求，如圖3所示。

　　針對控制平面，基于信任基礎設施的保障支撐，形成涵蓋身份認證、授權管理、行為采集、責任認定、信任評估和數(shù)據(jù)存儲等不同網(wǎng)絡信任服務能力，有效保障人員、設備和應用等網(wǎng)絡實體對應用服務、數(shù)據(jù)資源和云平臺服務等業(yè)務資源的可信訪問。

　　其中，身份認證服務為各類網(wǎng)絡實體提供基于密碼技術的強制身份認證能力，確保實體身份合法、來源可信；授權管理服務支持為人員、設備實現(xiàn)業(yè)務資源訪問權限策略的動態(tài)適配，提供基于權限判決的訪問控制協(xié)同；行為采集服務為信任環(huán)境感知和實體行為收集提供手段，是責任認定和信任評估的數(shù)據(jù)基礎；責任認定服務能夠及時發(fā)現(xiàn)和預判網(wǎng)絡實體異常行為，有效實施判責追責操作；信任評估服務基于量化評估體系實現(xiàn)網(wǎng)絡實體信任等級綜合評估，有效支撐動態(tài)認證授權和訪問控制過程。

　　在實際部署應用過程中，針對不同網(wǎng)絡實體、不同應用場景需要選擇具體信任基礎設施作為支撐。不同信任等級要求下，身份認證體制、綜合認證方式，業(yè)務訪問權限、網(wǎng)絡接入策略，分析判責規(guī)則、信任評估體系，都將進行適配性調(diào)整和選擇。

　　3.2　移動辦公網(wǎng)絡零信任架構應用

　　在移動辦公網(wǎng)絡環(huán)境，由移動環(huán)境的移動終端（筆記本電腦、智能終端等）、內(nèi)網(wǎng)環(huán)境的信任訪問控制設施和移動業(yè)務數(shù)據(jù)中心共同組成基于零信任架構的移動網(wǎng)絡信任體系[4][5]。確保合法的人員，使用合法的移動終端，基于可信的行為，針對合法的應用，進行合法的訪問。如圖4所示。

　　移動終端采用基于密碼技術的身份標識機制，實現(xiàn)終端人員用戶身份、移動終端設備身份的多樣化標識，部署終端安全防護組件，實現(xiàn)移動終端業(yè)務安全加固增強。針對終端人員用戶和移動終端設備，提供基于生物特征、數(shù)字證書、PIN碼、動態(tài)短信等多種認證方式的多因子認證支撐，有效保障移動環(huán)境實體行為感知過程，確保合法用戶使用合法移動設備。

　　信任訪問控制設施采用典型零信任架構模型，基于信任訪問代理、實體身份認證系統(tǒng)、移動環(huán)境感知系統(tǒng)、授權管理服務系統(tǒng)、實體管控分析系統(tǒng)等網(wǎng)絡信任組件，提供移動環(huán)境下網(wǎng)絡實體多因子認證、動態(tài)授權訪問、持續(xù)信任評估的信任服務能力，有效保障對移動業(yè)務資源的安全可信訪問。

　　移動業(yè)務數(shù)據(jù)中心基于私有云模式，一方面為各類政企用戶提供高效可靠、安全隱私的業(yè)務資源保護能力，另一方面為各類移動終端用戶提供基于零信任架構動態(tài)訪問控制機制的移動業(yè)務資源可信應用能力。

　　可見，移動辦公網(wǎng)絡零信任架構應用方案在移動終端、信任訪問控制基礎設施、移動業(yè)務數(shù)據(jù)中心之間建立了移動網(wǎng)絡信任體系，能夠有效解決移動終端用戶、移動終端設備和移動業(yè)務應用的信任協(xié)同服務需求。在實際應用過程中，還需要結合不同移動辦公環(huán)境網(wǎng)絡特點，深入分析無線帶寬、處理時延、隨遇接入、個性化業(yè)務應用等實際環(huán)境情況，有效整合各要素信任服務能力，實現(xiàn)移動終端環(huán)境輕量化、信任訪問控制設施高效化和移動業(yè)務數(shù)據(jù)隱私化。

　　3.3　軍事網(wǎng)絡空間零信任架構應用

　　零信任架構在軍事網(wǎng)絡信任體系中的應用以美軍聯(lián)合信息環(huán)境（Joint Information Environment，JIE）為代表。美軍JIE的目標是實現(xiàn)作戰(zhàn)人員能夠在任意時間、在任意地方、使用任意合法設備獲取經(jīng)授權的所需信息，以滿足美軍全球全域作戰(zhàn)任務需求。

　　這與零信任架構下的可信訪問控制愿景高度重合，美國國防部默認按照零信任架構進行設計和推進JIE框架演進，基于零信任架構思想，解決網(wǎng)絡信息獲取過程的身份與訪問安全問題，其中涉及網(wǎng)絡邊界安全、最小權限訪問、角色屬性訪問控制、多因子綜合認證和設備安全管理等關鍵要素。其中，以身份和訪問管理（Identity and Access Management，IdAM）、多因子綜合認證、移動認證保障為代表的零信任架構，是美國國防部安全建設的重中之重。

　　IdAM（Identity and Access Management，身份與訪問管理）是美國國防部的信任基礎設施，是實現(xiàn)JIE目標的核心基礎。IdAM的理想狀態(tài)是實現(xiàn)動態(tài)訪問控制，基于策略的授權服務、身份與憑證管理、權限策略管理、實體資源管理是其主體功能，基于屬性的訪問控制（Attribute-Based Access Control，ABAC）和授權服務是其關鍵核心。

　　可見，在美軍JIE建設過程中，零信任架構已經(jīng)成為基礎支撐，美軍完備的PKI體系和軍事人員、終端設備身份管理機制，也為基于零信任框架構建美軍JIE網(wǎng)絡信任體系（核心為IdAM）提供了可行性，這也決定了其應用模式不能直接擴展至其他應用場景。我軍網(wǎng)絡體系和網(wǎng)絡安全成熟度與美軍JIE還存在一定差距，軍事網(wǎng)絡環(huán)境也與美軍的全球全域聯(lián)合作戰(zhàn)存在區(qū)別。

　　因此，可以在借鑒美軍基于零信任架構的網(wǎng)絡信任體系建設經(jīng)驗基礎上，充分適應我軍網(wǎng)絡信息系統(tǒng)特點和網(wǎng)絡信任服務需求，形成安全可靠、高效可用的網(wǎng)絡信任體系。

　　4　結　語

　　零信任架構是一種全新的網(wǎng)絡安全服務架構，網(wǎng)絡信任體系是網(wǎng)絡信息系統(tǒng)發(fā)展的基石。本文通過分析零信任架構在典型網(wǎng)絡信任體系中的實際應用方案，一方面介紹了零信任架構的應用特點和服務優(yōu)勢，另一方面列舉了零信任架構在實際建設落地過程中還要面臨的問題和挑戰(zhàn)。

　　因此，零信任架構在網(wǎng)絡信任體系中的應用，并不是簡單的體系直接應用，而是需要結合我國黨政、軍隊、互聯(lián)網(wǎng)需求特點，在充分借鑒國內(nèi)外零信任框架應用成果的基礎上進行適應性改造和適配性完善。