信息安全最新文章

閑話零信任--肯定不是網(wǎng)絡安全的“萬能藥”也不見得是“金鑰匙”

近日,美國管理和預算辦公室(OMB)和網(wǎng)絡安全和基礎設施安全局(CISA)發(fā)布了關于零信任戰(zhàn)略新的指導意見。美國聯(lián)邦政府正在大力推動各機構采用零信任的網(wǎng)絡安全架構,政府機構擬在2024財年結束前部署新型網(wǎng)絡安全架構。這一路線圖的發(fā)布,再次讓零信任方法成為安全社區(qū)關注的熱點。零信任采取了一種“始終驗證,從不信任”的網(wǎng)絡安全方法,意味著每一個用戶和設備都會被驗證,無論他們之前是否被授予訪問權限。零信任本質(zhì)上是一種安全理念,一種策略,它用徹底的身份驗證和授權策略取代了對用戶和設備的過度隱式信任。其本身不是一項技術。零信任的概念源自于Stephen Paul Marsh于1994年4月在斯特林大學發(fā)布的計算安全博士論文。Marsh對信任的深入研究認為,信任是一種有限的東西,可以用數(shù)學結構來描述,而不是簡單的對抗或純粹的人類現(xiàn)象。他還斷言,信任的概念超越了道德、倫理、合法性、正義和判斷等人為因素,在保護計算系統(tǒng)、應用程序和網(wǎng)絡安全方面,零信任(zero trust)勝過(surpass)不信任(distrust)。

發(fā)表于:2021/9/16