新京报贝壳财经讯(记者 罗亦丹)2021年5月14日,中国社会科学院牵头,芯盾时代与数字经济前沿团队等联合撰写的《数字经济蓝皮书:中国数字经济前沿(2021)》(下称《蓝皮书》)正式发布。新京报贝壳财经记者发现,最近在网络安全圈大火的“零信任”概念成为重要内容。


据了解,“零信任”概念由研究机构Forrester首席分析师约翰·金德维格于2010年提出,其核心思想是:永不信任,始终验证。即默认情况下不信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。


参与撰写《蓝皮书》中数字经济风险与控制部分内容的芯盾时代CEO郭晓鹏表示,安全风险较大的场景都与数字世界中的“人”相关。


新京报贝壳财经记者在此前的调查中就曾发现,一些身份查验黑灰产人员的“信息”来源为相关机构内部人士,许多信息泄露往往都来自于“内鬼”。由公安部第三研究所网络安全法律研究中心等机构近日联合发布的《2019年网络犯罪防范治理研究报告》中也提到,职业化的网络黑产呈产业链组织严密、反侦察意识强烈、跨平台实施犯罪、内外部相互勾结等趋势。


在郭晓鹏看来,安全体系架构从“网络中心化”向”身份中心化”成为必然,本质诉求是围绕数字世界中的“人”为中心进行访问控制,在不可信的网络环境中,基于认证和授权的访问控制管理重构可信的、安全的网络框架,满足当下网络的安全需求,解决因网络环境开放、用户角色复杂引发的各种身份安全风险、设备安全风险和行为安全风险。?


《蓝皮书》认为,传统基于网络边界的防护模型在新网络态势中不再适用。不断变革的IT技术架构驱动安全架构随之而变,企业亟须新的网络安全模型为数字业务提供有效的防护,与黑灰产持续对抗,零信任安全是安全思维和安全架构进化的必然结果。对于数字经济面临严峻的业务风险,安全防护应从纵深防御向零信任安全转变。


新京报贝壳财经记者查阅该书内容发现,零信任业务安全理念的核心内容包括:不再以边界作为信任条件,对企业内外部所有访问重新进行信任评估和动态访问控制;针对所有访问企业资源的请求,进行认证、授权和加密;认证包括对用户和使用设备的全面验证;对每次访问请求进行实时的风险评估,评估因素不限于:终端环境、用户操作行为、账号信息、网络风险、外部威胁等。


“以前网络安全方案是基于物理边界防御安全模型,将网络分为内网和外网,攻击VPN等设备。而随着移动互联网、云计算应用的逐渐下沉,企业的网络边界逐渐消失,新型攻击方式主要针对‘人’的身份、设备、行为进行攻击。”郭晓鹏表示,“零信任安全的理念,以保护企业资源安全为目标,通过保护数字世界中‘人’的安全,实现保护企业核心信息资产和金融资产的安全目标,解决当今企业IT环境下的业务风险问题。”


新京报贝壳财经记者 罗亦丹 编辑 李薇佳 校对 赵琳