浅析金融数字化时代下的网络安全

（文章来源：C114通信网）

从机构发展历程来看，传统安全理念是构建一个边界，专注于边界防护，边界之内是安全的。传统企业网安全体系是通过网络位置划分安全信任区域，原则是外部不受信任，区域内部属于信任特权网络，这也意味着，一旦攻击者渗透到信任区域里面，就可以一路畅通无阻。另外，企业内网部署大量安全设备，设备间缺乏信息共享和安全联动，不仅造成运维困难，还会导致设备大量堆叠，安全处于割裂状态。

在传统的安全理念之下，业务架构简单的情况下，安全比较容易得到保证；但随着业务不断发展，企业需要建设越来越多的办事处或子公司，原来的边界也不再纯粹，变得模糊甚至趋于破碎，同时，金融科技促进了业务的创新与发展，如移动办公、移动应用、数据中心云化等，新的技术应用也在不断带来新的安全问题。

这种情况下，传统的安全体系、架构难以适应企业的快速发展。而零信任架构通过全面身份化、多源信任评估、动态访问控制解决了安全边界模糊和边界破碎的问题。

零信任网络安全架构主要由三大理念组成：首先是信任最小化，所有用户、设备和网络流量都应该被认证、授权和加密；其次是网络无特权化，不管是内网还是外网，始终都是充满威胁的，不应该根据网络位置决定信任程度；第三是权限动态化，访问控制策略是动态的，基于尽量多的数据源进行计算和评估。

“安全的本质是信任，不是一个方案、一个产品能够解决的，深信服精益信任的理念认为，通过在零信任基础上，深信服精益信任安全解决方案可和各种安全设备进行融合和联动，从而形成统一、互补的安全体系，为用户业务带来安全保障。”深信服精益信任安全解决方案，强调“精确而足够”的信任，以风险和信任为中心，重构网络安全架构。

区别于零信任“从不相信，总是验证”的宗旨，精益信任从业务开展角度建立信任机制。从零信任到精益信任，无边界网络的基础是身份化。在全面身份化方面，基于身份化实现免认证、再连接，通过内置安全接入网关，强制所有访问都必须经过认证、授权和加密。

在多源信任评估方面，通过用户身份信息、终端环境、用户行为来实现信任等级评估，授予或阻断对应访问权限；在访问权限方面，基于主体、环境、身份三个部分评估出可信任等级，再结合资源应用分级机密等级，实现动态访问控制；在统一安全层面，与各个安全产品进行联动，保持开放、灵活的架构，促使安全从割裂走向融合。