0　引　言

　　網絡信任是網絡信息安全的重要內容和核心支撐，能夠為網絡空間中各類實體活動提供有效保障。通過建立網絡信任體系，形成覆蓋黨政、軍隊以及互聯網等不同應用場景的網絡信任服務能力，有效支撐針對各類網絡實體的身份鑒別、授權服務、行為分析等服務能力，從而建立網絡實體間的互信互認機制。

　　隨著網絡實體類型的全網化擴展和信任保障需求的多樣化增強，傳統靜態保障、服務分割的信任保障模式已不能滿足網絡信任體系發展要求。同時，隨著網絡信息系統安全服務需求的不同提升，以及網絡安全和網絡信任領域技術體制、架構理念的飛速發展，傳統網絡信任體系需要借鑒和應用更多先進的理念技術，在繼承發展、體系兼容的基礎上為網絡信息系統提供更靈活、更高效和更可靠的網絡信任服務能力。

　　近年來，零信任架構作為一種不斷發展成熟的全新安全架構理念，已經被各國網絡安全企業和政府軍隊高度關注，正在為關鍵信息系統提供穩定可靠的身份和訪問安全保障。隨著零信任架構的持續演進，“以身份為基石、業務安全訪問、持續信任評估和動態訪問控制”的關鍵能力將為傳統網絡信任體系的動態發展提供全新思路和有效支撐。

　　1　網絡信任體系

　　網絡信任體系作為網絡信息系統的重要組成部分，主要是在網絡空間建立不同網絡實體間的信任關系，確保將人員、設備、應用、數據等所有網絡實體通過信任關系進行連接，采集實體行為日志、維護實體信任關系，最終形成面向不同應用場景的網絡實體信任聯盟域和可信鏈。

　　網絡信任體系需要重點解決兩個問題。一個是不同網絡實體間可靠信任關系的安全建立。網絡信息交互過程應該具備保密性，信息訪問主體、客體之間能夠基于身份認證過程確保雙方身份合法、權限適度。另一個是要為網絡實體提供行為分析手段，為信息交互提供判責追責機制。因此，網絡信任體系的構建，需要基于傳統密碼技術，從身份認證、授權管理、行為分析等多角度建立網絡實體信任協同模型，解決網絡空間中實體身份鑒別、授權訪問、責任認定等信任保障問題。

　　圖1　網絡信任體系服務定位

　　如圖1所示，由各類身份認證基礎設施和網絡信任服務系統構建形成網絡信任體系，面向黨政軍、企業、個人用戶提供信任服務支撐，滿足網絡空間業務處理、信息交互等過程的安全可信需求。各類身份認證基礎設施是基礎，能夠基于密碼技術、以PKI（Public Key Infrastructure，公鑰基礎設施）認證體制為支撐，為網絡空間人員、設備、應用等實體提供身份管理和憑證支撐。網絡信任服務系統以數字證書為核心，建立身份管理、身份認證、授權管理、責任認定和可信時間等信任服務能力，構建信任聯盟，實現各人員、設備及應用全網全程信任服務。

　　信任聯盟作為網絡信任服務體系信任關系的一種直觀映射，能夠在人員、設備、應用等實體之間以信任評估為基礎，建立網絡信任聯盟域。假設設備B信任人員A，能夠允許人員A在設備B上進行操作系統登錄；應用C信任設備B，能夠允許設備B訪問應用C；此時，基于線性信任傳遞機制，應用C可以直接信任人員A；人員A、設備B、應用C之間構建形成信任聯盟。但是在實際網絡信任服務過程中，從“A→B、B→C”并不能簡單地得出“A→C”；這種信任傳遞過程還需要結合信任評估、傳遞環境等因素，對傳遞可信度進行調整，最終構建形成動態信任聯盟機制。

　　2　零信任架構

　　零信任架構是由Forrester在2010年提出的安全模型，是一種網絡/數據安全的實體到實體方法，是一種區別于傳統安全方案只關注邊界防護，而更關注數據保護的架構方法。

　　區別于傳統邊界安全架構，零信任架構提出了一種新的安全架構模式，對傳統邊界安全架構思路重新進行了評估與審視，默認情況下不信任網絡空間中的任何人員、設備、軟件和數據等訪問實體，需要基于持續性的實體信任評估對認證和授權的信任基礎進行動態重構。零信任架構模型核心組件如圖2所示。

　　零信任架構模型核心組件由數據平面、控制平面和身份保障基礎設施組成，其中控制平面是零信任架構的支撐部分，數據平面是交互部分，身份保障基礎設施是保障部分，控制平面實現對數據平面的指揮和配置。

　　數據平面主要包括信任代理組件。作為各類訪問主體開展業務安全訪問過程的交互入口，是實現資源動態訪問控制的關鍵執行點。信任代理將資源訪問請求轉發至控制平面動態訪問控制引擎進行處理，通過身份認證、權限判定等過程實現訪問主體合法性驗證，驗證通過后放行業務請求。同時，信任代理支持對資源訪問信息進行按需加密，提升業務訪問過程的安全性。

　　控制平面主要包括動態訪問控制引擎和信任評估引擎組件。動態訪問控制引擎作為零信任架構控制平面的核心判定點，能夠基于身份認證、授權服務、訪問控制等基礎設施實現與信任代理協同聯動，確保所有訪問請求強制認證和動態信任。

　　其中，身份認證過程由傳統單因子、靜態認證方式，演進為支持身份認證策略動態調整的強制認證模式。授權服務過程由傳統基于靜態規則的權限判定，演進為基于信任等級、安全策略和評估結果的動態權限調整服務。信任評估引擎作為控制平面的中樞神經，是信任評估過程的能力實現點，支持與訪問控制引擎動態聯動，為各類實體提供基于信任評估結果的權限策略判定支撐。

　　信任評估引擎通過采集網絡空間中各類實體行為日志信息和外部分析平臺結果，綜合運用安全大數據分析和智能推理技術，實現實體身份持續融合構建、行為日志持續審計分析、信任程度持續度量評估，支撐動態訪問控制過程。

　　身份保障基礎設施能夠為各類訪問主體提供身份管理和權限服務功能，有效支撐零信任架構模型以身份為基石的能力構建。其中，身份管理過程從全生命周期角度實現對各類網絡實體的身份管理，權限服務過程能夠實現不同粒度的資源訪問授權服務，服務模式由傳統靜態、封閉的固定保障模式逐步演進為動態、靈活的協同服務模式。

　　3　零信任架構在網絡信任體系中的應用

　　基于零信任架構模型以身份為中心的動態可信訪問控制體系基礎，網絡信任體系能夠面向身份認證、授權管理、信任評估等多個層面，實現信任服務能力增強和提升。在日常辦公、移動業務和軍事信息等網絡應用場景下，基于零信任架構的網絡信任體系正在得到逐步應用，為用戶和設備訪問應用、應用和服務接口調用等各場景提供橫向協同、縱向聯動的動態可信訪問控制保障。

　　3.1　傳統辦公網絡零信任架構應用

　　基于零信任架構的傳統網絡信任體系與零信任架構模型本身相似，針對傳統辦公網絡業務應用所涉及的各因素，對零信任控制平面進行能力細化和服務擴展，從而滿足不同業務應用高安全、強認證、多模式、重審計等安全保障需求，如圖3所示。

　　針對控制平面，基于信任基礎設施的保障支撐，形成涵蓋身份認證、授權管理、行為采集、責任認定、信任評估和數據存儲等不同網絡信任服務能力，有效保障人員、設備和應用等網絡實體對應用服務、數據資源和云平臺服務等業務資源的可信訪問。

　　其中，身份認證服務為各類網絡實體提供基于密碼技術的強制身份認證能力，確保實體身份合法、來源可信；授權管理服務支持為人員、設備實現業務資源訪問權限策略的動態適配，提供基于權限判決的訪問控制協同；行為采集服務為信任環境感知和實體行為收集提供手段，是責任認定和信任評估的數據基礎；責任認定服務能夠及時發現和預判網絡實體異常行為，有效實施判責追責操作；信任評估服務基于量化評估體系實現網絡實體信任等級綜合評估，有效支撐動態認證授權和訪問控制過程。

　　在實際部署應用過程中，針對不同網絡實體、不同應用場景需要選擇具體信任基礎設施作為支撐。不同信任等級要求下，身份認證體制、綜合認證方式，業務訪問權限、網絡接入策略，分析判責規則、信任評估體系，都將進行適配性調整和選擇。

　　3.2　移動辦公網絡零信任架構應用

　　在移動辦公網絡環境，由移動環境的移動終端（筆記本電腦、智能終端等）、內網環境的信任訪問控制設施和移動業務數據中心共同組成基于零信任架構的移動網絡信任體系[4][5]。確保合法的人員，使用合法的移動終端，基于可信的行為，針對合法的應用，進行合法的訪問。如圖4所示。

　　移動終端采用基于密碼技術的身份標識機制，實現終端人員用戶身份、移動終端設備身份的多樣化標識，部署終端安全防護組件，實現移動終端業務安全加固增強。針對終端人員用戶和移動終端設備，提供基于生物特征、數字證書、PIN碼、動態短信等多種認證方式的多因子認證支撐，有效保障移動環境實體行為感知過程，確保合法用戶使用合法移動設備。

　　信任訪問控制設施采用典型零信任架構模型，基于信任訪問代理、實體身份認證系統、移動環境感知系統、授權管理服務系統、實體管控分析系統等網絡信任組件，提供移動環境下網絡實體多因子認證、動態授權訪問、持續信任評估的信任服務能力，有效保障對移動業務資源的安全可信訪問。

　　移動業務數據中心基于私有云模式，一方面為各類政企用戶提供高效可靠、安全隱私的業務資源保護能力，另一方面為各類移動終端用戶提供基于零信任架構動態訪問控制機制的移動業務資源可信應用能力。

　　可見，移動辦公網絡零信任架構應用方案在移動終端、信任訪問控制基礎設施、移動業務數據中心之間建立了移動網絡信任體系，能夠有效解決移動終端用戶、移動終端設備和移動業務應用的信任協同服務需求。在實際應用過程中，還需要結合不同移動辦公環境網絡特點，深入分析無線帶寬、處理時延、隨遇接入、個性化業務應用等實際環境情況，有效整合各要素信任服務能力，實現移動終端環境輕量化、信任訪問控制設施高效化和移動業務數據隱私化。

　　3.3　軍事網絡空間零信任架構應用

　　零信任架構在軍事網絡信任體系中的應用以美軍聯合信息環境（Joint Information Environment，JIE）為代表。美軍JIE的目標是實現作戰人員能夠在任意時間、在任意地方、使用任意合法設備獲取經授權的所需信息，以滿足美軍全球全域作戰任務需求。

　　這與零信任架構下的可信訪問控制愿景高度重合，美國國防部默認按照零信任架構進行設計和推進JIE框架演進，基于零信任架構思想，解決網絡信息獲取過程的身份與訪問安全問題，其中涉及網絡邊界安全、最小權限訪問、角色屬性訪問控制、多因子綜合認證和設備安全管理等關鍵要素。其中，以身份和訪問管理（Identity and Access Management，IdAM）、多因子綜合認證、移動認證保障為代表的零信任架構，是美國國防部安全建設的重中之重。

　　IdAM（Identity and Access Management，身份與訪問管理）是美國國防部的信任基礎設施，是實現JIE目標的核心基礎。IdAM的理想狀態是實現動態訪問控制，基于策略的授權服務、身份與憑證管理、權限策略管理、實體資源管理是其主體功能，基于屬性的訪問控制（Attribute-Based Access Control，ABAC）和授權服務是其關鍵核心。

　　可見，在美軍JIE建設過程中，零信任架構已經成為基礎支撐，美軍完備的PKI體系和軍事人員、終端設備身份管理機制，也為基于零信任框架構建美軍JIE網絡信任體系（核心為IdAM）提供了可行性，這也決定了其應用模式不能直接擴展至其他應用場景。我軍網絡體系和網絡安全成熟度與美軍JIE還存在一定差距，軍事網絡環境也與美軍的全球全域聯合作戰存在區別。

　　因此，可以在借鑒美軍基于零信任架構的網絡信任體系建設經驗基礎上，充分適應我軍網絡信息系統特點和網絡信任服務需求，形成安全可靠、高效可用的網絡信任體系。

　　4　結　語

　　零信任架構是一種全新的網絡安全服務架構，網絡信任體系是網絡信息系統發展的基石。本文通過分析零信任架構在典型網絡信任體系中的實際應用方案，一方面介紹了零信任架構的應用特點和服務優勢，另一方面列舉了零信任架構在實際建設落地過程中還要面臨的問題和挑戰。

　　因此，零信任架構在網絡信任體系中的應用，并不是簡單的體系直接應用，而是需要結合我國黨政、軍隊、互聯網需求特點，在充分借鑒國內外零信任框架應用成果的基礎上進行適應性改造和適配性完善。