- 1、本文档共37页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
网宿安全 ·2023版
零信任安全白皮书
零信任安全白皮书 02
第一章 严峻的网络威胁态势
1.1. 传统边界模型面对挑战
随着云、大数据、移动互联网、5G、IoT等技术的快速发展,日趋开放和复杂的网络边界已经成为互联网安全
的重要挑战。传统的网络边界注重建设多重防护设施,难以应对有组织的、武器化的、以数据及业务为攻击目
标的高级持续攻击,仅仅依靠传统边界防护难以应对从身份、权限、系统漏洞等多维度的攻击向量,现有的传
统基于内网边界防御的框架已无法因应当下全方位网络异构多样化的挑战。整个新冠疫情时期宣告着远程办公
时代的全面到来,无论大型还是小型企业,迅速因应变革工作环境,整个世界都转向线上活动,大量员工远程
办公、外包协作、三方合作伙伴、供应链协同,这一切导致线上的网络和业务、数据交互快速增长,其迁移速
度和规模十分惊人,多样化的人员、设备、分支、地域间的互联与业务数据访问带来更多的网络边界敞口和安
全控制风险。工业OT领域的风险也不可忽视,工业控制系统由于设计之初没有考虑到海量异构设备以及外部
网络的接入,随着物联网开放性日益增加、远程监控和远程操作加快普及,网络攻击者更容易利用系统性漏洞
和运营薄弱环节发动入侵攻击,一旦成功即可造成多达数十亿台设备的集体沦陷,导致生产业务中断、数据被
加密和窃取。从云化到Shadow IT(影子IT设施) 到ICS(工业控制系统),均在工业4.0时代快速就位并准备
好迅速扩张,这种转变背后潜在着巨大的网络风险,因为随之而来的就是网络暴露面大大增加。
概括而言,传统网络安全类似物理安全的做法,通过堆叠安全设备构筑组织内网边界,数据和业务均放置在企
业内部IDC,假设坏人在外部、内部只有好人,护城河式防御针对的是入向威胁。随着移动业务快速扩展,物
联网、车联网、智慧城市的持续发展,资产防护的安全边界越来越不清晰,传统的边界防护架构越来越显得力
不从心,传统的边界安全主要存在的问题如下:
1 、旧有VPN访问模式,不可避免漏洞频发,由于其服务暴露在互联网,采取偏静态化的控制机制,黑客易于
渗透,通过劫持边界内的设备并横向移动攻击企业应用、关键基础设施和敏感数据;
2、随着使用自带设备(BYOD)越来越普遍,设备不受企业管控,成为企业安全建设中效率成本与强安全管
控的矛盾点,不安全的设备在内网接入和接入内部敏感业务系统,引入不可控风险;
3、远程办公兴起和普及,2020年开始的疫情大大推动了这一进程,用户接入位置不限于企业内网,企业迫切
需要随时随地快捷流畅、安全可靠的远程访问模式;
4、随着数字化转型发展,外包人员、合作伙伴、供应链上下游均需要接入不同类型的业务应用,连接人员身
份、设备多样化,而配套的安全控制机制十分薄弱;
5、企业的业务资源除了部署在传统数据中心,也在不断向外部云资源扩展,包括PaaS、IaaS和SaaS的广
泛应用。传统边界安全网络设备无法很好地保护企业的云上应用资源,对于云迁移的企业,需要统一保护处于
企业内部、公有云上的私有应用和SaaS应用。
传统上,大多数网络和安全架构都是由企业主导设计的,数据中心作为访问需求的目标焦点,支持相对静态的
用户。但数字化转型推动了对新数字功能场景的多样化需求,现在有更多的用户、设备、应用、服务需要连接
交互,并且数据同时分布在企业内部外部。原来的基于一系列企业IDC边界外围安全设备的网络安全设计,已
经不再满足现代数字业务的动态、泛化地域和其混合办公、协作模式的诉求。旧边界必须转变为一组以用户
零信任安全白皮书 03
和应用为中心的融合功能,并在企业需要的时间和地点进行实施支持,即动态创建的基于策略的边界控制。
1.2. 数据安全与隐私合规
近年来,中国网络安全立法进程加快,合规监管深入行业内部。网络安全不再局限于个人和企业的自身防护,
开始成为涉及各行业产业链乃至国家安全的重要问题。
2022年,中国颁布多部与网络安全相关的政策法规,进一步推进国家网络、数据安全体系和能力建设,强化
网络安全、数据安全和个人信息保护,从多个维度完善了安全合规要求与标准,筑牢国家数字安全屏障,为网
络安全技术与产业发展提供指引。随着《网络安全法》、《数据安全法》、《个人信息保护法》等一系列基础
性法律法规落地,中国已建立起一套基本的网络安全法律合规框架。
据全国信息安全标准化技术委员会发布
文档评论(0)