數字化時代，企業如何基於全要素資產重構網路安全信任體系？

12月26日，TGO鯤鵬會北京年度家宴舉辦，來自多家企業CEO、CTO、技術負責人等管理者共聚一堂，共同探討全球前沿技術的想象和未來。騰訊安全諮詢中心負責人陳顥明發表了《如何重構網路安全信任體系》的主題演講，並從網路信任體系遇到的挑戰、信任體系重構的思路，以及信任體系建立等關鍵維度，對當前數字化浪潮下的企業所面臨的安全信任建設問題給出了自己的解讀和建議。

隨著當前高新技術的快速落地，數字化已成企業發展核心驅動力的同時，但也使基於邊界的傳統網路安全架構無法滿足企業數字化升級之需，企業迫切需要一個支援無邊界及雲上資源安全訪問的解決方案。

針對如何建立IT身份與自然人的信任關係，陳顥明提出了重構信任建設體系的新思路。在他看來，身份和信任體系一直都是企業安全建設的短板，信任體系重構需重點圍繞識別保護物件、梳理依賴關係、人與資產和賬號繫結關係、統一賬號生命週期管理、強身份認證、無邊界訪問控制、行為監控和審計、動態授權、資產間訪問管控等九個重要層面展開，才能不斷強化多因素認證、無邊界訪問控制、行為監控、動態授權、數字實體的訪問關係。

其中，防護物件識別是信任體系建設的前提，需要對所有數字實體資產（需要細化到資料，服務和介面）進行識別，註冊並標識唯一身份ID，連同自然人的網路身份ID，建立人與資產和賬號的繫結關係，以此實現人、數字實體和賬號的“全要素”信任管理體系。

在整個信任體系的建設過程中，可以保證人和證形成強關聯，儘可能做到雙因素認證，基於依賴關係，進行訪問授權，保證數字實體資產的操作全記錄和全監控，從而實現“全要素”安全管控。

最後，陳顥明還結合了騰訊構建的信任體系架構和能力圖譜，提出包括資產全要素和依賴關係梳理、信任能力梳理、能力差距分析、信任場景梳理、規劃場景建設路徑、完成信任體系構建等關鍵維度的重構路徑。企業只有瞭解信任建設的能力目標，根據能力檢視、業務優先順序規劃建設場景路徑，才能分場景、分階段完成信任整體能力體系的建設。

以下為陳顥明演講實錄：

很高興有這次機會溝通，我本人20年來一直做資訊保安，我們做資訊保安這麼多年，一直在思考一個問題，信任問題，當然這是我們資訊保安的一個核心的問題。我們說大家在座的都是技術大佬，網路上TCP/IP協議是不夠信任、不夠可靠的一個協議，所以導致我們有各種各樣的安全問題，包括剛才主持人說的DDoS攻擊就是用了TCP/IP三次握手這種不夠嚴謹的一個問題導致很多問題，很多資訊保安問題跟信任都有非常大的關係，因為信任體系建立的不夠強壯，導致很多安全問題的出現。

所以，我們選擇了信任這個話題，主要現在大家都在提零信任或者各種信任體系，尤其今年在疫情期間，大家可能都得在家庭辦公、遠端辦公，導致開始從家裡或者在外圍連公司企業網。怎麼保證信任問題，這個話題今年提的頻次特別高，所以我們今天談談信任，就是資訊保安的信任問題。

先來盤點一下那些年我們構建的信任體系。最早我們接觸的信任體系是，PKI和CA體系，當時各種加解密、公私鑰、認證中心、授權中心，是網路安全最為重要的解決方案。當時我記得很多銀行開始上這些PKI體系，導致系統異常的複雜，因為每筆業務都需要註冊證書、發證、授權，加解密等一系列操作。

另外，邊界隔離。隨著網路日趨複雜化，大家開始考慮網路區域劃分和隔離，每個網路區域是有信任關係的，低安全級別的區域不能向高安全區域級別的訪問，把安全域劃分好，網路隔離措施做好，就是相對比較安全架構，這是另外一種信任的模式。

大家對信任的探索一直沒有停，後來大家開始考慮一個簡單的方法，從人下手，管好人的認證，其實就像我們現實中，人去到什麼地方，只要有一個員工卡或者身份證，就能進去，身份管理體系在各個企業開始逐步推行。也就是說企業要建一個基於使用者身份的全生命週期的管理，從他入職到我進入到這個部門，到產生線上的業務，包括我內部的辦公應用，透過IAM體系統一管起來。後來發現運維人員和高許可權的人越來越多，開始考慮把這些人透過CA、堡壘主機管理起來，像銀行的資料管理員掌握資料太多了，許可權太大，用特權賬號管理體系來管理。

然而，隨著IT高新技術最近兩年爆發式的變革，雲端計算、大資料、微服務架構、應用的輕量化包括5G包括移動網際網路的產生，發現以前邊界的防護體系基本被打破了，大家都在倡導互聯互通，原來還相對牢固的信任和隔離措施，突然顯得問題多多，甚至是不太適用，使用者和應用的關係越來越複雜，許可權管理失控，包括之前所倡導的PKI體系，其實在IT變革過程當中遇到很多阻力和問題。

舉個實戰攻防演練例項，之前我們提到相關的安全體系該企業都已經建立了，但紅方的攻擊隊很輕易的可以突破我們邊界的防護措施，比方說企業VPN，只要你沒有做雙因素認證，利用社工庫、各種帳號的破解辦法它會很快速的入侵到內網，進入到內網更可怕的是橫向移動，因為我們說我們在企業內防守的話南北向防的很嚴，但東西向，尤其很多企業現在上雲了，雲的虛擬機器之間的訪問控制基本上很容易被突破，再加上內部還有一些賬號集權管理系統，如AD域、堡壘主機，網管伺服器，一旦被突破，整個內部的應用和系統基本全部突破，這就是目前企業在信任體系的現狀。

為什麼呢？最關鍵的核心是身份管理體系建立的還不夠強壯，很多企業更多的是圍繞著基礎架構安全，邊界防護，安全域劃分隔離措施，縱深防禦。但在紅藍對抗或者高階別的攻擊對抗場景下很容易突破的，這裡面提到一個問題就是企業如何把信任體系做的足夠健壯，駭客攻擊到內部系統大多的是利用了企業現有比較薄弱的身份和賬號管理體系，欺騙了你的認證體系，進到內網進而發動攻擊。

直到今年，大家開始提零信任、SDP、微隔離，這是最近聽的最多的三個詞，零信任體系提出來核心還是希望從對任何使用者，任何裝置是不信任的，怎麼建立信任關係，持續認證持續鑑權，這是谷歌最開始提出來的思路，因為他之前遭受了惡意攻擊事件，所有的網路安全措施全部失效，之後他們一狠心，把以前傳統的安全建設模式和體系全部改掉，按照全新的信任體系架構再重新搭建。

零信任今年雖然很火但大家都不太懂，到底他包含哪些具體內容，怎麼搭建？有哪些要素構成？以及信任體系核心是什麼？為了究其根源，我也查了一些對於“信任”的定義，給了我很多啟發，也給大家分享一下。信任這個詞在社會學它的解釋是信任是相信對方是誠實、可信賴、正直的。另外，信任是涉及交易或交換關係的基礎。信任被認為是一種依賴關係。

信任是需要建立關係的，如果沒有具體的關係很難信任，這也就是我們為什麼會收到詐騙電話詐騙簡訊，一般像年輕人可能置之不理，但老年人不一定。其實核心就是沒有建立信任關係的聯絡，其實都可以斷掉。通常我們在資訊保安管理過程中，似乎沒有真正考慮過這點，就是信任是一種依賴關係，是有關聯，有業務關係或者有依存關係，這是信任的前提。底下還有比較重要的一些概念，交換過程中間信任者要值得信任的證據，這個證據一定要證明你是這個自然人或者你是可信的裝置，這一點也是關鍵。

而英文對Trust的定義是，相信這個人是好的，誠實的，還有一個關鍵的點，這個事兒是安全靠譜的。也就是說，信任，不光要考慮對人的信任，還得考慮對的資產和行為的信任。我們所有的實體，我們說現在有一個詞叫數字實體，其實這個詞很關鍵，也就是說因為我們之前理解的IT資產很簡單，伺服器、終端包括我們的應用，可能就到這個粒度了。實際上，隨著雲端計算的發展，包括微服務的發展，你會發現每一個應用、服務、應用的介面，這應該都屬於數字實體，我們做身份管理需要把這些所有的數字實體都得考慮進去。

同樣我們說所有的數字實體，騰訊提了一個概念叫做“全要素”。我們要重構信任體系，需要考慮全要素身份體系的定義，其中包括身份體系的關聯關係，也就是全要素之間的關聯關係，以及全要素的安全控制體系。

當然，我們加一個IT層面要考慮的問題，就是把IT或者說數字實體的資源和自然人要關聯起來，而且是緊密關聯起來，以上這些都應該是我們考慮信任體系重構的關鍵要素。

我們把剛才字面意思的解讀得到的一些啟發再放到整個網路環境裡面，第一個要素自然人，人一定是我們安全管控的核心，人要依靠終端、用身份ID、透過帳號、獲取認證拿到授權，去操作相應的資產，記錄下日誌和監控。在整個人到資產之間的訪問鏈條來看，駭客會從哪邊兒入手呢？就是帳號，他從帳號入手會把你前面的鏈條全部切斷，我直接用你的帳號獲取認證，進行操作，你溯源的話只是溯源到帳號，實際上你很難抓到他相關的其他內容，你就會發現如果在整個帳號體系和前端沒有打通的環境下，我們的溯源工作基本就失敗了，這個就是我們目前很多站點被駭客攻擊，實際上很難溯源，抓不到源頭，因為和自然人、相關IT身份沒有真正強繫結，這裡面有些問題出在，比如有些企業多人共用帳號，一個人多個ID，帳號和自然人沒有真正實體繫結，帳號體系沒有是統一的管理體系，這些都是造成這些方面的一些原因。

認證，在整個這個過程中還是重中之重，人和證一定要強關聯，現在有很多人臉核身、人證核身技術，我們推薦企業客戶一定要做賬號的雙因素認證，核心就是要人和帳號體系一定要強繫結，或者死繫結，這個才能確保你的安全性。

另外一個比較嚴重的問題是，攻擊者只要拿到內網的許可權，橫向移動幾乎是暢通無阻的。這裡的問題通常是，授權粒度不夠，沒有達到資源級授權，缺乏流量和行為審計，缺乏違規操作識別和管控，資產間訪問控制粒度不夠。數字實體全要素資產的操作需要有全記錄和全監控，騰訊在這點做的比較好，所有應用的操作日誌以及網路流量全部記錄下來，為後面溯源包括做安全事件分析做好充足的準備。

總體來講，建立一個完整的信任體系，身份帳號的管理，包括我們的自然人和帳號的，人臉核身和認證，包括後續對於你對實體的操作包括許可權控制需要做完整和嚴格的管控體系。

後面就是把前面所思考的點做一個彙總，做好一個信任體系，我總結了9點：

第一是識別保護物件。保護物件就是剛才提到的所有數字實體全要素的資產要識別清楚，到底在體系內有多少是數字資產，是關鍵的數字實體，這塊要真正的識別清楚。以前只管人或者只管伺服器裝置、終端、資料庫。但在雲時代下，這個管理顆粒度還需要細化到資料，服務甚至是應用介面。

第二是梳理依賴關係。這是之前提到的關鍵點，當這兩個連線在業務上沒有充分依賴關係的話，就不要讓它連起來，但在實際場景下，連線和訪問關係異常複雜，安全管理者根本不知道誰和誰有關係，他們自由的連線，真正是“互聯互通”，但我覺得作為資訊保安管理者或者說資訊管理者，如果二者之間沒有依賴關係，就可以考慮不要連線。

第三是人、資產和帳號的強繫結。某些網際網路企業在這方面做得非常好，作為自然人的員工進入到企業有企業微信，企業微信有Open ID這個唯一標識的ID，再和其他應用帳號再關聯，和企業HR的資訊直接關聯，所以它會透過Open ID把所有帳號包括個人資訊全部關聯起來，最後不管是做了任何事情，都可以透過Open ID去檢索和查詢，永遠能溯到源頭。

第四是帳號的全生命週期管理。因為很多企業現在帳號體系比較分散，有可能一個企業是多個IAM系統，還沒有做後臺資料的打通，各自為政，這裡面就存在一個人可能多個帳號，而且一個人在多個不同的IAM平臺裡面，這裡面管理會有很大的問題。

這裡我們強調是新一代的IAM，因為IAM是比較老的體系，但它要適應現在新的IT基礎設施，目前我們也發現很多企業在升級IAM，主要關鍵點是哪些點？一個是它得支撐所有數字實體，以前身份管理體系不會考慮微服務或者API介面，這些可能不在他的考慮範圍之內，所以現在要支援這些，還有多方的認證協議，我們認證協議已經變的五花八門，而且各種生物識別技術，協議支援要跟得上。還有就是常提到的原生安全，以及還有現在我把身份管理變成一個雲服務，需要相容這些特徵。以前我們身份管理更多的是依賴於AD、LDAP做身份資料的管理，其實現在大家都在用開源資料庫做整個身份資料統一的管理。所以這都是現代IAM典型的特徵，大家可以思考下在現有IAM體系裡面怎麼做一些升級和提升。

第五是強身份的認證，這就是常說的雙因素或多因素認證，其核心目的就是把自然人和帳號建立強繫結關係。

第六是無邊界的訪問控制，現在的網路環境已經打破了原有網際網路的邊界，區域防護，原來特別嚴格的安全域劃分，都是對於自由訪問的，所以無邊界的訪問控制也是現在企業必須考慮的一個新的方向。包括應用隱藏，單包授權和動態埠以及雙向加密通訊，透過無邊界訪問控制，實現外網應用隱藏，當攻擊者找不到應用就很難對它造成攻擊，防守效果明顯。

第七是嚴格的行為監控和審計。大家現在已經開始做行為建模，群體和單體的建模，之間做一些比較，做類似於UEBA的技術研究，尤其是建立不同許可權使用者的正常行為模型，去分析違規操作，使用者行為這塊其實考慮的是正常人，但它帳號體系包括信任體系建立完以後，使用者可能在內部做違規操作，這些全靠監控和審計系統進行使用者行為分析了。

第八是持續的動態授權。根據使用者許可權的變化要做一些授權的改變，這就是要藉助於人工智慧要做一些許可權動態的分配。基於使用者行為的監控和審計分析，一旦發現有違規和異常操作，實時進行動態調整訪問許可權，及時阻斷操作。

第九是資產之間的訪問控制，也就是說數字實體之間訪問怎麼控制，一個是API閘道器，呼叫透過API閘道器對應用間訪問和呼叫進行統一的認證，授權和訪問控制；還有微隔離技術，其實也是透過在容器上，包括在虛擬主機上做一些微隔離控制，實現東西向細粒度控制，這是目前各企業網路安全防護的短板。

最後，我們結合以上這些點完整的構建了騰訊信任體系的架構和能力圖譜。實際上，我們在一些場合也做了一些測試，包括線上上做了一個系統的基於能力圖譜的評價，可以對這個基於能力圖譜對現有信任體系做一個整體的自評估，看看自己在哪些領域哪些部分現在做到什麼程度，然後去考慮未來整個網路信任體系如何去重構或者如何提升。

因為時間關係我今天就講這些，感謝大家！