（文章來源：C114通信網(wǎng)）

從機構(gòu)發(fā)展歷程來看，傳統(tǒng)安全理念是構(gòu)建一個邊界，專注于邊界防護(hù)，邊界之內(nèi)是安全的。傳統(tǒng)企業(yè)網(wǎng)安全體系是通過網(wǎng)絡(luò)位置劃分安全信任區(qū)域，原則是外部不受信任，區(qū)域內(nèi)部屬于信任特權(quán)網(wǎng)絡(luò)，這也意味著，一旦攻擊者滲透到信任區(qū)域里面，就可以一路暢通無阻。另外，企業(yè)內(nèi)網(wǎng)部署大量安全設(shè)備，設(shè)備間缺乏信息共享和安全聯(lián)動，不僅造成運維困難，還會導(dǎo)致設(shè)備大量堆疊，安全處于割裂狀態(tài)。

在傳統(tǒng)的安全理念之下，業(yè)務(wù)架構(gòu)簡單的情況下，安全比較容易得到保證；但隨著業(yè)務(wù)不斷發(fā)展，企業(yè)需要建設(shè)越來越多的辦事處或子公司，原來的邊界也不再純粹，變得模糊甚至趨于破碎，同時，金融科技促進(jìn)了業(yè)務(wù)的創(chuàng)新與發(fā)展，如移動辦公、移動應(yīng)用、數(shù)據(jù)中心云化等，新的技術(shù)應(yīng)用也在不斷帶來新的安全問題。

這種情況下，傳統(tǒng)的安全體系、架構(gòu)難以適應(yīng)企業(yè)的快速發(fā)展。而零信任架構(gòu)通過全面身份化、多源信任評估、動態(tài)訪問控制解決了安全邊界模糊和邊界破碎的問題。

零信任網(wǎng)絡(luò)安全架構(gòu)主要由三大理念組成：首先是信任最小化，所有用戶、設(shè)備和網(wǎng)絡(luò)流量都應(yīng)該被認(rèn)證、授權(quán)和加密；其次是網(wǎng)絡(luò)無特權(quán)化，不管是內(nèi)網(wǎng)還是外網(wǎng)，始終都是充滿威脅的，不應(yīng)該根據(jù)網(wǎng)絡(luò)位置決定信任程度；第三是權(quán)限動態(tài)化，訪問控制策略是動態(tài)的，基于盡量多的數(shù)據(jù)源進(jìn)行計算和評估。

“安全的本質(zhì)是信任，不是一個方案、一個產(chǎn)品能夠解決的，深信服精益信任的理念認(rèn)為，通過在零信任基礎(chǔ)上，深信服精益信任安全解決方案可和各種安全設(shè)備進(jìn)行融合和聯(lián)動，從而形成統(tǒng)一、互補的安全體系，為用戶業(yè)務(wù)帶來安全保障。”深信服精益信任安全解決方案，強調(diào)“精確而足夠”的信任，以風(fēng)險和信任為中心，重構(gòu)網(wǎng)絡(luò)安全架構(gòu)。

區(qū)別于零信任“從不相信，總是驗證”的宗旨，精益信任從業(yè)務(wù)開展角度建立信任機制。從零信任到精益信任，無邊界網(wǎng)絡(luò)的基礎(chǔ)是身份化。在全面身份化方面，基于身份化實現(xiàn)免認(rèn)證、再連接，通過內(nèi)置安全接入網(wǎng)關(guān)，強制所有訪問都必須經(jīng)過認(rèn)證、授權(quán)和加密。

在多源信任評估方面，通過用戶身份信息、終端環(huán)境、用戶行為來實現(xiàn)信任等級評估，授予或阻斷對應(yīng)訪問權(quán)限；在訪問權(quán)限方面，基于主體、環(huán)境、身份三個部分評估出可信任等級，再結(jié)合資源應(yīng)用分級機密等級，實現(xiàn)動態(tài)訪問控制；在統(tǒng)一安全層面，與各個安全產(chǎn)品進(jìn)行聯(lián)動，保持開放、靈活的架構(gòu)，促使安全從割裂走向融合。
? ? ? ?