社科院数字经济蓝皮书：安全防护需要“零信任”

新京报贝壳财经讯（记者 罗亦丹）2021年5月14日，中国社会科学院牵头，芯盾时代与数字经济前沿团队等联合撰写的《数字经济蓝皮书：中国数字经济前沿（2021）》（下称《蓝皮书》）正式发布。新京报贝壳财经记者发现，最近在网络安全圈大火的“零信任”概念成为重要内容。

据了解，“零信任”概念由研究机构Forrester首席分析师约翰·金德维格于2010年提出，其核心思想是：永不信任，始终验证。即默认情况下不信任网络内部和外部的任何人/设备/系统，需要基于认证和授权重构访问控制的信任基础。

参与撰写《蓝皮书》中数字经济风险与控制部分内容的芯盾时代CEO郭晓鹏表示，安全风险较大的场景都与数字世界中的“人”相关。

新京报贝壳财经记者在此前的调查中就曾发现，一些身份查验黑灰产人员的“信息”来源为相关机构内部人士，许多信息泄露往往都来自于“内鬼”。由公安部第三研究所网络安全法律研究中心等机构近日联合发布的《2019年网络犯罪防范治理研究报告》中也提到，职业化的网络黑产呈产业链组织严密、反侦察意识强烈、跨平台实施犯罪、内外部相互勾结等趋势。

在郭晓鹏看来，安全体系架构从“网络中心化”向”身份中心化”成为必然，本质诉求是围绕数字世界中的“人”为中心进行访问控制，在不可信的网络环境中，基于认证和授权的访问控制管理重构可信的、安全的网络框架，满足当下网络的安全需求，解决因网络环境开放、用户角色复杂引发的各种身份安全风险、设备安全风险和行为安全风险。?

《蓝皮书》认为，传统基于网络边界的防护模型在新网络态势中不再适用。不断变革的IT技术架构驱动安全架构随之而变，企业亟须新的网络安全模型为数字业务提供有效的防护，与黑灰产持续对抗，零信任安全是安全思维和安全架构进化的必然结果。对于数字经济面临严峻的业务风险，安全防护应从纵深防御向零信任安全转变。

新京报贝壳财经记者查阅该书内容发现，零信任业务安全理念的核心内容包括：不再以边界作为信任条件，对企业内外部所有访问重新进行信任评估和动态访问控制；针对所有访问企业资源的请求，进行认证、授权和加密；认证包括对用户和使用设备的全面验证；对每次访问请求进行实时的风险评估，评估因素不限于：终端环境、用户操作行为、账号信息、网络风险、外部威胁等。

“以前网络安全方案是基于物理边界防御安全模型，将网络分为内网和外网，攻击VPN等设备。而随着移动互联网、云计算应用的逐渐下沉，企业的网络边界逐渐消失，新型攻击方式主要针对‘人’的身份、设备、行为进行攻击。”郭晓鹏表示，“零信任安全的理念，以保护企业资源安全为目标，通过保护数字世界中‘人’的安全，实现保护企业核心信息资产和金融资产的安全目标，解决当今企业IT环境下的业务风险问题。”

新京报贝壳财经记者 罗亦丹 编辑 李薇佳 校对 赵琳