新媒体系统的零信任安全方案

张兆天

（中央广播电视总台，北京 100000）

1 新媒体系统的零信任网络

随着网络技术和信息技术的日益更新，新媒体系统在信息和广电产业的占比持续增强。作为关系到网络安全和信息化的核心业务系统，新媒体系统的网络安全对于维护行业和国家的战略安全尤为关键[1]。

当前的新媒体系统一般使用“以网络边界划定信任等级，规定边界内信任关系固定”的网络安全结构和策略。这些复杂、僵化的安全策略和网络系统，如果安全配置和漏洞修复不当，则较难有效地阻止新媒体系统被勒索软件、僵尸网络和高级持续性威胁（Advanced Persistent Threat，APT）利用，使攻击者能够访问敏感客户数据[2]。

为更好地解决上述威胁，新媒体系统的网络安全需要一种基于信任的授权机制，用于监控和协调网络的不同节点。这种网络管理可以帮助确定有授权的用户和设备访问敏感数据和系统服务，并根据身份的真实性分配责任。基于上述考虑，可以构建美国国家标准与技术研究院特别出版物（National Institute of Standards and Technology Special Publication，NIST SP）定义的零信任（Zero Trust）网络安全模型。零信任模型是一种安全框架，不信任网络内外的任何人或设备，而是对每个访问请求进行身份验证、授权和加密。零信任模型用于指导网络安全策略的制定和实施的基本原则如下[3]。

第一，不信任任何人（和任何事物）。规定所有用户、设备、数据包或输入都可能受到威胁，不隐含锁定的信任。强化身份验证是零信任模型安全授权机制的核心，包括多因素认证（Multi-Factor Authentication，MFA）、生物识别验证及单点登录（Single Sign On，SSO）等方法。

第二，取消边界。传统的网络边界在云中心化、远程工作和内部威胁的环境下已经发生了变化或消失，不再存在隐含的信任区域。

第三，应用最小权限原则。零信任模型的授权应基于最小权限原则，即用户或设备仅获得完成其任务所必需的最小权限，尽可能默认拒绝访问，这有助于减少潜在的安全风险。

第四，动态、基于风险的策略。使用动态、上下文相关的风险评估和严格的策略执行。访问控制策略应能够动态适应不同的情况，如用户角色、位置及设备状态等。

第五，要求强身份验证和授权。所有资源访问请求和网络流量必须经过身份验证和授权。进行更详细的管理，确保只有合适的用户或设备可以访问特定的资源。

第六，记录、监控、检查和适应。持续监控网络活动，以便及时发现和响应异常行为。同时，审计日志可用于事后分析和合规性检查，如流量监控、输入验证、状态记录、分析、警报、自适应信任级别、问题预防和恢复措施。

第七，实施深度防御。保护设备和通信，保护弱点，以对手的思维方式考虑并增加横向移动的工作复杂性。

第八，完整生命周期的零信任安全。在零信任模型下进行完整的生命周期安全管理，安全不应是后补的事项。随着威胁环境和技术的变化，授权机制也需要不断更新和调整，以保持其有效性。

第九，默认保密性和完整性。对所有通信进行加密，保护静态数据，验证数据的完整性。

第十，在权衡中找到合适的平衡点。在成本与收益、安全与可用性、成本与风险/影响之间找到合适的平衡点。应用自动化工具管理授权和响应安全事件，同时保留人工干预的能力，以处理复杂或紧急的情况。

这些原则旨在帮助网络安全系统建成更高效、更灵活的网络安全策略，以适应各类不断演变的网络威胁和复杂的网络环境。

2 零信任安全网络构建的问题

零信任模型在新媒体系统中的应用确实带来了网络安全水平的显著提升，特别是在结合虚拟化技术的复杂系统环境中。零信任模型的核心理念是“永不信任，始终验证”，这意味着系统不再依赖传统的边界防御，而是在任何一次访问时都进行身份验证和授权。零信任模型通过持续验证所有用户和设备的身份和权限和适应各种设备和用户，能够安全访问系统，更有效地减少系统的攻击面，防止未授权访问和内部威胁。

作为新媒体系统的网络安全技术升级，尤其是结合使用虚拟化的复杂系统环境，零信任模型在提升新媒体系统的网络安全方面具有明显的优势，但也存在一些不足和挑战，具体如下。

第一，实施的复杂性。零信任模型的实施可能相当复杂和具有挑战性。它需要深入理解网络，包括所有用户、设备、应用程序和数据。此外，可能需要对现有的安全基础设施进行重大更改，可能导致业务停顿和成本增加。

第二，对资源的增加需求。实施和维护零信任模型可能需要大量资源。它要求对网络活动进行持续监控和管理，这可能会对系统的信息技术（Information Technology，IT）资源造成压力。此外，需要先进的安全工具和技术，可能导致成本增加[4]。

第三，用户体验问题。零信任模型的严格访问控制可能导致用户挫败感。如果连续的验证过程妨碍了他们高效完成任务，可能会导致其抵制采用零信任模型。在某些情况下，员工可能尝试绕过安全控制，无意中创建新漏洞。

第四，持续的管理和维护需求。零信任模型依赖严格定义的权限网络，但公司在不断发展，员工的角色和位置变化频繁。访问控制必须随之更新，以确保正确的人员访问特定信息。保持权限的准确性和最新性需要持续的投入，可能难以跟上。

第五，可能影响系统效率。引入零信任模型可能影响系统效率。系统安全稳定的核心挑战是在不阻碍工作流程的情况下锁定攻击性的网络和程序访问。持续认证改变了访问者在初始阶段一次性认证后长期访问系统信息的方式，无论是基于证书、加密认证协议还是非加密协议，不同的协议都需要在安全性和资源消耗之间进行权衡。如果个人角色更新和被锁定在文件或应用程序外，系统的使用效率可能大幅降低。

第六，安全风险。尽管零信任旨在提高安全性，但引入零信任模型可能面临策略配置错误、内部威胁和技术漏洞等挑战。例如，信任代理（连接应用程序和用户的服务）配置错误可能成为潜在的故障点，也可能成为系统的攻击目标；本地物理设备和实施零信任模型的技术可能存在漏洞，这些漏洞可能被攻击者利用来绕过安全控制，可能遭到攻击和数据盗取；零信任系统账户身份认证的最新技术仍不能解决完全可靠的问题[5]。

第七，虚假警报风险。由于零信任模型安全的严格性，零信任模型的安全系统可能对非恶意行为过于敏感，导致合法用户或活动被标记为可疑和频繁的虚假警报的风险。这可能导致用户和管理员的负担增加，需要花费更多的时间和资源去核查和处理这些警报，从而影响工作效率。而这类虚假信息也将导致用户对安全系统的信任度下降，进而可能忽视真正的安全警告。

第八，对技术的依赖。零信任模型安全高度依赖新的安全工具和技术，包括用于身份验证、加密和网络分段。新的安全工具和技术形成解决方案时，可能出现兼容性和集成问题，需要高水平的技术能力来确保系统稳定运行。随着技术的发展，需要定期更新和维护上述技术的安全系统，以应对新的威胁和挑战。如果这些技术更新和维护失效，可能使系统安全性降低。

3 相关技术方案

为克服上述挑战，需规划合适的零信任网络结构。规划零信任安全网络结构的核心就是零信任安全网关的网络结构。零信任的安全网关是零信任网络架构的关键组件之一，帮助网络系统实施零信任的原则，提高网络安全性，减少潜在威胁的影响，并确保只有经过身份验证和授权的实体才能访问网络资源。如本文论述的使用虚拟化环境的新媒体系统，零信任模型的安全网关需将隔离区（Demilitarized Zone，DMZ）与互联网、DMZ区与Overlay层、DMZ区与Underlay层做安全切割。为平衡零信任的安全网关的成本效率和业务系统的安全可用，本文使用如图1所示的零信任的网络方案。

图1 零信任安全的网络规划方案

结合上述零信任的网络规划，针对构建零信任模型过程的挑战和问题，本文提出的相关建议和方案如下。

第一，简化实施流程。做好系统规划和技术规划，使用成熟的解决方案和工具，降低实施的复杂性。采用逐步实施的方法，先从最关键的资源开始，逐渐扩展到其他系统和服务。

第二，优化资源分配。合理规划和分配资源，确保有足够的计算和网络资源来支持零信任架构。结合使用本系统的虚拟化技术，可以提高零信任系统资源的使用效率。

第三，改善用户体验。通过用户友好的认证方法，如多因素认证，来平衡系统的安全性和可用性。对用户进行技术培训，做好零信任系统使用的技术管控。

第四，自动化管理和维护。利用自动化工具简化管理任务，减少人工干预。实施持续的监控和日志记录，以便及时发现和响应安全事件。

第五，减轻对生产力的影响。实施零信任策略时，确保对业务流程的影响最小化。合理配置访问控制策略，避免不必要的限制。

第六，降低安全风险。定期评估和更新安全策略，确保与当前的威胁情景保持一致。实施综合的风险管理程序。

第七，减少虚假警报。通过优化安全系统的配置和规则，减少虚假警报的发生。定期审核和调整安全事件的响应机制。

第八，减少对单一技术的依赖。采用多元化的技术和供应商，减少对单一技术或供应商的依赖。确保系统的可扩展性和兼容性。

4 结语

零信任模型是一种技术策略，也是一种组织文化和操作模式的技术更新。模型的实施面临着多方面的挑战，包括实施的复杂性、资源需求的增加、用户体验问题、持续的管理和维护需求、可能对生产力的影响、安全风险、虚假警报风险以及对技术的依赖。本文论述的虚拟化环境的新媒体系统，通过综合考虑技术、人员和流程等的多方面因素，合理地规划和持续地优化有关的方案，既能提高网络安全性，也可以解决零信任构建过程的挑战和问题。