網絡安全架構現狀及發展趨勢探討

【摘 要】 網絡安全架構的規劃與部署直接影響網絡整體安全防護的效果。為了加強對其的掌握，本文從邊界防御架構、縱深防御架構、零信任架構、可信計算架構4個方面分析了國內外現有的網絡安全架構，介紹了每種架構的特點及局限性，在此基礎上，對網絡安全體系架構的主要發展趨勢進行了總結和展望，以期為后續相關研究提供有益參考。

【關鍵詞】 網絡安全架構 邊界防御 可信計算 主動防御

1 引言

近年來，隨著信息技術的持續發展和廣泛應用，各種網絡攻擊方式和安全事件層出不窮，網絡安全面臨著日益嚴峻的挑戰。

眾所周知，軟硬件在開發和設計過程中存在漏洞難以避免，而不同種類的攻擊方式始終層出不窮。如果對存在的風險缺乏統一的思考和防范，網絡系統沒有構建體系性的防御措施，網絡安全防護工作就會變成一種臨時性的應激操作，網絡運行管理人員需要不斷應對來自不同方向、不同種類的難以預測的攻擊，而多數結果等同于亡羊補牢，在造成數據的失泄密后再行補救則為時已晚。為了對網絡內的重要信息和設施進行保護，有必要建立一套體系性的防護框架，在攻擊發生之前使系統具有防御能力，防患于未然。

世界范圍內大部分國家對網絡安全的重視程度越來越高，在理念、機制、舉措等方面積極制定網絡安全政策，構建自身的網絡安全體系，提升網絡安全防護能力。例如，拜登政府上臺后，把網絡安全作為重大的國家安全問題和首要任務，并迅速在網絡安全體系形成了包括網絡威脅戰略認知、網絡防御重點、統籌協調機制和網絡防御能力等內容的四大體系架構。

為了清晰梳理網絡安全架構的發展情況，本文分析總結了國內外現有的網絡安全架構，從邊界防御架構、縱深防御架構、零信任架構、可信計算架構4個方面進行了詳細分析，介紹了每種架構的特點，并對其優點及局限性進行了探討。在此基礎上，對網絡安全架構的主要發展趨勢進行了展望和總結。

2 常見的網絡安全架構

國內外普遍認為網絡安全架構應該是一個動態的、不斷完善的過程，大量科研人員及學者進行了長期的研究工作，并設計了各類動態安全保障體系模型。其中，最具代表性的模型包括邊界防御架構、縱深防御架構、零信任架構、可信計算架構等。

2.1 邊界防御架構

“邊界防御”架構于2012年被國內安全企業率先提出并應用，通過在網絡邊界處嚴密設防，如代理、網關、路由器、防火墻、加密隧道等，監控進入終端的外界程序，在惡意代碼尚未運行時即對其安全性進行鑒定，從而最大限度地保障本地計算機的安全。其中，4類較為常見的邊界防御技術分別是防火墻技術、多重安全網關技術、網閘技術，以及虛擬專用網（VPN）技術。

如圖1所示，邊界防御架構可以控制外部網絡對內部網絡的訪問，強化內部網絡安全。邊界防御技術還可通過對進入內部網絡的文件進行安全鑒定，防止內部信息外泄，隱藏內部網絡的敏感信息。由于內外網之間數據的傳輸必須經過邊界防御，一切未被允許的就是禁止的，只有被授權合法的數據，即在邊界防御系統安全策略中允許的數據才能穿過網絡邊界，保障了內部網絡的整體安全。此外，邊界防御架構通過提供日志記錄，對網絡存取和訪問進行監控審計。在邊界防御架構中，部署的邊界防護機制是內、外部網絡的唯一通信通道，它們可以詳細記錄所有針對內部網絡的訪問，形成完整的日志文件，以此達到監控審計的目的。

邊界防御架構的優勢主要集中在3個方面。首先，可以快速鑒別未知文件是否安全。未知文件一旦到達網絡邊界，將觸發邊界防御對其安全性迅速做出判斷，從而保證安全防護的效率。其次，無需安裝專門的殺毒軟件。避免傳統殺毒軟件對系統資源的不合理占用，解放了系統資源，同時人機界面良好，用戶配置方便。最后，低成本實現有效防御。由于傳統殺毒軟件重客戶端輕服務端，客戶端對抗病毒的成本高昂，而邊界防御架構只需配置防火墻等防御機制，就能控制外部網絡對內部網絡的訪問，保障內部網絡的安全。

邊界防御架構雖然在網絡邊界處部署了防護機制，但受限于其產生的時代背景，該架構在當前來看存在一定的局限性。首先，無法防范來自網絡內部的安全威脅。由于邊界防御架構只在網絡邊界處設置防護措施，將不安全的外部威脅擋在邊界外，而內部惡意用戶和缺乏安全意識的用戶的存在，都會給系統內部帶來安全風險。其次，無法防范繞過邊界防御的攻擊。邊界防御是單一的、靜態的安全防護技術，只要攜帶病毒的文件通過某種手段繞過邊界防御的檢測，便可以進入網絡內部散播病毒，威脅整個系統的安全。最后，無法抵御數據驅動型攻擊。在邊界防御架構中，它通常無法抵御數據投毒等數據驅動型網絡攻擊。這意味著，在當前以高隱蔽性復雜攻擊為新安全挑戰的網絡環境中，邊界防御正面臨著極大危機。

2.2 縱深防御架構

由于攻擊方式的多樣性，任何單一防御機制都不足以對抗所有類型的攻擊，網絡存在被攻破的可能性，為此“縱深防御”架構應運而生。“縱深防御”也被稱為深度防護策略（Defense in Depth，DiD），是一種采用多樣化、多層次的防御措施來保障信息系統安全的策略，其主要目標是在攻擊者成功破壞某種防御機制的情況下，仍能夠利用其他防御機制繼續為信息系統提供保護。

縱深防御架構的基本思路是將各類網絡安全防護措施有機結合，針對保護對象，部署合適的安全措施，形成多道保護線，在各安全防護措施相互支持和補救下，盡可能地阻斷攻擊者的威脅。根據美國國防部提出的PDRR（Pro-tection,Detection,Reaction,Reco-very）模型，即防護、檢測、響應、恢復4道防線，縱深防御架構通過在這些技術框架區域中實施保障機制，最大程度地降低風險，應對攻擊并保護信息系統的安全。

如圖2所示，縱深防御架構不是安全設備或系統的簡單堆積，而是在各個層面有針對性且合理地部署各類防護或檢測系統，形成系統間的優勢互補，從而實現對安全態勢的全面感知。縱深防御架構通過多點布防、以點帶面、多面成體，形成一個多層次、立體的全方位防御體系來維護網絡安全，其特點可概述為以下3點。

（1）多點防護

部署位置主要包括網絡和基礎設施、區域邊界、計算環境和支撐性基礎設施，通過在這4個重點方位布置全面的防御機制，將信息系統的安全風險降至最低。

（2）分層防御

在攻擊者和目標之間部署多層防御機制，每個機制都能對攻擊者形成一道屏障，且各防御機制在功能上相互協同和補充。根據網絡的層次化體系結構，分層部署防護和檢測措施形成了層次化的安全配置，增加攻擊被檢測到的概率，大大提高了攻擊成本。

（3）分級防護

根據信息系統各部分的重要性等級，在對應安全強度下配置防護措施，以平衡縱深防御架構建設成本和安全需求之間的關系。

縱深防御架構雖然搭建了多層防護屏障，避免了對單一安全機制的依賴，但其仍然存在3個方面的局限性。

首先，各區域安全措施相對獨立，缺乏統一的管理。由于縱深防御架構模型將人作為核心要素，安全人員一旦發現潛在風險，需要對所有安全措施進行逐個配置，增加了管理復雜度。而且縱深防御體系的各層防御之間的協同機制薄弱，其中的檢測手段多是基于規則和黑白名單，對于抱有經濟政治目的的專業黑客，攻克這種防御體系也只是時間問題。

其次，缺乏主動防御安全威脅的機制。盡管各重點區域都部署了安全檢查和防御措施，但并沒有主動進行安全威脅檢查和防御。隨著攻擊方式的不斷演進、病毒特征的不斷變化，如果不及時主動更新防御機制，就會有新的中毒風險。目前，一些專門用來對付縱深防御模式的高級網絡攻擊工具可被輕易獲取，導致網絡攻擊數量大幅增加，以至于縱深防御架構面臨巨大的安全威脅。

最后，沒有考慮虛擬網絡的防御問題。縱深防御架構模型主要針對傳統物理信息系統設計，沒有考慮云數據中心虛擬化帶來的虛擬網絡特點。虛擬網絡運行在現有物理網絡之上，具有網絡邊界彈性、生命周期短暫等動態特征，而傳統縱深防御模型尚未考慮虛擬網絡的安全防護問題。

2.3 零信任架構

零信任架構是一種端到端的網絡架構，重點關注身份、憑證、訪問管理、操作、終端、主機環境和互連基礎設施。美國技術委員會-工業咨詢委員會（ACT-IAC）于2019年發布了《零信任網絡安全當前趨勢》（Zero Trust Cybersecurity Current Trends），同年，美國國防部國防創新委員會發布了零信任架構白皮書《零信任安全之路》（The Road to Zero Trust Security），強調了對零信任架構的重視。

傳統的安全方案只注重邊界保護，對授權用戶開放過多的訪問權限，而零信任的主要目標是基于身份的細粒度訪問控制，以應對日益嚴重未經授權的水平移動風險。零信任的本質是在新互聯網環境下零信任安全架構的主體和客體之間構建一個基于身份的動態可信訪問控制系統。該架構的主要特點可以概括為：以身份作為訪問控制的基礎，業務安全訪問、持續的信任評估，以及動態訪問控制。

圖3是零信任網絡架構示意圖。如圖中所示，在零信任網絡架構中，身份是零信任的基石。為了構建基于身份而不是基于網絡位置的訪問控制系統，首先需要給網絡中的人和設備賦予相應的身份，在運行時結合識別的人和設備來構建訪問主體，并設置最小訪問權限。零信任架構還具有以下3個特點。

（1）業務的安全訪問。零信任架構側重于業務防護面的構建，通過業務防護面來實現對資源的保護。在零信任架構中，應用、服務、接口和數據被認為是業務資源。通過對業務保護的操作，要求對所有服務默認隱藏，根據授權結果最小權限開啟。所有服務訪問請求都應進行加密和強制授權。

（2）持續的信任評估。持續的信任評估是零信任體系中從無到有建立信任的關鍵手段。通過信任評估模型和算法，可以實現基于身份的信任評估能力。同時需要判斷訪問上下文環境的風險，識別訪問請求的異常行為，以調整信任評估結果。

（3）動態訪問控制。動態訪問控制是零信任架構安全閉環能力的重要體現。通常采用基于角色的權限控制（RBAC）和基于屬性的權限控制（ABAC）相結合來實現靈活的訪問控制基線，基于信任級別來實現分層業務訪問。同時，當訪問上下文和環境存在風險時，應進行訪問權限的實時干預，評估訪問主體的信任度。

零信任架構關鍵能力的實現需要通過特定的邏輯架構組件來實現。零信任的核心理念是沒有人的參與。網絡內外的設備/系統默認不信任，需要基于認證和授權重構訪問控制的信任基礎。單個IP地址、主機、地理位置、網絡等不能作為可信憑證。零信任顛覆了訪問控制范式，引領安全系統架構從“網絡中心化”走向“身份中心化”。它的本質要求是基于身份和環境來控制訪問，在多個場景方面具有極大的優勢。

零信任架構的局限性主要表現在權限集中、實時性與控制精度之間的矛盾、數據處理難度等方面。

在零信任架構中，策略引擎需要解決對所有資源訪問的授權工作，一旦策略引擎出現問題，對業務連續性和數據安全性都會產生較大的影響，因此設計開發高可用性的策略引擎，是零信任領域下一步研究的重點方向。其次，零信任架構需要對對象進行實時校驗，通過實時監督認證用戶的行為，動態調整授權的范圍，對應策略執行點與策略引擎，既要做到實時控制，又要做到最小化權限的精準度，無論是算法、性能還是認證邏輯方面都面臨比較大的挑戰。此外，零信任的成熟度很大程度取決于對相關數據的收集、分析與處理能力。首先需要對設備、用戶、應用、歷史行為的各類數據進行收集。分散的數據來源會導致數據的準確性、完整度、格式化等方面存在問題。在解決數據收集、過濾、歸并、存儲等問題后，需要高效地對這些數據進行處理，該過程對策略引擎的算法和性能要求非常高。因此，設計實現高效的數據處理算法，也是零信任架構需要重點關注的問題。

2.4 可信計算架構

可信計算架構的核心是基于可信且可靠設備，為設備提供給定系統狀態的證據。信任被定義為對系統狀態的期望，被認為是安全的，它需要可信平臺模塊（TPM）中可信且可靠的實體來提供有關系統狀態的可信證據。TPM規范由稱為可信計算組織（TCG）的國際標準組織維護和開發，TCG不僅發布了TPM規范，還發布了移動可信模塊（MTM）、可信多租戶基礎設施和可信網絡連接。

可信平臺的基本框架是有一個信任根，其作用是衡量一個系統的可信度。TCG規范中的信任根結合了測量信任根（RTM）、存儲信任根（RTS）和報告信任根（RTR）。RTM是一個獨立的計算平臺，具有最少的指令集，這些指令被認為是可信任的，用于測量系統的完整性矩陣。在典型的臺式計算機上，RTM是基本輸入輸出系統（BIOS）的一部分，在這種情況下，它被稱為測量信任的核心根（CRTM）。RTS和RTR基于獨立、自給自足且可靠的計算設備，該計算設備具有預定義的指令集以提供身份認證和證明功能，這種設備稱為可信平臺模塊（TPM）。傳遞信任背后的基本原理是，如果實體信任平臺的TPM，它也會信任其測量。可信平臺架構如圖4所示。

可信平臺TPM最大的優勢在于安全啟動和報告操作。現階段的可信計算熱潮是從可信電腦客戶端平臺起步,但是它涉及了廣泛的研究和應用領域，主要包含關鍵技術、理論基礎和應用等3個方面。關鍵技術指可信計算的系統結構、TPM的系統結構、可信計算中的密碼技術、信任鏈技術信任的度量、可信軟件和可信網絡。理論基礎包括可信計算模型、可信性的度量理論、信任鏈理論和可信軟件理論。可信計算技術的應用是可信計算發展的根本目的。可信計算技術與產品主要用于電子商務、電子政務、安全風險管理、數字版權管理、安全檢測與應急響應等領域。

基于TPM設計目標，它可以為潛在的“安全且不可破解”的數字版權管理(DRM)框架提供一個平臺，然而同時會引發計算機控制權的問題，從而掩蓋了TPM潛在的有益特性，如安全啟動、安全存儲和加密密鑰的安全管理。目前，越來越多的電腦客戶端具有內置的TPM，但這些模塊中的大部分并未由其各自的用戶啟用，此外，使用TPM功能為用戶提供附加安全和隱私服務的應用程序并不多。因此，最終用戶似乎沒有充分的理由積極使用TPM來滿足其安全和隱私要求。

隨著對計算平臺的依賴日益增加，TPM將在提供安全計算平臺方面發揮越來越重要的作用。此外，普通用戶也開始意識到可能導致他們激活TPM的潛在安全問題。然而，雖然TPM的采用可能會增加，但該規范并未隨著計算技術的變化而改變。

3 安全體系架構的發展趨勢

隨著云計算、物聯網、移動互聯網、人工智能、大數據、區塊鏈等技術的飛速發展，傳統的安全體系架構已經難以滿足日新月異的網絡安全需求。同時，網絡面臨著層出不窮的新型攻擊方式。針對以上挑戰，近年來國內外出現了多種新型網絡安全防護技術作為對傳統安全體系架構的補充，其中具有代表性的有主動防御技術、安全態勢感知技術等。

3.1 主動防御技術

多年來，傳統安全防護構建了以系統為核心，以網絡邊界為防護重點的“硬殼軟心”邊界防御體系。傳統的、靜態的各類安全機制無法適應動態變化的網絡安全環境，其本質上發揮的是“傳感器”“探測器”作用，一旦攻擊威脅突破邊界進入內部網絡，其被動防御機制將形同虛設。此外，被動防御缺少對網內未知的橫向移動威脅的應對策略和封控辦法，更不具備對攻擊威脅的主動清除和溯源反制能力，無法應對高級持續的未知網絡攻擊。

與被動防御相比，網絡主動防御（Proactive Defense）具有預測性和主動性，其理念和技術已經引起國內外政府界、學術界等廣泛關注，成為網絡安全領域的研究熱點。主動防御手段主要是防御者針對攻擊者攻擊行為主動采取規避性、欺騙性的防御技術，比如獵殺、拒絕、欺騙等，綜合運用網絡動態變化和網絡欺騙等方法，在攻擊行為對信息系統發生影響之前，干擾攻擊者認知、捕獲早期攻擊偵察特征、動態調整防御策略，改變傳統防御體系“被動應對”的不利局面。

目前網絡主動防御仍處于研究探索階段，其概念內涵還沒有標準化的定義，業界普遍接受的是美國國土安全部下屬研究中心在2016年提出的主動防御定義：主動防御是處于傳統的被動防御和進攻之間的一系列主動防御手段。對比美國，我國主動防御技術理論研究起步較晚。隨著主動防御技術的演進發展，我國相關研究機構相繼提出了主動防御技術理論，產業界的原型系統和商業產品不斷被研發應用，具有代表性的有擬態防御技術、中國科學院信息工程研究所的“網絡空間內置式主動防御”技術等。隨著主動防御技術產業化逐漸成熟，國內主動防御技術的規模應用日趨廣泛，主動防御技術手段也在國家級網絡防護任務中發揮了關鍵作用，防御效能顯著。

3.2 安全態勢感知技術

網絡安全體系架構中的網絡安全產品從設備、網絡、數據等不同維度提供了網絡的縱深防御手段，但目前的現狀是不同網絡安全產品相互孤立，產品間缺乏有效協同，所采集的運行數據以及生成的大量網絡告警事件無法關聯，用戶面對海量的告警事件難以處理，也無法掌握安全態勢的全局。安全態勢感知技術就是為了呈現網絡安全體系的整體情況，包括對外部惡意攻擊的抵御能力、對網絡脆弱性的防護能力及面對內部攻擊時的防失泄密能力。

網絡態勢感知（Cyberspace Situational Awareness，CSA）的概念于1999年由Tim Bass首次提出，定義為在大規模網絡環境中對引起網絡態勢發生變化的要素進行獲取、理解、展示以及對發展趨勢進行預測，從而幫助決策和行動。美國自2003年開始研制網絡空間態勢感知系統“愛因斯坦”，至2013年，已完成3次迭代。“愛因斯坦1”基于流量的分析技術來進行異常分析檢測和總體趨勢分析，“愛因斯坦2”基于深度包解析（DPI）技術實現惡意行為分析，“愛因斯坦3”基于之前的技術，結合網絡攻防經驗積累下來的特殊攻擊特征，可實時地感知網絡基礎設施面臨的威脅，并更迅速地采取恰當的對策。截至2019年9月，已有76個聯邦民事機構完全實現了“愛因斯坦3”計劃的基本能力。

在國內，安全態勢感知技術的發展也受到高度重視。2021年我國網絡安全重要法規《關鍵信息基礎設施安全保護條例》中明確提到，“掌握關鍵信息基礎設施運行狀況、安全態勢，預警通報網絡安全威脅和隱患，指導做好安全防范工作”。近幾年，國內在網絡安全態勢感知方面具有代表性的研究性工作包括，大數據環境下的網絡安全態勢感知評估方法的提出，基于深度學習的網絡流量分類及異常檢測方法的提出，以及對網絡安全威脅感知關鍵技術的研究。但是，目前已有的網絡態勢感知系統依然存在著數據源單一、難以落地實現的問題。但是越來越多的企業單位開始意識到網絡安全態勢感知技術對于網絡風險發現、預測、響應的重要性，國內的安全廠商近些年紛紛推出包含分析和情報、響應、安全編排的態勢感知系統，并廣泛應用于政府、金融、電力、教育等多個行業。隨著網絡安全態勢感知技術的發展，其將在網絡安全防護中起到越來越重要的作用。

4 結語

隨著網絡安全防護技術的復雜化，網絡安全體系的構建仍是國內外的研究熱點。歸納來講，網絡安全防護體系的建設不能簡單依靠各種安全產品的疊加，而是需要結合不同網絡架構及業務應用固有的特性，對多種安全機制進行有機融合，形成一套動態、有效、全面的整體防御體系。網絡安全防護建設是一個長期、循序漸進的過程，隨著網絡技術的不斷發展，必然會出現各種新的威脅。因此，信息安全防護建設也應隨之不斷完善和調整，才能構建一道保護網絡信息安全的銅墻鐵壁。

（原載于《保密科學技術》雜志2022年8月刊）