作为可视化网络安全技术创新者，安博通提供的“基于‘零信任+’的流量威胁管控实践”课程入选工信部网络安全在线培训平台（简称“网安学堂”）。

“零信任”是一个安全术语也是一个安全概念，简单来说，就是不相信任何人，除非网络明确知道接入者的身份，否则谁也无法接入。本课程结合等保要求，思考总结“零信任”在关键信息基础设施等业务场景的应用，希望能给各位带来些许启发和帮助。

（以下为课程精要，阅读时间约为5分钟。）

安全是一个过程

对网络安全运维管理的现状进行分析，我们总结了这张成熟度曲线图，它充分体现了“以结果为导向”的安全心态。

有一些安全从业者希望一劳永逸，只解决合规问题就好，一旦出现安全事件，就会产生“求解药”的心态。态势感知与SOC概念的火热，也让一些从业者更多关注“知彼”，而忽略了“知己”，比如没有建立完整的内网资产清单、不清楚所有的资产漏洞和脆弱性。

此时，一味强调防御的结果，在面对新型攻击时会疲劳，甚至是徒劳。

安全观念正在不断演进，诚然“合规”依然是网络安全产业的主要动力，但安全能力也成为了越来越重要的衡量标准。剖析安全的本质，我们认为：网络安全是一个持续的过程。

所谓过程，即在某一个时间与空间点，安全只反映攻防对抗的暂时状态，终极安全结果很难达到。面对不断变化的新型攻击时，很难找到一蹴而就的解决方案，防守方同样需要不断发展、不断更新。只要保证过程持续安全，则结果更加趋向安全。

水滴石穿，最柔软的水恰蕴含最强大的力量。网络安全更是一种无形的、柔性的能力，可融入到任何网络、系统或业务中。全局安全的前提是信息跨平台流动，各组件保持关联协同，共同确保过程中每一阶段的安全。

安全将会从“以结果为导向”转变为“以过程为导向”，数据及数据分析能力的对抗，贯穿着整个过程。

近年来，安全架构也在演进中。安全自适应架构（ASA）定义安全保护是一个连续的过程，业界基于ASA已有大量落地实践。

持续自适应风险与信任评估战略（CARTA）更是一个庞大的体系，其中包括大数据、人工智能、行为分析、威胁检测、防护评估等方面。CARTA强调对风险和信任的评估分析，分析的过程就是寻求平衡的过程。

在安全架构的变化中，可以看到安全能力的演进。也就是等保2.0中的关键思想：三化六防，体系化、常态化和实战化。

上图中，整体即构筑纵深防御体系，覆盖所有保护对象；主动即防患于未然，消祸于无形；精准即精细化管理，精细化施策；动态即持续性监测，自动化处置。

动态防护的发展驱动力是数据分析，我们的目标是超越静态的规则和有限的关联性，转向更多的数据源、更先进的机器学习与可视化技术。

同时，还可以将威胁和攻击模型作为安全架构的一个维度。建立可能攻击列表，排序展示防护力最弱的攻击路径，合并展示产生相同结果的攻击路径，使安全架构设计与资产可能面临的威胁相匹配。

零信任，从内到外的防护

安全圈中有一句经典的话：防火墙不是万能的，但没有防火墙是万万不能的。这句话既说出了防火墙的重要性，也说出了它的局限性。

一直以来，我们专注于边界防御，而准入用户可以广泛地访问内部资源。因此，内网未经授权的横向移动，是运维者面临的最大挑战之一。边界防火墙可以阻止来自Internet的攻击，但在检测和阻止内网攻击方面无能为力。传统防护的失效是“零信任”产生的原因。

“零信任”是不信任吗？在网络中应用零信任架构（ZTA），是否意味着组织机构不信任员工？其实不然，应用ZTA是承认人人都会犯错，比如误点电子邮件中的恶意链接。

ZTA的目的是消除信息系统中的不确定性，实施精确的访问权限决策，只让“需要知道”的人访问数据资源，实现从内到外的保护。

传统从外到内的方式，即针对外部攻击的防护，主要关注攻击暴露面。而“零信任”作为从内到外的保护方式，必须清楚什么是业务中最重要的部分，我们称之为保护面。保护面和暴露面的不同视角，反映了访问侧和攻击侧的不同防护思路。

在这里，我们对比了在身份鉴别和访问控制方面，等保三级要求与零信任架构的对应关系。

身份一直是数据泄露的主要原因，如果攻击者盗取身份并登录，而系统不检查身份的真假，那么数据就很容易外泄。身份也是零信任的核心特征，网络中存在高价值数据时，访问这些数据的身份必须高度确定。

零信任架构被依赖应用于身份管理、资产管理、应用身份验证、网络分段和威胁情报功能，其中增加了对系统和应用中用户行为、访问操作的监控。

攻击者必须执行特权操作或访问资源才能实现其目的。理论上，所有的攻击（包括内部攻击），都可以通过监控此类活动来捕获。

对于关键信息基础设施，监控并记录特权活动是关键，特别是当计算、存储、网络、数据库、应用程序和安全管理间的界限变得模糊时。零信任网络访问解决方案是覆盖大量用户，监控访问活动的良好基础。

与现有的网络安全防护措施相辅相成，零信任架构（ZTA）可以降低企业机构的总体风险，并抵御常见威胁。但同时，ZTA也存在一些独特的安全威胁。

针对上图中的安全威胁，我们提出了“零信任+”的设想，这一设想主要分为两个部分。

基于“零信任+”的流量威胁管控

第一个“+”指缓解相关威胁。

硬件可控是计算机底层需要缓解的威胁，可采用国产化芯片，包括CPU、内存、存储等。

软件可信基于双体系架构，从底层芯片开始构建主动防御系统，这是等保2.0中着重提出的可信计算。

威胁可视在了解“谁在网络上”的基础上，进一步确认“为什么访问数据”和“使用数据做什么”，能够监控并确认访问行为是否合规、合理。

这也引出了第二个“+”，与其他技术的融合。

任何攻击都会留下痕迹，攻击行为总会造成网络通信的异常。如何从大量的数据中找出异常通信数据？我们基于“零信任+”提出了流量威胁管控平台。

平台架构分为四层：网络基础架构、基础安全防护、高级威胁分析全流程防护和可视化展示。

相比传统的流量威胁分析系统，平台融合应用微隔离、攻击面收敛、权限最小化等方法，实现更精准的应用控制；数据来源更丰富，包括主机、网络、访问控制关系；从监测到控制，包含了更充分的管控手段；从对外防御到内外兼具，确保所有行为符合规范。更重要的是，平台帮助用户从面向安全事件往面向安全运维转变。

在上述安全架构下，我们提供流量威胁管控的整体解决方案。

事前，对资产脆弱性与暴露面的关系进行量化评估，实现防御的收敛和优化，并对网络路径、主机资产进行加固。

事中，通过已知和未知威胁、网络侧和主机侧的关联，实现精准攻击链检测，可进行告警、封堵等响应。

事后，通过对路径和全流量的捕获，实现对主机行为、网络行为的全面回溯分析与取证还原。

从而帮助用户优化安全策略、收敛攻击路径、保护重要资产，用安全能力驱动更清晰、更快速的决策，创造更大的安全核心价值。

在安全运营过程中，首先对系统自身的攻击面进行分析，通过资产盘点、脆弱性排查、暴露风险分析，辅以威胁情报数据，对风险排序，并通过漏洞修复、补偿控制、安全加固等手段予以响应，从而持续可视化评估收敛网络攻击面，缓解网络风险。

同时，通过“零信任”先验证再访问的控制，将应用隐藏在访问代理后，进一步缩减攻击面。

在威胁监测与自动响应过程中，通过AI检测、网络检测、主机检测，进行多维度的大数据关联分析，实现精准事件分类、自动化编排，从而提升检测精度加速调查响应。

在策略变更和事件响应阶段，让策略变更全流程自动化，通过策略智能运维，持续满足合规要求并控制安全风险。

流量安全分析的两个实践

下面介绍本方案的两个实践，第一个是通过网络端口流量分析，快速发现勒索病毒等异常流量，确认其影响范围并加以控制。

在政务网、企业内网、校园网等场景，经常会遇到如下问题：当反馈有异常时，如何快速了解网络端口的流量数据？发现攻击、异常、病毒时，如何查询受影响的范围？

本方案提供目标端口数据统计功能，可以在超大流量网络中，实时监控查看TOP10端口的流量详情、构成比例和访问次数，查看其中是否有异常端口，判断网络流量整体情况。

当发现异常的端口流量数据后，可以通过会话分析、流量回溯快速定位受影响的主机，及时响应。

实践价值：快速诊断端口整体情况，定位异常影响范围，大幅加快故障修复、异常处置速度，减少后续损失。

再看另一个案例。某单位的数据中心共有400多台服务器，涉及多个部门、业务、管理人员，管控较混乱。

部署本方案后，首先发现未知应用流量大；其次，在未知应用中，端口22的流量排名靠前，数量超过1万多条。

打开未知流量的会话列表，发现源IP都为X.X.111.24，目的IP遍布全球多个国家，会话连接类型都为半连接。

使用报表中的IP地址功能，查找源IP的流量情况，发现前一天的流量很大，上行流量达3.29G、下行35M、会话数6041万条，明显异常。

针对这一问题，通过进一步检索，发现X.X.111.24是内网的服务器A，但大部分时间该服务器没有数据流量。

综合判断，服务器A对多个国家多个目的IP的TCP端口进行扫描，疑为服务器下线后无人管理，成为僵尸主机。最终对该服务器进行封堵和加固，形成了半自动化的响应闭环。

“零信任+”是一个安全理念，也是一种安全框架。本课程基于“零信任+”的架构和方法，结合实践应用，介绍了满足等保要求的基础上，如何对流量威胁进行综合管控。希望能让各位安全从业者有所收获，在此表示感谢！

欢迎扫描下图二维码进入“网安学堂”小程序，搜索专家姓名“李源”或课程名称“零信任”，在线学习完整课程~