【摘 要】网络体系的安全防御策略与部署直接影响整体防护的效果。为了对此有所掌握，本文首先从边界防御、纵深防御以及零信任这三种架构出发，介绍了其特点及局限性，并且总结分析了网络安全体系架构的发展趋势；此外，还展望了未来在安全防范方面可能的创新与发展。

网络信息安全 架构与边界防护 计算可信 主动入侵防范

1 引言

近年来，信息技术飞速发展，尤其是互联网的应用愈发广泛，导致各类网络攻击方式、安全威胁等随之出现，网络安全问题已经变得愈益复杂和严重起来。

众所周知，硬件和软件开发设计过程中都存在漏洞难以避免。而不同的网络攻击方式会持续不断。如果在网络安全建设中缺乏统一的思考和防护措施的话，网络安全工作就会成为一种临时性的应激操作，管理人员需要经常应对不同方向、不同类型无法预知的攻击，多数情况下这些补救措施都是亡羊补牢式的，在发生数据泄露后再去修补为时已晚。为了使网络内的重要信息设施得到保护，有必要建立一个体系性防护框架在发生之前便能够阻止黑客进入系统的可能性。

世界范围内众多国家对网络安全的认知持续增强，政策制定者正积极构建自身的安全防御体系以确保信息的安全。美国政府上台以来就将网络安全视作其国家安全的重要组成部分，并成功地建立了包括威胁认知、防御重点与协调机制在内的网络防御体系四大支柱架构。

为了清晰地展示网络安全架构的发展历程，本文总结了国内外现有的几种重要网络架构：边界防御系统、纵深防御体系以及零信任策略等4个方面，详细介绍了每种架构的特点及它们的各自优势与不足。在此基础上，本研究对未来网络安全架构的主要发展趋势进行了展望和总结分析。

常见的网络架构

国际社会普遍认可安全构架应当是一个持续完善发展的过程，大量的专家和研究人员投入了大量的时间和精力对这一问题进行了深入的研究，并构建了各种动态的安全保障体系模型。其中最有代表性的是边界防护模型、纵深防御模型以及零信任模型和可信计算模型等。

2.1 界限防护结构

“边界防御”于2012年由国内安全企业提出并应用，主要通过在网络安全边界设置一系列设施如代理服务器、网关路由器和防火墙等来监控进入终端的外部程序。一旦发现有恶意代码企图运行，将立即对其进行安全性检测。如此一来，可以最大限度保障本地计算机的安全，常见的4类边界防御技术包括：防火墙系统、多重安全网关系统、网闸系统以及虚拟专用网(VPN)技术。

如图1所示，边界防御架构有助于控制网络边缘对内网的访问，并加强网络安全防范能力。边界防御技术可通过安全鉴定进入内部网络的数据，确保内网信息不外泄，保护内部资源免受泄露风险。由于数据传输需通过边界防护系统进行过滤和筛选，所有未被允许的信息都被拒绝，只允许符合规定标准、权限范围内传送的合法文件才能跨网边缘传递，保障了整个内网系统的整体安全性。此外，边界防御架构能够提供详细的访问记录，便于对网络使用状况以及可疑操作行为进行监控审计。 在部署边界防护系统中，内部网络和外部网络之间的唯一通信通道仅由特定机制搭建，通过这一渠道所有的内网访问情况都会被详细记录下来，并生成日志文件作为后续分析的依据。这样，就可以利用这些日志信息来监督和评估网络安全状态、管理潜在风险及维护有效的安全策略，从而达到监控审计的目的。

边界防御架构的优势主要在于其能在3个关键方面提供高效安全防护。首先，它能迅速识别未知文件的不安全性，一旦这些文件到达网络安全边界，则会触发系统立即对其安全性做出判断，以确保有效且高效的防护体系建立起来。其次，无需安装专门杀毒软件。这种做法能大大减轻传统杀毒软件对系统资源的压力，解放了宝贵的系统资源，并使用户界面更为友好的同时提供了方便的配置选项。最后，可以低成本实现安全防御。由于传统的杀毒软件主要依赖客户端而非服务端，其对客户端的维护成本非常高昂；而边界防御架构只需要在网络安全边界的防火墙等防御机制上做出部署，就可以有效控制外部网络访问内部网络，确保内部网络的安全性。

虽然边界防御系统在网络边缘部署了防护措施来防范网络入侵，但它们的设计考虑到了当时的安全环境局限，因此其功能也有所限制。首先，它无法有效阻止网络内部存在的安全威胁。由于边界防御系统仅在边缘区域部署，且无法阻挡未授权的外部攻击和恶意用户访问内网，从而导致了网络安全风险。其次，边界防护技术无法抵御绕过防御机制的非法入侵行为。这些违规访问通常通过不被察觉的方式进行，包括利用已知漏洞或未知手段，这使得即使边界防护措施失效也能进入网络内部传播病毒，对整体网络安全造成威胁。最后，该架构也无法抵挡数据驱动型攻击。尽管它在保护系统安全方面做出了努力，但它往往难以应对如数据篡改、网络钓鱼等更复杂的新型网络攻击。因此，在当前快速发展的信息化环境中，边界防御系统面临着严峻的挑战和风险，需要持续进行优化升级以应对新的网络安全威胁。

2.2 深度防御框架

由于各种入侵手段形式多样，任何单一的防护手段都无法对抗所有类型的攻击威胁，因此，“纵深防御”这一战略架构应运而生。“深度防御”，即所谓“防卫纵深”策略（Defense in Depth, DI）是指采取多样化的、多层次的防护措施以保障信息系统安全的方法。其主要目标在于，在攻击者成功突破某种防护机制时，还能利用其他防御体系继续提供系统保护能力。

纵深防御系统的基本原则是把网络安全防护措施融合在一起，并针对目标进行部署，以形成多层的防护体系，在相互支持和补救下最大限度地阻断威胁来源，根据美国国防部提出的PDRR（Protection,Detection,Reaction,Recovery）模型中的防护、检测、响应及恢复4道防线，在这些技术框架区域中实施保障机制，从而最大程度降低风险，应对攻击并保护系统的安全。

如图2所示，纵深防御架构并非简单的设备或系统堆积，而是按照特定的结构和合理的配置在各层面上部署各种防护或检测技术以实现对安全态势的全面感知。它通过多方位布防、由点及面、面连体形成一个多层次、立体式的全方位防御体系来维护网络安全。纵深防御架构的主要特点可以概括为以下三点：

多层保护

部署位点主要包含网络基础设施以及数据中心等，我们应当在关键的位置部署多重防护设施以有效降低整个信息系统面临的风险。

第二层防御

在网络层次分明的设计中，在攻击与目标之间建立多重安全防线，每个屏障都能对攻击进行有效防护，并在功能上相互支持。由于网络的多层次结构，采用分层部署防护措施和检测技术形成了层级分明的安全配置，增大了被检测到的机会，私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596大大提高了遭受攻击的成本。

(三)分级防护

根据信息系统各部分的重要性等级，在对应安全强度下配置防护措施，以平衡纵深防御架构建设成本和安全需求之间的关系。

纵深防御架构虽然构建了几道防御屏障来防止攻击，并且在一定程度上减少了对单一安全机制的依赖，但同时仍存在三个方面的限制。

首先，在各个地区中安全设施各自独立，没有一个统一的管理体系。这是因为深度防御模型把人看作核心要素，一旦发现潜在风险，就需要对所有安全措施逐个设置，这增加了管理工作的复杂性。此外，深度防御体系的各个层防御之间的协同机制薄弱，检测手段依赖于规则和黑白名单，对于抱有政治经济目的的专业黑客来说，攻破这种防御系统只是时间问题。

其次，缺乏主动防护技术体系，即没有明确的安全检查和防御流程，即使重点区域都部署了安全检测以及防御措施，也无法自动、及时发现并有效防御潜在的恶意网络行为。随着网络安全状况日新月异，网络攻击手段不断进化，病毒特征频繁更替，若不及时更新升级安全策略，新的攻击威胁就会悄无声息地入侵网络。目前，专门对付纵深防护模式的技术工具已变得极为普及，这些高级网络攻击工具往往可通过各种非法手段获取，导致网络安全防线遭到严重破坏，深陷严峻的安全隐患之中

最后我们应考虑虚拟网络的安全防护。纵深防御架构主要针对的是传统的物理信息系统设计，在面对云数据中心虚拟化的特性时却没有充分考虑到。在虚拟网络运行的现有物理网络之上，其具有边界弹性、生命周期短暂等动态特征。然而，当前的纵深防御模型并没有考虑到虚拟网络安全的问题。

第二部分:零信任架构

“零信任网络结构”是一种全面且端到端的安全网络框架，在注重身份验证、凭证管理、访问权限、操作监控和终端环境的同时，还会关注互联基础设施以及终端设备。美国科技委员会与工业咨询协会（ACT-IAC）于2019年发布报告《当前的零信任安全趋势》，同年，美国国防部国防创新委员会则提出了基于“零信任”的白皮书，强调了零信任网络架构的重要性。

传统意义上的安全保障关注的是网络安全防护系统自身的边界设置，只对授权用户开放过高的访问权限。而零信任的核心理念则是基于身份进行更为精确的粒度管理，以防万一网络环境中未经授权移动的风险日益加剧。零信任的基本理念是，在全新的互联网环境下构建起以身份为基础、业务安全访问及持续的信任评估、以及动态访问控制的安全架构体系。这个体系的主要特色包括：通过身份认证作为基础开展访问控制策略；结合业务安全访问和持续监控技术，进行定期的信任评估工作；同时采用动态访问控制系统来实时限制用户的网络行为。

图三表示零信任网络构想图例。根据图三内容，在零信任网络构想里，身份是网络的基础核心。为了建立起基于身份的访问控制机制而非按照位置来定义的访问控制系统，首先需要给网络上的个人和设备赋予相应的身份，并在运行期间结合识别的人和设备构建出访问主体，并为他们分配最基础的权限。零信任网络架构具备以下三个特色。

（1）安全访问控制。零信任模型着重于构建业务防护面来实现资源的安全保护，在这种架构中，应用、服务、接口与数据都被认定为是业务的实体。对这些业务资产的操作要求其默认情况下隐藏所有服务，只有在基于权限的结果之后才允许最小级别的权限启用。所有服务访问请求都需进行加密处理且强制授权。

（2）持续的信任评估：这是零信任架构从零开始建立信任的关键步骤。基于信任评估模型和计算方法，我们可以提供针对特定用户的可信度评估。此外，我们还需要检查上下文环境中的风险，并识别可能发生的异常行为，以此来调整我们的信任评估结果。

(3) 动态访问控制是零信任架构安全闭环能力的重要体现。通常采用基于角色的权限控制 (RBAC) 和基于属性的权限控制 (ABAC) 可以结合来实现灵活的访问控制基准，根据信任级别来进行分级业务访问管理，并在访问上下文和环境存在风险时进行实时干预评估访问主体的信任度

实现零信任架构的关键在于构建特定的逻辑组件以承载其核心理念：没有人为因素介入，网络内外的所有设备/系统默认不被信任。需要在认证与授权的基础上对访问控制基础进行重构，并摒弃单个IP地址、主机或地理位置作为可信凭证的做法。零信任模式颠覆了传统访问控制体系，引领着安全系统架构从“网络中心化”转变为基于“身份中心化”。其本质是通过身份和环境来实施访问控制，在多个应用领域内均显示出优势。

零信任架构所面临的局限包括：一是集中化的策略管理，二是即时的安全检查，三是精确的授权控制，四是要严格的数据处理能力。

在零信任安全架构中，策略引擎的角色至关重要。它需要确保所有资源访问的权限问题，一旦策略引擎出现故障，将会严重影响业务连续性以及数据安全性，因此开发高可用性的策略引擎成为了下一步研究的重点方向之一。此外，在零信任架构中，实时认证用户行为，并动态调整授权范围也是不可或缺的一部分，这就涉及到策略执行点和策略引擎之间的实时控制与最小化权限精确度的问题。 零信任成熟度的高低很大程度上取决于对收集、分析以及处理相关数据的能力。首先需要从设备、用户、应用的历史行为等各类数据进行全方位收集。然而分散的数据源可能导致数据准确性、完整性、格式化等方面存在严重问题。因此，在确保有效获取及整合各种数据后，需通过高效方法来处理和验证这些数据。 要实现策略引擎的高可用性并解决相关挑战，高效的计算能力是必须的。而要想提高数据处理算法性能同时保持其准确性和精确度，则需要在技术上做出相应的创新与优化。因此，设计一个能够有效收集、整合以及分析所有数据，并能高效地运行策略引擎算法和实现最小权限控制的策略是非常重要的任务。

2.4 确保可信计算的架构

可信计算架构的核心在于基于可信且可靠的设备之上提供给定系统的证据，信任则定义为系统状态被期望的安全性，它需要由位于可信平台模块内的可靠实体提供的关于系统状态的证据来支撑。这种安全性和可靠性是通过称为TCG的国际标准组织发布的可信平台模版规范进行维护和开发的，此外，这个规范还包含了移动可信模块（MTM）、可信多租户基础设施以及可信网络连接这三项特性。

可信平台的一个基本框架包括一个信任根，该根用于衡量系统可靠性，TCG规范中的信任根结合了测量信任根（RTM）、存储信任根（RTS）和报告信任根（RTR）。测量信任根是一个独立的计算平台，在这个平台上可以运行最少指令集以提供完整性矩阵的测量功能。典型私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596的台式机中，测量信任核心根（CRTM）是BIOS的一部分；而基于可靠、独立且自给自足计算设备的存储信任根和报告信任根基于预定义指令集并拥有身份认证和证明能力，这些设备称为可信平台模块（TPM），它们传递信任的基本原理就是如果实体相信台式机中的TPM，则也会信任其测量。可信平台架构如图4所示。

TPM最大的优势在于它能够确保计算机启动的安全性和报告操作的可靠性，在现阶段，可信计算的发展趋势是从可信客户端平台开始，可信客户端平台涉及了一系列广泛的研究和应用领域，主要包含了关键技术、理论基础以及应用3个方面。核心技术指可信计算系统结构、TPM系统结构、密码技术、信任链技术的信任度量等，以及可信软件和可信网络的相关知识。理论基础主要包括可信计算模型、可信性的度量理论、信任链的理论及可信软件理论。在可信计算技术的应用中，最直接的目的就是保证系统的安全性。可信计算技术与产品主要应用在电子商务、电子政务、安全风险管理、数字版权管理以及安全检测和应急响应等领域。

基于TPM目标设计可以为其提供一个平台，然而同时将引发计算机控制权的问题，从而掩盖了其潜在有益的特性，如安全启动、存储加密和管理密钥安全性。目前越来越多电脑中内置有TPM但大多数并未被各自用户启用，且能够为用户提供附加安全性和隐私服务的应用程序相对较少。因此最终用户似乎没有充分理由积极使用TPM以满足安全和隐私要求。

随着对计算机平台的依赖程度日益加强，可信态管理（TMM）将承担起提供更加安全的计算平台的重要角色。与此同时，普通用户也开始意识到启用TPM可能存在的潜在安全性问题。然而，在TPM采用率不断提高的同时，这个标准并未根据技术的发展而发生改变。

安全系统架构的最新发展方向

随着云计算、物联网、移动互联网、人工智能、大数据和区块链等技术的日新月异发展，传统的网络安全体系已经无法满足迅速发展的网络安全要求。此外，在网络领域中，各种新型攻击方式也层出不穷。为了应对这一挑战，近年来国内外出现了多种新的网络安全防护技术作为对传统网络安全体系架构的补充。其中具有代表性的是主动防御技术和态势感知技术。

3.1 模拟攻击技术

多年来，传统的安全防护系统以一个实体为基础，利用网络安全边界作为核心，构建起被动防御体系。这种被动的、静态的安全防范措施难以适应快速变化的网络安全环境，它们的核心功能就如同“传感器”和“探测器”，一旦外网入侵者突破安全防线进入内部网络，其脆弱性的暴露无疑会导致无法有效抵御攻击的被动防御失效。此外，传统的被动防御策略对未知威胁在内部网络内的横向移动缺乏应对手段，并不具备主动清除攻击行为的能力，因此根本无法抵抗持续进化的网络高级威胁。

主动防御技术（Proactive Defense）与被动防御相比拥有预见性及主动性特点，这一理念及技术在国内外政府和学术界引起了广泛关注，并已成为网络安全研究领域的热点方向。其手段主要是主动对攻击行为采取规避性的或欺骗性的防御措施，如猎杀、拒绝服务等，通过对网络动态变化的分析以及运用网络欺骗的技术方法，在攻击发生之前改变对信息系统影响的程度和范围，从而扭转传统被动防御体系所面临的不利局面。

目前主动防御仍然处在研究探索阶段，业界普遍认同美国国土安全部下属研究中心于2016年提出的定义，即处于被动防御与进攻之间的一系列主动性防御措施。相比之下我国主动防御技术理论发展较晚，但相关研究机构和产业界正持续探索新方法，研究成果包括拟态防护技术和“网络空间内置式主动防御”等原型系统，并不断研发商业产品。随着这一领域的产业化逐渐成熟，在国家级网络安全任务中主动防御技术发挥着关键作用，其防御效能明显提升。

第 3 章安全态势感知技术

网络架构中，从设备、网络、数据等层面有效提供了纵深防御手段，但由于现有产品存在彼此间缺乏协同运作问题，无法在采集运行信息以及生成告警事件后关联处理，用户也无法通过大量告警事件来全面掌握网络安全的整体情况。安全态势感知技术旨在展现整个网络安全体系的抵御外部威胁的能力、防护网络脆弱性的能力，以及面对内部攻击时的防止信息外泄的能力，以呈现整体的安全状况

Cyberspace Situational Awareness（CSA）的概念，起源于Tim Bass于1999年的提出，其定义为在大规模网络环境中对引起态势变化的元素进行获取、理解、展示以及预测趋势的能力，以帮助决策和行动。美国自2003年开始研制“爱因斯坦”系统，并在此后的三次迭代中逐渐完善并实施。“爱因斯坦1”依赖于流量分析技术来识别异常活动并提供总体的趋势分析，“爱因斯坦2”采用深度包解析（DPI）技术实现恶意行为的检测，而“爱因斯坦3”在原有基础上结合了网络攻防经验积累，并能实时感知面临的威胁，并迅速采取对策。截止至2019年9月，已有76个联邦民事机构成功实现“爱因斯坦3”计划的基本能力。

近年来，我国高度重视网络安全态势感知技术的发展。在《关键信息基础设施安全保护条例》中明确了“掌握关键信息基础设施的运行状况和安全态势预警通报”，并提出了网络攻击监测与防御策略的研究。此外，在大数据环境下的网络安全态势感知评估方法、基于深度学习的流量分类及异常检测方法、以及网络安全威胁感知关键技术等方面，取得了突破性的研究成果。然而，现有的网络态势感知系统仍面临单一数据源的问题，难以实现落地应用。虽然企业单位已越来越认识到网络安全态势感知技术在发现和预测网络安全风险中的重要性，但安全厂商近年来也陆续推出了包括分析与情报、响应以及安全编排等在内的态势感知系统，并成功应用于政府机构、金融机构、电力公司及教育等领域。随着网络态势感知技术的日益发展，其必将发挥愈来愈重要的作用于网络安全防护中

尾声

随着网络安全防护技术的日新月异及复杂化，其构建成为一个国内外共同研究的重点方向。概括来说，单纯的利用各种安全产品组合并不能构成有效防护体系，更需要结合不同的网络架构以及业务应用固有的特性，将多种安全机制有机融合于一体，形成一套动态、全面且有效的整体防御结构。网络安全防护建设是一项长期而又复杂的技术性工作，随着技术的不断发展和进步，必然会出现新的威胁。因此，在其过程中应该不断加以完善以强化防护体系，方能建立一道坚固的防火墙以保护网络信息安全不受侵犯。

【来源】《保密科学技术》，2022年第08期