零信任体系技术研究
2021-09-11
来源:信息安全与通信保密杂志社
零信任是网络安全中一种不断发展的技术,它将网络安全防御从静态、基于网络边界的防护转移到关注用户、资产和资源保护。零信任体系采用零信任技术来建设企业基础设施和规划企业工作流程。零信任假定企业资产或用户不存在基于物理和网络位置的隐式信任。用户、设备的身份验证和授权操作是在与企业资源建立会话之前执行的不连续功能。零信任是对企业网络安全发展趋势的一种积极响应,它关注于用户的资源保护,而不是用户的网段保护,网络位置不再被视为资源安全状态的主要因素。美国国家标准与技术研究院给出了零信任和零信任体系的定义、遵循的原则,介绍了零信任体系的逻辑组件和处理方法的变化,分析了零信任体系的安全威胁,可以为我国广大企事业单位内部网络的升级改造提供参考,为我国网络安全事业发展提供支撑。
引 言
当前,各企事业单位的网络基础设施已经变得越来越复杂。企业不仅存在多个内部网络,还存在通过远程连接本地网络基础设施的远程办公室、移动用户以及云服务。这种复杂性已经超越了传统基于网络边界防护的安全方法,因为企业已经没有简单、容易识别的网络边界。传统基于边界的网络安全防护逐渐被证明是不够的,局限性正日益凸显,一旦攻击者突破企业网络边界防护,便可以在内部网络中进一步横向移动进行攻击破坏,不受阻碍和控制。
上述网络基础设施的复杂性促进了网络安全原则和安全模型的创新与发展,“零信任”。
零信任(Zero Trust,ZT)技术应运而生。零信任技术从重点关注企业数据资源的保护,逐渐扩展到对企业的设备、基础设施和用户等所有网络资源的保护。零信任安全模型假设攻击者可能出现在企业内部网络,企业内部网络基础设施与其它外部网络一样,面临同样的安全威胁,也容易受到攻击破坏,并不具有更高的可信度。在这种情况下,企业必须不断地分析和评估其内部网络和业务功能面临的安全风险,提升网络安全防护能力来降低风险。在零信任中,通常涉及将数据、计算和应用程序等网络资源的访问权限最小化,只对那些必须用户和资产开启访问权限进行授权访问,并持续对每个访问请求者的身份和安全状态进行身份验证和授权。
零信任体系(Zero Trust System,ZTS)是一种基于零信任原则建立的企业网络安全策略,旨在防止企业内部数据泄露,限制内部攻击者横向移动和攻击破坏。本文将给出零信任和零信任体系的定义,遵循的原则,讨论零信任体系的组成,分析处理方法的变化和面临的安全威胁。
01
零信任基础
“零信任”是一种以资源保护为核心的网络安全模式,其前提是信任从不被隐式授予,而是必须持续评估。“零信任体系”是一种企业资源和数据安全端到端的保护方法,包含人和非人实体的身份标识、认证信息、访问管理、操作运维、端点管控、运行环境和互连基础设施等内容。最初的重点是将企业资源访问权限控制在那些执行任务必须的最小用户范围内。传统企业主要关注网络边界防护,用户只要通过边界身份验证,就有权访问企业整个网内资源。因此,网络内部未经授权的横向移动和攻击破坏一直是广大企事业单位面临的最大挑战之一。尽管企业网络边界防设备提供了强大的网络边界保护功能,有效阻止了来自网络外部的攻击者,但是在检测和阻止来自网络内部的攻击方面显得力不从心,更无法有效保护远程工作者、基于云的外围用户。
1.1 零信任和零信任体系定义
零信任提供了一组概念和设计思想,旨在减少在信息系统和服务中实施快速、准确访问决策的不确定性。零信任体系是利用零信任概念建立的网络安全计划,包含组件关系、工作流程规划和访问策略等内容。因此,零信任企业的网络基础设施和操作策略,是企业零信任体系计划的执行结果。企业决定采用零信任作为网络安全基础,并按照零信任原则制定计划,形成零信任体系。然后执行此计划以部署企业中使用的零信任环境。
这个定义的关键是防止对数据和服务未经授权的访问,同时使访问控制执行尽可能细粒度。也就是说,允许授权和批准的用户访问企业数据,而对所有攻击者、非授权用户拒绝提供服务。更进一步说,可以用“资源”这个词代替“数据”,因此零信任和零信任体系是关于资源访问的,而不仅仅是数据访问。为了减少不确定性,重点关注于身份认证、授权和收缩隐式信任区域,缩短身份验证机制中的时间延迟。访问规则被限制为最少的特权,并且尽可能细化。
在图1所示的抽象访问模型中,用户或机器需要访问企业资源。通过策略决策点(Policy Decision Point, PDP)和相应的策略执行点(Policy enforcement Point,PEP)授予访问权限。
图片
图1 零信任访问模型
零信任系统中必须确保用户身份是真实的,请求是有效的。PDP/PEP通过适当的判断,才允许企业主体访问资源。这意味着零信任适用于两个基本领域:身份认证和授权。用户对这个惟一请求的身份信任程度是多少?在对用户身份的信任程度给定的情况下,是否允许该用户访问企业资源?用于请求的设备是否具有适当的安全状态?是否有其他因素需要考虑,并改变信任水平?例如用户访问时间、所处位置、安全状态等等。总的来说,企业需要为资源的访问开发和维护基于风险的动态安全策略,并建立一个系统来确保这些安全策略被正确和严格地执行。因此,企业不应该依赖于隐式的可信,无论什么用户只要符合访问资源的身份验证标准,所有访问资源的请求都应视为同等有效。
“隐式信任区域”表示所有实体至少被信任到最后一个PDP/PEP网关级别的区域。例如,火车站的乘客筛选模型。所有乘客通过火车站进站安全检查(PDP/PEP),进入候车室。旅客在候车室里转悠,所有被放行的旅客都被认为是可信的。在这个模型中,隐式信任区域就是候车室。
PDP/PEP应用一组控件,以便PEP之外的所有通信都具有公共的信任级别。PDP/PEP应该有超出其通信控制范围的其他策略。为了让PDP/PEP尽可能的具体,隐式信任区域必须尽可能的小。
零信任是围绕PDP/PEP对资源保护提供的一套原则和概念,尽可能将PDP/PEP设置到距离企业资源更近的位置。目的是更明确地对构成企业的所有用户、设备、应用程序和工作流程进行身份验证和授权控制。
1.2 零信任原则
(1)所有数据源和计算服务都被视为资源。一个网络可以由多种不同的设备组成。它们将数据发送到企业的交换机、路由器、存储器和服务器,控制执行器的系统以及其他功能部件。此外,如果个人拥有能够访问企业资源的设备,也应当将这些设备划归企业资源进行管理。
(2)无论网络位置如何,所有通信都应该是安全的。网络位置并不意味着信任。位于企业网络基础设施上的所有资产,包括传统网络边界范围内的资产,其访问请求都必须与来自外部网络的访问请求和通信满足相同的安全策略。换句话说,不应因设备位于企业网络边界范围内而自动授予信任。所有通信都应该以最安全的方式进行,保护其机密性和完整性,并提供源身份验证。
(3)对单个企业资源的访问是在每个会话的基础上授予的。在授予访问权限之前,将评估对请求者的信任。对于一个特定的操作,只意味着“以前某个时候”可信,而不会在启动会话或使用资源执行操作之前直接授权访问。同样,对一个资源的身份验证和授权也不会自动授予对另一个资源的访问权。
(4)对资源的访问由动态策略决定,包括客户端标识、应用程序和请求资产的可见状态,以及其他行为属性。通过定义它拥有什么资源、它的成员是谁,以及这些成员需要什么资源访问权来保护资源。对于零信任,客户端标识包括用户帐户和该帐户关联的属性,以自动进行身份验证任务。请求资产状态包括设备特征,如已安装的软件版本、网络位置、请求的时间/日期、以前观察到的行为和已安装的凭据。行为属性包括自动用户分析、设备分析和从观察到的使用模式的测量偏差。策略是一组基于组织分配给用户、数据资产或应用程序的属性的访问规则。这些规则和属性是基于业务流程的需求和可接受的风险级别。资源访问和操作权限策略可以根据资源/数据的敏感性而变化。
(5)企业确保所拥有的资产和相关的设备均处于最安全的状态,并持续监控以确保资产处于最安全的状态。没有设备天生就值得信任。这里,“最安全状态”是指设备处于符合实际的最安全状态,设备仍然可以执行任务所需的操作。实现零信任体系的企业应该建立一个持续诊断和缓解系统来监控设备和应用程序的安全状态,并根据需要应用补丁/修复程序。
(6)所有资源的身份验证和授权都是动态的,并且在允许访问之前必须严格执行。这是一个不断循环的过程,包括获取访问、扫描和评估威胁、调整和不断重新评估正在进行的通信中的信任。实现零信任体系的企业应该具备身份、凭证和访问管理以及资产管理等系统。这包括使用多因子身份验证访问部分或全部企业资源。根据策略的定义和执行,在整个用户交互过程中不断重新进行身份验证和授权的监控,以努力实现安全性、可用性、易用性和成本效率之间的平衡。
(7)企业尽可能多地收集网络基础设施和通信系统当前的状态信息,以提升其网络安全状况。企业应该收集关于网络流量和访问请求的数据,用于改进策略的创建和执行。这些数据还可用于为来自实体的访问请求提供上下文信息。
02
零信任体系的组成
2.1 核心逻辑组件
在企业中,构成零信任体系的逻辑组件很多,最核心的还是策略决策点和策略执行点这个两个组件。这些组件可以通过本地服务或远程服务的方式来操作,组件之间的相互关系如图2。从图中可以看出,策略决策点被分解为两个逻辑组件:策略引擎(Policy Engine,PE)和策略管理员(Policy Administrator,PA)。零信任体系逻辑组件之间通过一个单独的控制平面进行通信,而应用程序数据则在一个数据平面上进行通信。
图片
图2 零信任核心逻辑组件
(1)策略引擎:该组件负责最终决策授予给定实体对资源的访问权限。PE使用企业策略和外部来源的输入作为信任算法的输入来授予、拒绝或撤销对资源的访问权。决策引擎与策略管理员组件配对。策略引擎制定并记录决策,策略管理员执行决策。
(2)策略管理员:该组件负责建立或关闭实体与资源之间的通信路径。它将生成客户端用来访问企业资源的任何身份验证和身份验证令牌或凭据。它与PE紧密相关,并取决于其最终允许或拒绝会话的决定。
(3)策略执行点:该系统负责启动,监控和终止实体与企业资源之间的连接。这是零信任体系中的单个逻辑组件,但是可以分为两个不同的组件:客户端的代理组件和资源侧的资源访问控制组件,或者充当网络接入控制的单个门户组件。PEP之外是承载企业资源的隐式信任区。
2.2 辅助系统
除了实现零信任体系的核心逻辑组件之外,还有几个数据源产生的辅助系统,他们将数据源提供给策略引擎作为访问决策的输入和策略规则。包括以下本地数据源以及外部数据源:
(1)持续诊断和缓解系统:该系统将收集企业资产当前的状态信息,并将其更新应用于配置和软件组件。企业持续诊断和缓解系统向策略引擎提供有关发出访问请求的资产信息,例如它是否正在运行适当的修补过的操作系统和应用程序,或者资产是否有任何已知漏洞。
(2)威胁情报系统:它提供来自内部或外部的信息,帮助策略引擎做出访问决策。这些服务可以是多个服务,他们从内部和/或多个外部源获取数据,并提供关于新发现的攻击或漏洞的信息。这还包括黑名单、新识别的恶意软件,以及对策略引擎想要拒绝企业资产访问的其他资产的攻击报告。
(3)数据访问策略:这是有关访问企业资源的属性,规则和策略。这组规则可以在策略引擎中编码或由策略引擎动态生成。这些策略是授权访问资源的起点,它为企业资产和应用程序提供了基本的访问权限。这些策略应该基于任务角色和组织需求来确定。
(4)公钥基础设施:该系统负责为企业资源、实体和应用程序颁发证书并对其进行日志记录。
(5)身份标识管理系统:负责创建、存储和管理企业用户帐户和标识记录,并利用轻量级目录访问协议服务器来发布。该系统包含用户姓名、电子邮件地址、证书等必要的用户信息,以及用户角色、访问属性和分配的资产等其他企业特征。身份标识管理系统经常通过公钥基础设施来处理与用户帐户相关的工作。
(6)网络活动日志系统:这是一个企业系统,它聚合了资产日志、网络流量、资源访问操作和其他事件,这些事件对企业信息系统的安全状态提供实时(或近似实时)反馈。
(7)安全信息和事件监控系统:它收集以安全为中心的信息,供以后分析。将这些数据用于优化策略,并警告对企业资产的可能攻击。
2.3 零信任算法
对于部署了零信任系统的企业,可以将策略引擎视为大脑,将策略引擎的信任算法视为主要的思想过程。信任算法是策略引擎用来最终授予或拒绝访问某个资源的过程。策略引擎从多个来源获取输入:策略数据库,其中包含关于用户、用户属性和角色、历史用户行为模式、威胁情报来源和其他元数据来源的信息,如图3所示。
图片
图3 零信任算法输入
在图2中,可以根据为零信任算法提供的内容不同,将输入分为不同的类别。
(1)访问请求:这是来自实体的实际请求。被请求的资源是被使用的主要信息,但是也使用关于请求者的信息。这可能包括操作系统版本、使用的应用程序和补丁级别。根据这些因素和资产安全状况,对资产的访问可能受到限制或拒绝。
(2)用户数据库:包括用户标识、属性和特权等,表明这是“谁”在请求访问资源。这是企业或协作者的用户集和分配的用户属性/特权集。这些用户和属性是构成资源访问策略的基础。用户身份可以包括逻辑身份和策略执行点执行身份验证检查的结果。身份的属性包括时间和地理位置等,这些属性可用于获得信任水平。授予多个用户的一组特权可以被认为是一个角色,应该在单个的基础上将特权分配给一个用户,而不仅仅是因为它们可能适合某个特定的角色。此集合应该编码并存储在ID管理系统和策略数据库中。这还可能包括一些信任算法变量中关于过去观察到的用户行为的数据。
(3)系统数据库:包含资产数据和每个企业拥有的物理和虚拟资产的已知状态。这与发出请求的资产的可观察状态相比较,可以包括操作系统版本、使用的应用程序、网络地理位置和补丁级别。根据与此数据库相比较的资产状态,对资产的访问可能受到限制或拒绝。
(4)资源访问需求:这组策略补充了用户身份标识和属性数据库,并定义了对资源访问的最低需求。需求可能包括认证者保证级别,如多因子认证网络位置、数据敏感性和资产配置请求。这些要求应由数据保管人和负责利用数据的业务流程的人员共同制定。
(5)安全威胁情报:这是一个或多个关于一般威胁和在互联网上活动的恶意软件的信息源。这些信息可以是外部服务或内部扫描发现,还可以包括攻击签名和缓解措施。这是最有可能由服务而不是企业控制的惟一组件。
每个数据源的重要性权重可以是专有算法,也可以由企业配置。这些权重值可以用来反映数据源对企业的重要性。最后的决定被传递给策略管理员执行。策略管理员的工作是配置必要的策略执行点以启用授权通信。根据零信任体系的部署方式,这可能涉及将身份验证结果和连接配置信息发送到网关和代理或资源门户。策略管理员还可以在通信会话上放置一个保持或暂停,以便根据策略需求重新验证和重新授权连接。策略管理员还负责根据策略发出终止连接的命令。
03
零信任体系处理方法的变化
3.1 加强身份管理
加强身份管理的ZTS方法将参与者的身份作为策略创建的关键组件。如果没有请求访问企业资源的实体,就不需要创建访问策略。对于这种方法,企业资源访问策略基于标识和分配的属性。对资源访问的主要需求是基于授予给定实体的访问特权。其他因素,诸如使用的设备、资产状态和环境因素,都可能会改变最终的信任水平计算或最终访问授权,甚至以某种方式调整结果。私有资源或保护资源的PEP组件必须具有将实体请求转发到策略引擎服务的方法,或者在授予访问权之前对实体进行身份验证并批准请求。
3.2 使用微分段保护
企业可以将单个或群组资源放置在由网关安全组件保护的自身网段上来实现零信任体系。这种方法,企业将网关设备作为PEP来保护每个资源或资源组。这些网关设备动态授权来自客户端资产的访问请求。根据模型不同,网关可以是唯一的PEP组件,也可以是由网关和客户端代理组成的多部分PEP的一部分。
此方法适用于各种用例和部署模型,因为保护设备充当PEP,而管理设备充当PE/PA组件。这种方法需要身份管理程序来完全发挥作用,并依赖于网关组件充当PEP,保护资源免受未经授权的访问或发现。
这种方法的关键在于,PEP组件是受管理的,并且应能根据需要及时做出反应和重新配置,以快速响应工作流中的威胁或更改。通过使用一般的网关设备甚至无状态防火墙就可以实现微分段企业的某些功能,但是管理成本与快速响应之间存在矛盾,往往难以平衡。
3.3 使用网络基础设施和软件定义边界
第三种方法使用网络基础设施来实现零信任体系。零信任的实现可以通过使用覆盖网络来实现。这些方法有时被称为软件定义边界方法,经常包括来自软件定义网络和基于意图的网络概念。在这种方法中,PA充当网络控制器,根据PE做出的决策设置和重新配置网络。客户端继续通过由PA组件管理的PEP请求访问。
当该方法在应用网络层实现时,最常见的部署模型是代理/网关。在此场景中,代理和资源网关建立用于客户端和资源之间通信的安全通道。
04
零信任体系面临的安全威胁
尽管基于零信任体系的网络比传统网络安全得多,但是任何企业都无法消除网络安全风险。当零信任体系与现有的网络安全政策和指导、身份认证和访问管理、持续监控等相辅相成时,零信任体系就可以降低企业网络的整体安全风险并防范常规威胁和攻击。然而,在实现零信任体系过程中,一些安全威胁还是客观存在,并具有独特性。
4.1 零信任体系决策过程的颠覆威胁
在零信任体系中,策略决策点是整个企业的关键组件。企业资源之间不发生通信,除非得到策略决策点的批准和配置许可。这意味着必须正确配置和维护这些组件。任何具有策略引擎规则的配置访问权限的企业管理员都可能执行未经批准的更改或犯可能破坏企业操作的错误。同样,一个被破坏的策略管理员可以允许访问那些不被批准的资源。降低相关风险意味着必须正确配置和监管策略决策点组件,并且必须记录任何配置更改并进行审计。
4.2 拒绝服务或网络中断威胁
在ZTS中,策略管理员是资源访问的关键组件。如果没有策略管理员的许可和配置操作,企业资源之间不能相互连接。如果攻击者中断或拒绝访问策略执行点或策略管理员,它可以对企业的产生经营产生不利影响。企业可以通过将策略强制驻留在云中或根据网络弹性指南复制到多个位置来减轻这种威胁。
这虽然降低了风险,但并没有消除风险。僵尸网络会对关键的服务提供商发起大规模拒绝服务(Denial Of Service,DoS)攻击,并扰乱网上用户的服务。攻击者也有可能拦截并阻止来自企业内部分用户帐户到策略执行点或策略管理员的流量。在这种情况下,只有一部分企业用户受到影响。这在传统的基于虚拟专用网(Virtual Private Network,VPN )的访问中也是可能的,而且也不是ZTS所独有的。
主机提供商也可能会不小心将基于云的策略引擎或策略管理员脱机。云服务在过去经历过中断,无论是作为服务的基础设施还是服务器。如果策略决策点组件从网络上变得不可访问,则操作错误可能会阻止整个企业运行。
4.3 证书被盗/内部威胁
正确实现的ZT、信息安全和弹性策略以及最佳实践降低了攻击者通过窃取凭证或内部攻击获得广泛访问权限的风险。基于网络位置的无隐式信任的ZT原则,意味着攻击者需要破坏现有的帐户或设备才能在企业中立足。正确实现的ZTS应该能够防止被破坏的帐户或资产访问正常权限或访问模式之外的资源。因此,攻击者感兴趣的帐户将成为主要的攻击目标。
攻击者可能使用网络钓鱼、社会工程或联合攻击来获取有价值的帐户凭证。根据攻击者的动机,“有价值”可能意味着不同的东西。企业管理员帐户可能很有价值,但是对财务收益感兴趣的攻击者可能会考虑具有同等价值的财务或支付资源访问权的帐户。为网络访问而实现多因子认证可能会降低被破坏帐户的访问风险。然而,与传统企业一样,具有有效凭证的攻击者仍然能够访问已授权户访问的资源。攻击者或受攻击的员工拥有有效人力资源员工的凭据和企业拥有的资产,仍然可以访问员工数据库。
ZTS增强了对这种攻击的抵抗力,并防止任何被破坏帐户或资产在网络中横向移动进行攻击破坏。如果被破坏的凭据没有被授权访问特定的资源,它们将继续被拒绝访问该资源。此外,上下文信任算法比传统的基于边界的网络更有可能检测并快速响应这种攻击。上下文信任算法可以检测不正常行为的访问模式,并拒绝对敏感资源的已泄露帐户或内部威胁访问。
4.4 网络可见性威胁
所有流量都被检查并记录到网络上,并进行分析,以识别和应对针对企业的潜在攻击。但是,正如前面提到的,企业网络上的一些流量对于传统的第3层网络分析工具来说可能是不透明的。这些流量可能来自于非企业拥有的资产或抵抗被动监控的应用程序。企业不能对数据包进行深度检查或分析加密流量,必须使用其他方法来评估网络上可能的攻击者。
这并不意味着企业无法分析它在网络上看到的加密流量。企业可以收集关于加密通信的元数据,并使用这些元数据检测活跃的攻击者或网络上可能的恶意软件。机器学习技术可以用来分析无法解密和检查的通信数据。使用这种类型的机器学习将允许企业将流量分类为有效的或可能恶意的,并可进行补救。在ZTS部署中,只需要以这种方式检查来自非企业资产的流量,因为所有企业流量都要通过PEP由策略管理员进行分析。
4.5 网络信息的存储威胁
对企业网络流量分析的一个相关威胁是分析组件本身。如果存储网络流量和元数据是为了构建上下文策略、取证或后续分析,那么这些数据就会成为攻击者的目标。就像网络图、配置文件和其他分类的网络体系结构文档一样,这些资源也应该受到保护。如果攻击者能够成功地访问存储的流量信息,他们就能够深入了解网络体系结构并识别资产,以便进行进一步的侦察和攻击。零信任企业中,攻击者侦察信息的另一个来源是用于编码访问策略的管理工具。与存储的通信流一样,此组件包含对资源的访问策略,可以向攻击者提供关于哪些帐户最有价值进行攻击的信息。
对于所有有价值的企业数据,应该有足够的保护措施来防止未经授权的访问和访问尝试。由于这些资源对安全性至关重要,因此它们应该具有最严格的访问策略,并且只能从指定的或专用的管理员帐户访问。
4.6 对专有数据格式的依赖威胁
零信任体系依赖于多种不同的数据源来进行访问决策,包括请求用户信息、使用的资产、企业和外部情报以及威胁分析的信息。通常,用于存储和处理这些信息的资产在如何交互和交换信息方面没有一个通用的、开放的标准。这可能导致企业由于互操作性问题而被锁定在提供者的子集中。如果一个提供者有安全问题或中断,企业可能无法迁移到一个新的提供者,除非付出极大的代价或经历一个很长的转换程序。与DoS攻击一样,这种风险并非零信任体系所独有,但由于零信任体系严重依赖于信息的动态访问,中断可能会影响企业的核心业务功能。为了降低相关风险,企业应该综合考虑供应商安全控制、企业转换成本和供应链风险管理等因素,对服务供应商进行评估。
4.7 在零信任体系管理中使用非人实体威胁
人工智能和其他基于软件的代理被部署来管理企业网络上的安全问题。这些组件需要与零信任体系中的策略引擎、策略管理组件进行交互,有时需要代替人工管理员。在实现零信任体系的企业中,这些组件如何对自己进行身份验证是一个有待解决的问题。假设大多数自动化系统在使用到资源组件的应用编程接口(Application Programming Interface,API)时都会使用一些方法来进行身份验证。
当使用自动化技术进行配置和策略执行时,最大的风险是误报和误报的可能性。这可以通过定期的调整分析来减少,以纠正错误的决策和改进决策过程。
相关的风险是,攻击者将能够诱导或强制非个人实体执行一些攻击者无权执行的任务。与人工用户相比,软件代理执行管理或安全相关任务的身份验证的门槛可能更低。如果攻击者可以与代理交互,那么从理论上讲,他们可以欺骗代理允许攻击者进行更大的访问,或者代表攻击者执行一些任务。还有一种风险是,攻击者可能获得对软件代理凭证的访问权,并在执行任务时模拟代理。
05
结 语
本文介绍了美国国家标准与技术研究院关于零信任和零信任体系的定义,分析了零信任体系与传统边界防护之间的差异,提出了零信任体系应遵循的原则,介绍了零信任体系的组成和核心逻辑组件,研究分析了零信任体系下企业网络面临的安全威胁。上述研究成果将为我国党政机关、企事业单位、科研院所等用户内部网络的安全性设计和建设提供有力的参考。