【科讯】数字化时代，公司怎么重构互联网安全信任体系

本篇文章5080字，读完约13分钟

12月26日，tgo鲱鹏会北京年度家宴举行，来自多家公司的ceo、cto、技术负责人等管理者汇聚一堂，共同探讨世界先进技术的想象和未来。 腾讯安全咨询中心负责人陈颔明发表了“如何重建网络安全信任系统”的主题演讲，发表了网络信任系统面临的挑战、重建信任系统的构想、建立信任系统等重要维度

随着现在高科技的迅速落地，数字化成为公司快速发展的核心推动力，但基于边界以前传来的互联网安全架构无法满足公司数字化升级的需要，公司无法满足边界和云

比较如何建立it身份和自然人的信任关系陈颧明提出了重建信任建设系统的新构想。 在他看来，身份和信任系统始终是公司安全建设的短板，信任系统的重构包括识别保护对象、整理依存关系、整理人与资产和账户的绑定关系、统一账户的生命周期管理、强身份认证、无边界访问控制 有必要围绕资产间访问控制等9个重要级别展开，加强多因素认证、无边界访问控制、行为监视和动态许可、数字访问

其中，防护对象的识别是建设信任系统的前提，识别所有数字实体资产(需要细分为数据、服务和接口)，登记、识别唯一的识别id，与自然人的互联网识别id一起，与人和资产

在整个信任系统的建设过程中，保证人与证的形成有很强的相关性，尽量实现双因素认证，根据依存关系，进行访问许可，保证数字实体资产操作的全记录和全监视，实现全要素的安全管理。

最后，陈颔明结合腾讯构建的信任系统结构和能力图，提出了重建路径，包括整理资产全要素和关系、整理信任能力、分析能力差异、整理信任场景、规划场景建设路径、建立信任系统等重要维度。 公司只有理解信任建设的能力目标，根据能力视图、业务优先级规划建设场景的路径，才能按场景、分阶段完成信任整体的能力体系建设。

以下是陈颧明演说的实录。

有这次机会我很高兴，我自己做了20年的新闻安全工作。 我们做新闻安全多年了。 我考虑了一个问题，信任问题。 当然，这是我们新闻安全的核心问题。 我们这里的是技术人员，因为网上的tcp/ip协议是不可靠、不可靠的协议，所以我们说我们有各种各样的安全问题。 例如，刚才主持人说的ddos攻击使用tcp/ip三次握手这一不严格的问题，引起了很多问题，和很多新闻安全问题有信任关系。 由于没有建立信任系统，产生了很多问题。

所以，我们选择了信任这个话题。 第一，现在大家提出零信任或各种信任系统。 特别是今年，在疫情期间，大家可能必须在家庭办公室、远程办公室从家里或周边连接到企业网络。 如何保证信任问题，这个话题今年提出的频率特别高，所以今天谈谈信任。 也就是新闻安全的信任问题。

让我们调查几年前建立的信任系统。 最初我们接触到的信任系统是pki和ca系统，当时各种加密解密、公开密钥、认证中心、认可中心是互联网安全最重要的处理方案。 我记得很多银行开始了这些pki系统，系统异常多而杂乱。 各业务需要注册证明书、发行证、授权、加密等一系列操作。

另外，边界被隔离了。 随着互联网的增加和混合化，大家开始考虑互联网区域的划分和隔离，各互联网区域有信赖关系，低安全级的区域无法访问高安全区域级，划分安全区域，提高互联网的隔离措施

大家对信任的探索一直没有停止。 之后，大家开始想简单的方法，从人开始，管理好人的认证，其实就像我们的现实一样，人去哪里，只要有员工卡或身份证，就可以进去，身份管理系统开始在所有公司逐步推进。 也就是说，公司必须建设基于顾客身份的全生命周期管理，从他进入公司到我进入这个部门到发生在线业务，包括我内部的办公应用程序，必须通过iam系统统一管理 然后发现运输人员和高权限的人很多，开始考虑用ca、堡垒主机管理这些人，银行这样的数据管理者数据太多，权限太大，用特权帐户管理系统管理。

但是随着it高科技最近两年的爆炸性变革，云计算、大数据、微服务框架、应用轻量化包括5g，以前边界的防护系统基本被打破，大家都提倡互联，以前

举实战攻击训练的实例，先我们相关的安全系统已经建立了，但红方攻击队很容易就能突破我们边界的防护措施。 比如公司的vpn，除非你进行双因素认证，否则利用社工库，各种账号的解密方法，它会迅速入侵内部网，进入内部网更可怕的是横向移动。 只要我们说在公司内部防守，南北防护就很严格，特别是很多企业现在都进入云，云虚拟机之间的访问控制基本上容易突破，内部有ad域、堡垒主机、网络管理服务器等账户

为什么呢最重要的核心是身份管理系统还没有建立，很多企业围绕基础设施安全、边界保护、安全区域隔离措施、纵深防御的东西在增加。 但是，在红蓝对抗或高级别攻击对抗场景中存在容易突破的问题。 其中，公司如何使信任系统足够结实，黑客攻击内部系统是利用公司现有的比较弱的身份和账户管理系统欺骗你的认证系统，进入内部网发动攻击。

到今年为止，大家开始提出零信任、sdp、微隔离。 这是最近听到的最多的三句话。 零信任系统提出了核心还是对任何客户、任何设备都不信任，如何建立信任关系，继续建立认证？ 这是因为谷歌以前受到恶意攻击，所有的网络安全措施都无效，然后他们严格了以前传达的安全模式。

零信任今年很受欢迎，但大家不太清楚。 结果他包括那些具体的复印件，怎么构建？ 有那些要素构成吗？ 信任系统的核心是什么？ 为了查明其根源，我也稍微调查了一下信任的定义，给了我很多启发，让大家分享了。 信任一词在社会学中被解释为信任相信对方是诚实可靠的，是诚实的。 此外，信任是交易和交换关系的基础。 信任被视为依赖关系。

信任需要建立关系。 没有具体的关系就不太可靠。 所以，我们会收到诈骗电话诈骗邮件。 通常可以像年轻人一样无视，但老年人不一定。 其实没有建立信任关系的联系，其实是中断了。 一般来说我们在新闻安全管理过程中似乎没有真正考虑这一点。 信任是依赖关系，有关系，有业务关系或有依赖关系是信任的前提。 下面有更重要的概念。 交换过程中的中间信任者需要可靠的证据。 这个证据必须证明你是这个自然人还是你可靠的设备。 这也很重要。

英语trust的定义相信这个身体很好，诚实，还有一个重要的地方。 这件事是安全可靠的。 也就是说，信任不仅要考虑到对人的信任，还要考虑到对正确的资产和行为的信任。 我们所有的实体都说现在都有数字实体这个词，其实这句话很重要。 也就是说，我们以前理解的it资产很简单，所以服务器、终端包括我们的应用程序都可能是这个粒度。 事实上，随着云计算的迅速发展，所有应用程序、服务和应用程序的接口，包括微服务的迅速发展。 这应该属于数字实体。 我们要进行身份管理，就必须考虑所有这些数字实体。

我们说所有数字的实体，腾讯把一个概念称为全要素。 要重建信任系统，必须考虑身份系统的相关关系，即所有要素之间的相关关系和包括所有要素的安全控制系统在内的所有要素身份系统的定义。

当然，我们在it层面应该考虑的问题是将it或数字实体的资源与自然人联系在一起，是密切相关的，这些在考虑重建信任系统方面应该是重要的因素。

我们刚才把字面解释得到的一点启发放入全网络环境，第一要素是自然人，人一定是我们安全管理的核心，人依赖终端，身份id，通过账户，获得认证，操作相应的资产，记录日志和监视 从整体到资产的接入链来看，黑客从哪里开始？ 账户，他会从账户上切断你之前的所有链条。 我直接用你的账户取得认证，进行操作。 如果你跟踪的话就跟踪到账户。 其实你不容易抓住他相关的其他副本。 在整个账户系统和前端不贯通的环境中，我们的跟踪事业基本上失败。 这是我们现在很多网站被黑客攻击，实际上很难追踪，无法抓住来源。 自然人，没有相关it身份和真正的强绑定，所以这里面有几个问题。 比如有些公司共享多个id，一个身体有多个id，账户和自然人没有真正实体的绑定，账户体系不是统一的管理体系，这些都带来这些方面的原因。

认证，在这个过程中还很重要，人和证一定有很强的相关性。 现在有很多人的颜核身，人证核身技术。 我们建议公司的顾客一定要进行账户的双因素认证。 核心是要人和账户体系一定要强绑定或者死绑定，确保你的安全性。

另一个比较严重的问题是，只要攻击者获得内部网的权限，横向移动就几乎顺畅。 这里的问题一般是许可证粒度不足，达不到资源级许可证，流量和行为审计不足，违规操作识别和管制不足，资产之间的访问控制粒度不足。 数字实体全要素资产的操作需要全记录和全监视，腾讯在这方面做得很好，所有应用的操作日志和网络流量都要记录下来，为以后的追溯包括安全的事情进行拆除做好充分的准备。

总体来说，建立完全信任系统，id账户的管理，包括我们自然人和账户的人脸核和认证，之后的实体操作需要完全严格的管理系统，包括权限控制。

之后总结了前面想的点，建立了信任系统，我总结了9点。

第一，识别受保护的对象。 保护对象是指前面提到的所有数字实体的全部要素的资产，识别系统内有多少数字资产，是重要的数字实体，这是必须真正识别的。 以前只有人，或者只有服务器设备、终端和数据库。 但是，在云时代，这种管理的粒度必须细分到数据、服务和应用程序接口。

二是整理关系。 这是前面提到的重点，如果这两个连接在业务上没有充分依赖关系，就不要让它连接。 但是，在实际场景中，连接和访问的关系异常多，安全管理者不知道谁和谁有关系，不知道他们是自由连接的，真的是相互连接的，但作为新闻安全管理者或者新闻管理者，两者之间

三是人、资产、账户强绑定。 有些互联网公司在这方面做得非常好。 作为自然人的员工进入公司有微信。 公司微信有一个唯一的open id。 此外，它与其他应用程序帐户重新相关。 与公司hr的新闻直接相关。 所以，无论最后发生什么事件，包括个人新闻，都可以用open id搜索和查询所有账户。 可以永远追溯到源头。

四是账户的全生命周期管理。 很多公司现在账户体系分散，所以一个公司可能是多个iam系统，还没有穿透后台数据。 在各自的政治中，这里面可能有一个身体多个账户。 而且一个身体在多个不同的iam平台中，在这里管理有很大的问题。

这里强调是下一代iam。 iam是一个比较旧的系统，但是为了适应现在的新it基础设施，现在很多企业发现iam正在升级。 第一把钥匙是那些点吗？ 一个必须支持所有的数字实体。 以前，id管理系统不考虑微服务和api接口。 这些可能在他的考虑范围之外。 因此，现在支持这些。 此外，还有很多认证协议。 我们的认证协议已经五花八门，有各种生物认证技术，需要协议的支持。 而且，常说的原生安全性和现在我要把身份管理变成云服务，就需要这些特征和兼容性。 以前使用ad和ldap对身份数据的管理有所增加，但现在使用开源数据库统一管理整个身份数据。 所以这都是现代iam的典型特征，大家可以考虑在现有的iam系统中如何做一点升级和提高。

第五是强身份认证，这是常说的双因素或多因素认证，其核心目的是使自然人和账号成为强绑定关系。

第六，是无边界的访问控制，现在的互联网环境打破了现有网络的边界、地区保护、本来特别严格的安全域划分，对于自由的访问，无边界的访问控制也是现在的公司必须考虑的新 应用隐藏、单包授权和动态端口、双向加密通信，通过无边界访问控制，实现外部网络应用程序的隐藏，攻击者找不到应用程序时难以受到攻击，防御效果显着。

第七是严格的行为监视和审计。 大家已经开始行为建模，小组和单体建模，之间进行一点比较，做ueba这样的技术研究，特别是建立了不同权限的顾客的正常行为模型，分解违规操作，顾客的行为其实考虑到了正常人，但其茜

第八是持续的动态授权。 根据客户权限的变更，需要进行一点权限的变更。 也就是说，必须利用人工智能进行权限的动态分配。 基于客户行为的监视和审计分解在发现违规和异常操作时实时动态调整权限，及时阻止操作。

第九是如何控制资产之间的访问控制，即数字实体之间的访问，第一是api网关，经由api网关统一认证、许可、访问控制应用之间的访问和呼叫。 也有微隔离技术，其实是在容器上，通过在虚拟主机上进行一点微隔离控制，实现了对物体细微粒度的控制。 这现在是各公司互联网安全的短板。

最后，我们结合这些点完善了腾讯信任系统的架构和能力地图。 事实上，我们一点也做了测试。 包括在线基于系统能力图进行评价，根据该能力图对现有信任系统进行整体自我判断，看看自己在那些行业的一部分现在做了多少，未来的全网信任系统是如何重建或如何

因为时间的关系今天就说这么多。 谢谢你。