密信零信任安全解決方案簡介無簽名不信任、無加密不信任、無時戳不信任、始終驗證簽名！

一、零信任和零信任安全簡介

“零信任”這個概念，由時任Forrester研究公司的首席分析師約翰·金德維格(John Kindervag) 於2010年提出來的，核心理念是所有人和物都是不可信的，需要對其訪問任何資源的任何請求進行信任管理和安全控制。現在，各大安全廠商都已經推出了各自的零信任安全解決方案，美國國家標準研究院也於2020年8月發佈了SP 800-207 《零信任構架》的指導檔，給出了零信任架構(ZTA)的定義，並給出了零信任可以改善企業整體資訊技術安全狀況的常規部署模型和用例。而隨著保護業務系統和資料的壓力越來越大，並且攻擊變得越來越複雜，企業CIO，CISO和其他高管正在越來越多地認同零信任的概念並實施零信任安全解決方案，以便更有效地適應複雜的網路環境、支援移動辦公和保護位於任何位置的使用者、設備、應用和資料。

所謂“零信任”，通俗點講就是不信任任何人和物。零信任是一個安全概念，並沒有固定的某項技術，其核心思想是組織不應自動信任其邊界之內或之外的任何人和物，必須在授予存取權限之前驗證試圖連接到各種系統的所有人和物。零信任模型從根本上遏制了城堡和護城河的舊思想，因為雲計算和移動辦公等新技術得到了廣泛應用，城堡和護城河保護方法已經行不通了。應該始終假設網路充滿威脅，外部和內部威脅每時每刻都充斥著網路，不能僅僅依靠網路位置來建立信任關係，所有設備、使用者和網路流量都應該被認證和授權才能訪問各種系統。

但是，目前市場上零信任安全解決方案普遍存在如下三個方面的問題：

只強調身份認證和存取控制的重要。需要複雜的動態持續的信任評估和對存取權限的動態調整，這是因為不知道誰是壞人，只能靠福爾摩斯式的不斷甄別，不僅效率太低且容易判斷失誤，而且搞得系統非常複雜難於管理。
忘了零信任安全的最終目的是什麼。任何安全方案的最終目的是為了保護資料，零信任安全也是一樣，是為了讓“正確的人”訪問“正確的伺服器”，獲取“正確的資料”。
忘了什麼技術才是解決信任問題的關鍵技術！什麼技術才能有效保護資料安全！當然是PKI(公開金鑰基礎設施)技術，PKI技術就是為了解決網路信任問題而生！為了解決資料安全問題而生！PKI技術徹底解決了(1)資料的機密性(Privacy); (2)資料生產和使用方的身份真實性(Authentication); (3)資料的完整性(Integrity); (4)資料生成行為和使用行為的不可否認性(Non-repudiation)等四大令人頭痛(PAIN)的資料安全問題。PKI技術的典型應用是數位簽章、加密和時間戳記。

密信技術擁有超過15年的PKI技術產品研發和應用服務經驗，並建設了密信雲密碼基礎設施，賦能用戶端軟體-密信App實現全自動郵件加密和文檔數位簽章。同時，密信技術開放雲密碼基礎設施，提供雲密碼服務，把密碼能力變成雲計算的一種資源服務賦能所有用戶端軟體和互聯網應用，讓所有軟體發展商和互聯網服務商無需重複投資建設密碼基礎設施，而是根據自己的應用需要按需選購密碼服務，快速運用密碼能力助力業務安全可靠運行。

密信技術在此基礎上根據使用者對零信任架構的需求提出了自己的基於PKI技術和雲密碼服務的零信任安全解決方案，與傳統網路安全廠商的零信任安全解決方案不同的是，傳統安全廠商還是側重于防護，而我們的解決方案則是側重于解決信任問題和直接保護被防護的最終目的地—資料。我們認為：PKI技術是解決信任問題和保護資料安全的最有效和最高效的可靠技術。依據《密碼法》對密碼的定義— “密碼是指採用特定變換的方法對資訊等進行加密保護、安全認證的技術、產品和服務。” ，採用密碼技術實現對使用者的安全認證和對資訊進行加密保護，就能解決零信任想要解決的問題，同時也能滿足使用者的《密碼法》合規需求。

二、密信零信任安全解決方案簡介密信零信任安全解決方案詳情 >

1. 四大基本原則

第一，密信零信任安全解決方案不是要取代現有的各種網路安全解決方案和丟棄現有的各種網路安全防護設備和系統，而是在現有的網路安全防護設備和防護系統上規劃和實施零信任安全解決方案，改造現有安全防護系統逐步支援零信任安全。零信任安全不是目的，保護資料資產和確保資料安全才是目的。零信任安全不僅適合於互聯網安全，而且適合於物聯網安全、車聯網安全、工業互聯網安全。零信任架構最終將成為行業標準配置，這意味著每個組織都在零信任旅程中，而網路安全實際上一直在通往零信任安全方向不斷發展中!

第二，零信任安全體系建設並無標準流程，組織需要根據自身業務安全需求選擇合適的技術方案和建設方案。零信任安全體系建設不可能一蹴而就，組織需要根據現有的安全基礎設施做出按部署實施的規劃，在某個技術措施充分測試後逐步實施。零信任安全體系建設需要組織各個部門的參與和配合，需要建立一個自上而下的專案管理機制，促進專案順利推進實施。

第三，零信任安全的根本任務是保護資料不會被非法獲取，不相信任何人和物，無論人和物在何處！網路安全的未來發展方向是徹底解決信任問題，而不是提升防護能力，網路因信任而安全！網路安全的任務是為了保護資料，資料因加密而安全。

第四，密信零信任安全解決方案全面採用PKI技術實現強身份認證、數位簽章、加密和時間戳記，我們不信任沒有數位簽章的身份、不信任沒有數位簽章的資料、不信任沒有加密的資料、不信任沒有時間戳記的時間、不信任沒有位置戳的位置資訊。

密信零信任安全解決方案可以總結為四句短語：無簽名不信任、無加密不信任、無時戳不信任、始終驗證簽名。也就是：只信任有數位簽章的身份(人/物/資料)、每次訪問所需資源必須出示數位身份並驗證、所有資料都用證書加密，用有權使用者的證書加密，只有有權訪問者才能解密、所有資料都應該有時間戳記。

2. 解決方案簡介

密信零信任安全解決方案基於PKI技術，依託已經建設的密信雲密碼基礎設施和已經提供的密信雲密碼服務，為使用者提供可靠的零信任安全，不僅解決信任問題，最重要的是解決所有安全方案的目的地—資料安全問題，用數位簽章和加密來保護資料安全。如下圖所示，密信零信任安全解決方案主要有三個部分組成：統一身份認證系統、安全性原則執行系統和密碼服務系統，而密碼服務系統主要由CA證書系統、金鑰管理(KM)系統、時間戳記系統和資料加密服務系統(包括數位簽章服務)組成。

無論是人和物(包括終端設備、網路設備、伺服器、物體、工業設備、車輛等等)，每個個體都必須有兩張數位憑證(簽章憑證和加密證書)，由CA系統和KM系統共同為個體簽發數位憑證，用於證明自己的數字身份和用於資料加密。這個是密信零信任安全解決方案的核心，也是目前同其他零信任安全方案不同之處，我們的方案是每個個體都要通過實名認證而獲得可信數位身份，而不是匿名方式的不可信身份，使得後面的身份認證系統和安全性原則執行系統變得很簡單了，也使得信任管理更簡單。

每個個體都有數位身份，可根據業務需要把人和物分成不同級別的身份而簽發不同認證級別的簽章憑證，這同現實世界的不同的應用場景使用不同的證件一樣。人或物如果需要訪問資料資源，則需要出示相應的簽章憑證來證明自己的身份，身份認證系統通過驗證使用者的數位簽章而識別其身份是否可信，如果不可信，則直接通不過。如果可信，則由安全性原則執行系統來判斷使用者是否能訪問所請求的資源。組織必須根據業務需要制定不同的安全性原則，如不同身份認證級別的使用者可以訪問不同的資料資源，制定好安全性原則後，就可以由安全性原則執行系統來控制使用者能訪問哪些資源了。當然，前提是用戶能通過可信身份認證。

第三個重要的系統是資料加密服務系統，許多零信任安全方案並沒有這塊，我們認為這塊非常重要，因為任何安全方案的最終目的是為了保護資料，零信任安全也是一樣。資料加密服務系統由數位簽章系統、加密系統和時間戳記系統構成，為資料提供數位簽章服務來證明資料的所有者身份、資料的生產者身份，為資料提供加密服務，資料只有是密文才會讓資料失去被盜的價值，才會讓安全防護系統更簡單。還為資料提供時間戳記服務，來證明資料生產時間，這對於需要事後審計和驗證的應用場景非常重要。

簡單來講，密信零信任安全解決方案是基於PKI技術的身份認證和資料加密解決方案，類似于現實世界的實名乘坐飛機旅行，通過實名認證乘機人和航空公司資質認定來確保飛機旅行安全。而目前市場上的零信任解決方案，需要複雜的動態持續信任評估和對存取權限的動態調整，這是由於非實名認證不知道誰是壞人，只能靠福爾摩斯式的不斷甄別，效率太低且容易判斷失誤。

三、密信零信任安全解決方案優勢分析

密信零信任安全解決方案具有技術更先進、架構更簡單、使用更容易、資料更安全等四大特點，能滿足用戶對零信任安全部署的應用需求，確保使用者能在現有網路安全架構基礎上，只需做適當的改造就能有效地適應日益複雜的網路環境，支援移動辦公和保護位於任何位置的使用者、設備、應用和資料。

1.技術更先進
零信任是要解決信任問題，而信任服務就是CA證書服務，PKI技術是解決信任問題的唯一可靠技術。同時，安全除了網路防護技術外，實際上最安全的保護就是加密，安全的目的就是為了保護資料，資料加密了就安全了，因失去了被攻擊的價值而安全，這是終極安全。而PKI技術的一個重要應用就是用證書加密資料。所以說，密信零信任安全解決方案採用PKI技術，採用密碼學來徹底解決信任問題和安全問題，這個方案更先進，並同時滿足了使用者的《密碼法》的合規需求。

2.資料更安全
這是密信零信任安全解決方案的最大亮點，找准了安全的真諦就是為了保護資料，所以，加密每一個需要保護的資料實現全程密文傳輸和密文存儲，這有這樣才能真正保護資料安全。如郵件安全，在寫好郵件後就自動用證書加密，不僅實現郵件機密資訊的端到端加密安全保護，而且也是以密文方式保存在郵件伺服器中，確保郵件中機密資訊的“一生”安全！

3.架構更簡單
密信零信任安全解決方案由於採用了數位憑證方式實現強身份認證，不僅比用戶名/口令方式更安全，而且更簡單，無需做更多的持續的動態信任評估，使得零信任架構更簡單，更容易實施，並且實施成本更低。