文献类型：期刊文章

作　　者：訾然[1,2] 刘嘉[1]

ZI Ran;LIU Jia(Shenzhen Institutes of Advanced Technology,Chinese Academy of Sciences,Shenzhen Guangdong 518055,China;Sangfor Technologies,Shenzhen Guangdong 518055,China)

机构地区：[1]中国科学院深圳先进技术研究院,广东深圳518055 [2]深信服科技股份有限公司,广东深圳518055

出　　处：《信息网络安全》

基　　金：国家自然科学基金[81661168015]

年　　份：2019

期　　号：10

起止页码：32-41

语　　种：中文

收录情况：BDHX、BDHX2017、CSCD、CSCD_E2019_2020、JST、RCCSE、ZGKJHX、核心刊

摘　　要：随着云计算、大数据、移动互联等技术的快速落地,以及数据泄露、高级持续攻击等内部系统安全威胁的升级,零信任架构在网络安全领域出现,并引起了巨大地关注,国内外网络安全企业对零信任架构进行了设计与实现。但是零信任架构在研究和落地过程中出现了一系列的问题,如零信任架构如何与业务系统、已有安全手段兼容,零信任如何低成本落地等。且依据对现有的零信任架构加以分析,零信任被等同于安全建设中不需要任何信任,能够完全取代现有安全建设。上述问题和误解阻碍了零信任架构的落地,为此,文章利用精益信任的理念,构建了精益信任安全访问架构。精益信任安全访问架构相比零信任架构,明确了风险/信任在网络安全建设中的定位,通过对风险/信任的持续评估和精益控制,实现新的网络、安全环境下的安全可靠访问。该架构能与现有网络安全架构实现良好融合,且兼容已有的安全控制手段和业务应用,具有良好的可落地和可扩展性。

关 键 词：精益信任  风险管理 信任评估 网络安全

分 类 号：TP309]