摘? 要：本文分析了新媒體應用面臨的安全問題，解讀新等級保護標準中以“一個中心三重防護”為主線的體系化方案設計，并融入了最新的安全理念與思路，提出“身份零信任、業(yè)務流安全”的新網絡安全架構設計思路。

關鍵詞：新媒體;網絡安全;等級保護;零信任;流安全

中圖分類號：TP393? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A

本文著錄格式：翟勝軍.新媒體時代的網絡安全的發(fā)展趨勢——身份零信任，業(yè)務流安全[J].中國傳媒科技，2020，01（01）：7-9.

1.背景：媒體全面信息化，安全影響更加大

互聯(lián)網興起推動了新媒體的空前繁榮。一是用戶的體驗好了，編輯表現(xiàn)的手法更多了;二是信息發(fā)布渠道多了，三屏合一，線上線下互動;三是新聞的速度更快了，隨著智能手機的普及，人人都成為“記者”，新聞行業(yè)進入到實時推送的時代……總之，新媒體時代正在悄然走進我們工作、生活的方方面面。

媒體信息化，是離不開互聯(lián)網的。近幾年，層出不窮的網絡安全事件，不僅針對性攻擊越來越多，而且隨著媒體網絡擴散速度明顯加快，影響力越來越大。

1.1網絡勒索正在發(fā)展為網絡黑勢力

2017年5月風靡世界的WannaCry病毒不僅橫掃世界，而且因為采用美國國標加密手段，難以破解，更麻煩的是，它采用比特幣進行勒索交易，讓勒索者能夠輕松逃避法律制裁，一條灰色產業(yè)鏈已經完整，勒索開始成為網絡社會中的噩夢……勒索不僅針對個人，而且針對企業(yè)、政府、社會服務機構。2018年8月，臺積電生產線上的控制電腦被加密勒索，只能清盤重裝，導致工廠流水線大面積停工。2019年5月，美國巴爾的摩市政府的大量電腦被加密勒索，造成房產交易、稅務、市政繳費等平臺癱瘓。他們共同的特點都是“入侵+勒索+比特幣”。

1.2敏感信息泄露影響到社會的安定

我國《網絡安全法》明確了個人信息保護，歐洲的GDPR對泄漏個人隱私處罰極其嚴重，但都擋不住信息泄漏事件的前赴后繼……敏感信息的泄漏究竟能造成多大的惡果呢？2016年8月，國內某省考試網站被黑客入侵，泄漏考生信息，徐玉玉在大學報到途中被電話詐騙后，意外猝死，國內對個人信息泄露引發(fā)社會性關注。2016年3月，競選美國總統(tǒng)的希拉里團隊遭到郵件釣魚，私人郵件信息被公布，競選工作遭到意外的沉重打擊。2018年Facebook公司的數據合作公司被引爆有意引導公眾輿論，造成整個社會對社交平臺的恐慌……小到影視明星的人設崩塌，大到社會輿論的誤導，信息泄露、信息誤導，信息內容安全所造成的社會影響是難以估量的。

信息化技術發(fā)展助力新媒體行業(yè)，在信息流動越來越便捷，用戶體驗越來越好的同時，更加需要讓新媒體為社會發(fā)展而服務，傳遞知識，傳承文化，傳播正能量，即新媒體的內容，傳播的方式，傳播的對象產生出大量的安全新需求，這應該引起各級管理者的足夠重視。

2.對策：安全上升到國家戰(zhàn)略高度，等級保護落實是工作抓手

網絡安全作為國家安全的重要組成部分，一直以來都得到國家領導的高度重視，2014年我國成立網絡安全與信息化領導小組，習近平同志親任組長。2017年6月《網絡安全法》正式實施，規(guī)定了我國網絡安全實行等級保護制度。2019年12月，新的等級保護標準（等保2.0）實施。網絡安全的建設與管理，開始有法可依，有規(guī)可查。

2.1構建用戶自己的安全能力

安全建設不能只為了應付檢查，而是要發(fā)揮其保障的效果，黑客入侵的時候能夠及時發(fā)現(xiàn)并阻斷它，內部人違規(guī)操作時能夠甄別并舉證用戶自己的安全能力，需要從兩個方面考慮：

2.1.1網絡安全方案設計需要體系化

新等級保護標準強調了“三重防護一個中心”的體系化設計思路，可以分為空間維度的縱深、多重防護體系，與時間維度的多維、協(xié)同防御體系?！毒W絡安全法》中要求“三同步”原則：安全與業(yè)務系統(tǒng)同步規(guī)劃、同步建設、同步運營。又提出了更高的要求：一方面是要求業(yè)務系統(tǒng)在設計與開發(fā)時，就需要考慮安全問題，比如用戶登錄應該認證、重要操作應該審計、敏感信息應該加密等等。開發(fā)中引用的大量開源代碼，也應該經過安全檢測。提升業(yè)務系統(tǒng)自身的安全性，自己強壯了，自然抵御外部攻擊的能力就加強了，這也稱為“內生安全”。另一方面是要求系統(tǒng)運營時，注重安全措施的落地與效果，比如安全策略要部署到位，安全告警要有技術人員分析，發(fā)現(xiàn)問題有人去追蹤溯源，堵住漏洞，避免以后再被利用。

2.1.2網絡安全建設需要分步走

網絡安全建設的目標是在對抗中取得決勝的結果，持續(xù)性對抗的安全能力是關鍵。網絡安全建設就是在構建安全對抗的能力，這包括三個要素：人、工具、流程。人是對抗的主體，人對抗需要工具，工作需要有一定的方法。在構建安全能力時，一般分為三個階段：一是“知己”，了解網絡資產，即合規(guī)的基礎安全能力，搭建安全組織，部署基礎措施，制定應急流程。二是“知彼”，提升發(fā)現(xiàn)能力，構建以大數據為核心的分析溯源能力，能夠及時發(fā)現(xiàn)攻擊者，才能夠落實阻斷、恢復等工作。三是“應變”，提升動態(tài)調整的能力，即構建以威脅情報為中心的持續(xù)對抗能力。攻防雙方都是善變的，及時依據變化動態(tài)地調整自己的策略，才能爭取對抗中的主動。

2.2身份零信任，業(yè)務流安全

隨著云計算、移動互聯(lián)等新技術的廣泛運用，新的業(yè)務模式越來越多。不僅用戶可以移動、漫游，而且服務器也變成虛擬機，可以動態(tài)地漂移。網絡結構變了，網絡邊界模糊，業(yè)務之間的數據共享越來越多了，安全防護就更加難了。如何讓業(yè)務的安全策略始終保持一致呢？新等級保護標準在完善安全防護體系的同時，也引進了大量最新的安全技術與理念。

2.2.1采用“零信任”技術建立用戶連接

零信任是Google公司最先提出的“去邊界”安全防護思想，關鍵技術有三點：一是不僅確認用戶的身份，還要確認用戶使用的終端設備;二是動態(tài)評估用戶的可信程度，如登錄位置、連接方式、上網習慣，動態(tài)決定給用戶訪問的授權權限，若有敏感操作時，需要提升鑒別的級別;三是在用戶與服務器之間建立一條可信的安全通道，保障用戶能夠安全地訪問到業(yè)務服務器。

2.2.2采用“流安全”技術保障業(yè)務的安全策略落實到位

為了讓終端找到“漂移”的服務器，可以識別用戶的業(yè)務流量，通過“導流”的方式，進入到我們預先設定好的安全措施環(huán)節(jié)進行清洗與檢查，即業(yè)務流量數據包的路由不再依據傳統(tǒng)TCP/IP協(xié)議的“目的轉發(fā)”，而是按照用戶定義的安全策略被引導進入相應的安全措施中進行安全處理，再送給服務器。比如，郵件的流量需要送給防垃圾郵件處理，網站的流量需要經過WAF的過濾。

3.小結：安全意識是前提，安全效果靠實戰(zhàn)

網絡安全歸根結底是人與人之間的對抗，網絡安全需要網絡上所有用戶的共同維護，因此，安全意識的普及就成為網絡安全體系最終發(fā)揮作用的前提。另外，網絡安全的策略是動態(tài)的，檢驗我們防護體系效果的最好方法是不斷地進行演習，在實戰(zhàn)中完善安全策略，檢驗應急預案效率，提升團隊安全能力。

[1]GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》[S].2019（5）：10發(fā)布.

[2]GB/T 25070-2019《信息安全技術 網絡安全等級保護安全設計技術要求》[S].2019（5）：10發(fā)布.

[3]沈昌祥，張煥國，王懷民.可信計算的研究與發(fā)展[J].中國科學：信息科學，2010（40）：130-166.

[4]郭啟全.加快落實信息安全等級保護整改建設工作[J].信息安全與通信保密，2010（5）.

[4]翟勝軍.三網融合面臨的網絡安全問題和解決思路[J].信息安全與通信保密，2011（2）.

[5]Evan Gilman，Doug Barth.零信任網絡——在不可信網絡中構建安全系統(tǒng)[M].2019（8）中文翻譯版.

[6]翟勝軍.數據驅動安全架構升級——“花瓶”模型迎來V5.0[E].Blog.51cto.com，2017（5）：4.

[7]翟勝軍.談談對滲透性測試服務效果的度量[J].信息保密學術會議，2012（8）.

作者簡介：翟勝軍，男，漢族，奇安信科技集團首席安全專家，研究方向：網絡安全。