有這樣一句俗語：“不要和我談信賴，傷感情。”在很多情況下，信賴其實是沒有意義的，必須通過制度來確定責任范圍，在網絡安全方面更是如此。“我相信網絡沒有安全問題”在切實的網絡安全威脅面前蒼白無力，網絡安全要構建“零信任”環境，永遠要進行驗證。具體如何構建呢？主要從這五個方面入手。

（網絡安全）
 

1.界定保護表面范圍。

零信任環境下，企業不會專注于攻擊表面，而只會專注于保護表面，專注于對公司最有價值的關鍵數據、應用程序、資產和服務(DAAS)。保護表面比如，信用卡信息，受保護的健康信息(PHI)，個人身份信息(PII)，知識產權(IP)，應用程序(現成的或定制的軟件);SCADA控件，銷售點終端，醫療設備，制造資產和IoT設備等資產以及DNS，DHCP和Active Directory等服務。

一旦界定保護面后，可以將控件盡可能地移近它，附上限制性的、精確的和可理解的策略聲明，以此創建一個微邊界(或分隔的微邊界)。

2.記錄事務流量。

流量在網絡中的傳輸方式決定了它的保護方式。因此，獲得有關DAAS相互依賴關系的上下文信息十分重要。記錄特定資源的交互方式有助于適當地加強控制并提供有價值的上下文信息，確保最佳的網絡安全環境，同時對用戶和業務運營的干擾降到最低。

3.構建零信任IT網絡。

零信任網絡完全可以自定義，而不僅是一個通用的設計。而且該體系結構主要圍繞保護表面構建。一旦定義了保護表面并根據業務需求記錄了流程，就可以從下一代防火墻開始制定零信任架構。下一代防火墻充當分段網關，在保護表面周圍創建一個微邊界。對任何嘗試訪問保護表面內的對象使用分段網關，可以強制執行附加的檢查和訪問控制層，一直到第七層。

4.創建零信任安全策略。

構建網絡后，將需要創建零信任策略來確定訪問流程。訪問用戶對象、訪問的應用程序、訪問原因、傾向的這些應用程序連接方式以及可以使用哪些控件來保護該訪問，這些問題都要提前了解。使用這種精細的策略實施級別，可以確保僅允許已知的流量或合法的應用程序連接。

5.監視和維護網絡。

這最后一步，包括檢查內部和外部的所有日志，并側重于零信任的操作方面。由于零信任是一個反復的過程，因此檢查和記錄所有流量將大大有益，可提供寶貴的參考，以了解如何隨著時間的推移改進網絡。

關于炫億時代

北京炫億時代科技有限公司(以下簡稱炫億時代)成立于2010年，是一家集IT網絡產品分銷、IT系統集成、應用軟件開發與IT服務為一體的高科技企業。自成立至今，炫億時代專注于為廣大中小微企業用戶提供幫助其實現信息化、智能化、數字化的IT綜合解決方案和一站式IT服務，搭建綜合性服務平臺，滿足客戶不同階段、不同業務、不同場景的發展需求。