摘  要：本文分析了新媒体应用面临的安全问题，解读新等级保护标准中以“一个中心三重防护”为主线的体系化方案设计，并融入了最新的安全理念与思路，提出“身份零信任、业务流安全”的新网络安全架构设计思路。

关键词：新媒体;网络安全;等级保护;零信任;流安全

中图分类号：TP393                                                                       文献标识码：A

本文著录格式：翟胜军.新媒体时代的网络安全的发展趋势——身份零信任，业务流安全[J].中国传媒科技，2020，01（01）：7-9.

1.背景：媒体全面信息化，安全影响更加大

互联网兴起推动了新媒体的空前繁荣。一是用户的体验好了，编辑表现的手法更多了;二是信息发布渠道多了，三屏合一，线上线下互动;三是新闻的速度更快了，随着智能手机的普及，人人都成为“记者”，新闻行业进入到实时推送的时代……总之，新媒体时代正在悄然走进我们工作、生活的方方面面。

媒体信息化，是离不开互联网的。近几年，层出不穷的网络安全事件，不仅针对性攻击越来越多，而且随着媒体网络扩散速度明显加快，影响力越来越大。

1.1网络勒索正在发展为网络黑势力

2017年5月风靡世界的WannaCry病毒不仅横扫世界，而且因为采用美国国标加密手段，难以破解，更麻烦的是，它采用比特币进行勒索交易，让勒索者能够轻松逃避法律制裁，一条灰色产业链已经完整，勒索开始成为网络社会中的噩梦……勒索不仅针对个人，而且针对企业、政府、社会服务机构。2018年8月，台积电生产线上的控制电脑被加密勒索，只能清盘重装，导致工厂流水线大面积停工。2019年5月，美国巴尔的摩市政府的大量电脑被加密勒索，造成房产交易、税务、市政缴费等平台瘫痪。他们共同的特点都是“入侵+勒索+比特币”。

1.2敏感信息泄露影响到社会的安定

我国《网络安全法》明确了个人信息保护，欧洲的GDPR对泄漏个人隐私处罚极其严重，但都挡不住信息泄漏事件的前赴后继……敏感信息的泄漏究竟能造成多大的恶果呢？2016年8月，国内某省考试网站被黑客入侵，泄漏考生信息，徐玉玉在大学报到途中被电话诈骗后，意外猝死，国内对个人信息泄露引发社会性关注。2016年3月，竞选美国总统的希拉里团队遭到邮件钓鱼，私人邮件信息被公布，竞选工作遭到意外的沉重打击。2018年Facebook公司的数据合作公司被引爆有意引导公众舆论，造成整个社会对社交平台的恐慌……小到影视明星的人设崩塌，大到社会舆论的误导，信息泄露、信息误导，信息内容安全所造成的社会影响是难以估量的。

信息化技术发展助力新媒体行业，在信息流动越来越便捷，用户体验越来越好的同时，更加需要让新媒体为社会发展而服务，传递知识，传承文化，传播正能量，即新媒体的内容，传播的方式，传播的对象产生出大量的安全新需求，这应该引起各级管理者的足够重视。

2.对策：安全上升到国家战略高度，等级保护落实是工作抓手

网络安全作为国家安全的重要组成部分，一直以来都得到国家领导的高度重视，2014年我国成立网络安全与信息化领导小组，习近平同志亲任组长。2017年6月《网络安全法》正式实施，规定了我国网络安全实行等级保护制度。2019年12月，新的等级保护标准（等保2.0）实施。网络安全的建设与管理，开始有法可依，有规可查。

2.1构建用户自己的安全能力

安全建设不能只为了应付检查，而是要发挥其保障的效果，黑客入侵的时候能够及时发现并阻断它，内部人违规操作时能够甄别并举证用户自己的安全能力，需要从两个方面考虑：

2.1.1网络安全方案设计需要体系化

新等級保护标准强调了“三重防护一个中心”的体系化设计思路，可以分为空间维度的纵深、多重防护体系，与时间维度的多维、协同防御体系。《网络安全法》中要求“三同步”原则：安全与业务系统同步规划、同步建设、同步运营。又提出了更高的要求：一方面是要求业务系统在设计与开发时，就需要考虑安全问题，比如用户登录应该认证、重要操作应该审计、敏感信息应该加密等等。开发中引用的大量开源代码，也应该经过安全检测。提升业务系统自身的安全性，自己强壮了，自然抵御外部攻击的能力就加强了，这也称为“内生安全”。另一方面是要求系统运营时，注重安全措施的落地与效果，比如安全策略要部署到位，安全告警要有技术人员分析，发现问题有人去追踪溯源，堵住漏洞，避免以后再被利用。

2.1.2网络安全建设需要分步走

网络安全建设的目标是在对抗中取得决胜的结果，持续性对抗的安全能力是关键。网络安全建设就是在构建安全对抗的能力，这包括三个要素：人、工具、流程。人是对抗的主体，人对抗需要工具，工作需要有一定的方法。在构建安全能力时，一般分为三个阶段：一是“知己”，了解网络资产，即合规的基础安全能力，搭建安全组织，部署基础措施，制定应急流程。二是“知彼”，提升发现能力，构建以大数据为核心的分析溯源能力，能够及时发现攻击者，才能够落实阻断、恢复等工作。三是“应变”，提升动态调整的能力，即构建以威胁情报为中心的持续对抗能力。攻防双方都是善变的，及时依据变化动态地调整自己的策略，才能争取对抗中的主动。

2.2身份零信任，业务流安全

随着云计算、移动互联等新技术的广泛运用，新的业务模式越来越多。不仅用户可以移动、漫游，而且服务器也变成虚拟机，可以动态地漂移。网络结构变了，网络边界模糊，业务之间的数据共享越来越多了，安全防护就更加难了。如何让业务的安全策略始终保持一致呢？新等级保护标准在完善安全防护体系的同时，也引进了大量最新的安全技术与理念。

2.2.1采用“零信任”技术建立用户连接

零信任是Google公司最先提出的“去边界”安全防护思想，关键技术有三点：一是不仅确认用户的身份，还要确认用户使用的终端设备;二是动态评估用户的可信程度，如登录位置、连接方式、上网习惯，动态决定给用户访问的授权权限，若有敏感操作时，需要提升鉴别的级别;三是在用户与服务器之间建立一条可信的安全通道，保障用户能够安全地访问到业务服务器。

2.2.2采用“流安全”技术保障业务的安全策略落实到位

为了让终端找到“漂移”的服务器，可以识别用户的业务流量，通过“导流”的方式，进入到我们预先设定好的安全措施环节进行清洗与检查，即业务流量数据包的路由不再依据传统TCP/IP协议的“目的转发”，而是按照用户定义的安全策略被引导进入相应的安全措施中进行安全处理，再送给服务器。比如，邮件的流量需要送给防垃圾邮件处理，网站的流量需要经过WAF的过滤。

3.小结：安全意识是前提，安全效果靠实战

网络安全归根结底是人与人之间的对抗，网络安全需要网络上所有用户的共同维护，因此，安全意识的普及就成为网络安全体系最终发挥作用的前提。另外，网络安全的策略是动态的，检验我们防护体系效果的最好方法是不断地进行演习，在实战中完善安全策略，检验应急预案效率，提升團队安全能力。

[1]GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》[S].2019（5）：10发布.

[2]GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》[S].2019（5）：10发布.

[3]沈昌祥，张焕国，王怀民.可信计算的研究与发展[J].中国科学：信息科学，2010（40）：130-166.

[4]郭启全.加快落实信息安全等级保护整改建设工作[J].信息安全与通信保密，2010（5）.

[4]翟胜军.三网融合面临的网络安全问题和解决思路[J].信息安全与通信保密，2011（2）.

[5]Evan Gilman，Doug Barth.零信任网络——在不可信网络中构建安全系统[M].2019（8）中文翻译版.

[6]翟胜军.数据驱动安全架构升级——“花瓶”模型迎来V5.0[E].Blog.51cto.com，2017（5）：4.

[7]翟胜军.谈谈对渗透性测试服务效果的度量[J].信息保密学术会议，2012（8）.

作者简介：翟胜军，男，汉族，奇安信科技集团首席安全专家，研究方向：网络安全。