全球視角和觀點：網絡安全

第三部分 建立新型零信任邊界

具備保障網絡安全的程和。制措施是成選步以及網絡數據規模的指數級增長，安全網絡的標準已經發生了根本性的變革，其中最具突破性的轉變是從“以位置為中心”升級為“以數據為核心”的安全模型架構——我們稱之為零信任模型。本期是網絡安全系列報告的第三部分，國際內部審計師協會（IIA）邀請到亞當·科恩克（AdamKohnke）和胡里奧·蒂拉多（JulioTirado）共同探討零信任網絡安全模型這一話題，并就內部審計職能如何應對這一新的發展趨勢，轉變思維，為組織持續提供價值發表各自的觀點和看法。

一、何為 “零信任”

總的來說，零信任安全框架要求組織內外所有網絡用戶必須通過身份驗證才能獲取訪問組織應用和數據的權限，并持續接受定期的動態驗證。正如其名，該系統摒棄了傳統的“信任”，或是更加具體的“信任但需驗證”的理念，要求訪問任何組織相關信息都需要接受持續驗證，并基于組織相關政策進行評估。

傳統的網絡模型都是依賴物理邊界，如防火墻或虛擬專用網絡（VPN）搭建的，而零信任模型是由一個更加自由的“網絡”構成，可以是基于本地物理設施的，可以是基于云計算技術的全線上模式，也可以兩者兼而有之。全球性流行病疫情的暴發開啟了遠程辦公的時代，混合模式和完全的線上工作模式普及程度越來越高，因此有越來越多的組織將自身的網絡安全框架搭建在這種全新的網絡模式之下。

目前正式上線的零信任框架有：

1.美國國家標準與技術研究院（NIST）發布的“800-207標準”。該框架自2021年起強制要求美國聯邦機構采用。2.谷歌的零信任安全架構（GoogleBeyondCorp）。3.微軟零信任戰略（MicrosoftZero TrustStrategy）。

4.美國網絡安全和基礎設施安全局（CISA）提出的“零信任成熟度模型”。

這些框架各有特色，但也有一些共同的基本原則。首先，這些框架都主張對各項資源的授權進行持續驗證；其次，這些框架都致力于盡量減少內外部數據泄露事件造成的影響；最后，他們都選擇利用行為數據從信息技術的基礎設施中收集相關信息。

向零信任模型過渡是一項重大變革，但需注意的是，零信任模型的發展目標不是完全取代現有的網絡安全防護系統，也無需組織舍棄現有的基礎設施，而是通過增強現有機制來提升網絡防護能力。零信任模型更應被視為一種對傳統網絡防御系統的擴展，從而提升組織網絡防御能力。

國際商業機器公司（IBM）數據顯示，2024年單次數據泄露的平均成本高達488萬美元，且從發現問題到遏制漏洞的平均周期長達292天。顯然，傳統網絡防護系統已然處于力不從心的境地，組織應予以重視并盡快推進變革。

二、內部審計的關鍵作用

盡管不同行業的組織面臨的問題具體細節各不相同，但內部審計具備獨特的優勢和能力，能在零信任模型的落地實施和后續維護方面發揮自己的作用，通過內部審計的評估工作，為組織在零信任模型領域提供更大的價值。

（一）確定受保護面

傳統的網絡安全模型，如防火墻和VPN，將工作重點放在界定和劃分組織網絡防護的邊界方面，目的是保護敏感數據和易受攻擊的信息和資源，使其遠離網絡防護系統的邊緣。然而，零信任模型則是將其關注點從“邊界”轉向由數據、應用、資產和服務構成的數據處理系統（DAAS），統稱為“受保護面”。因而確保組織所有“受保護面”均被識別和妥善對待必將成為內部審計評估工作的核心。

內部審計職能部門在評估工作中應重點審查組織的數據分類政策，確保系統和數據的合理分類，并對每類數據對應保護政策的適當性進行判斷和評價。此外，涉及訪問敏感數據的實體性資產也要納入評估范疇，要針對這些設施的保護工作建立相應的流程和規范，確保其接觸授權被完整記錄，并對相關工作進行定期評估。

（二）對交易流程圖繪制工作進行審核和驗證

確定“受保護面”范圍之后，內部審計下一步的工作就是要確保利益相關方能夠理解DAAS之間的具體交互方式。信息技術團隊需要具備詳細的文件和圖表，用于梳理復雜的端口網絡、網絡流量基線以及各項協議，從而對系統相互訪問和獲取數據的具體流程以及可能導致的交互路徑進行描述。

對于大多數組織而言，內部審計職能可能并沒有具備足夠的知識和經驗來對信息技術團隊的文件和圖表進行審核和驗證，但內部審計可以與其他利益相關方或是值得信賴的第三方合作，通過開展驗證測試的方法確保這些內容的充分性和準確度，如信息技術團隊提供的圖表中是否涵蓋了與DAAS相關的所有內容，這些內容是否詳盡，之前的工作流程中確定的網絡安全政策是否已經得到了修正并補充了額外的控制措施等。

（三）對零信任政策的制定和持續改進工作進行評估

組織在制定零信任政策時，必須針對每個“受保護面”做出詳細的規定，并對以下問題制定詳細的標準和規定。1.哪些人可以獲得組織DAAS系統的訪問權限？2.有哪些應用軟件可以獲得組織DAAS系統的訪問權限？3.何時可以訪問組織的DAAS系統？4.組織的DAAS系統位于何處？5.為什么要獲取組織DAAS系統的訪問權限？6.組織DAAS系統的訪問權限通過何種方式獲??？

在組織網絡系統不斷更新和擴展的背景下，為了對組織零信任政策的相關性和有效性進行評估，內部審計職能部門需要與信息技術領域的利益相關方保持持續的交流互動。零信任并不是建立組織網絡安全防線的終點，組織的安全戰略和對DAAS系統的保護要求內部審計以及各利益相關方隨時跟進戰略政策落實進程，制定持續改進的策略，以覆蓋網絡系統中隨時可能進入、離開或傳輸的所有流量類型。

（四）對零信任政策相關基礎設施進行監督

持續監控是零信任框架成功的關鍵。傳統的網絡安全系統一般都只關注與安全有關的各項參數，而零信任系統則是將用戶、設備和服務都納入了監控的范疇，不僅要對網絡安全系統的性能進行評估，還要識別所有接人設備，并對惡意接入的設備和異常情況進行檢測。隨著移動設備的普及，持續監控不僅適用于本地服務，也應逐步將移動設備的管理納入監控范疇。

監控范圍不僅包括系統的實際使用情況，還需涵蓋用戶行為的各個方面，如常規工作時段和常用辦公地點等。

為滿足不同組織特定的網絡需求，市場上推出了多種監控系統，通常情況下，這些系統都會將采集的數據傳輸至中央節點進行分析，并依賴長期積累的數據為交易量、資產通信和用戶活動等變量建立“基準”，以界定何種行為屬于正常行為。

通過評估，內部審計人員可以確保組織

1.定期審查這些數據；

2.管理層切實承擔監控責任；

3.最終形成的基線能真實反映網絡狀況。

對審計而言，關鍵在于治理。管理層必須明確自身在系統安全中扮演的角色，因為系統無法長期自治，需要基于基準定義的“正常”與“異?！睒藴蕦W絡安全戰略進行調整，而內部審計對管理層的定期評估正是確立這一基準的過程。

（五）建立“基準”

無論是對于網絡安全的各個環節，還是風險管理的整個體系而言，都不存在放之四海皆準的通用模型，因此，不同組織的內部審計職能發揮的作用也會因具體情況而異，這不僅與組織的規模有關，也與組織對內部審計職責權限的劃定有關。

因此，組織可以參考其他審計系統，為零信任網絡安全系統的評估基準建立一套類似的保障流程。以《薩班斯·奧克斯利法案》為例，所有上市公司都必須梳理與財務報表有關的內部控制節點，并制成控制矩陣，并對一定周期，如一個財年，設計測試的程序。類似的，對零信任網絡模型的審計也可以參考這一思路，可以將安全保障機制拆解為全年各階段的任務分類，并將組織規模和資源等因素納入考慮范疇。

組織零信任網絡安全模型方面的轉型至關重要，但無需急于求成，甚至可以在引入初期將其簡化為一份控制措施清單，逐步推進。內部審計有責任推動組織零信任網絡安全模型的實施和改進，并利用各項網絡工具及時了解有關數據泄露和網絡攻擊的具體情況，及時向利益相關方報告風險態勢和潛在影響，從而最大程度上發揮零信任模型的價值。

（六）基礎早已奠定

盡管零信任帶來了網絡安全理念的根本性變革，但一旦深入理解了零信任的本質，內部審計就會意識到，變革之后內部審計的職能責任與過往相比并不會發生本質的變化。零信任網絡系統的引進本身并不會造成組織架構或基礎設施的變革，最多只需引入某些商用工具，因此為其提供保障的審計系統也無需徹底改變。

事實上，識別風險、溝通問題、提供確認服務仍是所有審計工作的核心原則，這些職責在零信任環境下也不會發生任何改變。只要穩扎穩打、遵循《全球內部審計準則》并保持不斷學習的意愿，內部審計有能力幫助組織順利完成零信任網絡模型的變革。

（翻譯：徐天然，單位：中國內部審計協會）