国内外新兴安全技术方案有哪些？

近年来为应对越来越严峻的安全攻击局势，国内外安全领域的企业、专家提 出了如可信计算、安全平行切面等新兴的安全理念与技术方案，下面我来简要介绍以下。

1.可信计算

可信计算（Trusted Computing，TC）是一项由可信计算组（Trusted Computing Group，TCG）推动和开发的技术。可信计算是在计算和通信系统中广泛使用基于 硬件安全模块支持下的可信计算平台，以提高系统整体的安全性。

2.安全平行切面

安全平行切面体系（以下简称安全切面）是下一代原生安全基础设施，通过 “端—管—云”各层次切面使安全管控与业务相互融合且解耦，并依托标准化接 口为业务提供精准内视与高效干预能力，具备感知覆盖能力强、应急攻防响应快、 安全治理高效和安全布防灵活的核心优势。

在业务复杂性爆炸的背景下，安全切面可以有效解决传统外挂式安全体系隔 靴搔痒、内嵌式安全体系业务与安全相互束缚的行业痛点。

安全切面具备“精准感知、及时管控、保障有力、稳健发展”等特点，以“分 层建设、多层联动、稳定及安全保障、碎片化适配”为要则构建与业务平行的安 全空间，将安全能力分层融入业务体系，建立起基于安全切面的各种保障机制， 通过碎片化场景适配拉平基础设施环境差异。

安全切面支持从应用和基础设施构建不同层级的防御能力，以实现各层级间 的安全管控，同时也支持多层级安全切面相互联动形成整体的防御体系，达到更 好的安全治理、防护、对抗效果。

因此，数字银行可以充分采用安全平行切面的架构理念建设安全防护体系， 达成事前应对高级和未知威胁的目标，同时保持安全体系建设与业务系统升级迭 代既融合又解耦，提升安全加固的效率及风险识别的精准度，减少安全加固对于 业务和技术的打扰。

3.零信任

2010 年，Forrester Research 首席分析师 John Kindervag 首次提出了零 信任（Zero Trust，ZT）理念，对访问控制在范式上实现颠覆，指引安全体系架构从“网络中心化”转向“身份中心化”。零信任的基本原则是“从不信任，始 终验证”，即企业内外部的任何人、事、物均不可信，应在授权前对任何试图接 入系统的人、事、物进行验证，且数据资源按最小权限原则分配。零信任架构（Zero Trust Architecture，ZTA）对访问主体身份管控更加全面，访问鉴权更为精准， 全面考虑了访问链路的安全性、稳定性和访问速度。零信任架构主要包含现代身 份与访问管理、软件定义边界和微隔离三个关键技术。现代身份与访问管理技术 是支撑企业业务和数据安全的重要基础设施，主要通过包括身份鉴别、授权、管 理、分析和审计等措施，围绕身份、权限、环境、活动等关键数据进行管理与治 理的方式，确保正确的身份、在正确的访问环境下、基于正当的理由访问正确的 资源。软件定义边界技术旨在利用基于身份的访问控制以及完备的权限认证机 制，为企业应用和服务提供隐身保护，有效保护企业的数据安全。软件定义边界 具有网络隐身、预验证、预授权、应用级的访问准入和扩展性五个特点。微隔离 是一种更细粒度的网络隔离技术，在逻辑上将数据中心划分为不同的安全段，进 而为每个段定义安全控制措施和所提供的服务。

零信任架构优于传统的“城堡和护城河”式网络安全方法。但如何保障零信 任架构自身安全、服务过程的安全及体系化保障应用系统依赖的基础设施安全， 在这些问题的解决上零信任中并没有很好的理论支撑，且在原有系统上实施零信 任架构存在部署复杂、迁移难、代价大等问题。