有这样一句俗语：“不要和我谈信赖，伤感情。”在很多情况下，信赖其实是没有意义的，必须通过制度来确定责任范围，在网络安全方面更是如此。“我相信网络没有安全问题”在切实的网络安全威胁面前苍白无力，网络安全要构建“零信任”环境，永远要进行验证。具体如何构建呢？主要从这五个方面入手。

（网络安全）
 

1.界定保护表面范围。

零信任环境下，企业不会专注于攻击表面，而只会专注于保护表面，专注于对公司最有价值的关键数据、应用程序、资产和服务(DAAS)。保护表面比如，信用卡信息，受保护的健康信息(PHI)，个人身份信息(PII)，知识产权(IP)，应用程序(现成的或定制的软件);SCADA控件，销售点终端，医疗设备，制造资产和IoT设备等资产以及DNS，DHCP和Active Directory等服务。

一旦界定保护面后，可以将控件尽可能地移近它，附上限制性的、精确的和可理解的策略声明，以此创建一个微边界(或分隔的微边界)。

2.记录事务流量。

流量在网络中的传输方式决定了它的保护方式。因此，获得有关DAAS相互依赖关系的上下文信息十分重要。记录特定资源的交互方式有助于适当地加强控制并提供有价值的上下文信息，确保最佳的网络安全环境，同时对用户和业务运营的干扰降到最低。

3.构建零信任IT网络。

零信任网络完全可以自定义，而不仅是一个通用的设计。而且该体系结构主要围绕保护表面构建。一旦定义了保护表面并根据业务需求记录了流程，就可以从下一代防火墙开始制定零信任架构。下一代防火墙充当分段网关，在保护表面周围创建一个微边界。对任何尝试访问保护表面内的对象使用分段网关，可以强制执行附加的检查和访问控制层，一直到第七层。

4.创建零信任安全策略。

构建网络后，将需要创建零信任策略来确定访问流程。访问用户对象、访问的应用程序、访问原因、倾向的这些应用程序连接方式以及可以使用哪些控件来保护该访问，这些问题都要提前了解。使用这种精细的策略实施级别，可以确保仅允许已知的流量或合法的应用程序连接。

5.监视和维护网络。

这最后一步，包括检查内部和外部的所有日志，并侧重于零信任的操作方面。由于零信任是一个反复的过程，因此检查和记录所有流量将大大有益，可提供宝贵的参考，以了解如何随着时间的推移改进网络。

关于炫亿时代

北京炫亿时代科技有限公司(以下简称炫亿时代)成立于2010年，是一家集IT网络产品分销、IT系统集成、应用软件开发与IT服务为一体的高科技企业。自成立至今，炫亿时代专注于为广大中小微企业用户提供帮助其实现信息化、智能化、数字化的IT综合解决方案和一站式IT服务，搭建综合性服务平台，满足客户不同阶段、不同业务、不同场景的发展需求。