■孙勇 黄炎裔

随着新冠肺炎疫情防控常态化与用户思维习惯的转变，今年以来，金融机构纷纷发力零接触金融服务。零接触金融服务在对银行业务模式提出新要求的同时，也对银行安全保障能力提出了更高的要求。

零信任（Zero Trust）通过大数据、人工智能等技术，基于身份、设备及行为特征进行动态风险评估，根据评估结果进行动态认证与访问控制，从“网络中心化”走向“身份中心化”，使得安全把控更严格、更灵活。零接触金融服务环境下，金融业应保持对零信任的持续关注。

助力传统边界防护

传统的边界安全防护主要面临两个方面的挑战：一是当前外部安全威胁不断加剧，安全形势严峻。黑、灰产等攻击方逐步组织化、专业化、工具化，同时信息泄露事件时有发生。二是新业务、新技术发展需要更高的安全保护要求。业务形态线上化使越来越多内部渠道产品发布在互联网渠道，移动办公、移动营销、开放银行等已成趋势，暴露的攻击面逐步扩大，安全风险更加容易传导。

传统的安全防护方法难以有效解决上述安全问题。传统安全防护专注于边界防护，通过构建一个或多个边界，营造边界内部的安全环境。该理念下，一旦攻击者渗透到内网，由于内网中一般无有效的监控机制，攻击者可畅通无阻地进行横向渗透，从而造成严重的安全后果。为了应对上述挑战，宜开展新的安全架构研究，零信任安全架构就是应对挑战的选择之一。

零信任是一种安全理念，即默认情况下任何网络的任何人、设备及系统都不被信任，需要通过认证和授权进行动态的访问控制。该理念不是传统的“先验证后信任”，而是强调“永不信任和始终验证”。

对零信任来说，没有内外网区别，对所有用户都严格控制权限最小化。通过记录和跟踪用户的所有访问，监测到不安全的操作则立即操作止损。通过基于身份的细粒度访问控制，有效应对越权横向移动的风险，最大程度地减少损失。同时，零信任安全架构基于设备状态、用户身份和行为模式进行动态的、灵活的安全管理，实现了对企业不同资源分级分层的细粒度的访问控制，使安全防护不再受到防护区域限制，更好地适应线上化、多渠道的业务形态。

金融机构探索之路

零信任的核心功能是各实体之间统一的身份鉴别和细粒度的动态访问控制。按照访问主客体的不同，身份鉴别和访问控制可细分为对人对客和对系统服务两大类。对人对客类，当前银行业已有较为成熟的企业实践案例。其中大多已实现了统一的身份鉴别：对访问控制，通常由各系统依据自身业务特点，通过业务规则自行管控，不同系统之间管理互相独立。对系统服务类，国内银行业尚处于发展阶段。大多通过统一的服务治理框架实现服务间的身份鉴别以及权限控制，但服务治理框架一般基于特定编程语言，灵活性与普适性有待加强。

零信任的动态访问控制一般依托于用户实体行为分析（UEBA）技术，当前银行业处于实践探索阶段，如技术方面的网络流量监控与异常拦截，业务方面的信用卡领域风险控制、信贷风险控制等。考虑到对业务流程及用户体验的潜在影响，动态访问控制技术仍待持续研究。

银行对业务稳定性有极高的要求，零信任架构对新技术的使用可能会给生产系统、安全运营带来不确定影响，在成熟实践案例稀缺的现状下，银行业对零信任架构的使用需保持谨慎态度，因此当前的主策略一般为跟踪研究。后续，银行业可在安全边界控制的基础上逐步细化访问控制粒度，建设相关基础设施，逐步建立零信任安全能力。

具体的探索研究，首先可在办公应用方面进行。VPN（远程接入专用网络）在易用性、灵活性上可能会影响用户使用体验。零信任架构以安全加密传输信道和安全检查策略进行用户鉴权及动态访问控制，通过“无需集中、持续验证、应用授权”的机制动态实现“知其所需，最小授权”，进一步提升灵活性与安全性。具体实践上，可建设办公领域统一的应用安全网关，通过用户身份信息、终端安全信息和用户行为信息实现动态认证和动态授权，达到远程办公零信任。

其次，可在风险作业运营方面尝试引入。当前各业务条线的反欺诈系统较为零散，功能存在一定共性，有待进一步统筹，可制定相关标准与管理规范，通过沉淀名单、规则、欺诈事件等企业级数据资产及引入外部权威数据，形成各业务条线通用及跨业务条线的处置模型，打造设备指纹、欺诈画像等服务，实现业务反欺诈零信任。

此外，还可在应用间安全方面进行尝试。当前银行业系统间、服务间的身份认证与访问控制仍有待研究，对此问题，可基于服务网格微服务治理框架在应用层建立服务间认证体系。随着应用上云和微服务化，基于服务网格实现应用间互联零信任。

总的来看，零信任对传统边界安全防御进行了补充和优化，可更好地保障企业数据安全，更有效地支持零接触业务的发展。目前，虽然零信任在银行业尚无大规模应用案例，但在大型互联网企业已有大规模落地实践。对银行来说应加强其技术研究，才能更好地助力业务创新发展。