面向营销系统的零信任架构构建与迁移方法

doi:10.3969/j.issn.1006-2475.2025.04.018

摘要/Abstract

摘要： 随着云服务、物联网和其他技术的兴起，传统网络架构的边界变得更加复杂和模糊。为了更好地适应当今网络的无边界化趋势，提高敏感数据及业务系统的保护能力，首先，本文秉承“从不信任，总是验证”的原则提出一种基于零信任架构的多维度动态验证网络安全架构，以提高系统在无边界网络模式下的安全能力；其次，针对大多数零信任研究还停留在理论阶段的问题，对企业如何实施业务迁移和工作流分配等零信任实现提出迁移方法；最后，分析本架构的安全性能，以验证其有效性。面向营销系统的零信任架构有效地提高了系统的安全性能，解决了传统基于边界的网络架构在被攻击者突破后易遭受横向攻击的缺点，同时给出了一种低风险的实施和迁移办法，为理论的平滑落地提供了支持。

关键词: 云服务, 无边界网络, 零信任架构, 网络安全架构, 横向攻击

Abstract: With the rise of cloud services， IoT， and other technologies， the boundaries in traditional network architecture have become more complicated and hazier. Firstly， adhering to the principle of "never trust， always verify"， a network security architecture based on zero-trust multi-dimensional dynamic verification is proposed to better adapt to the borderless trend of today’s network and improve the protection ability of sensitive data and business systems. Secondly， in view of the problem that most researches on zero trust are still in the theoretical stage， this paper proposes migration methods for enterprises to implement zero trust， such as business migration and workflow allocation. Finally， the security performance of the zero-trust architecture is analyzed to verify its effectiveness. The zero-trust architecture for marketing system effectively improves the security performance of the system， solves the shortcoming of the traditional boundary-based network architecture that is vulnerable to lateral attack after being breached by the attacker， and provides a low-risk implementation and migration method， which supports the smooth landing of the theory.

Key words: , cloud services, borderless network, zero-trust architecture, cyber security architecture, lateral attack

中图分类号:

TP393.02

李志浩, 赵聪, 吴悠, 陈泽纯, 何行, 董重重. 面向营销系统的零信任架构构建与迁移方法[J]. 计算机与现代化, 2025, 0(04): 119-126.

LI Zhihao, ZHAO Cong, WU You, CHEN Zechun, HE hang, DONG Chongchong. Construction and Migration Method of Zero Trust Architecture for Marketing System[J]. Computer and Modernization, 2025, 0(04): 119-126.

参考文献

［1］ Skybox Security. Vulnerability and Threat Trends Report 2022［EB/OL］. ［2024-03-28］. https://www.skyboxsecurity. com/wp-content/uploads/2022/04/skyboxsecurity-vuln
erability-threat-trends-report-2022_041122.pdf.
［2］王鑫，肖韬睿. 基于生成对抗网络的人脸识别对抗攻击［J］. 计算机与现代化， 2023（10）：115-120.
［3］陈守明，梁运德，钱扬，等. 抗灰洞攻击的IPv6网络部署改造方法［J］. 计算机与现代化， 2021（2）：122-126.
［4］糜旗，朱杰，徐超，等. 基于 APT 网络攻击的技术研究［J］. 计算机与现代化， 2014（10）：92-94.
［5］ ROSE S， BORCHERT O， MITCHELL S， et al. Zero Trust Architecture［EB/OL］. ［2024-03-28］. https：//nvlpubs.nist.
gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf.
［6］ LUCION E L R， NUNES R C. Software defined perimeter： Improvements in the security of single packet authorization and user authentication［C］// 2018 XLIV Latin American Computer Conference. IEEE， 2018：708-717.
［7］ GILMAN E， BARTH D. Zero Trust Networks： Building Secure Systems in Untrusted Networks［M］. O'Reilly Media， 2017.
［8］刘增明，崔雪璐，马靖，等. 基于零信任框架的能源互联网安全防护架构设计［J］. 电力信息与通信技术， 2020，18（3）：15-20.
［9］蒋建春，马恒太，任党恩，等. 网络安全入侵检测：研究综述［J］. 软件学报， 2000，11（11）：1460-1466.
［10］杨智君，田地，马骏骁，等. 入侵检测技术研究综述［J］. 计算机工程与设计， 2006，27（12）：2119-2123.
［11］王慧强，赖积保，朱亮. 网络态势感知系统研究综述［J］. 计算机科学， 2006，33（10）：5-10.
［12］ KINDERVAG J， SHEY H， MAK K， et al. The Future of Data Security： A Zero Trust Approach［EB/OL］. （2023-12-25）［2024-03-28］. https：//docs.media.bitpipe.com/io_11x/io_118761/item_1009863/Forrester_The_Future_Of_
Data_Security.pdf.
［13］ OSBORN B， MCWILLIAMS J， BEYER B， et al. BeyondCorp Design to Deploment at Google［EB/OL］.（2016-04-21）［2024-03-28］. https：//www.researchgate.net/publication/301289842_BeyondCorp_Design_to_Deployment_at_
Google.
［14］ FERRAIOLO D F， SANDHU R， GAVRILA S， et al. Proposed NIST standard for role-based access control［J］. ACM Transactions on Information and System Security （TISSEC）， 2001，4（3）：224-274.
［15］ MAO B B. Role based access control model［J］. Computer Science， 2003，30（1）：121-123.
［16］ TORSTEN P， WOLFGANG D， SCHLÄGER C， et al. Supporting attribute-based access control in authorization and authentication infrastructures with ontologies［J］. Journal of Software， 2007，2（1）：465-472.
［17］王小明，付红，张立臣. 基于属性的访问控制研究进展［J］. 电子学报， 2010，38（7）：1660-1667.
［18］张焕国，陈璐，张立强. 可信网络连接研究［J］. 计算机学报， 2010（4）：706-717.
［19］刘明达，拾以娟，陈左宁. 基于区块链的分布式可信网络连接架构［J］. 软件学报， 2019，30（8）：2314-2336.
［20］ MANDAL S， KHAN D A， JAIN S. Cloud based zero trust abetaess control policy:An approach to support work from home driven by COVID-19 pandemic［J］. New Generation Computing， 2021，39（3-4）：599-622.
［21］曹忠. 零信任网络中基于区块链的访问风险评估模型构建［J］. 无线互联科技， 2023，20（16）：127-130.
［22］ RAMEZANPOUR K， JAGANNATH J. Intelligent zero trust architecture for 5G/6G Tactical networks： Principles， challenges， and the role of machine learning［J］. arXiv preprint arXiv.2105.01478， 2021.
［23］ LIU H Q， AI M， HUANG R， et al. Identity authentication for edge devices based on zero-trust architecture［J］. Concurrency & Computation： Practice & Experience， 2022，34（23）. DOI： 10.1002/cpe.7198.
［24］ WU L S， CAI H J， LI H. Achieving reconciliation between privacy preservation and auditability in zero-trust cloud storage using intel SGX［J］. International Journal of Information Security and Privacy， 2022，16（1）. DOI: 10.4018/ijisp.2022010110.
［25］ DHAR S， INDRANIL BOSE I. Securing IoT devices using zero trust and blockchain［J］. Journal of Organizational Computational and Electronics Commerce， 2021，31（1）：18-34.
［26］ CHEN F J， LU J， ZHANG Y Y. Pharmacological studies on morus（I）： Deffect of total polysaccharide of morus （TPM） on carbohydrate metabolism in diabetic mice［J］. Journal of Shenyang Pharmaceutical University， 1996，13（1）：24-26.
［27］薛锐，任奎，张玉清，等. 云计算安全研究专刊前言［J］. 软件学报， 2016（6）：1325-1327.
［28］孙长华，刘斌. 分布式拒绝服务攻击研究新进展综述［J］. 电子学报， 2009，37（7）：1562-1570.