摘要：

“網(wǎng)絡安全網(wǎng)格（CyberSecurity Mesh）”是 Gartner 提出的網(wǎng)絡安全技術發(fā)展新趨勢，近兩年連續(xù)入選其年度重要戰(zhàn)略技術趨勢研究報告，成為當前網(wǎng)絡安全領域流行的熱詞，受到網(wǎng)絡安全從業(yè)者的高度關注。基于 Gartner 相關報告中對網(wǎng)絡安全網(wǎng)格概念的描述，研究了網(wǎng)絡安全網(wǎng)格成為重大技術發(fā)展趨勢的驅動因素，剖析了網(wǎng)絡安全網(wǎng)格概念的具體內涵和特點，探討了其架構方法與實現(xiàn)途徑，分析了其優(yōu)勢及與其他網(wǎng)絡安全概念的關系，展望了其可能帶來的影響，并提出了相關的對策建議。

隨著組織數(shù)字化轉型加快以及新冠肺炎疫情的全球大流行，分布在世界各地的機構、資產、員工、客戶和合作伙伴推動了業(yè)務上云、移動辦公的日益普及，用戶、設備、應用和數(shù)據(jù)逐漸離開了工作地點和數(shù)據(jù)中心。這樣的變化導致越來越多的資產存在于傳統(tǒng)的安全邊界之外，讓邊界變得支離破碎，如今，無法通過構建單一的安全邊界來判斷“內好外壞”，讓傳統(tǒng)邊界防護方法變得不再有效。網(wǎng)絡安全需要圍繞個人或事物的身份重新定義，零信任網(wǎng)絡架構逐漸形成共識，身份和上下文將成為分布式環(huán)境中的最終控制平面 ，以支持對分布的資產以及任何地方發(fā)起的安全訪問。

許多組織正在采用多云戰(zhàn)略，使用來自多個云提供商的服務以提供滿足業(yè)務需求的彈性。例如，對于具有復雜 IT 體系結構的大型組織（如政府組織、金融機構和大型制造企業(yè)）來說，使用多個云和數(shù)據(jù)中心對于保障其業(yè)務的安全、可靠運行是非常必要的。但由于各個云提供商都支持一套自身的安全策略（例如，阿里云、亞馬遜網(wǎng)絡服務和微軟 Azure 等使用不同的方法來保護各自生態(tài)系統(tǒng)中的資產），因此，跨云提供商實現(xiàn)一致的安全控制是一項新的挑戰(zhàn)，而且組織中龐雜的內部服務更將加劇這樣的挑戰(zhàn)。雖然新的技術標準和產品正在試圖彌補這一問題，但組織更應關注如何找到適應這種復雜環(huán)境的統(tǒng)一、靈活、可靠的網(wǎng)絡安全控制方法。

為達到安全目的，當前的 IT 系統(tǒng)通常會根據(jù)合規(guī)要求和業(yè)務需要，“一應俱全”地部署多種安全工具。2020 年數(shù)據(jù)安全研究中心Ponemon Institute 的統(tǒng)計數(shù)據(jù)顯示，每個組織平均部署了超過45種安全解決方案和技術產品往往還需要使用到多個供應商的產品解決方案。這樣的安全系統(tǒng)建設方式導致系統(tǒng)過于龐雜，安全分析與運維管理非常困難，例如，安全事件檢測與響應經常需要在多個工具之間進行協(xié)調，每個設備升級時都必須不斷重新配置復雜的安全策略等；同時多種安全工具存在功能重疊，也帶來很多不必要的投資浪費。當用戶提出新的安全需求以及引入新的安全工具時，上述問題將愈加嚴重。許多 IT 管理者都高度重視這一問題，希望找到更優(yōu)的集成方法，通過高效地集成當前最好和未來出現(xiàn)的安全工具，整合安全資源，以減少安全工具的品種數(shù)量，增強網(wǎng)絡安全整體防護效能，減少系統(tǒng)復雜性并降低建設成本。

當前網(wǎng)絡變得更加復雜和分散，各種孤立部署的安全工具由于沒有完全集成（例如，它們可能只是通過支持聯(lián)合身份驗證而實現(xiàn)松散的耦合），難以形成防御合力，從而帶來了很多安全問題與風險。例如，不同安全工具之間缺乏互操作性（甚至互操作意識），安全態(tài)勢語義混亂，造成可見性割裂，且并行使用的安全分析工具很難支持跨域的安全分析，限制了發(fā)現(xiàn)和應對威脅的能力；攻擊者不會僅在各個孤立的安全區(qū)域中去尋找和利用漏洞，他們往往通過橫向移動，利用一個區(qū)域的弱點來攻擊相鄰區(qū)域，或者從不同安全區(qū)域之間的結合部滲透到系統(tǒng)中。因此，完備的安全防御需要從組織角度和技術角度消除安全孤島。目前，一些安全分析和智能化工具通過使用跨不同安全領域的特定信息來實現(xiàn)統(tǒng)一的安全檢測與事件響應，如擴展檢測與響應（XDR），但我們還需要一個更加廣泛、集成且自動化的安全分析與管理基礎設施，讓所有安全工具都可以通過這個基礎設施實現(xiàn)相互通信并共享信息，提供統(tǒng)一安全管理和可見性，形成整體防御合力，并可自動適應網(wǎng)絡部署的演進變化。

零信任網(wǎng)絡、微服務、高級數(shù)據(jù)分析、人工智能、區(qū)塊鏈等技術的日趨成熟，以及在網(wǎng)絡安全領域的不斷應用，為找到應對上述挑戰(zhàn)的網(wǎng)絡安全架構新方法創(chuàng)造了條件。2020 年 10 月，Gartner 在 2021 年重要戰(zhàn)略技術趨勢報告中第一次提出了“網(wǎng)絡安全網(wǎng)格”這個概念，并在 2022年重要戰(zhàn)略技術趨勢報告中再次提及。此外，該概念也進入了 Gartner《2021 年安全與風險管理重要發(fā)展趨勢》報告中，并位列首位，由此可見網(wǎng)絡安全網(wǎng)格的重要性。但目前 Gartner 對于網(wǎng)絡安全網(wǎng)格概念的定義尚不清晰和具體，這對于一個剛出現(xiàn)的概念來說是常見的現(xiàn)象。本文基于Gartner 相關報告中對網(wǎng)絡安全網(wǎng)格的描述，解剖其概念、架構以及與其他網(wǎng)絡安全概念的關系，展望其帶來的影響，提出應用網(wǎng)絡安全網(wǎng)格方法的建議，希望能夠對深入理解與認識這個網(wǎng)絡安全領域的重要發(fā)展趨勢帶來幫助。

１

概念與特點

Gartner 發(fā)布的《2021 年重要戰(zhàn)略技術趨勢》（Top Strategic Technology Trends for 2021）中描述了網(wǎng)絡安全網(wǎng)格的概念：“網(wǎng)絡安全網(wǎng)格是一種分布式架構方法，能夠實現(xiàn)可擴展、靈活和可靠的網(wǎng)絡安全控制。現(xiàn)在許多資產存在于傳統(tǒng)安全邊界之外，網(wǎng)絡安全網(wǎng)格本質上允許圍繞人或事物的身份定義安全邊界。通過集中策略編排和分布策略執(zhí)行來實現(xiàn)更加模塊化、更加快速響應的安全防護。”

在 Gartner 發(fā)布的《2022 年重要戰(zhàn)略技術趨勢 》（Top Strategic Technology Trends for 2022）中對網(wǎng)絡安全網(wǎng)格概念有了進一步的說明：“數(shù)字業(yè)務資產分布在云和數(shù)據(jù)中心，基于邊界的傳統(tǒng)、分散的安全方法使組織容易遭受攻擊。網(wǎng)絡安全網(wǎng)格架構提供一種基于身份的可組合安全方法，以創(chuàng)建可擴展和可互操作的服務。通用的集成結構可以保護任務組織的任何資產，對于使用這樣的一體化安全工具的組織來說，可將單項安全事件的財務影響平均減少 90%。”

從上述 Gartner 報告的描述中可以看出，網(wǎng)絡安全網(wǎng)格是一種安全架構方法或者策略，而不是一種定義明確的架構或標準化的技術方法，更不是某種產品，其目的是找到能夠應對不斷發(fā)展的業(yè)務系統(tǒng)以及網(wǎng)絡環(huán)境演變所帶來的安全挑戰(zhàn)的新方法，提供比傳統(tǒng)物理邊界防護更強大、更靈活和可擴展的安全能力。

網(wǎng)絡安全網(wǎng)格主要涉及設計和建設 IT 安全基礎設施，采用“水平”分布式方式將各種安全能力集成到網(wǎng)絡中，而不是采用傳統(tǒng)的“自上而下”、各種安全設備“一應俱全”的集成方式，致力于構建一個能在龐大的安全生態(tài)系統(tǒng)中協(xié)同運行，且自動適應網(wǎng)絡環(huán)境演化的全面覆蓋、統(tǒng)一管控、動態(tài)協(xié)同和快速響應的安全平臺。

網(wǎng)絡安全網(wǎng)格的主要特點如下文所述。

（1）通用集成框架。網(wǎng)絡安全網(wǎng)格提供一種通用的集成框架和方法，實現(xiàn)類似“樂高”化思維的靈活、可組合、可擴展的安全架構。通過標準化工具支持可互操作的各種安全服務編排和協(xié)同，從而實現(xiàn)廣泛分布的不同安全服務的高效集成，建立起合作的安全生態(tài)系統(tǒng)來保護處于本地、數(shù)據(jù)中心和云中的數(shù)字資產，并基于數(shù)據(jù)分析、情報支持和策略管理等能力的聚合形成更加強大的整體安全防御和響應處置能力。

（2）分布式網(wǎng)絡架構。網(wǎng)絡安全網(wǎng)格利用了“網(wǎng)格”的去中心化、對等協(xié)作、結構靈活、連接可靠、擴展性強等優(yōu)勢，不再側重于圍繞所有設備或節(jié)點構建“單一”邊界，而是圍繞每個接入點創(chuàng)建更小的、單獨的邊界 [5-6]。通過建立與接入點同樣多的安全邊界，保證物理位置廣泛分布的用戶能隨時隨地安全接入，符合零信任網(wǎng)絡中的“微分段”要求，使得網(wǎng)絡犯罪分子和黑客更難利用整個網(wǎng)絡。同時，網(wǎng)絡中主客體之間在邏輯上都是點對點直連關系，無須關注具體的物理網(wǎng)絡部署，能夠簡化安全配置且能自動適應網(wǎng)絡動態(tài)變化。

（3）集中管理與分散執(zhí)行。與傳統(tǒng)的網(wǎng)關集中訪問控制不同，網(wǎng)絡安全網(wǎng)格采用了集中的策略編排和權限管理，基于策略分布式的執(zhí)行，將網(wǎng)絡安全控制能力分布到網(wǎng)絡的更多地方，使安全措施更接近需要保護的資產，一方面，有利于消除安全管控盲點，緩解傳統(tǒng)集中安全控制存在的性能處理瓶頸，適應用戶終端和組織業(yè)務分散化發(fā)展需要；另一方面，有利于實現(xiàn)全局的安全威脅分析，形成更加一致的安全態(tài)勢，從而實現(xiàn)更加精準的安全管控和更加快速的響應處置。

（4）圍繞身份定義安全邊界。在當前網(wǎng)絡協(xié)議中，因缺失身份要素帶來了很多安全問題，物理 IP 地址與人和終端的關聯(lián)性越來越弱，導致基于地址、流量、日志的安全檢測和威脅分析技術難以實現(xiàn)針對人的威脅研判；基于網(wǎng)絡協(xié)議字段特征檢測的傳統(tǒng)邊界訪問控制技術，同樣使得基于身份的授權訪問成為天方夜譚。由于網(wǎng)絡威脅本質上是人帶來的威脅，因此難以實現(xiàn)精準高效的安全威脅處置。網(wǎng)絡安全網(wǎng)格延續(xù)了零信任網(wǎng)絡的思想，用身份定義網(wǎng)絡邊界，讓身份成為威脅研判與安全管控的基礎。

２

架構與實現(xiàn)

Gartner 提出了網(wǎng)絡安全網(wǎng)格的具體實現(xiàn)框架，即網(wǎng)絡安全網(wǎng)格架構（CyberSecurity Mesh Architecture，CSMA）。這是一種分布式安全服務的協(xié)作框架，提供安全分析與情報、統(tǒng)一策略管理、整合操控界面和分布式身份結構等 4個安全基礎設施（如圖 1 所示）[1]，使不同的安全工具能夠基于該基礎設施協(xié)同工作并實現(xiàn)統(tǒng)一的配置和管理，提高安全工具的可組合性、可擴展性和互操作性，解決多種安全工具在各個孤立體系中運行時所帶來的問題，實現(xiàn)各種安全能力的有機聚合，適應業(yè)務發(fā)展需要并達到“力量倍增”的效果。

圖 1網(wǎng)絡安全網(wǎng)格架構概念

網(wǎng)絡安全網(wǎng)格架構的組成如圖 2 所示，4 個基礎支撐層之間以及與其他安全系統(tǒng)之間的關系如下文所述。

圖 2網(wǎng)絡安全網(wǎng)格架構組成

（1）安全分析與情報層。可與來自第三方的安全工具開展聯(lián)合協(xié)同檢測，基于豐富的威脅分析手段，結合威脅情報，利用機器學習等技術形成更加準確一致的威脅分析結果。（2）統(tǒng)一策略管理層。主要包括安全策略編排和安全態(tài)勢管理，將集中的策略轉換為各個安全工具的本地配置策略，實現(xiàn)分布式執(zhí)行，并支持動態(tài)策略管理服務。（3）整合操控界面層。實現(xiàn)安全數(shù)據(jù)可視化，提供安全系統(tǒng)復合視圖，主要包括統(tǒng)一的控制面板、告警、審查、指導手冊和報告等，使安全團隊能夠更快速、更有效地響應安全事件。（4）身份架構層。主要提供目錄服務、自適應訪問以及去中心化的身份管理、身份驗證和授權管理等功能，支撐構建適合用戶需求的零信任網(wǎng)絡架構。

網(wǎng)絡安全網(wǎng)格是在物理網(wǎng)絡之上構建的邏輯層，網(wǎng)絡安全架構的應用視圖如圖 3 所示，直觀展示了在邏輯層中通過對各種安全能力的編排、執(zhí)行，使得各種安全工具基于 4 個安全基礎層實現(xiàn)互操作，提供統(tǒng)一的安全管控和可見性，而不是在孤島中運行每個安全工具，從而構建一個能在龐大的安全生態(tài)中協(xié)同運行，且自動適應網(wǎng)絡環(huán)境演化的安全平臺。

圖 3網(wǎng)絡安全架構應用視圖

３

優(yōu)勢及與其他概念關系

近年來，網(wǎng)絡安全領域的新概念層出不窮、紛繁復雜且相互關聯(lián)，因此，厘清網(wǎng)絡安全網(wǎng)格架構所帶來的優(yōu)勢，以及與當前流行的其他安全概念之間的關系是很有必要的。

3.1網(wǎng)絡安全網(wǎng)格架構優(yōu)勢

網(wǎng)絡安全網(wǎng)格架構的優(yōu)勢主要體現(xiàn)在下文所述的幾個方面。

（1）實現(xiàn)更加可靠的安全防御。網(wǎng)絡安全網(wǎng)格摒棄了傳統(tǒng)的邊界防護思想，不僅是圍繞網(wǎng)絡數(shù)據(jù)中心、服務中心構建“邊界”，還圍繞每個接入點創(chuàng)建更小的、獨立的邊界，并由集中的控制中心進行統(tǒng)一管理，從而將安全控制擴展到廣泛分布的資產，在提高威脅應對能力的同時，增強了安全系統(tǒng)的可擴展性、靈活性和彈性。

（2）應對復雜環(huán)境下的安全需求。通過網(wǎng)絡安全策略集中編排但分散執(zhí)行的方法，在統(tǒng)一的安全策略控制下，提供一種靈活且易于擴展的安全基礎架構，可為混合云和多云等復雜環(huán)境中的資產保護提供所需的安全能力。

（3）實現(xiàn)更加高效的威脅處置。通過安全工具集成，加強了安全數(shù)據(jù)采集和預測分析之間的協(xié)作，可以更加快速、準確地獲取安全態(tài)勢，及時發(fā)現(xiàn)并應對安全威脅，可大幅度增強對違規(guī)和攻擊事件的響應處置能力。

（4）構建更加開放的安全架構。提供了一種可編排的通用集成框架和方法，支持各類安全服務之間的協(xié)同工作，用戶可自主選擇當前和新興的安全技術與標準，面向云原生和應用程序接口（Application Programming Interface，API） 插 件的環(huán)境更加易于集成，便于定制與擴展，能有效彌補不同供應商安全方案之間的能力差距。

（5）降低建設維護的成本與難度。用戶可以有效減少管理一組龐大的孤立安全解決方案的開銷，同時，安全能力部署和維護所需的時間更少、成本更低，易于與用戶已建設的身份識別與訪問管理（Identity and Access Management，IAM）、安全信息和事件管理（Security Information and Event Management，SIEM）、 安 全運營中心（Security Operations Center，SOC）、態(tài)勢感知等安全系統(tǒng)共存，也方便對接已建設的專線、軟件定義廣域網(wǎng)（Software-Defined Wide Area Network，SD-WAN）等網(wǎng)絡服務。

3.2與其他安全概念的關系

（1）零信任網(wǎng)絡。談及網(wǎng)絡安全網(wǎng)格，就不得不提到零信任網(wǎng)絡，這兩個都是當前網(wǎng)絡安全領域的熱門術語，涉及網(wǎng)絡安全架構的方法論。零信任網(wǎng)絡的思想早在 20 年前就已經出現(xiàn)，但直到近三四年才開始逐漸流行起來。與之不同的是，不到 1 年時間，網(wǎng)絡安全網(wǎng)格就被引入到大量的安全總體設計中。

網(wǎng)絡安全網(wǎng)格本身是遵從零信任網(wǎng)絡思想的，人或機器都須通過嚴格的身份驗證和授權才可以從任何地方安全地訪問設備、服務、數(shù)據(jù)和應用，但零信任網(wǎng)絡不一定就是網(wǎng)絡安全網(wǎng)格。兩者的區(qū)別主要體現(xiàn)在：①網(wǎng)絡安全網(wǎng)格從圍繞數(shù)據(jù)中心創(chuàng)建邊界擴展到圍繞主體和對象創(chuàng)建邊界；②網(wǎng)絡安全網(wǎng)格支持將云服務納入零信任網(wǎng)絡基礎架構；③網(wǎng)絡安全網(wǎng)格的關鍵要素是全面分析主體和客體的自適應訪問控制。

（2） 安 全 編 排 自 動 化 與 響 應（Security Orchestration, Automation and Response，SOAR）。SOAR 同樣也是 Gartner 提出的概念，是安全分析人員在統(tǒng)一的平臺中集成工作流管理的一種方式。SOAR 涉及安全編排與自動化、安全事件響應平臺和威脅情報平臺等多種工具的融合，通過監(jiān)測各種安全事件信息（包括各種安全系統(tǒng)產生的告警），并對之進行分析，在標準工作流程的指引下，幫助安全運維人員實施標準化的事件響應活動。在構建網(wǎng)絡安全網(wǎng)格架構的支撐層時，可以注意到的是，實現(xiàn)分布式安全解決方案之間互操作性的工具對于安全網(wǎng)格至關重要。最快、最合理的途徑是采用基于 API 驅動的標準化技術和可擴展的分析平臺，利用標準化通信來打破孤島，在不同技術之間實現(xiàn)語義感知的編排，并通過自動化手段實現(xiàn)所有工具之間的實時共享以及靈活、可擴展的安全態(tài)勢。由此可見，SOAR 作為滿足編排和自動化需求而開發(fā)的工具，可以融合到網(wǎng)絡安全網(wǎng)格架構所需的安全分析與情報層，將成為網(wǎng)絡安全網(wǎng)格架構的重要支柱技術之一。

（3）其他安全概念。網(wǎng)絡安全網(wǎng)格與當前流行的其他安全概念之間并不沖突。擴展檢測和響應為安全供應商提供了將其產品整合至統(tǒng)一平臺中的一種新的方式，因此可以說，XDR是 CSMA 進行安全分析和情報收集的潛在基礎。安全信息和事件管理（SIEM）也同樣如此，可以為網(wǎng)絡安全網(wǎng)格中的安全分析與情報層提供更多的價值。安全訪問服務邊緣（Secure Access Service Edge，SASE）技術是一種通過集成方式提供不同功能的網(wǎng)格方法，與之相比，安全網(wǎng)格通過構建網(wǎng)絡安全基礎設施的方式，得到更廣泛的適用范圍。

４

影響展望與對策建議

網(wǎng)絡安全網(wǎng)格作為網(wǎng)絡安全領域的重要技術發(fā)展趨勢，將給網(wǎng)絡安全行業(yè)帶來多方面的重要影響，網(wǎng)絡安全行業(yè)的參與者應緊跟發(fā)展形勢，積極尋找應對策略。

4.1帶來的影響

網(wǎng)絡安全網(wǎng)格將為網(wǎng)絡安全行業(yè)帶來以下 5個方面的深入影響。

（1）助力 IT 系統(tǒng)開發(fā)中安全設計流程的升級。網(wǎng)絡安全網(wǎng)格方法意味著整個 IT 設計過程的重新配置，在 IT 系統(tǒng)和網(wǎng)絡設計之初就須考慮安全措施的集成。也就是說，安全措施不再是事后“打補丁”，而是在網(wǎng)絡架構設計過程中同步開展的，IT 設計開發(fā)團隊將大量參與其中并將安全設計在時間軸上進一步“向左”移動 ，以確保實現(xiàn)更高效、更可靠的安全防御。

（2）支持大部分的 IAM 請求。如上文所述，由于企業(yè)所在場所之外存在越來越多的數(shù)字資產、身份和設備，傳統(tǒng)的邊界安全模型難以實施有效的保護。Gartner 預測，網(wǎng)絡安全網(wǎng)格將有助于處理超過 50% 的 IAM 請求，支持更具適應性、移動性和統(tǒng)一的訪問管理 。借助安全網(wǎng)格方法，企業(yè)可以獲得比傳統(tǒng)安全邊界保護更集成、可擴展、更靈活和更可靠的數(shù)字資產訪問控制點和控制方法。

（3）推動安全托管服務提供商（Managed Security Service Provider，MSSP）的發(fā)展。Gartner預測，到 2023 年，近 40% 的 IAM 應用融合將由MSSP 推動。MSSP 可以為各類企業(yè)提供一流的資源和所需的能力來規(guī)劃、開發(fā)、獲取和實施綜合的 IAM 解決方案。相比產品供應商，MSSP 通過集成方式更有能力和意愿為客戶提供同樣場景下的最佳安全解決方案，這樣的發(fā)展趨勢將導致產品供應商的作用和影響發(fā)生重大轉變。

（4）促進在員工身份管理生命周期中納入新的身份驗證工具。隨時隨地辦公的要求使得遠程交互變得越來越普遍，讓組織更加難以準確識別真正的合規(guī)用戶和惡意攻擊者，迫切需要實現(xiàn)更加有效的身份注冊和管理工具。Gartner預測，到 2024 年，30% 的大型企業(yè)將實施新的身份驗證工具，以解決員工身份管理全生命周期過程中頻頻出現(xiàn)的問題。

（5）加速去中心化身份標準的應用。身份數(shù)據(jù)的集中式管理方法使得提供隱私保護和假名變得非常困難，利用安全網(wǎng)格模型和最新的區(qū)塊鏈技術，基于去中心化的方法可以實施更好的隱私保護，讓請求者僅提供少量信息量來驗證訪問請求，符合各國已出臺的數(shù)據(jù)安全保護法規(guī)要求。Gartner 預測，到 2024 年，市場上將出現(xiàn)真正的全球性、便攜化、去中心化身份標準，以滿足商業(yè)、個人、社交和社會的需要。

4.2對策建議

積極應用網(wǎng)絡安全網(wǎng)格方法是順應發(fā)展趨勢的需要，網(wǎng)絡安全建設和運營的主管人員應關注以下幾點建議。

（1）重新審視組織的網(wǎng)絡安全建設規(guī)劃，盡快從傳統(tǒng)的邊界防護轉向零信任網(wǎng)絡，并積極實施網(wǎng)絡安全網(wǎng)格架構方法，整合現(xiàn)有的安全相關項目，以及時、高效地應對越來越復雜的網(wǎng)絡環(huán)境與業(yè)務需要。

（2）實施網(wǎng)絡安全網(wǎng)格方法，并不需要大刀闊斧地開展網(wǎng)絡與安全系統(tǒng)的重建和改造，無須推倒重來，可以在已有系統(tǒng)上按照安全網(wǎng)格架構方法要求逐步改造與遷移，實現(xiàn)對已有投資的充分“利舊”。

（3）在構建通用集成框架方面投入必要的資金，重點投入和抓好安全網(wǎng)格基礎支撐層（安全分析與情報、策略管理、操控界面和身份架構）的建設，通過高效的系統(tǒng)集成產生匯聚效應，提升整體安全防御效能。

（4）有效甄別安全供應商的類安全網(wǎng)格集成 方 式， 例 如，F(xiàn)ortinet、McAfee、 微 軟、Palo AltoNetworks 等公司都構建了安全系統(tǒng)平臺，可以使用戶提升安全能力和擴展性，并降低建設和運維成本，但還缺乏廣泛的互操作性，仍有可能受制于供應商。

（5）在選擇新的安全工具時，應該優(yōu)先考察其支持可組合性、互操作性方面的能力，例如，支持可擴展和定制的 API 插件等，避免帶來一個個獨立的安全“煙囪”，造成低效費比的投資，增加運維難度、降低運維效率。

（6）鑒于標準化對于網(wǎng)絡安全網(wǎng)格的建設尤為重要，應盡量使用最新的安全技術標準，同時優(yōu)先選擇在采納新興技術標準方面有著良好記錄的供應商，降低不同供應商技術之間可能存在的互操作性差異。

５

結語

當前網(wǎng)絡安全形勢越來越嚴峻，一方面，網(wǎng)絡攻擊無孔不入、愈演愈烈；另一方面，組織架構越來越分散，資產、人員、客戶、合作伙伴遍布各個地方，業(yè)務上云、多云運行、隨時隨地辦公等新的業(yè)務范式不斷涌現(xiàn)，對網(wǎng)絡安全提出新的挑戰(zhàn)。網(wǎng)絡安全防御如何與時俱進，跟上組織架構和業(yè)務發(fā)展需求，需要有新思路、新理念。網(wǎng)絡安全網(wǎng)格提出了一種靈活的、可組合的安全架構方法，可以高效集成廣泛分布且不同功能的安全服務來滿足業(yè)務系統(tǒng)發(fā)展及網(wǎng)絡環(huán)境變化需要。通過上述分析，可以看出，網(wǎng)絡安全網(wǎng)格可以說是零信任網(wǎng)絡概念的進一步擴展，雖然“網(wǎng)絡安全網(wǎng)格”這個術語是否有必要和是否準確也許會存在爭議，但它所帶來的思想還是很有必要的，值得網(wǎng)絡安全相關人員高度關注。

審核編輯：劉清