术语俗话 --- 零信任架构

 零信任架构： “永不轻信，持续验证” 的安全新思维

• 传统思维（城堡护城河）： 想象公司网络是一个城堡。一旦你通过大门（防火墙）进入城堡（内网），就被认为是“自己人”，可以在城堡里大部分地方自由走动。这就像有员工工牌就能进公司，进去后各个部门门禁可能不严。

• 零信任思维（处处安检）： 零信任彻底抛弃了“内网就是安全的”假设。它的核心原则是：永不信任，始终验证。

  • 通俗比喻： 把整个公司（甚至整个数字世界）想象成一个高度戒备的场所。每一个人（用户）、每一辆车（设备）、每一次想进入任何一个房间（应用、数据、服务）都需要单独、严格地安检（验证身份和权限），并且安检不是一次性的，而是持续进行的（持续监控行为）。

  • 关键点：

    • 你是谁？ (强身份认证)：每次访问都要确认身份，多因素认证是常态。

    • 你在用什么设备？ (设备安全检查)：设备是否合规？有漏洞吗？装了必要的安全软件吗？

    • 你要访问什么？ (最小权限原则)：只给你访问完成工作绝对必需的资源权限，不多给一分。想看财务数据？除非你是财务人员且有明确需要。

    • 你现在安全吗？ (持续风险评估)：即使你登录了，如果你的行为异常（比如在非工作时间、从陌生地点访问敏感数据），系统会立即提高警惕，可能要求重新验证甚至阻断访问。

• 为什么重要？ 传统的“信任内网”模式很容易被攻破（比如一个员工电脑中病毒，黑客就能在内网横行）。零信任大大增加了攻击者的难度，即使一个点被突破，也很难横向移动获取更多权限或数据。