零信任體系化能力建設(shè)（3）：網(wǎng)絡(luò)彈性與隔離邊界

網(wǎng)絡(luò)是現(xiàn)代企業(yè)數(shù)字基礎(chǔ)設(shè)施的核心。零信任理念致力于構(gòu)建一個(gè)以身份（而非網(wǎng)絡(luò)）為中心的網(wǎng)絡(luò)安全架構(gòu)，引發(fā)了企業(yè)網(wǎng)絡(luò)安全架構(gòu)的變革。在零信任體系化能力建設(shè)中，“網(wǎng)絡(luò)”承載并連接了其他的安全能力支柱，是實(shí)現(xiàn)零信任安全框架的關(guān)鍵。
然而，復(fù)雜多樣的網(wǎng)絡(luò)環(huán)境為實(shí)施零信任帶來(lái)了前所未有的挑戰(zhàn)，任何網(wǎng)絡(luò)相關(guān)能力建設(shè)的風(fēng)險(xiǎn)都將嚴(yán)重阻礙零信任戰(zhàn)略的推進(jìn)，因此，將“網(wǎng)絡(luò)”支柱的成熟度建設(shè)放在零信任實(shí)施計(jì)劃的后期是大多數(shù)企業(yè)的選擇。本文主要從網(wǎng)絡(luò)相關(guān)的零信任安全能力建設(shè)入手，討論網(wǎng)絡(luò)分段與微隔離、流量管理與檢視、通信加密和網(wǎng)絡(luò)可用性保護(hù)等問(wèn)題。

關(guān)鍵字：零信任；微隔離；網(wǎng)絡(luò)彈性；加密

一、零信任網(wǎng)絡(luò)安全

零信任架構(gòu)使傳統(tǒng)基于邊界的安全方法發(fā)生了改變，在向零信任遷移的過(guò)程中，網(wǎng)絡(luò)扮演著一個(gè)非常獨(dú)特的角色。一方面，“網(wǎng)絡(luò)”從安全活動(dòng)的焦點(diǎn)轉(zhuǎn)變?yōu)橄嗷リP(guān)聯(lián)的支柱領(lǐng)域之一，失去了在傳統(tǒng)以網(wǎng)絡(luò)為中心的安全框架中的主導(dǎo)地位。另一方面，網(wǎng)絡(luò)是零信任架構(gòu)的重要支撐，是連接零信任其他所有支柱的方式和通道。

因此，IT和安全團(tuán)隊(duì)需要重新審視“網(wǎng)絡(luò)”在零信任安全框架中的角色和地位。在企業(yè)架構(gòu)中，應(yīng)用程序并非孤立存在，它運(yùn)行在數(shù)據(jù)中心和云中，可能包含多個(gè)需要相互協(xié)調(diào)的分布式組件和功能。但在所有情況下，應(yīng)用程序需要通過(guò)網(wǎng)絡(luò)來(lái)訪(fǎng)問(wèn)資源，而用戶(hù)也需要網(wǎng)絡(luò)來(lái)訪(fǎng)問(wèn)應(yīng)用程序和數(shù)據(jù)。

在零信任體系化安全能力中，“網(wǎng)絡(luò)”是一個(gè)開(kāi)放的通信媒介和通道，包括傳統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)通道（例如，內(nèi)部網(wǎng)絡(luò)、無(wú)線(xiàn)網(wǎng)絡(luò)和互聯(lián)網(wǎng)）和信息通道（例如，用于傳輸信息的網(wǎng)絡(luò)隧道和應(yīng)用層通道等）。企業(yè)網(wǎng)絡(luò)跨越了多種基礎(chǔ)設(shè)施環(huán)境和連接，包括：
?傳統(tǒng)的本地設(shè)施、服務(wù)器和應(yīng)用程序；
?隨時(shí)移動(dòng)、接入的移動(dòng)設(shè)備；
?訪(fǎng)問(wèn)公司資源的外部用戶(hù)（例如，供應(yīng)商、客戶(hù)等）;
?基于云的系統(tǒng)（IaaS、PaaS和SaaS）;
?部署于特定環(huán)境的、計(jì)算能力有限的IoT設(shè)備;
?內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）。

復(fù)雜環(huán)境中沒(méi)有真正的邊界。網(wǎng)絡(luò)復(fù)雜性一直是傳統(tǒng)邊界安全面臨的主要挑戰(zhàn)，而傳統(tǒng)網(wǎng)絡(luò)安全控制措施（例如，防火墻、網(wǎng)絡(luò)分段、NAC和IDS等）也存在各種難以避免的缺點(diǎn)，主要包括：
?網(wǎng)絡(luò)分段和NAC存在沉重的運(yùn)維負(fù)擔(dān)，并且可能因引入專(zhuān)有數(shù)據(jù)報(bào)格式，導(dǎo)致廠(chǎng)商依賴(lài)和鎖定；
?防火墻因價(jià)格昂貴且管理復(fù)雜，只能在有限的網(wǎng)絡(luò)邊界或DMZ上使用，以實(shí)現(xiàn)價(jià)值最大化；
?網(wǎng)絡(luò)數(shù)據(jù)采集和集中分析極具挑戰(zhàn)性，涉及專(zhuān)有數(shù)據(jù)格式、有限可見(jiàn)性等問(wèn)題；
?網(wǎng)絡(luò)威脅檢測(cè)的誤報(bào)和漏報(bào)導(dǎo)致運(yùn)營(yíng)開(kāi)銷(xiāo)增加，并為組織帶來(lái)不可見(jiàn)和未緩解的風(fēng)險(xiǎn)。

零信任在更接近應(yīng)用程序、數(shù)據(jù)和其他資源的位置實(shí)現(xiàn)安全控制，增強(qiáng)傳統(tǒng)基于網(wǎng)絡(luò)的保護(hù)措施，并提高縱深防御能力。為了實(shí)現(xiàn)零信任戰(zhàn)略，組織需要明確業(yè)務(wù)活動(dòng)與零信任網(wǎng)絡(luò)之間的關(guān)聯(lián)，了解環(huán)境中的所有入口、出口和訪(fǎng)問(wèn)點(diǎn)，并基于這些可見(jiàn)性來(lái)實(shí)施整體的網(wǎng)絡(luò)安全策略，包括業(yè)務(wù)流映射，從身份（或設(shè)備）出發(fā)對(duì)訪(fǎng)問(wèn)進(jìn)行分段（微隔離）和安全強(qiáng)化。

二、網(wǎng)絡(luò)安全的關(guān)鍵能力

在零信任安全框架中，網(wǎng)絡(luò)層面的安全能力既要確保對(duì)網(wǎng)絡(luò)的授權(quán)訪(fǎng)問(wèn)，防止橫向移動(dòng)和非法訪(fǎng)問(wèn)，也要保障業(yè)務(wù)流量的機(jī)密性和完整性，確保敏感信息不被篡改或泄露，同時(shí)還要保證網(wǎng)絡(luò)的彈性和高可用，適應(yīng)不斷變化的威脅環(huán)境和業(yè)務(wù)需求。

1．網(wǎng)絡(luò)分段與隔離
傳統(tǒng)上，網(wǎng)絡(luò)管理員通過(guò)分段將企業(yè)網(wǎng)絡(luò)劃分為多個(gè)區(qū)域，并在分段之間部署和管理安全服務(wù)策略，來(lái)提高網(wǎng)絡(luò)的可管理性。在網(wǎng)絡(luò)分段（Network Segmentation）中，跨越區(qū)域邊界的流量必須經(jīng)過(guò)防火墻的檢查，這為組織提供了高層級(jí)的網(wǎng)絡(luò)可見(jiàn)性，能夠識(shí)別并阻止攻擊者的橫向移動(dòng)。

微隔離（Micro-Segmentation）對(duì)網(wǎng)絡(luò)分段進(jìn)行進(jìn)一步細(xì)化，力圖將每個(gè)設(shè)備（甚至應(yīng)用程序）置于獨(dú)立的分段內(nèi)。與被稱(chēng)為宏隔離（Macro-Segmentation）的網(wǎng)絡(luò)分段相比，微隔離雖然確實(shí)將網(wǎng)絡(luò)劃分為更小的隔離部分，但其重點(diǎn)是要能夠?yàn)閱蝹€(gè)工作負(fù)載、應(yīng)用程序或服務(wù)創(chuàng)建安全策略，提供比網(wǎng)絡(luò)分段更細(xì)粒度的可見(jiàn)性和安全控制，確保所有設(shè)備或應(yīng)用程序之間的流量都被檢查，以查找潛在的惡意內(nèi)容或違反企業(yè)安全或訪(fǎng)問(wèn)控制策略的行為。

圖1 網(wǎng)絡(luò)分段與微隔離

將網(wǎng)絡(luò)分段變得更小，實(shí)現(xiàn)微分段的網(wǎng)絡(luò)設(shè)計(jì)是向零信任安全遷移的理想步驟。

在云數(shù)據(jù)中心中，SDN（軟件定義網(wǎng)絡(luò)）和NFV（網(wǎng)絡(luò)功能虛擬化）等技術(shù)有助于根據(jù)特定應(yīng)用程序、服務(wù)或工作負(fù)載創(chuàng)建這些類(lèi)型的微隔離，基于容器的編排平臺(tái)還可以通過(guò)隔離特定服務(wù)和應(yīng)用程序來(lái)促進(jìn)微隔離的實(shí)現(xiàn)。

2．流量管理與檢視
由于不同應(yīng)用在訪(fǎng)問(wèn)權(quán)限、優(yōu)先級(jí)、可達(dá)性、依賴(lài)服務(wù)和通信路徑等方面存在不同的要求，企業(yè)網(wǎng)絡(luò)中的每個(gè)應(yīng)用程序都應(yīng)該以唯一的方式進(jìn)行處理。

傳統(tǒng)的流量管理主要受網(wǎng)絡(luò)QoS的需求驅(qū)動(dòng)，對(duì)數(shù)據(jù)包進(jìn)行排隊(duì)排序，確保關(guān)鍵業(yè)務(wù)、高優(yōu)先級(jí)流量得到優(yōu)先處理。例如，適用于骨干網(wǎng)QoS的DiffServ模型，通常根據(jù)數(shù)據(jù)流的QoS要求，將流量劃分為不同的級(jí)別，高級(jí)別的數(shù)據(jù)流比低級(jí)別的數(shù)據(jù)流優(yōu)先傳輸。

在零信任安全體系中，基于應(yīng)用感知的流量管理不僅用于保障關(guān)鍵業(yè)務(wù)的QoS，根據(jù)應(yīng)用的特定部分或用戶(hù)操作來(lái)控制流量，還需要能夠適應(yīng)網(wǎng)絡(luò)上允許的應(yīng)用程序類(lèi)型，識(shí)別并阻止格式異常的流量，以防止對(duì)允許的應(yīng)用程序協(xié)議的濫用，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

為了實(shí)施有效的網(wǎng)絡(luò)流量管理，需要增加網(wǎng)絡(luò)可見(jiàn)性，確保在流量層面能夠檢視、識(shí)別、區(qū)分不同的應(yīng)用程序，以實(shí)施基于應(yīng)用感知的安全策略。在全流量加密的零信任網(wǎng)絡(luò)環(huán)境中，該要求顯然存在一些技術(shù)瓶頸，同時(shí)還要面對(duì)QoS保障所帶來(lái)的網(wǎng)絡(luò)運(yùn)維復(fù)雜性問(wèn)題。

3．協(xié)議安全與加密
為了提高數(shù)據(jù)的機(jī)密性，防止攻擊者窺探用戶(hù)敏感信息，需要在數(shù)據(jù)傳輸中加密所有數(shù)據(jù)，包括企業(yè)內(nèi)部的東-西向流量和與外部網(wǎng)絡(luò)之間的南-北向流量。

圖2 企業(yè)網(wǎng)絡(luò)的南-北向、東-西向流量

一般來(lái)說(shuō)，在應(yīng)用或數(shù)據(jù)層面（即支柱）來(lái)實(shí)施加密策略相對(duì)比較簡(jiǎn)單，組織也已經(jīng)開(kāi)始逐漸采用SSH、TLS、HTTPS和安全DNS（例如，DNSSEC、DNS over TLS、DNS over HTTPS等）等協(xié)議開(kāi)發(fā)或替換應(yīng)用，以提供適當(dāng)?shù)臋C(jī)密性。然而，有些遺留應(yīng)用使用了自定義協(xié)議和端口，很難進(jìn)行加密改造。因此，組織需要采用一些其他類(lèi)型的安全措施。例如，嘗試將這些應(yīng)用程序的流量隔離到獨(dú)立的段中，以減少能夠查看明文流量的人數(shù)。

另外，除了端到端的應(yīng)用層加密方式外，網(wǎng)絡(luò)層（點(diǎn)到點(diǎn)）加密可以確保所有數(shù)據(jù)都被加密，并提供友好無(wú)感的用戶(hù)體驗(yàn)。加密過(guò)程由網(wǎng)絡(luò)上的不同設(shè)備（路由器、防火墻）或通過(guò)軟件代理來(lái)執(zhí)行。需要注意的是，網(wǎng)絡(luò)層加密能夠滿(mǎn)足南-北向的數(shù)據(jù)（例如，客戶(hù)與企業(yè)應(yīng)用之間的電子商務(wù)通信）加密需要，但它可能無(wú)法加密東-西向數(shù)據(jù)，企業(yè)內(nèi)網(wǎng)或云端數(shù)據(jù)中心的流量可能仍然是明文。

最后，當(dāng)所有流量都被加密后，自然也就丟失了可見(jiàn)性，零信任需要在監(jiān)控網(wǎng)絡(luò)流量和降低數(shù)據(jù)泄露風(fēng)險(xiǎn)之間取得平衡。此外，即使在普遍采用加密通信的網(wǎng)絡(luò)中，明文的敏感信息和口令也幾乎無(wú)處不在，企業(yè)網(wǎng)絡(luò)仍然會(huì)面臨一些與機(jī)密性相關(guān)的安全問(wèn)題（例如，密鑰管理）。

4．網(wǎng)絡(luò)彈性與可用
網(wǎng)絡(luò)彈性（Cyber Resilience）在NIST SP 800-160中被定義為“為應(yīng)對(duì)不利條件、壓力、攻擊或威脅，網(wǎng)絡(luò)系統(tǒng)所應(yīng)具備的預(yù)測(cè)、承受、恢復(fù)和適應(yīng)能力”，包括網(wǎng)絡(luò)的可擴(kuò)展性、可靠性、容錯(cuò)性和自適應(yīng)性等方面，其目標(biāo)是確保在面對(duì)故障、攻擊、負(fù)載增加或其他不可預(yù)測(cè)的情況時(shí)，網(wǎng)絡(luò)能夠繼續(xù)提供穩(wěn)定和可靠的服務(wù)。

與網(wǎng)絡(luò)安全相比，網(wǎng)絡(luò)彈性假設(shè)攻擊者已經(jīng)侵入并將在網(wǎng)絡(luò)中長(zhǎng)期存在，在網(wǎng)絡(luò)環(huán)境（包括威脅、運(yùn)行和技術(shù)）持續(xù)發(fā)生變化的前提下，以最大程度提高組織完成關(guān)鍵或重要任務(wù)或業(yè)務(wù)功能的能力，體現(xiàn)了“面向失效的防御”、“縱深防御”、“自適應(yīng)防御”的安全理念，要求從多個(gè)層次和維度來(lái)全面地進(jìn)行基于風(fēng)險(xiǎn)的檢測(cè)、響應(yīng)和安全拒止，這與零信任的安全彈性理念是一致的。

圖3 NIST網(wǎng)絡(luò)彈性工程框架

從實(shí)現(xiàn)層面看，網(wǎng)絡(luò)彈性更側(cè)重對(duì)關(guān)鍵業(yè)務(wù)和核心基礎(chǔ)設(shè)施的安全保障，并通過(guò)網(wǎng)絡(luò)彈性工程框架（CREF，如圖3）從目的、目標(biāo)和技術(shù)三個(gè)層面給出了網(wǎng)絡(luò)彈性的實(shí)現(xiàn)框架。

在建設(shè)零信任網(wǎng)絡(luò)能力時(shí)，網(wǎng)絡(luò)彈性工程能夠支持零信任理念的實(shí)施，通過(guò)快速調(diào)整和部署新的安全措施、身份驗(yàn)證和訪(fǎng)問(wèn)控制機(jī)制，適應(yīng)不斷變化的安全需求和威脅環(huán)境。另一方面，零信任安全通過(guò)精細(xì)的訪(fǎng)問(wèn)控制和身份驗(yàn)證來(lái)減少安全漏洞和風(fēng)險(xiǎn)，從而增強(qiáng)網(wǎng)絡(luò)的安全性和彈性。

三、網(wǎng)絡(luò)安全的最佳實(shí)踐

零信任網(wǎng)絡(luò)需要具有“分而治之”的網(wǎng)絡(luò)彈性能力，其關(guān)鍵思想是通過(guò)在網(wǎng)絡(luò)內(nèi)放置多個(gè)檢查點(diǎn)來(lái)創(chuàng)建網(wǎng)絡(luò)微分段，以阻止惡意或未經(jīng)授權(quán)的橫向移動(dòng)，并在發(fā)生違規(guī)訪(fǎng)問(wèn)時(shí)，能夠快速響應(yīng)以遏制和隔離威脅。

1．建立數(shù)據(jù)流清單
為了提供實(shí)施合理的網(wǎng)絡(luò)分段和微隔離，需要識(shí)別、映射網(wǎng)絡(luò)中的合法數(shù)據(jù)流。數(shù)據(jù)流清單用于記錄和管理組織內(nèi)部和外部的數(shù)據(jù)流動(dòng)情況，應(yīng)覆蓋企業(yè)網(wǎng)絡(luò)中的所有業(yè)務(wù)流，并實(shí)現(xiàn)向身份和設(shè)備實(shí)體的映射，包括數(shù)據(jù)的來(lái)源、目的地、協(xié)議/端口、傳輸方式、訪(fǎng)問(wèn)權(quán)限等信息。

建立數(shù)據(jù)流清單是零信任網(wǎng)絡(luò)建設(shè)的重要步驟，也是一個(gè)需要持續(xù)建設(shè)、更新的過(guò)程，以保持與網(wǎng)絡(luò)和業(yè)務(wù)變化的同步。在針對(duì)南北向和東西向流量進(jìn)行梳理和分類(lèi)分析時(shí)，可分別采用以下方法：
?識(shí)別邊界點(diǎn)。確定數(shù)據(jù)流進(jìn)入和離開(kāi)網(wǎng)絡(luò)的關(guān)鍵邊界點(diǎn)，例如防火墻、代理服務(wù)器或邊界路由器。
?分析網(wǎng)絡(luò)日志。分析南北向流量的網(wǎng)絡(luò)日志，以識(shí)別數(shù)據(jù)的源頭和目的地，以及協(xié)議和端口。
?識(shí)別應(yīng)用程序。通過(guò)協(xié)議分析、端口識(shí)別或應(yīng)用程序分類(lèi)工具，確定與每個(gè)數(shù)據(jù)流相關(guān)的應(yīng)用程序和服務(wù)。
?識(shí)別內(nèi)部通信。通過(guò)網(wǎng)絡(luò)流量監(jiān)控工具或數(shù)據(jù)包分析，了解內(nèi)部系統(tǒng)之間的通信流量。
?制定網(wǎng)絡(luò)拓?fù)鋱D。通過(guò)繪制網(wǎng)絡(luò)拓?fù)鋱D，標(biāo)識(shí)各個(gè)系統(tǒng)和組件之間的連接和通信路徑。
?映射業(yè)務(wù)流程。與業(yè)務(wù)團(tuán)隊(duì)合作，了解各個(gè)業(yè)務(wù)流程涉及的系統(tǒng)和數(shù)據(jù)交換情況，識(shí)別每個(gè)數(shù)據(jù)流與特定業(yè)務(wù)流程的關(guān)聯(lián)。

2．實(shí)現(xiàn)網(wǎng)絡(luò)微隔離
實(shí)現(xiàn)微隔離是大多數(shù)零信任網(wǎng)絡(luò)建設(shè)的起點(diǎn)。通過(guò)微隔離，組織可以為不同的用戶(hù)、設(shè)備和數(shù)據(jù)流設(shè)置特定的訪(fǎng)問(wèn)規(guī)則和權(quán)限，確保數(shù)據(jù)按照預(yù)期的方式流動(dòng)，避免敏感數(shù)據(jù)被錯(cuò)誤地傳輸?shù)讲粦?yīng)訪(fǎng)問(wèn)的區(qū)域。

不同組織的微隔離細(xì)分深度因成熟度而異，有的組織使用無(wú)微隔離的“扁平網(wǎng)絡(luò)”，有的僅通過(guò)VLAN進(jìn)行了簡(jiǎn)單隔離，而具有更高成熟度的零信任網(wǎng)絡(luò)則需要考慮身份、設(shè)備、數(shù)據(jù)和資源的微隔離。

此外，實(shí)現(xiàn)微分段需要對(duì)網(wǎng)絡(luò)架構(gòu)、應(yīng)用程序和數(shù)據(jù)流有深入的了解。映射和管理如此眾多的網(wǎng)絡(luò)分段，并一致地執(zhí)行安全策略極具挑戰(zhàn)性。這也是SDN、NFV等網(wǎng)絡(luò)自動(dòng)化和虛擬化技術(shù)得到廣泛應(yīng)用的原因之一。

3．網(wǎng)絡(luò)監(jiān)測(cè)與響應(yīng)
在零信任網(wǎng)絡(luò)建設(shè)中，建立全面的網(wǎng)絡(luò)可見(jiàn)性是威脅檢測(cè)和響應(yīng)的基礎(chǔ)。通過(guò)網(wǎng)絡(luò)監(jiān)測(cè)工具、入侵檢測(cè)系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）、威脅情報(bào)和分析等技術(shù)，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量和設(shè)備行為，可以幫助發(fā)現(xiàn)異?；顒?dòng)、未經(jīng)授權(quán)的訪(fǎng)問(wèn)和潛在的威脅行為。

引入自動(dòng)化工具和響應(yīng)機(jī)制可以提高威脅檢測(cè)和響應(yīng)的效率和準(zhǔn)確性，包括實(shí)時(shí)告警、自動(dòng)封鎖惡意流量、隔離受感染的設(shè)備等措施，組織可以更好地進(jìn)行威脅檢測(cè)和響應(yīng)，以保護(hù)網(wǎng)絡(luò)和數(shù)據(jù)安全。

4、SDP與VPN替代
經(jīng)過(guò)三年疫情的考驗(yàn)，以VPN為代表的遠(yuǎn)程訪(fǎng)問(wèn)方案暴露出了嚴(yán)重的技術(shù)缺陷，遠(yuǎn)程用戶(hù)為了訪(fǎng)問(wèn)云資源，而不得不通過(guò)VPN隧道繞行數(shù)據(jù)中心。僅在接入時(shí)進(jìn)行身份驗(yàn)證，并獲得大量訪(fǎng)問(wèn)權(quán)限的VPN也不符合零信任的安全理念。

SDP被視為VPN的一種替代方案，提供了更加靈活、安全和可控的網(wǎng)絡(luò)訪(fǎng)問(wèn)方式，可以基于用戶(hù)身份、設(shè)備狀態(tài)、網(wǎng)絡(luò)環(huán)境等多個(gè)因素來(lái)決定用戶(hù)能夠訪(fǎng)問(wèn)的資源和權(quán)限，更加適用于現(xiàn)代的分布式和云原生環(huán)境。

四、結(jié)語(yǔ)

零信任架構(gòu)試圖通過(guò)消除對(duì)內(nèi)部網(wǎng)絡(luò)上的隱含信任，來(lái)減輕與網(wǎng)絡(luò)威脅相關(guān)的風(fēng)險(xiǎn)。然而，云時(shí)代下企業(yè)網(wǎng)絡(luò)涵蓋了內(nèi)網(wǎng)、數(shù)據(jù)中心、云等多個(gè)區(qū)域，在如此復(fù)雜的網(wǎng)絡(luò)環(huán)境中，實(shí)現(xiàn)這一目標(biāo)并非易事。零信任網(wǎng)絡(luò)安全建設(shè)要求企業(yè)重新審視企業(yè)網(wǎng)絡(luò)的組成和彈性要求，加強(qiáng)底層基礎(chǔ)設(shè)施、容器、微服務(wù)和云平臺(tái)的網(wǎng)絡(luò)安全管理，通過(guò)與現(xiàn)有安全程序和工具的無(wú)縫集成，為企業(yè)提供更強(qiáng)大的網(wǎng)絡(luò)安全能力，以應(yīng)對(duì)日益復(fù)雜的威脅環(huán)境變化。

審核編輯 黃宇