网络安全

2019年7月，网络安全研究人员发现了一种名为Godlua的后门程序。这个恶意软件的独特之处在于：它是首个被观察到利用DNS over HTTPS (DoH)协议来隐藏命令与控制(C2)通信的恶意软件。通过将DNS查询封装在HTTPS流量中，Godlua成功绕过了传统的网络监控工具——安全团队看着大量"正常"的HTTPS流量经过，却完全无法察觉其中隐藏的恶意DNS请求。 ...

title: “零信任架构的十五年演进：从打破边界到重构企业安全范式” date: “2026-03-06T03:22:30+08:00” description: “深入解析零信任架构的演进历程与核心原理。从2010年John Kindervag首次提出零信任概念，到Google BeyondCorp的工程实践，再到NIST SP 800-207标准化框架，系统梳理零信任如何从根本上改变企业安全思维。文章详细剖析传统边界安全模型的固有缺陷、零信任的七大核心原则、三种技术实现路径，以及实施过程中的常见误区与成功要素。” draft: false categories: [“网络安全”, “企业架构”, “零信任”] tags: [“零信任架构”, “BeyondCorp”, “NIST SP 800-207”, “微隔离”, “ZTNA”, “身份管理”, “网络分段”, “企业安全”] 2009年中期，Google遭遇了一次大规模的网络攻击——后来被称为"极光行动"(Operation Aurora)。攻击者通过社会工程学手段入侵了一名员工的计算机，然后利用内部网络的信任关系，横向移动到核心知识产权系统，窃取了源代码和敏感信息。这次事件于2010年1月被Google公开披露，让公司安全团队意识到一个根本性问题：当攻击者已经进入内部网络时，传统的防火墙、VPN和入侵检测系统几乎形同虚设。 ...

1983年，Paul Mockapetris在RFC 882和883中定义了Domain Name System（DNS）。这个协议的核心目标简单明确：将人类可读的域名映射为机器可读的IP地址。在那个只有几百台联网主机的ARPANET时代，Mockapetris和他的同事们做了一个影响至今的设计决策——DNS查询和响应不需要任何形式的身份验证。 ...