零信任代表了新一代的网络安全防护理念，它的关键在于打破默认的“信任”，用一句通俗的话来概括，就是“持续验证，永不信任”。默认不信任企业网络内外的任何人、设备和系统，基于身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则，可以保障办公系统的三个“安全”：终端安全、链路安全和访问控制安全。那实现零信任网络的核心原则的方法有哪些呢？下面易安联给大家详细介绍一下。 

实现零信任网络的核心原则的方法如下： 

原则1： 身份是访问控制的基础 

传统边界网络模型里，网络访问控制基于IP地址设计和执行。但在分布式企业里，网络变得越来越碎片化，员工可能从任意位置接入并访问业务资源。网络IP地址只能代表网络位置，并不能代表人或者终端，在分布式网络里继续使用传统边界网络模型必然会让安全策略越来越偏离对人或者终端的控制，带来大量的隐含信任漏洞以及安全运维工作量。 

原则2： 最小权限原则 

将企业业务资源都隐藏在业务局域网中，对外不开放任何IP地址和端口，避免了来自不可信网络的直接访问。所有业务访问需要经过网关代理转发，网关只接受来自客户端发过来的UDP网络数据包，不主动对任何数据包进行回应，对每一个数据包进行身份校验，如果校验失败则立即丢弃。 

授权策略基于帐号、终端、客户端应用程序、业务资源、服务端口、应用层URI或指令集设计，并根据对用户、终端的可信研判结果，动态的调整细粒度控制策略，实现持续地最小授权。 

原则3： 实时计算访问控制策略 

细粒度访问控制策略通过计算生成，管理员通过业务语言基于帐号、终端、业务的属性集中地配置授权策略，根据企业随时变化的帐号、终端和业务现状，实时地生成细粒度的访问控制策略，并将细粒度访问控制策略同步到每一个客户端和网关上分布式执行。 

原则4： 资源受控安全访问 

采用分布式访问控制引擎，细粒度的访问控制策略在客户端与网关上同时执行，对每一个访问数据包进行认证和鉴权，执行逐包加密，逐包认证的强制管控策略。 如果用户或者终端无权访问业务资源，则终端无法发出访问此业务资源的任何数据包，网关也不对来自此终端的业务访问数据包进行解密和转发；如果终端用户有权访问，则客户端将帐号和终端的身份信息植入到数据包里，加密后发送到对端网关，网关在收到数据包后对数据包进行身份校验、解密和转发。 

原则5： 基于多源数据进行信任等级持续评估 

智能分析平台采集全网身份化的网络流量数据与终端环境数据，并利用AI技术对访问主客体进行安全建模，对人和终端进行可信分析，对业务访问行为和敏感数据访问行为进行威胁研判，并根据检测和分析结果动态调整访问权限，实时处置异常或恶意的帐号和终端。