【CSA GCR】零信任指導(dǎo)原則

/research/working-groups/zero-trust?2025云安全聯(lián)盟——保留所有權(quán)利。在遵守以下條件的前提下，您可以下載、存儲(chǔ)、：(a)本草案僅可用于您個(gè)人的、信息性的、非商業(yè)用途；(b)不得對(duì)本草案進(jìn)行任何形式的修改或變更；(c)不得重新分發(fā)本草案；(d)不得刪除商標(biāo)、版權(quán)或其他聲明。您可以根據(jù)美國(guó)版權(quán)法的合理使用條款引用本草案的部分內(nèi)容，但需注明這些內(nèi)容來自云安全聯(lián)盟。?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有2?2025?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有3?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有4主要作者貢獻(xiàn)者?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有5JasonGarbisCSA職員?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有6致謝 4摘要 7執(zhí)行摘要 8簡(jiǎn)介 10 10指導(dǎo)原則 111．以終為始（業(yè)務(wù)/任務(wù)目標(biāo)） 2．避免過度復(fù)雜化 3．產(chǎn)品并非優(yōu)先事項(xiàng) 4.訪問是一個(gè)有意的行為 5．從內(nèi)到外，而不是從外到內(nèi) 6．安全漏洞不可避免 7．了解您的風(fēng)險(xiǎn)承受能力 8．確保高層的支持和倡導(dǎo) 9．灌輸零信任文化 10．開始小規(guī)模并專注于快速贏得成果 11．持續(xù)監(jiān)控 12．實(shí)用參考資料 13．推薦閱讀 ?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有7事實(shí)上，零信任是基于一些長(zhǎng)期存在的原則，隨著我們工作和生活方式的改變，這些原則變得愈發(fā)關(guān)鍵，例如遠(yuǎn)程辦公、對(duì)第三方依賴的增加、云計(jì)算的采用，如最小權(quán)限原則、職責(zé)分離原則和分段原則等既定的信息安全（InfoSec）原則，?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有8執(zhí)行摘要法提升了安全態(tài)勢(shì)，并減少了因威脅環(huán)境不斷演了攻擊者的工作量和成本，從而進(jìn)一步降低了安全事件發(fā)生的可能性。?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有91．/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/2．/3．https:/www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有10?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有11指導(dǎo)原則1．以終為始（業(yè)務(wù)/任務(wù)目標(biāo)）三方風(fēng)險(xiǎn)管理（TPRM）是分布式生態(tài)系統(tǒng)中的關(guān)鍵領(lǐng)域.在合理的風(fēng)險(xiǎn)下創(chuàng)造價(jià)值，無論是通過推出新產(chǎn)品、進(jìn)入之前無法觸及.通過為所有合規(guī)、網(wǎng)絡(luò)彈性和隱私需求奠定基礎(chǔ)，降低合規(guī)成本。?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有12.為第三方風(fēng)險(xiǎn)管理（TPRM）奠定基礎(chǔ)。降低合規(guī)成本-為您降低合規(guī)成本-為您隱私需求建立基礎(chǔ)為第三方風(fēng)險(xiǎn)管理（TPRM）奠定基礎(chǔ)性，減少流程債務(wù)一個(gè)更具人性的治理、風(fēng)險(xiǎn)管理和合規(guī)(GRC)計(jì)劃使您能夠在合理風(fēng)險(xiǎn)的使您能夠在合理風(fēng)險(xiǎn)的基礎(chǔ)上創(chuàng)造價(jià)值減少事故影響(例如：成本)期望的減少事故影響(例如：成本)期望的結(jié)果降低總體擁有成本降低總體擁有成本2．避免過度復(fù)雜化人們很容易忘記，零信任的核心是一系列長(zhǎng)期存在的原則，這些原則通過將安全架構(gòu)與我們的工作和生活方式對(duì)決方案演進(jìn)并不像看起來那么復(fù)雜，尤其是步驟逐步推進(jìn)，并優(yōu)先保護(hù)最關(guān)鍵資產(chǎn)時(shí)。已實(shí)施和測(cè)試的安全控制措施，包括預(yù)防性、檢測(cè)性和糾正性（或反應(yīng)性）控制措施，構(gòu)成了零信任的基礎(chǔ)。這?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有13.最小權(quán)限訪問控制概念（例如，預(yù)防性）.職責(zé)分離（例如，預(yù)防性）.分段/微隔離（例如，預(yù)防性）.配置漂移修復(fù)（例如，糾正性/反應(yīng)性）最小權(quán)限訪問控制概念最小權(quán)限訪問控制概念職責(zé)分離分段/微隔離日志記錄與監(jiān)控預(yù)防性預(yù)防性配置漂移修復(fù)配置漂移修復(fù)零信任基于這些核心原則，幫助組織從傳統(tǒng)的堡壘模型轉(zhuǎn)向現(xiàn)代組織析（UEBA如檢測(cè)性控制以及動(dòng)態(tài)策略執(zhí)行點(diǎn)（如糾正性/反應(yīng)性控人工智能（AI）帶來的生產(chǎn)力提升，有望促進(jìn)監(jiān)控、捕捉配置錯(cuò)誤，?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有14控制類型不需要為零信任重新設(shè)計(jì)或過度復(fù)雜化。相反，現(xiàn)有控制措施的速度、性能和靈活性可以得到優(yōu)化。如今，人工智能（AI）被用于提安全基礎(chǔ)構(gòu)成了零信任的核心。例如，最小權(quán)限原則和職責(zé)分離就是典型的例子。確保所有用戶（員工、合同工和供并定期審查他們的權(quán)限，根據(jù)需要更新，也動(dòng)化程度較低。人工智能（AI）的使用有望提供至少一定程度的自動(dòng)化和3．產(chǎn)品并非優(yōu)先事項(xiàng)從歷史上看，所有與網(wǎng)絡(luò)相關(guān)的事務(wù)都屬于技術(shù)專家的領(lǐng)域。用技術(shù)解決技術(shù)問題是很自然的選擇，通常這會(huì)導(dǎo)致詢服務(wù)。在許多方面，零信任更多關(guān)注的是人過度依賴產(chǎn)品而不考慮人、流程和組織的戰(zhàn)略不會(huì)成功。僅依賴產(chǎn)品購(gòu)買來實(shí)現(xiàn)零信任之旅并不是真正的零信任之旅度的問題，您將更好地理解需求，從而支持更強(qiáng)?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有154．訪問是一個(gè)有意的行為零信任的一個(gè)關(guān)鍵區(qū)別在于它不依賴于物理或網(wǎng)絡(luò)邊界。在傳統(tǒng)模型零信任將責(zé)任轉(zhuǎn)移給產(chǎn)品供應(yīng)商和服務(wù)提供商，正如“安全設(shè)計(jì)與默織在實(shí)施補(bǔ)償性控制和其他安全實(shí)踐（如漏如今，組織處于一個(gè)全球化的環(huán)境中，遠(yuǎn)程員工增多，對(duì)云等第三方技術(shù)已經(jīng)發(fā)展到我們可以超越物理或網(wǎng)絡(luò)邊界的程度。零信任利用了這些技術(shù)進(jìn)步，使我們能夠更好地識(shí)別用戶，并在當(dāng)今世界，身份必須經(jīng)過明確驗(yàn)證，只有在授4．/resources-tools/resources/secure-by-design5．/resources-tools/resources/secure-by-design6．/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有16越來越多地依賴業(yè)務(wù)所有者（例如數(shù)據(jù)所有者5．從內(nèi)到外，而不是從外到內(nèi)采用從內(nèi)到外的策略，您的企業(yè)政策將從“我們要防御什么？”轉(zhuǎn)變傳統(tǒng)的安全模型依賴于強(qiáng)大的外部邊界。這些模型假設(shè)內(nèi)部的任何人組織擁有無限的資源（如時(shí)間、資金、精力我們需要將精力集中在最資產(chǎn)的價(jià)值是指導(dǎo)我們優(yōu)先級(jí)排序的依據(jù)。如果您有業(yè)務(wù)影響評(píng)估（BIA請(qǐng)從這里開始。如果沒有，請(qǐng)進(jìn)行資產(chǎn)盤點(diǎn)并按價(jià)值對(duì)資產(chǎn)進(jìn)行一旦明確了需要保護(hù)的資產(chǎn)及其關(guān)系，您就可以識(shí)別出保護(hù)面和攻擊7．/wiki/Jericho_Forum?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有17這是一類敏感數(shù)據(jù)，如果被外泄或誤用，可能會(huì)使組織陷入麻煩。通常，數(shù)據(jù)之這是一類敏感數(shù)據(jù)，如果被外泄或誤用，可能會(huì)使組織陷入麻煩。通常，數(shù)據(jù)之所以被認(rèn)為是敏感的，可能是因?yàn)槟硞€(gè)第三方（如監(jiān)管機(jī)構(gòu)）聲明（認(rèn)定）它是敏感的，或者因?yàn)樗悄愕闹R(shí)產(chǎn)權(quán)或組織運(yùn)營(yíng)所必需的數(shù)據(jù)。軟件、硬件和通常為滿足一組需求而協(xié)作的基礎(chǔ)設(shè)施的集合。零信任原則同樣適用于AI、模型、數(shù)據(jù)、輸入和輸出的保護(hù)和操作。提供組織擁有或控制的價(jià)值的資源。資產(chǎn)可能包括信或物聯(lián)網(wǎng)（IoT）設(shè)備，包括銷售點(diǎn)（POS）終端、SCADA控制、制造系統(tǒng)和醫(yī)療設(shè)備。通過提供業(yè)務(wù)和技術(shù)專業(yè)知識(shí)來實(shí)現(xiàn)組織期望結(jié)果的應(yīng)用，而無需擁有具體的成本和風(fēng)險(xiǎn)。在現(xiàn)代企業(yè)中，服務(wù)可以是基于云的，如軟件即服務(wù)（SaaS也可數(shù)據(jù)數(shù)據(jù)應(yīng)用程序應(yīng)用程序服務(wù)服務(wù)Kipling方法是一種用于制定政策的標(biāo)準(zhǔn)工具。它對(duì)于確保安全戰(zhàn)略與這些問題只能通過資產(chǎn)擁有者（業(yè)務(wù)部門）與資產(chǎn)保管者（通常是IT.誰可以訪問資產(chǎn)？他們被允許做什么？我能確保他們確實(shí)是他們聲稱的.他們?cè)噲D訪問什么資產(chǎn)？他們被允許采取什么行動(dòng)？.被允許的訪問何時(shí)開始？何時(shí)結(jié)束？是否僅在某些特定時(shí)間段內(nèi)允許訪.資產(chǎn)位于何處？它是否只能從某些特定位置訪問？是否有某些位置不允.為什么這個(gè)用戶需要訪問這個(gè)資產(chǎn)？保護(hù)資產(chǎn)的原因是其敏感性。敏感.是否存在訪問資產(chǎn)的限制方式？?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有18工智能（AI）可以用來生成這些政策的初步版本，但仍需經(jīng)過政策作者的6．安全漏洞不可避免假設(shè)你可以完全保護(hù)自己免受網(wǎng)絡(luò)風(fēng)險(xiǎn)是不現(xiàn)實(shí)的。防御者無法堵住所有漏洞，而攻擊者只需找到一個(gè)漏洞即可傳統(tǒng)模型主要依賴于物理和技術(shù)控制。組織也依賴于他們的能力來阻止惡意行為者。隨著世界變得更加數(shù)字化，傳統(tǒng)的世界認(rèn)識(shí)到漏洞是不可避免的。它們通常由偽擊者促成，有時(shí)也由實(shí)際的內(nèi)部人員（例如內(nèi)用是減少漏洞發(fā)生的可能性，降低其影響，并實(shí)施更健壯的訪問控制、更注重檢測(cè)潛在事件一旦理解到大多數(shù)事件根本上是人為問題，就會(huì)理解漏洞是不可避免在更傳統(tǒng)的安全模型中，一旦你進(jìn)入了邊界內(nèi)，你就被信任，并且可巧克力蛋——外部防護(hù)嚴(yán)密，但是內(nèi)部缺乏縱深?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有19在零信任模型中，用戶和設(shè)備在任何地方都是不被信任的。在獲得任何資產(chǎn)訪問權(quán)限之前，必須進(jìn)行審查。想象一曲折，房子挨著房子。鄰居彼此認(rèn)識(shí)。如果你會(huì)懷疑并進(jìn)行審查。你來這里做什么？你的目客嗎？還是來這里做生意的？這種審查不是偶地方都會(huì)發(fā)生。零信任也是如此。每次請(qǐng)求訪問資驗(yàn)證授權(quán)訪問，并且交互被記錄。審查的程度這種心態(tài)的轉(zhuǎn)變帶來了零信任旅程中的關(guān)鍵成果。首先，它限制了漏洞發(fā)生時(shí)的影響范圍（并且它們會(huì)發(fā)生）。其次，從董事會(huì)和高級(jí)領(lǐng)導(dǎo)層的角度來看，預(yù)測(cè)性可能是關(guān)鍵成果。當(dāng)用戶的工作。沒有明確的邊界，DLP不再像以前監(jiān)控進(jìn)出流量那樣簡(jiǎn)單。通過關(guān)鍵是要持續(xù)驗(yàn)證，并以與資產(chǎn)價(jià)值相稱的方式進(jìn)行驗(yàn)證。尋找用戶?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有20程，以檢測(cè)和響應(yīng)異常活動(dòng)，并做出上下文相7．了解您的風(fēng)險(xiǎn)承受能力風(fēng)險(xiǎn)承受能力是一個(gè)被廣泛接受的風(fēng)險(xiǎn)管理概念。風(fēng)險(xiǎn)承受能力是組風(fēng)險(xiǎn)處理）之前存在的風(fēng)險(xiǎn)水平。目標(biāo)是將風(fēng)險(xiǎn)處理到低于風(fēng)險(xiǎn)承受能人工智能的廣泛使用和加速采用為理解組織的風(fēng)險(xiǎn)承受能力提供了新的維度。人工智能既帶來了新的風(fēng)險(xiǎn)，同時(shí)也-保密性、Integrity-完整性、Availability-可用性）三要素中的完整性部分。在模型的完整性、訓(xùn)練數(shù)據(jù)、輸入、輸出零信任的指導(dǎo)原則當(dāng)然適用于CIA三要素中的完整性部分以及人工智.人工評(píng)估：這是驗(yàn)證輸出的最可靠方法之一。人工評(píng)估者可以評(píng)估生成.A/B測(cè)試：在實(shí)際系統(tǒng)中，可以使用真實(shí)用戶測(cè)試模型的不同版本。用8．/wiki/BLEU9．/wiki/ROUGE_(metric)10./W05-0909.pdf?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有21.安全性和公平性檢查：確保人工智能不會(huì)生成有害、偏見或不適當(dāng)?shù)膬?nèi).一致性檢查：對(duì)于某些任務(wù)，可以檢查生成輸出的一致性。例如，在問答任務(wù)中，可以用不同的方式詢問相同的問題組織并非單一的整體。組織的不同部分通常具有不同的可接受風(fēng)險(xiǎn)水平，這些通常被稱為風(fēng)險(xiǎn)容忍度。例如，金融比同一機(jī)構(gòu)的固定收益部門容忍更高的風(fēng)險(xiǎn)。信任的指導(dǎo)原則同樣適用于風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)容零信任通過實(shí)施控制措施將固有風(fēng)險(xiǎn)降低到可接受水平，這些控制措完整性完整性11./glossary/term/likelihood12./glossary/term/impact13.ISO31000,RiskManagement,usestheterm“consequences”?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有22致你的信任喪失，那么就是對(duì)完整性的攻擊14．/glossary/term/confidentiality15．/standard/14256.html16．ISOonlyhasadefinitionforDataIntegritynotIntegrity17．/glossary/term/integrity18．/standard/14256.html19．/glossary/term/availability20．/standard/14256.html?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有23勒索軟件對(duì)數(shù)據(jù)進(jìn)行加密，使業(yè)務(wù)無法訪問其他組織則被要求或選擇遵循某些標(biāo)準(zhǔn)，例如歐盟的《數(shù)字運(yùn)營(yíng)彈性組織不可避免地必須不斷演變，否則將面臨消失的風(fēng)險(xiǎn)。威脅環(huán)境也在不斷變化，迫使組織不斷重新評(píng)估其風(fēng)險(xiǎn)偏的漏洞或新的利用方式。更復(fù)雜的是，總會(huì)存準(zhǔn)備的未知因素。勒索軟件就是一個(gè)典型的例早已存在，但由于在加密貨幣普及之前不夠?qū)?1．/22．https:/www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)68933323．/publications/detail/sp/800-53/rev-5/final24．/pdf/cybersecurity/ffiec_cat_may_2017.pdf25．/terms/v/var.asp26．/?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有24零信任的基本阻止和應(yīng)對(duì)策略在很大程度上有助于使組織在面對(duì)這些新冠疫情、地緣政治發(fā)展、供應(yīng)鏈沖擊、高影響的氣候變化事件以及對(duì)關(guān)鍵基礎(chǔ)設(shè)施日益增長(zhǎng)的網(wǎng)絡(luò)威脅，已經(jīng)導(dǎo)面的范式轉(zhuǎn)變。更加深入地理解和量化風(fēng)險(xiǎn)容忍水我們已經(jīng)看到全球其他地區(qū)定義了新的立法，這正是零信任發(fā)揮關(guān)鍵作用的地方。至少，它將使組織更具韌性并提8．確保高層的支持和倡導(dǎo)零信任是一項(xiàng)組織性工作，而不僅僅是技術(shù)問題，因此需要組織內(nèi)部各級(jí)的合作才能成功實(shí)現(xiàn)。這只能通過適當(dāng)?shù)母邆鬟_(dá)來實(shí)現(xiàn)。必須任命合適的負(fù)責(zé)人，并保持其下，高層領(lǐng)導(dǎo)將積極溝通零信任的重要性，包括在最理想的情況下，零信任應(yīng)該由董事會(huì)支持。至少，它需要得到高級(jí)領(lǐng)導(dǎo)的支持。如果零信任努力僅限于某個(gè)好由業(yè)務(wù)單元領(lǐng)導(dǎo)或該地理區(qū)域內(nèi)的組織高層（溝通是成功實(shí)施零信任的關(guān)鍵。一份結(jié)構(gòu)化的溝通計(jì)劃可以確保參與?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有25繪制映射利益相關(guān)者的圖表可以清晰地展示各個(gè)角色的職責(zé)和責(zé)任。項(xiàng)目或業(yè)務(wù)流程中的任務(wù)或交付物時(shí)的參與零信任模型并強(qiáng)調(diào)其對(duì)組織的重要性來樹立性。此外，建立一種企業(yè)文化至關(guān)重要，這9．灌輸零信任文化將零信任指導(dǎo)原則融入安全以及意識(shí)培訓(xùn)是一個(gè)很好的起點(diǎn)。惡意攻量身定制的培訓(xùn)有助于對(duì)抗這些攻擊，并提高特權(quán)賬戶訪問權(quán)限的管理員、高價(jià)值目標(biāo)（如然而，近期事件突顯了培訓(xùn)和意識(shí)提升的必要性及其價(jià)值，即使這些擊就是一個(gè)典型例子。惡意攻擊者利用了客戶服務(wù)代表（CSR）樂于助人的自然傾向，欺騙他們通過密碼重置提供對(duì)高27．HerbKeller,theformerCEOofSouthwestAirlines28．Verizon2024DataBreachInvestigationsReport?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有26什么是零信任文化？零信任文化是一種員工對(duì)需要保護(hù)的內(nèi)容及其保開發(fā)人員可以接受它，業(yè)務(wù)領(lǐng)導(dǎo)者可以接受它的設(shè)備進(jìn)行無摩擦的互動(dòng)體驗(yàn)其好處。最重要任使他們能夠更智能地應(yīng)用技術(shù)。采用這種文在組織內(nèi)部灌輸零信任文化意味著在組織的所有層級(jí)推廣對(duì)零信任安10．開始小規(guī)模并專注于快速贏得成果如從內(nèi)向外設(shè)計(jì)）開展工作，可以使團(tuán)隊(duì)逐期支出。應(yīng)識(shí)別并優(yōu)先保護(hù)由DAAS元素構(gòu)成的保護(hù)面，并根據(jù)其規(guī)模和選擇一個(gè)小型、低成本的保護(hù)面作為試點(diǎn)時(shí)，更容易獲得并維持領(lǐng)導(dǎo)層的支持，因?yàn)榭梢岳闷渲笜?biāo)來突顯安全范式的轉(zhuǎn)變并展示業(yè)務(wù)價(jià)值?！?9】向全面實(shí)施零信任邁進(jìn)將帶來許多積極的業(yè)務(wù)成果續(xù)強(qiáng)調(diào)對(duì)整個(gè)組織的好處以及通過所有網(wǎng)絡(luò)相關(guān)變更降29．AdetaileddescriptionofattacksurfaceandprotectsurfacecanbefoundintheZeroTrustAdvancementCenterResourceHubhostedbytheCloudSecurityAlliance,/zt/resources/?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有2711．持續(xù)監(jiān)控零信任假設(shè)沒有任何參與者（例如用戶、設(shè)備、服務(wù)或應(yīng)用程序）可以被隱式信任。相反，接受聲明的身份或授的行為。所有對(duì)組織資源的訪問請(qǐng)求都必須像它們來自未知來源一樣，然后才能授予訪鑒于攻擊者經(jīng)常利用合法用戶的賬戶，而惡意內(nèi)部人員也常常試圖超越權(quán)限以滿足其需求，因此監(jiān)控和記錄事件至響和收集證據(jù)至關(guān)重要。監(jiān)控和日志記錄共同隨著對(duì)驗(yàn)證身份的重視增加，以及在授予資產(chǎn)訪問權(quán)限之前所需的盡職調(diào)查，持續(xù)監(jiān)控的機(jī)會(huì)也理所當(dāng)然地增加了并不可用，持續(xù)監(jiān)控的需求也不那么明顯。技使得這些數(shù)據(jù)的自動(dòng)收集、整合和處理成為可會(huì)很快消失，但技術(shù)進(jìn)步增加了警報(bào)能力，同監(jiān)控和維護(hù)零信任基礎(chǔ)設(shè)施涉及定期審計(jì)訪問權(quán)限、持續(xù)監(jiān)控網(wǎng)絡(luò)行歷史上，監(jiān)控的廣度和深度有限，從監(jiān)控?cái)?shù)據(jù)中獲取洞察和及時(shí)分析應(yīng)用程序、設(shè)備和網(wǎng)絡(luò)行為，并將其與風(fēng)險(xiǎn)一個(gè)常見的誤解是零信任沒有邊界。在當(dāng)今互聯(lián)的世界中，邊界不再?2025云安全聯(lián)盟大中華區(qū)版權(quán)所有28像過去那樣清晰或堅(jiān)固。然而，我們不能因擊者拒之門外并僅允許合法用戶進(jìn)入的