陳本峰，霍海濤，冀托，楊鑫冰

[紅芯時代（北京）科技有限公司，北京100089]

1 引言

隨著信息化的不斷深入，基于互聯網及各種專網部署的業(yè)務應用系統(tǒng)已非常普及，如何確保這些應用和數據的可信可控訪問是當前網絡安全的基礎性問題之一。但現有網絡條件下難以避免的各種先天缺陷和日趨復雜的應用場景，網絡協(xié)議自身的廣泛脆弱性以及安全策略配置不嚴謹所帶來的安全隱患成為常態(tài)。而一味地堵漏洞、打補丁、防病毒等被動式防御和局部式治理、增量式修復的防護策略，已不能適應多變的網絡安全形勢?；趥鹘y(tǒng)網絡安全模型、以邊界防護為核心的防護理念和措施已不能滿足應用和數據保護的需求，需要建立強信任、強可控、強防護的全域安全。由此，紅芯提出業(yè)務應用可信可控訪問解決方案。

2 方案概述

業(yè)務應用可信可控訪問解決方案是一個基于零信任網絡安全理念和軟件定義邊界（SDP）網絡安全模型[1]的安全可控業(yè)務系統(tǒng)安全訪問解決方案。該方案包含企業(yè)安全瀏覽器、應用網關、管控平臺三大組件，可以基于互聯網或各類專網分別建立以授權終端為邊界針對特定應用的虛擬網絡安全邊界，基于用戶身份提供特定應用的最小訪問權限；應用網關、管控平臺具備網絡隱身功能，特定應用對虛擬邊界以外的用戶屏蔽網絡連接；此外，建議在傳統(tǒng)網絡安全設備上最大化設置嚴謹的安全策略以減少隱患、最小化開放網絡端口以減少因為網絡協(xié)議自身漏洞造成的攻擊，有效縮小網絡攻擊面，提高全域網絡安全，具有極強的主動安全防護能力。

該方案以企業(yè)安全瀏覽器為邊界，結合應用網關建立起一塊虛擬安全域，同時結合應用網關基于端口動態(tài)授權的網絡隱身技術構建起一張隱形的互聯網（或者在專網中構建起一張隱形的虛擬邊界小專網，以下僅以互聯網應用為例說明），即互聯網應用只對“特定的用戶+特定的設備”可見，且該用戶訪問應用的行為可以進行嚴格控制和記錄。這種模式很好地解決了政府部門/企業(yè)移動辦公、上云帶來的應用暴露在公網的問題，同時也可以增強現有內網辦公的安全性，即該方案幫助政府部門/企業(yè)構建起了一座外界看不見的數字“地下城”,如圖1所示。此方案和傳統(tǒng)攻防安全并不矛盾，可以疊加使用。

本方案所參考的規(guī)范是國際云安全聯盟CSA提出的SDP（軟件定義邊界）模型，該安全模型已經在國外有較多成功案例并發(fā)展迅速，在RSA Conference上已經連續(xù)4年懸賞破解但至今無人成功[2]。國外產商目前普遍使用云端代理服務器或者客戶端代理服務器方式來實現，該方案的創(chuàng)新在于直接把SDP隱身技術做進瀏覽器內核里面，避免中間過程數據被盜。SDP以預認證和預授權作為它的兩個基本支柱。通過在單數據包到達目標服務器之前對用戶和設備進行身份驗證和授權，SDP可以在網絡層上執(zhí)行最小權限原則，顯著縮小攻擊面。軟件定義邊界（SDP）架構由三個主要組件組成，如圖2所示。

圖1 看不見的數字“地下城”

國際云安全聯盟CSA統(tǒng)計的十二大安全威脅（來自《十二大網絡安全威脅》白皮書）[3]顯示SDP方案對于解決常見的安全威脅都能起到抵御作用?；赟DP模型的方案可有效減少攻擊面，緩解或者徹底消除安全報告中提到的威脅、風險和漏洞，從而幫助政府部門/企業(yè)能夠集中資源于其他領域。

3 方案架構

業(yè)務應用可信可控訪問解決方案由三部分組成，一是企業(yè)瀏覽器，用來做各種的身份驗證，包括硬件身份，軟件身份，生物身份等；二是管控后臺，用來對所有的企業(yè)瀏覽器進行管理，制定安全策略；三是應用網關，所有對業(yè)務系統(tǒng)的訪問都要經過應用網關的驗證和過濾。三大組件的部署架構如圖3所示。

3.1 應用網關

應用網關能有效保護用戶業(yè)務系統(tǒng)端口不在網絡上暴露，對sniffer端口掃描免疫，可從源頭降低攻擊的來源，達到應用隱身效果。

應用網關作為新的安全邊界可以部署在內網、DMZ、外部機房或者云端，而管控平臺向瀏覽器客戶端進行用戶授權，完成認證的客戶端才能通過私有域名解析機制找到網關保護的業(yè)務應用系統(tǒng)，而這個業(yè)務應用對于外部是不可見的?？蛻舳说玫綉玫刂泛螅瑫ㄟ^私密通訊協(xié)議鏈接到設備身份驗證網關做驗證，通過后才可以與業(yè)務系統(tǒng)基于安全信道進行交互。

需要特別說明的是，這里的應用網關采用了最新的SPA單數據包授權技術，簡單的說，就是網關服務器默認情況下是拒絕任何網絡連接的，就像防火墻設備的deny all策略一樣。只有在接受到某個終端按照特定數據序列發(fā)送的特定UDP數據包的情況下，才會針對這個特定的終端打開安全信道，而對于不符合特定規(guī)則的數據序列，不進行任何回復，所以一般的掃描工具是掃描不到網關服務器的，從根本上避免攻擊的發(fā)生。

3.2 管控平臺

管控平臺是整個平臺的控制中心，用于幫助管理員了解用戶使用產品的整體概貌，以及統(tǒng)一配置安全辦公平臺相關的應用、用戶及組織結構、設備、策略以及各類安全項，并將各項功能配置通過策略下發(fā)到企業(yè)安全瀏覽器。

3.3 企業(yè)安全瀏覽器

圖2 數字聯盟可信ID平臺架構

圖3 部署架構

企業(yè)安全瀏覽器是辦公平臺的主要入口，最終用戶通過該瀏覽器進行用戶及設備登錄驗證，并獲取該用戶對應配置信息及各類參數后，通過用戶登錄驗證后的企業(yè)安全瀏覽器具有應用匯聚，S WA智能We b認證、兼容性自動處理以及安全保護等功能。支持多種操作系統(tǒng)，如：Windows、MacOS、Linux、Android、iOS，以及國產操作系統(tǒng)，如：銀河麒麟，支持多種硬件平臺，包括Intel、AMD、ARM、國產飛騰等。

4 方案價值

4.1 統(tǒng)一化工作入口

無邊界時代，只有在所有用戶終端上建立統(tǒng)一的應用入口，才能實施統(tǒng)一高效的安全措施。本方案可以幫助用戶解決不同時期開發(fā)的應用需使用不同瀏覽器的兼容性問題，實現統(tǒng)一登錄，并構建統(tǒng)一的工作入口，實現跨設備的統(tǒng)一管理，保障數據與應用安全，大幅提升用戶體驗。企業(yè)瀏覽器與常規(guī)瀏覽器使用方式相同，用戶“零 ”學習，只需登陸一次瀏覽器，訪問政府部門/企業(yè)內部各個業(yè)務系統(tǒng)時無需再單獨認證登陸，大大減少重復工作量，并且可以做到更細粒度的安全，幫助做好安全的最后一公里。

4.2 網絡隱身

基于私密通訊協(xié)議，通過身份接入驗證、設備接入驗證、應用訪問權限控制等，幫助保護業(yè)務應用，讓應用對外完全不可見，用戶只能通過企業(yè)安全瀏覽器進行授權后訪問。通過私有DNS、端口動態(tài)授權、應用級訪問、按需授權四大功能實現業(yè)務應用網絡隱身效果。

私有DNS：私有DNS功能隱藏業(yè)務系統(tǒng)的DNS、IP信息，管控平臺只給合法用戶下發(fā)業(yè)務系統(tǒng)的地址。

端口動態(tài)授權：應用網關默認拒絕一切連接，只對合法設備上的合法用戶動態(tài)開關端口，達到隱身能力。

應用級訪問：與V P N訪問不同，只允許B/S架構的應用訪問，不會把內網完全暴露。即使員工電腦上被安裝了惡意軟件也無法攻擊內網。

按需授權：管理員可以在后臺合理限制用戶授權。例如，只允許財務部的員工訪問財務系統(tǒng)，不允許訪問HR系統(tǒng)。避免用戶被攻陷之后攻擊其他系統(tǒng)和資源。

4.3 瀏覽器管理

企業(yè)瀏覽器作為日常辦公入口，由于員工IT水平不足，使用行為不當，經常出現各種問題，給企業(yè)運維人員帶來困擾。該方案中管理員可以對企業(yè)瀏覽器進行統(tǒng)一參數配置、插件管理、雙內核切換、行為管控等設置，從而降低運維壓力，節(jié)省運維成本。

配置管理：瀏覽器的技術參數由管理員在安全管控平臺上統(tǒng)一進行配置，然后下發(fā)到用戶的企業(yè)瀏覽器客戶端，實現一次配置，全員生效，讓用戶專注于自己的工作內容。

插件管理：可以通過管控平臺統(tǒng)一進行下發(fā)，用戶無需自行下載，打開瀏覽器就會自動提示安裝插件，極大地降低了用戶使用的復雜度以及運維成本。

雙內核切換：支持從I E（6～1 1）和Chromium雙內核，可以有效解決業(yè)務系統(tǒng)的兼容性問題，可以讓用戶使用企業(yè)安全瀏覽器就能訪問不同時期開發(fā)的所有業(yè)務系統(tǒng)，而無需來回切換，提高使用體驗，降低使用成本。

行為管控：管理員可以統(tǒng)一管理用戶能使用的瀏覽器操作。例如禁止復制、禁止另存為、禁止打印、禁用開發(fā)者工具、禁用地址欄、禁用鼠標右鍵、禁用狀態(tài)欄、文件黑白名單、網站黑白名單等。

4.4 數據安全

該方案支持國際通用加密算法，以及國密算法，能夠大幅度提升網絡傳輸過程中的安全性，并通過數字水印、數據加密、文檔不落地等多種安全機制保護政府部門/企業(yè)核心數據和機密文檔安全，保障客戶端與云端的數據存儲及數據傳輸安全，解決最后一公里的安全問題，助力政府部門/企業(yè)安全上云。

數字水印：企業(yè)瀏覽器可以將員工的姓名、手機號、郵箱等個人信息作為數字水印覆蓋在瀏覽器的目標頁上，以達到拍照及截屏泄密方式的震懾及溯源目的。

數據加密：企業(yè)瀏覽器對緩存到本地的數據、緩存、Cookie信息分別進行了加密存取處理，即使數據被惡意竊取，也無法得到明文內容。

文檔不落地：將文檔內容通過格式轉換服務轉變?yōu)镠TML頁面，讓內容通過瀏覽器顯示出來而不是將文檔下載到本地，達到機密文檔不落地的效果。

5 關鍵技術

5.1 軟件定義邊界（SDP）安全模型

SDP，即軟件定義邊界（Software Defined Perimeter，SDP），是美國國防信息系統(tǒng)局“全球信息網格黑核網絡”項目成果的基礎上發(fā)展起來的一種新的安全方法。國際云安全聯盟（CSA）于2013年成立SDP工作組，定義了SDP網絡安全模型的國際標準。這種模型是基于“零”信任基礎構建安全架構，即對網絡、IP地址不可信，只有在身份和設備認證之后，SDP才允許對業(yè)務系統(tǒng)的訪問，即用可控的邏輯組件取代了物理設備。

Google的BeyondCorp以及美國國防部、中情局都已經采用SDP軟件實現了安全辦公；Zscaler是2018年3月上市的獨角獸公司，專注于S D P產品，同時老牌安全公司C i s c o和Symantec等都有相應的SDP安全產品。

5.2 移動適配技術

移動適配技術可以在零接口支持，零代碼改造的情況下實現B/S架構應用的移動化適配。移動適配技術基于瀏覽器底層擴展開發(fā)實現的雙層智能渲染引擎，整個解決方案完全在移動設備端部署運行。該技術不需要原系統(tǒng)提供API支持，整個實施過程中也不需要對原系統(tǒng)進行改造，在客戶系統(tǒng)正常運行過程中就完成了移動化。達到客戶已有系統(tǒng)的重復使用，避免了信息化建設的浪費；更是從根本上杜絕了業(yè)務系統(tǒng)在實施過程中的安全隱患；也避免了對正常業(yè)務和生產的影響。

5.3 多瀏覽器內核數據共享

在瀏覽器中內置多種瀏覽器內核，并將用戶在不同瀏覽器內核中的緩存、Cookie以及其他共享數據經過內置格式轉換為標準數據格式并存儲至內置共享數據庫，在任意瀏覽器內核進行數據讀取時，再將標準數據格式轉化為相應瀏覽器內核可以讀取的數據格式，從而實現任意瀏覽器內核都可以從統(tǒng)一數據庫中獲取到用戶在任意瀏覽器內核中輸入的數據。

5.4 cookie和緩存加密

從外網訪問內網的過程中，訪問內部業(yè)務系統(tǒng)，會產生Cookie數據和緩存數據。Cookie數據中有登錄信息、登錄狀態(tài)，如果在不加密的情況下，只要獲取Cookie數據，在無需輸入登錄賬號和密碼的情況下，即可進行操作。緩存數據中有一些用戶訪問過的頁面信息，如果在不加密的情況下，只要獲取緩存數據，在無需輸入登錄賬號和密碼的情況下，也可查看用戶訪問過的信息。

一般情況下，外網訪問內網的訪問過程中產生的Cookie和緩存，并未進行加密，大部分情況是僅僅隱藏。不加密僅隱藏的后果就是，在網上很容易查到Cookie和緩存存放的隱藏路徑，這樣很容導致政府/企業(yè)信息泄露，造成很大的安全隱患。加密效果如圖4所示。

5.5 遠程擦除/刪除設備

在移動辦公的前提下，人員會有設備丟失的可能，一旦遇到這種情況，移動設備被不法分子拿到，只要聯網的情況，點擊辦公軟件客戶端，即可自動登錄，很容易就能看到各種辦公信息甚至政府部門/企業(yè)機密信息。該方案可解決設備丟失后的辦公信息泄露問題。具體步驟如下：

第一步：管理員可針對特定設備進行遠程擦除或者刪除。

第二步：企業(yè)安全瀏覽器接到擦除指令后，會將之前使用產品生成的所有數據文件進行隨機數據寫入，如緩存、Cookie等信息進行隨機數據寫入，然后再將寫入后的文件進行刪除。

第三步：隨機寫入是為防止不法分子通過恢復文件的形式來竊取信息，這樣的話，即使對方恢復文件，打開的也都只是隨機寫入的數據。

遠程擦除效果如圖5所示。

5.6 URL及文件類型過濾

利用用戶訪問釣魚網站是一種常見的攻擊手段，黑客通過偽裝網站將腳本植入用戶的操作系統(tǒng)，從而將威脅帶入政府部門/企業(yè)內部。針對這種情況，該方案提供了URL和文件類型過濾的功能，可以幫助政府部門/企業(yè)將攻擊阻擋在業(yè)務系統(tǒng)外部，也就是常說的黑名單和白名單機制。

圖4 未加密加密效果對比

以黑名單舉例來說，管理員可以通過管控平臺將有可能存在安全隱患的網站統(tǒng)一配置并發(fā)送給用戶，當用戶使用瀏覽器進行訪問的時候，相應的U R L會通過界面?zhèn)鬟f給瀏覽器內核準備頁面的請求工作，瀏覽器會在發(fā)起頁面請求前檢查該網址是否符合設置的過濾條件，當符合過濾條件時瀏覽器將終止打開網頁的操作，將威脅阻擋在外。并且，瀏覽器還可以對網站的反饋內容進行檢查，自動分析下載內容中是否有被政府部門/企業(yè)禁止的文件類型，比如exe，js等可執(zhí)行文件，當發(fā)現這些文件的時候，禁止文件的下載，防止惡意代碼進入用戶的電腦。

5.7 私有DNS

業(yè)務應用暴露在公網，通過公網DNS服務器進行域名解析，這樣黑客通過公網域名解析服務就可以輕松拿到企業(yè)業(yè)務應用IP地址，進而對IP展開端口掃描、漏洞掃描、漏洞利用等滲透操作。

業(yè)務應用可信可控訪問解決方案可以為企業(yè)構建一個私有DNS解析平臺，對于已經設置過私有DNS解析的域名，企業(yè)管理員可以在傳統(tǒng)DNS Server中取消對該域名的解析，也就不會將域名及公網IP暴露在企業(yè)員工之外,從而達到隱藏業(yè)務應用訪問域名的目的。

通過管控平臺可以設定企業(yè)應用內部域名與IP地址的對應關系，并將映射結果保存至數據庫，當企業(yè)安全瀏覽器通過用戶及設備校驗后，管控平臺將域名關系映射表下發(fā)至企業(yè)安全瀏覽器，并加載到內存中，當用戶通過企業(yè)安全瀏覽器訪問某個url地址時，會先在本地內存中查詢該目標url是否有對應的私有DNS解析記錄，如果匹配成功則使用從匹配結果中所獲取到的目標I P進行訪問，如沒有匹配成功，則認為目標url中所包含的域名未啟用私有域名解析，既而采用傳統(tǒng)DNS服務查詢機制獲取結果。

6 結束語

本方案是一個基于零信任網絡安全理念和軟件定義邊界（SDP）網絡安全模型構建的安全訪問解決方案，已經應用于多個行業(yè)、多個領域，取得了非常好的實踐效果，為企業(yè)建立強信任、強可控、強防護的全域安全。

圖5 設備遠程擦除