李維剛，李 強

(四川省生態(tài)環(huán)境監(jiān)測總站，成都 610091)

1 概 述

早在2005年，習(xí)總書記提出了“綠水青山就是金山銀山”的科學(xué)論斷。2015年我國正式通過《環(huán)境保護法》，在黨中央的領(lǐng)導(dǎo)下，近幾年我國的總體生態(tài)環(huán)境有了非常大的改善。十三五期間，我國加強了空氣、水資源、土壤的生態(tài)監(jiān)測力度，從今年6月10日公布《第二次全國污染源普查公報》中我們看到，本次普查形成1 800余張數(shù)據(jù)庫表，1.5萬余個數(shù)據(jù)字段，1.5億多條數(shù)據(jù)記錄，對我國的環(huán)境治理和執(zhí)法形成了有力的數(shù)據(jù)支撐。在這個過程中，環(huán)境監(jiān)測的信息化起到了越來越關(guān)鍵的作用。

隨著空氣、水、土壤生態(tài)資源的監(jiān)控粒度越來越細(xì)化，未來對監(jiān)測的智慧化、大數(shù)據(jù)分析的廣度和深度會逐漸加強，監(jiān)測網(wǎng)絡(luò)的復(fù)雜度就會越來越高，數(shù)據(jù)量將急劇擴大，信息安全風(fēng)險導(dǎo)致的數(shù)據(jù)丟失、監(jiān)控網(wǎng)絡(luò)中斷、病毒感染等風(fēng)險就會逐漸凸顯。

目前環(huán)境監(jiān)測的空氣監(jiān)測、水資源監(jiān)測以及土壤監(jiān)測的手段有比較大的技術(shù)差異，并且由于空氣監(jiān)測是近幾年才開始建設(shè)，所以各信息系統(tǒng)是分別管理的，但信息整合的需要，各系統(tǒng)之間又有數(shù)據(jù)互通和交互。管理運維的不統(tǒng)一、數(shù)據(jù)和網(wǎng)絡(luò)的互通導(dǎo)致信息安全漏洞存在管理盲點。

雖然近幾年在公安部和網(wǎng)信辦的指導(dǎo)下，各級環(huán)境監(jiān)測站已經(jīng)加強了信息安全的管理，但大多仍然重點考慮網(wǎng)絡(luò)邊界的安全防護，注重設(shè)備采購輕視管理和服務(wù)，因此沒有從根本上解決信息安全漏洞的問題。同時，近年來勒索病毒、礦機病毒的肆虐，環(huán)境監(jiān)測網(wǎng)絡(luò)里大量自動監(jiān)測子站的工業(yè)控制計算機成為全網(wǎng)信息安全最薄弱的環(huán)節(jié)[1]。

針對環(huán)境監(jiān)測多網(wǎng)并存、管理分立的特點，我們提出采用零信任網(wǎng)絡(luò)安全的思路來構(gòu)建生態(tài)環(huán)境監(jiān)測網(wǎng)絡(luò)的整體安全規(guī)劃，以避免出現(xiàn)大規(guī)模的信息安全事件的發(fā)生，保障環(huán)境監(jiān)測網(wǎng)絡(luò)的健康發(fā)展，為我國生態(tài)環(huán)境改善保駕護航。

2 零信任網(wǎng)絡(luò)安全概念

傳統(tǒng)的網(wǎng)絡(luò)安全構(gòu)架把網(wǎng)絡(luò)劃為不同的區(qū)域(見圖1)，并根據(jù)信息安全的要求賦予其相應(yīng)的安全等級，無論網(wǎng)絡(luò)結(jié)構(gòu)如何復(fù)雜，我們幾乎仍然把網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)、外網(wǎng)、DMZ(非軍事區(qū))，或者基于這個思路再把內(nèi)網(wǎng)劃分為諸多的內(nèi)網(wǎng)分區(qū)。

圖1 典型的傳統(tǒng)網(wǎng)絡(luò)安全構(gòu)架Fig.1 Typical traditional network security architecture

由于傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)存在這些問題，在當(dāng)今不斷更新變化的攻擊手段中缺點日漸暴露。主要包括以下幾個方面：

(1)缺乏網(wǎng)絡(luò)內(nèi)部的流量檢查；

(2)主機部署缺乏物理及邏輯上的靈活性；

(3)存在單點故障；

(4)難以應(yīng)對針對性的APT攻擊。

零信任模型旨在解決“基于網(wǎng)絡(luò)邊界建立信任”這種理念本身固有的問題。顧名思義，它的思路是將網(wǎng)絡(luò)內(nèi)部假定為“一切皆是風(fēng)險，一切皆不可信”。零信任模型沒有基于網(wǎng)絡(luò)位置建立信任，而是在不依賴網(wǎng)絡(luò)傳輸層物理安全機制的前提下，有效地保護網(wǎng)絡(luò)通信和業(yè)務(wù)訪問。

零信任網(wǎng)絡(luò)的概念建立在以下5個基本假定之上：

B廠日處理規(guī)模為1 800 t/d，設(shè)3臺600 t/d垃圾焚燒爐，設(shè)計垃圾熱值為7 530 kJ/kg，焚燒爐MCR工況理論煙氣量約82 000 m3/h，煙氣中NOx理論原始值約350 mg/m3。

(1)網(wǎng)絡(luò)無時無刻不處于危險的環(huán)境中；

(2)網(wǎng)絡(luò)中自始至終存在外部或內(nèi)部威脅；

(3)網(wǎng)絡(luò)的位置不足以決定網(wǎng)絡(luò)的可信程度；

(4)所有的設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)當(dāng)經(jīng)過認(rèn)證和授權(quán)；

(5)安全策略必須是動態(tài)的，并基于盡可能多的數(shù)據(jù)源計算而來[3]。

從實際應(yīng)用來看，零信任網(wǎng)絡(luò)的構(gòu)建需要對現(xiàn)有的網(wǎng)絡(luò)安全體系做顛覆性的改造，2019年12月發(fā)布的“等級保護2.0”標(biāo)準(zhǔn)中可以看到，相對1.0版本除了對邊界和分區(qū)的安全要求以外，需要對網(wǎng)絡(luò)的關(guān)鍵節(jié)點進行防護可監(jiān)測，不能完全基于“特征庫”提供能力，還應(yīng)具備“未知”風(fēng)險的發(fā)現(xiàn)和防控能力。由于從現(xiàn)有的邊界安全轉(zhuǎn)變到零信任模型的網(wǎng)絡(luò)構(gòu)架，建設(shè)成本是比較高的，因此等級保護提出了類似于零信任網(wǎng)絡(luò)的要求，但需要根據(jù)實際情況務(wù)實的執(zhí)行，根據(jù)投資循序漸進。

3 環(huán)境監(jiān)測采用零信任理念的意義

近10年來，國家環(huán)境監(jiān)測總站在全國建立了5 000多個遠(yuǎn)程自動化空氣監(jiān)測站點，多數(shù)站點采用4G網(wǎng)絡(luò)VPN鏈路連接數(shù)據(jù)中心，空氣監(jiān)測標(biāo)準(zhǔn)統(tǒng)一，運維獨立管理。水資源監(jiān)測網(wǎng)絡(luò)的建成時間相對較長，修補的情況比較多，因此網(wǎng)絡(luò)的結(jié)構(gòu)也相對比較復(fù)雜和老舊，安全運維相對困難。土壤的監(jiān)測手段還沒有實現(xiàn)自動化，網(wǎng)絡(luò)和應(yīng)用也比較落后，但是土壤監(jiān)測數(shù)據(jù)的保護要求比較高。

可見，生態(tài)環(huán)境的三大監(jiān)測系統(tǒng)有比較大的差異，對信息安全的要求也有很大的不同。同時，辦公網(wǎng)絡(luò)側(cè)的用戶也需要對這3大網(wǎng)絡(luò)進行數(shù)據(jù)收集和管理，管理職責(zé)的交叉又會導(dǎo)致管理上存在漏洞盲點，網(wǎng)絡(luò)邊界不好定義。

零信任網(wǎng)絡(luò)安全模型，就是針對以上問題的絕佳解決辦法。其應(yīng)用意義在于以下幾點：

(1)對于分散各地的無人值守監(jiān)測站點，為避免末端網(wǎng)絡(luò)的入侵，需要清晰界定末端接入設(shè)備的合法性，以避免從薄弱環(huán)節(jié)對全網(wǎng)造成網(wǎng)絡(luò)安全危害；

(2)對于管理上的交叉，通過用戶身份的嚴(yán)謹(jǐn)認(rèn)證，實現(xiàn)對重要數(shù)據(jù)、重要應(yīng)用系統(tǒng)的精確訪問控制；

(3)如果全網(wǎng)建設(shè)了零信任信息安全網(wǎng)絡(luò)，那么即使某一個網(wǎng)絡(luò)節(jié)點遭受入侵，攻擊者也很難由點及面的入侵其他的節(jié)點。

環(huán)境監(jiān)測數(shù)據(jù)在未來，將成為我國施政、執(zhí)法的重要依據(jù)。發(fā)展經(jīng)濟必須能夠跟生態(tài)環(huán)境的改善和諧共進，因此監(jiān)測網(wǎng)絡(luò)需要長期平穩(wěn)運行，近年來注重監(jiān)測網(wǎng)絡(luò)的基礎(chǔ)設(shè)施的建設(shè)，難免對信息安全有一定的忽視，未來，我們應(yīng)該研究并科學(xué)的布局基于零信任的信息安全規(guī)劃，提高監(jiān)測網(wǎng)絡(luò)的健壯性，為生態(tài)環(huán)境的改善保駕護航。

4 在環(huán)境監(jiān)測網(wǎng)絡(luò)中構(gòu)建零信任

網(wǎng)絡(luò)安全的核心，是訪問控制。零信任網(wǎng)絡(luò)的核心思想，是訪問控制形式的轉(zhuǎn)變，從傳統(tǒng)的以網(wǎng)絡(luò)區(qū)域為中心轉(zhuǎn)變?yōu)橐陨矸轂橹行牡脑L問控制，用戶、設(shè)備、應(yīng)用、流量都需要設(shè)定信任等級，然后對這些個體進行訪問控制(見圖2)。其構(gòu)建流程大致分為以下幾步。

圖2 零信任構(gòu)架下控制平面中對被保護對象的訪問控制Fig.2 Access control of protected objects in control plane under zero trust architecture

4.1 篩選保護范圍，也就是梳理所有的數(shù)據(jù)庫服務(wù)器、關(guān)鍵應(yīng)用、物聯(lián)網(wǎng)設(shè)施(監(jiān)測站)等[4]，定義這些基礎(chǔ)設(shè)施為被保護目標(biāo)，通常采用軟件定義邊界或者代理的方式，為每個受保護單位建立一個微邊界。

4.2 構(gòu)建控制平面，為每一個被保護設(shè)施確定流量訪問的合法流程、用戶權(quán)限、設(shè)備權(quán)限等信息，設(shè)定最小訪問權(quán)限，從而構(gòu)建全網(wǎng)的訪問控制信息地圖。

4.3 設(shè)定訪問控制策略，利用軟件或者硬件的下一代防火墻，為被保護目標(biāo)設(shè)定訪問控制策略，所有的訪問必須經(jīng)過控制平面對身份的驗證、加解密處理。一旦完成訪問，身份憑據(jù)在下一次訪問時需要重新進行交叉核對。

4.4 通過流量的搜集和內(nèi)外部的日志分析，及時檢測網(wǎng)絡(luò)的身份、可信度的錯誤，修正控制策略。

對于環(huán)境監(jiān)測網(wǎng)絡(luò)，通過零信任網(wǎng)絡(luò)構(gòu)建思路，能夠在龐雜的網(wǎng)絡(luò)中快速定位保護目標(biāo)和訪問控制策略，從而真正能實現(xiàn)：可以被信任的人訪問可信的資源。未來，應(yīng)用在云計算環(huán)境下，采用零信任構(gòu)架更會凸顯出相對傳統(tǒng)邊界安全構(gòu)架的優(yōu)勢。

5 零信任的信息安全運維

零信任網(wǎng)絡(luò)安全，很可能會是下一代網(wǎng)絡(luò)安全的基礎(chǔ)架構(gòu)。當(dāng)然，沒有任何一種技術(shù)路線是萬能的。信息安全是一個動態(tài)的風(fēng)險防御過程，每天都有數(shù)以百計的各種信息系統(tǒng)漏洞被發(fā)現(xiàn)，因此，靜態(tài)的訪問策略無疑就給黑客提供了漏洞利用的時間窗[5]。

管理員構(gòu)建零信任網(wǎng)絡(luò)時，需要假設(shè)網(wǎng)絡(luò)中的可信設(shè)備存在已經(jīng)被攻陷的風(fēng)險，因此需要在設(shè)備管理中建立長期防御機制以減少這種威脅造成的損害。設(shè)備的防御機制主要包括以下幾個個方面：由專業(yè)人員進行定期掃描、流量分析、安全測試、安裝補丁和定期輪換，借助于態(tài)勢感知、蜜罐等網(wǎng)絡(luò)安全監(jiān)測分析技術(shù)手段，定期進行關(guān)鍵保護目標(biāo)的滲透測試，以保證控制策略的準(zhǔn)確有效[6]。

加強運維管理和定期的安全策略維護，才能形成動態(tài)的防御能力，應(yīng)對瞬息萬變的網(wǎng)絡(luò)安全風(fēng)險，從而保證全網(wǎng)的平穩(wěn)、健康運行。

6 結(jié) 語

綜合來說，傳統(tǒng)的網(wǎng)絡(luò)安全防御思想，應(yīng)對層出不窮的網(wǎng)絡(luò)攻擊，逐漸顯現(xiàn)出“見招拆招、頭疼醫(yī)頭”的疲態(tài)。堆疊設(shè)備也會導(dǎo)致投資與產(chǎn)生的效果不匹配，效能較低。零信任網(wǎng)絡(luò)構(gòu)架為我們的整體信息安全設(shè)計帶來了新的思路，也必然成為未來環(huán)境監(jiān)測網(wǎng)絡(luò)的指導(dǎo)思想。

我們力爭在理論的引導(dǎo)下，謹(jǐn)慎客觀的參與實踐，努力建設(shè)安全、可信、可靠的生態(tài)環(huán)境監(jiān)測網(wǎng)絡(luò)，為實現(xiàn)“中國夢”添磚加瓦。