(石家莊鐵道大學(xué)經(jīng)濟(jì)管理學(xué)院 石家莊 050043)

2(河北省人力資源和社會保障廳信息中心 石家莊 050071)

信息共享是目前電子政務(wù)發(fā)展過程中一個日益增長的需求，根據(jù)《國務(wù)院辦公廳關(guān)于印發(fā)政務(wù)信息系統(tǒng)整合共享實施方案的通知》(國辦發(fā)〔2017〕39號)要求，以最大程度利企便民，讓企業(yè)和群眾“少跑腿、好辦事、不添堵”為目標(biāo)，加快推進(jìn)政務(wù)信息系統(tǒng)整合共享，建設(shè)“大平臺、大數(shù)據(jù)、大系統(tǒng)”，形成覆蓋全國、統(tǒng)籌利用、統(tǒng)一接入的數(shù)據(jù)共享大平臺，建立物理分散、邏輯集中、資源共享、政企互聯(lián)的政務(wù)信息資源大數(shù)據(jù)[1].在這一大背景下，各級政府結(jié)合自身實際情況，制定了一系列的政府信息系統(tǒng)整合共享實施方案，大力度推進(jìn)信息共享工作，取得了很好的成效，但其中也存在不少的安全風(fēng)險，而零信任模型的思想有助于改進(jìn)信息共享方面的工作.

1 信息共享現(xiàn)狀

根據(jù)國家電子政務(wù)外網(wǎng)管理中心發(fā)布的《2019年全國政務(wù)外網(wǎng)建設(shè)、應(yīng)用及運(yùn)行情況》，2019年度，僅國家級電子政務(wù)外網(wǎng)就有31個國務(wù)院部門在國家共享平臺注冊發(fā)布實時數(shù)據(jù)共享接口1 153個，約1.1萬個數(shù)據(jù)項，涵蓋個人身份、出生、教育、婚姻、社保等自然人相關(guān)信息，企業(yè)基本信息、信用信息、資質(zhì)信息等法人相關(guān)信息[2].各級政府更是依托各級別電子政務(wù)外網(wǎng)建設(shè)政務(wù)信息資源交換共享平臺(下文簡稱共享平臺)，統(tǒng)一接入國家數(shù)據(jù)共享交換平臺，實現(xiàn)了跨部門、跨地區(qū)的信息共享.

目前信息共享的主要方式有2種：一種是部門直連方式，即有相關(guān)需求的2個部門之間通過部署專線或者電子政務(wù)外網(wǎng)實現(xiàn)部門之間的直接數(shù)據(jù)交換，該方式較為少見，常見于對業(yè)務(wù)實時性要求比較高的業(yè)務(wù)，例如社保和稅務(wù)之間由于稅務(wù)部門代收社保費(fèi)用產(chǎn)生的共享數(shù)據(jù)要求.如圖1所示.

圖1 直連方式

另一種方式借助于各級政府依托各級電子政務(wù)外網(wǎng)建設(shè)的共享平臺，以河北為例，其共享平臺是在政務(wù)云上建設(shè)的，簡單來說就是在各部門部署數(shù)據(jù)交換前置機(jī)，以數(shù)據(jù)庫表對表復(fù)制的方式實現(xiàn)平臺和前置機(jī)、前置機(jī)和部門之間的數(shù)據(jù)交互，而后所有數(shù)據(jù)在共享平臺上進(jìn)行匯聚.如圖2所示.

圖2 政務(wù)信息資源交換共享平臺

2 現(xiàn)有共享模式存在的問題及原因

2.1 數(shù)據(jù)高度集中，存在泄漏風(fēng)險

由于技術(shù)和日常分析的需求，現(xiàn)有的共享平臺大多采取了集中建設(shè)的方式，在政務(wù)云平臺建設(shè)中心數(shù)據(jù)庫存儲數(shù)據(jù)，通過云平臺技術(shù)實現(xiàn)物理分散、邏輯集中，這種方式具有建設(shè)周期短、數(shù)據(jù)分析較為容易的特點，但數(shù)據(jù)的高度集中和不斷地增長，一方面使得云平臺的壓力不斷增大，存儲風(fēng)險增高，即便在各部門部署數(shù)據(jù)交換前置機(jī)來減少對中心節(jié)點的訪問量，但是分批進(jìn)行數(shù)據(jù)同步也對電子政務(wù)外網(wǎng)造成了巨大的壓力；另一方面，目前常采用數(shù)據(jù)庫表對表復(fù)制的方式進(jìn)行數(shù)據(jù)交換，雖然這種方式實現(xiàn)數(shù)據(jù)調(diào)用、查詢在技術(shù)上較為簡單，但難以對敏感數(shù)據(jù)增加數(shù)據(jù)水印，同樣的數(shù)據(jù)被多個部門共享使用，一旦數(shù)據(jù)泄露，由于沒有數(shù)據(jù)水印難以溯源查清泄露渠道，存在著巨大的安全隱患.

2.2 網(wǎng)絡(luò)環(huán)境復(fù)雜，網(wǎng)絡(luò)安全管理成本高

無論是部門直連方式還是借助電子政務(wù)外網(wǎng)上的共享平臺，由于涉及多個不同的主管部門，且政務(wù)外網(wǎng)部署系統(tǒng)分屬于不同的等級保護(hù)級別，而等保安全模型是基于邊界防護(hù)模型建立的，加上部分電子政務(wù)外網(wǎng)區(qū)域是可以連接互聯(lián)網(wǎng)的，這都使得數(shù)據(jù)共享的網(wǎng)絡(luò)環(huán)境更加復(fù)雜[3].如果由各級政府統(tǒng)一管理，那么網(wǎng)絡(luò)安全管理成本高.例如在網(wǎng)絡(luò)區(qū)域劃分上，如果劃分網(wǎng)絡(luò)區(qū)域較少，那么一旦個別終端和服務(wù)器中毒便會進(jìn)行大范圍的橫向攻擊.如果劃分區(qū)域較多，為了保證信息共享就需要大量在防火墻、IDS/IPS、WAF等安全設(shè)備上進(jìn)行規(guī)則配置，管理復(fù)雜度成指數(shù)增長.

同時，為了便于防火墻、日志審計系統(tǒng)、IDS/IPS、WAF等安全設(shè)備進(jìn)行防御，目前部門間電子政務(wù)外網(wǎng)無論是數(shù)據(jù)共享還是業(yè)務(wù)系統(tǒng)辦理業(yè)務(wù)，主要是以明文傳輸為主，安全性依賴于網(wǎng)絡(luò)環(huán)境的安全,即便有小部分SSL/TLS加密通信，但也是個別業(yè)務(wù)系統(tǒng)自身實現(xiàn)的，而要求所有系統(tǒng)自身實現(xiàn)SSL/TLS加密通信存在實施和維護(hù)困難，一旦系統(tǒng)維護(hù)不善丟失密鑰，危害更加巨大.

2.3 缺乏公共安全服務(wù)設(shè)施

由于經(jīng)濟(jì)發(fā)展水平的差距，各級政府在電子政務(wù)外網(wǎng)上的投入存在著較大的差距，尤其是在公共安全服務(wù)設(shè)施的建設(shè)上.有的省份如上海地區(qū)已經(jīng)建設(shè)完成包括基礎(chǔ)建立身份認(rèn)證體系、時鐘源同步設(shè)施、統(tǒng)一補(bǔ)丁更新和分發(fā)系統(tǒng)以及電子印章服務(wù)系統(tǒng)等較為完善的公共安全服務(wù)設(shè)施[4]；而很多地區(qū)由于財力有限，無法進(jìn)行相關(guān)設(shè)施的建設(shè)，只能將具體的網(wǎng)絡(luò)信息安全工作分配給各個使用電子政務(wù)外網(wǎng)的部門，如在身份認(rèn)證上很多地區(qū)僅僅是以IP地址進(jìn)行認(rèn)證，如果相關(guān)設(shè)備管理不善便會產(chǎn)生橫向攻擊.

3 基于零信任模型的信息共享方案

由上文的分析可以看出，跨部門間的數(shù)據(jù)共享無論是部門直連還是借助電子政務(wù)外網(wǎng)的共享平臺，實際上都是在一個零信任的網(wǎng)絡(luò)環(huán)境下，部門并不能確定所處的網(wǎng)絡(luò)環(huán)境、訪問的用戶和對接的信息系統(tǒng)是否安全，那么零信任模型的思想也是可以應(yīng)用在信息共享的改進(jìn)上.

零信任模型與傳統(tǒng)安全模型最大的不同在于：打破了傳統(tǒng)的認(rèn)證即信任、邊界防護(hù)、靜態(tài)訪問控制、以系統(tǒng)為中心等思維，建立起一套以資源為中心，以識別、認(rèn)證、動態(tài)訪問控制、授權(quán)、審計以及監(jiān)測為手段，以最小化實時授權(quán)為核心，以多維信任算法為基礎(chǔ)，認(rèn)證直達(dá)末端的動態(tài)安全架構(gòu)[5-7].如圖3所示：

零信任模型放棄了“邊界防御，區(qū)域內(nèi)信任”的思想，假設(shè)網(wǎng)絡(luò)環(huán)境、用戶等皆為零信任，將整個網(wǎng)絡(luò)分為控制平面和數(shù)據(jù)平面，通過智能的算法實現(xiàn)動態(tài)訪問控制，通過SSL/TLS技術(shù)實現(xiàn)端到端的加密通信以保證信息傳輸?shù)臋C(jī)密性.零信任提供了一種基于身份的更細(xì)粒度的訪問控制方法.傳統(tǒng)安全模型是以系統(tǒng)為中心的安全，而零信任模型則是以資源為中心的安全，把安全聚焦在資源本身，圍繞著資源的全生命周期進(jìn)行部署[8-10].

零信任模型的優(yōu)點有：1)動態(tài)訪問控制安全性強(qiáng)，通過對訪問用戶的實時風(fēng)險分析決定是否給予其訪問特定資源的權(quán)限，提高了對資源的防護(hù)力度，每一次訪問都需要進(jìn)行驗證；2)利用成熟技術(shù)，全部使用現(xiàn)有的成熟技術(shù)，例如HTTPS/TLS加密技術(shù)、網(wǎng)絡(luò)代理技術(shù)等，這些技術(shù)已經(jīng)廣泛地在信息系統(tǒng)建設(shè)、金融風(fēng)險評估等領(lǐng)域廣泛使用，技術(shù)成熟可靠；3)簡化了網(wǎng)絡(luò)結(jié)構(gòu)，零信任模型放棄網(wǎng)絡(luò)區(qū)域按照安全級別進(jìn)行區(qū)域劃分的思想，整個網(wǎng)絡(luò)僅分為數(shù)據(jù)平面和控制平面，簡化了網(wǎng)絡(luò)區(qū)域的劃分，大幅度減少了邊界安全設(shè)備的部署數(shù)量和管理工作量[11-14].

通過建設(shè)身份認(rèn)證系統(tǒng)和訪問控制系統(tǒng)等公共安全服務(wù)設(shè)施，加強(qiáng)對用戶身份的驗證，通過建立數(shù)據(jù)安全管理制度對數(shù)據(jù)資源進(jìn)行全面管理，利用統(tǒng)一數(shù)據(jù)網(wǎng)關(guān)實現(xiàn)對用戶的動態(tài)訪問控制和端到端加密通信，建立一個基于零信任模型的信息共享方案.具體內(nèi)容如圖4所示：

圖4 政務(wù)信息資源交換共享平臺改造

3.1 加強(qiáng)電子政務(wù)外網(wǎng)公共安全服務(wù)設(shè)施建設(shè)

建立統(tǒng)一身份認(rèn)證和訪問控制系統(tǒng)，對電子政務(wù)外網(wǎng)內(nèi)每一個終端和設(shè)備進(jìn)行訪問控制，訪問控制落實到具體的責(zé)任人，壓實責(zé)任.建立統(tǒng)一的補(bǔ)丁分發(fā)系統(tǒng)，對政務(wù)外網(wǎng)中管理類、服務(wù)類、應(yīng)用類系統(tǒng)提供統(tǒng)一操作系統(tǒng)、通用應(yīng)用軟件的補(bǔ)丁分發(fā)和更新.建立電子印章服務(wù)系統(tǒng)，為政務(wù)外網(wǎng)安全運(yùn)維保障提供印章簽名服務(wù).建立電子政務(wù)外網(wǎng)DNS服務(wù)，推進(jìn)IPv6，減少地址轉(zhuǎn)換，簡化網(wǎng)絡(luò)結(jié)構(gòu)，降低管理復(fù)雜度.利用MPLS VPN對各部門網(wǎng)絡(luò)進(jìn)行隔離，減少跨部門的橫向攻擊.建立NTP時鐘源同步設(shè)施，為政務(wù)外網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施承載的安全防護(hù)以及網(wǎng)絡(luò)中涉及的服務(wù)類、管理類、應(yīng)用類等設(shè)備提供時鐘同步服務(wù)，以便實現(xiàn)安全設(shè)備日志時間戳的統(tǒng)一，便于進(jìn)行數(shù)據(jù)分析[15].

3.2 建設(shè)建立數(shù)據(jù)安全管理制度

既然數(shù)據(jù)集中難以避免，那么為了避免數(shù)據(jù)泄露，就需要建立數(shù)據(jù)安全管理制度.具體來說：

第一，對于非敏感、調(diào)用頻率高的結(jié)構(gòu)化數(shù)據(jù)，例如企業(yè)統(tǒng)一信用代碼、企業(yè)公開注冊信息等，還可以繼續(xù)采用目前常用的數(shù)據(jù)庫表對表同步的方式進(jìn)行共享，以保證效率;

第二，對于敏感、調(diào)用頻率低的結(jié)構(gòu)化數(shù)據(jù)，例如身份證號、電話號碼等數(shù)據(jù)，采用數(shù)據(jù)接口方式進(jìn)行共享，杜絕數(shù)據(jù)在各個部門的違規(guī)緩存和存儲;

第三，對于敏感且部門需要存儲的數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)，例如人員檔案等信息，采用PDF等可以添加數(shù)字水印格式進(jìn)行存儲，一旦數(shù)據(jù)泄露可以根據(jù)數(shù)字水印進(jìn)行溯源，查出是在哪個環(huán)節(jié)泄露的以便理清責(zé)任.

3.3 建設(shè)統(tǒng)一數(shù)據(jù)網(wǎng)關(guān)

由于目前數(shù)據(jù)共享的網(wǎng)絡(luò)環(huán)境可以看作是一個零信任環(huán)境，利用建設(shè)完成的公共安全服務(wù)設(shè)施，通過建立統(tǒng)一數(shù)據(jù)網(wǎng)關(guān)實現(xiàn)對外數(shù)據(jù)交互的統(tǒng)一管理.所謂統(tǒng)一數(shù)據(jù)網(wǎng)關(guān)，可以理解為部門對外進(jìn)行數(shù)據(jù)交互的統(tǒng)一出入口，以統(tǒng)一的接口提供數(shù)據(jù)交互服務(wù).如圖5所示.

圖5 統(tǒng)一數(shù)據(jù)網(wǎng)關(guān)

建設(shè)統(tǒng)一數(shù)據(jù)網(wǎng)關(guān).首先，降低了數(shù)據(jù)共享過程中信息系統(tǒng)改造的工作量，無須一個部門一個部門進(jìn)行開發(fā)，統(tǒng)一按照一個標(biāo)準(zhǔn)開發(fā)接入即可；其次，通過統(tǒng)一數(shù)據(jù)網(wǎng)關(guān)，使得外部訪問僅僅與數(shù)據(jù)網(wǎng)關(guān)進(jìn)行交互，和具體業(yè)務(wù)系統(tǒng)無關(guān)，可以有效規(guī)避SQL注入、XSS等對應(yīng)用系統(tǒng)和數(shù)據(jù)庫的攻擊，減少了對業(yè)務(wù)系統(tǒng)的直接攻擊；最后，通過數(shù)據(jù)網(wǎng)關(guān)可以對數(shù)據(jù)傳輸進(jìn)行端到端的加密以及動態(tài)訪問控制，由數(shù)據(jù)網(wǎng)關(guān)完成加密解密工作，對外加密傳輸、共享平臺內(nèi)明文傳輸，內(nèi)部業(yè)務(wù)系統(tǒng)無須為了加密通信進(jìn)行改造，也解決加密通信下的審計問題；同時結(jié)合數(shù)字水印技術(shù)，可以實現(xiàn)數(shù)據(jù)的全流程溯源，保障數(shù)據(jù)安全，而在數(shù)據(jù)網(wǎng)關(guān)可以根據(jù)訪問用戶和系統(tǒng)的實時行為判斷用戶可信程度，發(fā)現(xiàn)可疑行為及時進(jìn)行告警和阻斷，實現(xiàn)對數(shù)據(jù)資源的動態(tài)訪問控制[16].

4 應(yīng)用存在的問題

雖然零信任模型為改進(jìn)信息共享安全提出了一個不錯的解決方案，但完成從以系統(tǒng)為中心邊界防護(hù)到以資源為中心動態(tài)防護(hù)的轉(zhuǎn)變，還存在著不少問題和困難.具體問題如下：

1) 大規(guī)模的基礎(chǔ)設(shè)施建設(shè)投入巨大.零信任模型是以統(tǒng)一身份認(rèn)證和訪問控制系統(tǒng)、電子印章服務(wù)系統(tǒng)等公共安全服務(wù)設(shè)施為基礎(chǔ)的，這都需進(jìn)行大規(guī)模的基礎(chǔ)設(shè)施建設(shè)和投入，例如實現(xiàn)對服務(wù)器設(shè)備的認(rèn)證就需要服務(wù)器具備TPM安全芯片，進(jìn)行用戶認(rèn)證需要USB Key乃至生物特征識別設(shè)備，這都需要進(jìn)行相當(dāng)大的投入和較長的建設(shè)周期.

2) 策略引擎開發(fā)難度大.策略引擎的開發(fā)需要將網(wǎng)絡(luò)設(shè)備、安全設(shè)備和應(yīng)用系統(tǒng)等多個數(shù)據(jù)源的行為日志進(jìn)行整合、清晰和聚合，為策略決策提供數(shù)據(jù)支持，這其中便涉及到對應(yīng)用系統(tǒng)的深入改造，需要將應(yīng)用系統(tǒng)的用戶和權(quán)限管理功能與公共安全服務(wù)設(shè)施進(jìn)行集成，實現(xiàn)對用戶權(quán)限的最小化實時授權(quán).

3) 加密解密消耗資源大.零信任模型大量采用加密通信，加密解密過程十分消耗服務(wù)器計算資源，物理服務(wù)器還可以通過配置加速硬件進(jìn)行加速，云主機(jī)一般配置較低且無法加掛專用硬件，大量云主機(jī)進(jìn)行加密解密也會給云平臺計算資源帶來較大的壓力.

5 結(jié)束語

隨著電子政務(wù)外網(wǎng)的發(fā)展和信息共享需求的增多，針對電子政務(wù)信息共享平臺的網(wǎng)絡(luò)攻擊活動的日益頻繁，僅按照等級保護(hù)要求進(jìn)行相關(guān)保護(hù)已不能滿足實際工作需求，而是應(yīng)當(dāng)將等級保護(hù)要求看作是網(wǎng)絡(luò)安全工作的最低要求.網(wǎng)絡(luò)安全工作應(yīng)緊跟技術(shù)發(fā)展潮流，在合規(guī)的基礎(chǔ)上，結(jié)合技術(shù)變化趨勢和業(yè)務(wù)需求變化，進(jìn)行合理規(guī)劃和建設(shè).零信任模型作為一個新理念，是等保安全模型的有益補(bǔ)充，其很多思想可以在電子政務(wù)信息共享工作中進(jìn)行借鑒使用，希望本文的研究分析能對大家的網(wǎng)絡(luò)安全工作有所幫助.