唐敏璐，孟 茹

（1.上海計算機軟件技術(shù)開發(fā)中心 信息系統(tǒng)管理與咨詢部，上海 201112； 2.格爾軟件股份有限公司，上海 201112）

0 引言

隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)應用場景的不斷擴展，企業(yè)網(wǎng)絡架構(gòu)正在從“有邊界”向“無邊界”轉(zhuǎn)變[1]，傳統(tǒng)的安全邊界正在逐漸瓦解。以5G、工業(yè)互聯(lián)網(wǎng)為代表的新基建不斷推進建設，將進一步加速“動態(tài)邊界”的進化過程。傳統(tǒng)的基于邊界的網(wǎng)絡安全架構(gòu)在某種程度上假設或默認了企業(yè)內(nèi)網(wǎng)是安全的，通過防火墻、Web應用防火墻、入侵防御系統(tǒng)等安全產(chǎn)品，高度保護網(wǎng)絡出口，而忽略了企業(yè)內(nèi)網(wǎng)的安全。

為了應對傳統(tǒng)邊界安全理念的落伍，以及新技術(shù)帶來的安全挑戰(zhàn)，一種新的網(wǎng)絡安全技術(shù)架構(gòu)“零信任技術(shù)”逐漸走入公眾視野。零信任架構(gòu)是一種端到端的網(wǎng)絡安全體系，零信任是一種側(cè)重于數(shù)據(jù)保護的體系結(jié)構(gòu)方法，?；跇I(yè)務場景的人、流程、訪問、環(huán)境等多維因素進行相應的信任評估，通過信任級別動態(tài)地調(diào)整權(quán)限，構(gòu)建動態(tài)自適應的安全閉環(huán)系統(tǒng)，其創(chuàng)新的安全思想符合新技術(shù)的特點，不斷提高信息系統(tǒng)和網(wǎng)絡的整體安全性。

2019年9月，工信部發(fā)布《關(guān)于促進網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的指導意見（征求意見稿）》[2]，支持云計算、大數(shù)據(jù)、人工智能、量子計算等技術(shù)在網(wǎng)絡安全領(lǐng)域的應用，努力提升威脅情報分析、智能監(jiān)測預警、加密通信等網(wǎng)絡安全防御能力。積極探索擬態(tài)防御、可信計算、零信任安全等網(wǎng)絡安全概念和框架，推動網(wǎng)絡安全理論和技術(shù)創(chuàng)新。零信任作為關(guān)鍵技術(shù)，將成為未來新型網(wǎng)絡架構(gòu)應用的基礎(chǔ)。

1 研究背景

自無紙化辦公開始，我國的信息化水平經(jīng)歷了跨越式的飛速發(fā)展。其安全防護級別從最初簡單的防火墻、殺毒軟件，發(fā)展到態(tài)勢感知、威脅情報、高級持續(xù)性威脅（Advanced Persistent Threat，APT）攻擊防護，有了顯著的提升。伴隨著云計算、大數(shù)據(jù)、移動互聯(lián)等新技術(shù)的應用，信息化建設加速促進著我國企業(yè)在業(yè)務橫向和縱向的擴展，大大提高了企業(yè)單位的業(yè)務效率，也促進了電子信息技術(shù)的推廣和應用。傳統(tǒng)被動式的安全防御體系不斷疊加建設，但其安全防護能力無法滿足現(xiàn)有的安全防護需求。隨著企業(yè)面臨的安全風險逐年增加，數(shù)據(jù)及應用的安全防護已成為企業(yè)安全防護建設的重中之重。

隨著《中華人民共和國網(wǎng)絡安全法》[3]的頒布與執(zhí)行，等級保護2.0版本更新，國家已然意識到，在當前我國信息化發(fā)展、業(yè)務開展和新技術(shù)普遍應用的情況下，傳統(tǒng)的安全防護手段與方式已經(jīng)無法有效地應對當前的安全風險。在國家大力發(fā)展新型基礎(chǔ)設施建設的戰(zhàn)略布局下，需要對國家的關(guān)鍵信息基礎(chǔ)設施進行重點保護，建立主動的防御機制來應對當前信息化發(fā)展所面臨的安全問題。

采用零信任理念實現(xiàn)安全系統(tǒng)的合規(guī)性探索，針對等級保護2.0合規(guī)要求[4]，從邊界防護、身份認證、訪問控制和個人信息安全4個方面進行分析。零信任技術(shù)默認任何時間、任何位置、任何設備和用戶都是不可信的，通過軟件定義邊界的方式，將網(wǎng)絡邊界收斂在需要保護資源的前端，且所有的訪問請求都需要經(jīng)過細粒度的認證。但對于這些理念的實現(xiàn)程度和指標并未給出較為詳細的定義，而我國的等級保護2.0標準要求中的控制項，是對零信任系統(tǒng)設計和實現(xiàn)的指導和落實。

2 發(fā)展現(xiàn)狀

零信任的概念最早源自2004年舉辦的耶利哥論壇，目的是在無邊界趨勢下尋求網(wǎng)絡安全問題需求方案，并提出不依賴于網(wǎng)絡位置的隱式信任需求。2010年，著名研究機構(gòu)Forrester的首席分析師John Kindervag正式提出“零信任（Zero Trust）”概念，并由Google在BeyondCorp項目中率先得到驗證。隨著業(yè)界對零信任理論和實踐的不斷完善，零信任從原型概念向主流的網(wǎng)絡安全技術(shù)架構(gòu)逐步演進，從最初網(wǎng)絡層微分段的范疇，逐步演變成為覆蓋云環(huán)境、大數(shù)據(jù)中心、微服務等眾多場景的新一代安全架構(gòu)。

2019年以來，美國軍方、聯(lián)邦政府和標準化組織紛紛發(fā)表各自的白皮書、評估報告和標準草案，闡述各自對零信任的認識和規(guī)劃。2019年7月，美國國防部在發(fā)布的《數(shù)字現(xiàn)代化戰(zhàn)略（2019—2023財年）》[5]中提到了零信任技術(shù)，并將該技術(shù)作為未來美國數(shù)字化戰(zhàn)略的重要發(fā)展及應用方向。同年，美國國防信息系統(tǒng)局發(fā)布《2019—2022財年戰(zhàn)略規(guī)劃》[6]，該規(guī)劃采用零信任技術(shù)構(gòu)建新型網(wǎng)絡架構(gòu)模式。

研究機構(gòu)Forrester在發(fā)布的《2019年度預測：轉(zhuǎn)型走向務實》[7]中明確指出，零信任將在美國特定的領(lǐng)域成為標準的、階段性的網(wǎng)絡安全架構(gòu)。美國軍隊、政府將其作為優(yōu)先選用的網(wǎng)絡架構(gòu)戰(zhàn)略和指導原則，并對其他行業(yè)產(chǎn)生深刻的影響。

作為聯(lián)邦政府顧問的美國技術(shù)委員會——工業(yè)咨詢委員會，于2019年4月發(fā)布了《零信任網(wǎng)絡安全當前趨勢》白皮書[8]，通過開展市場研究，評估了零信任技術(shù)成熟度和準備度、適合性、可擴展性和基于實際實現(xiàn)的可承受性，最終對美國政府機構(gòu)采用零信任提出評估建議。美國國防工業(yè)基地（Defense Industrial Base，DIB）作為美國國防部下屬專注于技術(shù)與創(chuàng)新的機構(gòu)于2019年7月發(fā)布了DIB零信任架構(gòu)白皮書《零信任安全之路》，指導國防部網(wǎng)絡設施零信任架構(gòu)。2019年10月發(fā)布報告《零信任架構(gòu)建議》[9]，建議國防部將零信任列為最高優(yōu)先事項實施。這兩個重量級文件的發(fā)布，反映出美國國防部對零信任的重要定位：零信任架構(gòu)是美國國防部網(wǎng)絡安全架構(gòu)的必然演進方向。

2020年8月，美國國家標準與技術(shù)研究院正式發(fā)布《零信任架構(gòu)》[10]標準對零信任架構(gòu)進行抽象定義，并給出了零信任可改善企業(yè)整體信息技術(shù)安全態(tài)勢的普通部署模型及應用案例。美國零信任技術(shù)發(fā)展趨勢如圖1所示。

圖1 美國零信任技術(shù)發(fā)展趨勢

2019年7月25日，在中國通信標準化協(xié)會CCSA TC8 WG3第60次工作會議上，由騰訊牽頭提案的“零信任安全技術(shù)-參考框架”[11]行業(yè)標準正式通過權(quán)威專家組評審并成功立項。這是自2010年國際上提出零信任模型“ZeroTrust Model”后業(yè)界迎來的首個零信任安全技術(shù)行業(yè)標準。2019年9月，工信部發(fā)布《關(guān)于促進網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的指導意見（征求意見稿）》[2]，支持云計算、大數(shù)據(jù)、人工智能、量子計算等技術(shù)在網(wǎng)絡安全領(lǐng)域的應用，著力提升威脅情報分析、智能監(jiān)測預警、加密通信等網(wǎng)絡安全防御能力。積極探索擬態(tài)防御、可信計算、零信任安全等網(wǎng)絡安全新理念、新架構(gòu)，推動網(wǎng)絡安全理論和技術(shù)創(chuàng)新。零信任作為關(guān)鍵技術(shù)，已成為未來新型網(wǎng)絡架構(gòu)應用的基礎(chǔ)。

2019年9月，中國信息通信研究院發(fā)布《中國網(wǎng)絡安全產(chǎn)業(yè)白皮書（2019年）》[12]，強調(diào)了軟件定義邊界（Software Defined Perimeter，SDP）為零信任的關(guān)鍵技術(shù)，零信任安全首次被列入網(wǎng)絡安全需要突破的關(guān)鍵技術(shù)。

2019年以來，我國相關(guān)部委、部分央企、大型集團企業(yè)開始將零信任架構(gòu)作為新建IT基礎(chǔ)設施安全架構(gòu)，銀行、能源、通信等眾多領(lǐng)域和行業(yè)針對新型業(yè)務場景，開展采用零信任架構(gòu)的關(guān)鍵技術(shù)和試點示范。國內(nèi)安全廠商也積極關(guān)注零信任的發(fā)展和落地實踐，各安全和互聯(lián)網(wǎng)廠商都利用各自在安全領(lǐng)域的技術(shù)優(yōu)勢，推出零信任整體解決方案，同時身份管理、SDP、微隔離等技術(shù)也被積極應用于零信任技術(shù)方案的應用實踐中。

3 零信任理念

遵循“以密碼為基石、以身份為中心、以權(quán)限為邊界、持續(xù)信任評估、動態(tài)訪問控制”的理念，對業(yè)務平臺訪問主體進行身份化、規(guī)范化管理，采用基于密碼技術(shù)的數(shù)字證書作為可信標識，聯(lián)動統(tǒng)一的授權(quán)管理服務和安全審計服務，對業(yè)務系統(tǒng)的網(wǎng)絡接入控制、應用訪問控制、應用服務調(diào)用、數(shù)據(jù)獲取服務等不同場景提供動態(tài)、持續(xù)的強身份認證與權(quán)限控制，行為分析及責任認定，實現(xiàn)全網(wǎng)全域?qū)ο罂尚?、可控、可管、可追溯，為移動辦公和業(yè)務系統(tǒng)的安全保障構(gòu)建基于零信任的安全管理平臺，零信任總體架構(gòu)如圖2所示。

圖2 零信任總體架構(gòu)

3.1 以密碼為基石

以密碼為基石，密碼具有天然的安全基因，以密碼為基石來構(gòu)建可信的身份體系，基于密碼來實現(xiàn)身份認證和安全通信，兼顧合規(guī)性和安全性?；趪a(chǎn)密碼構(gòu)建公鑰基礎(chǔ)設施（Public Key Infrastructure，PKI）體系，為各參與實體頒發(fā)數(shù)字證書，訪問之前先進行強認證，所有通信流量走加密通道，防止流量被劫持和偵聽。

3.2 以身份為中心

以身份為中心，身份可信是業(yè)務可信的前提，必須兼顧身份的真實性和環(huán)境的可靠性。身份的真實性由多因子認證來保障，其中，數(shù)字證書是不可或缺的認證因子，其他認證因子起輔助作用。為完成動態(tài)持續(xù)的身份認證，系統(tǒng)需要支持多因子的身份認證，認證方式需具備人臉識別、聲紋識別等最新的認證技術(shù)，結(jié)合環(huán)境感知系統(tǒng)，系統(tǒng)需要具備持續(xù)認證的能力，在發(fā)現(xiàn)風險時，能夠具有實時阻斷會話的能力。

3.3 以權(quán)限為邊界

以權(quán)限為邊界，將應用安全網(wǎng)關(guān)部署在云平臺的入口，保護云平臺內(nèi)部的所有資源，對于未經(jīng)身份認證、沒有權(quán)限的用戶，一切資源都是不可見的，只有授權(quán)后用戶才能看到資源。由于權(quán)限和環(huán)境屬性緊密相關(guān)，同一個人在不同環(huán)境下的權(quán)限不同，邊界也就不同，比如正常辦公時間權(quán)限邊界比較大，節(jié)假日時間權(quán)限邊界就很小。授權(quán)體系應滿足云計算、大數(shù)據(jù)等多種復雜場景的授權(quán)，同時支持訪問控制列表（Access Control List，ACL）、基于角色的訪問控制（Role-Based Access Control，RBAC）、基于屬性的訪問控制（Attribute-Based Access Control，ABAC）等權(quán)限模型，支持訪問級、功能級、服務級和數(shù)據(jù)級訪問控制，支持具備事件授權(quán)的能力，支持權(quán)限紅名單和白名單。在數(shù)據(jù)訪問控制方面能夠?qū)崿F(xiàn)基于數(shù)據(jù)分級分類的訪問控制，防止數(shù)據(jù)越權(quán)訪問。

3.4 持續(xù)信任評估

信任評估技術(shù)對網(wǎng)絡代理提供的多維度實時屬性信息進行了實時信任評估和分析，通過對網(wǎng)絡活動風險水平的持續(xù)定量評估，為訪問授權(quán)提供判定依據(jù)。在辦公終端上安裝終端可信環(huán)境感知，通過檢測基礎(chǔ)安全感知、系統(tǒng)安全感知、應用合規(guī)感知、健康狀況感知，對終端環(huán)境進行全訪問、多維度的安全監(jiān)測。檢測感知訪問主體接入環(huán)境的安全性，一旦檢測到安全風險，立即上報，并基于訪問控制決策點對當前訪問予以預警或者阻斷，保持辦公終端環(huán)境的安全可控。

3.5 動態(tài)訪問控制

靜態(tài)訪問控制基于網(wǎng)絡實體規(guī)定和預設置的二值判斷策略，只能通過靜態(tài)的授權(quán)規(guī)則，或簡單的黑白列表等方式對訪問業(yè)務進行一次性的評估。但零信任架構(gòu)采用安全和動態(tài)變化的度量因素，執(zhí)行動態(tài)訪問控制，并且基于可變信任評估，將訪問主體的授權(quán)訪問隨著過去和當前行為、身份信息及網(wǎng)絡環(huán)境等不同因素影響進行不斷變化，對每次訪問業(yè)務采用最小權(quán)限原則，解決了傳統(tǒng)靜態(tài)訪問控制機制下，安全策略動態(tài)適應不足的問題，提升了應變防御威脅的能力。

通過一系列組件的構(gòu)建和聯(lián)動，在數(shù)據(jù)層面形成訪問控制策略執(zhí)行點，在控制層面形成訪問控制策略決策點，提供環(huán)境感知能力的組件、提供信任評估的分析組件共同工作實現(xiàn)。主要流程如下：通過構(gòu)建可信應用代理作為數(shù)據(jù)層面業(yè)務訪問的統(tǒng)一入口，以及動態(tài)訪問控制策略的執(zhí)行點；構(gòu)建可信身份管控平臺作為控制層面的訪問控制策略決策點；通過可信環(huán)境感知對用戶的終端進行全方位多維度感知，確保用戶的終端環(huán)境安全及安全風險感知上報；對構(gòu)建智能身份分析系統(tǒng)的用戶行為進行多維度分析，進行信任評估并上報至可信訪問控制臺進行決策，實現(xiàn)動態(tài)訪問控制的整體邏輯，具備動態(tài)訪問控制能力[13]。

4 零信任應用解決方案

秉承零信任理念，堅持以密碼為基礎(chǔ)，以可信身份為中心，軟件定義邊界的思想，對身份認證和訪問控制進行了范式上的顛覆，引導安全體系架構(gòu)從“網(wǎng)絡中心化”向“身份中心化”的轉(zhuǎn)變，零信任架構(gòu)設計如圖3所示。以身份為中心進行訪問控制，對訪問辦公業(yè)務的設備、用戶、應用、服務的訪問控制進行認證和授權(quán)，訪問控制策略結(jié)合信任持續(xù)評估結(jié)果進行動態(tài)調(diào)整。所有未認證的資源都是不可訪問的，堅持最小權(quán)限原則，極大限度地減小攻擊面[14]。

圖3 零信任架構(gòu)設計

4.1 密碼服務基礎(chǔ)設施

密碼服務基礎(chǔ)設施為網(wǎng)絡應用和終端用戶提供密碼服務，整合基礎(chǔ)密碼設備的管理，通過虛擬化技術(shù)虛擬密碼服務設備對外提供密碼服務，提供數(shù)據(jù)加解密、簽名驗證、摘要運算等通用密碼服務，還對外提供認證、時間戳、電子簽章等基于密碼的安全服務。

4.2 電子認證基礎(chǔ)設施

電子認證基礎(chǔ)設施利用一對密碼實施加密和解密，其中密鑰分為私鑰和公鑰，私鑰用于簽名和解密，由用戶自定義且安全存儲；公鑰用于簽名驗證和加密，被多個用戶共享。

4.3 可信身份管控平臺

可信身份管控平臺是構(gòu)建統(tǒng)一的身份認證和授權(quán)訪問的基礎(chǔ)設施平臺，實現(xiàn)網(wǎng)絡實體身份和特權(quán)賬號的統(tǒng)一資源管理，為云環(huán)境、移動網(wǎng)絡、物聯(lián)網(wǎng)等異構(gòu)網(wǎng)絡和異構(gòu)應用提供持續(xù)的身份認證和動態(tài)的授權(quán)訪問機制，采用資源化、服務化的彈性服務模式持續(xù)提升全網(wǎng)身份治理能力，搭建基于可信身份的零信任安全體系。主要包括身份管理、身份認證、權(quán)限管理和安全審計4個部分。其中，身份管理是指實現(xiàn)對各類實體身份的生命周期管理，建立標準化的可信身份庫，為應用系統(tǒng)提供身份供應服務，保障各應用系統(tǒng)中的身份一致性、準確性和有效性，避免身份分散管理帶來的一系列問題。身份認證是指按照統(tǒng)一的安全策略基線，為應用系統(tǒng)提供多場景、多方式、多因子身份認證和單點登錄服務，以及統(tǒng)一的身份認證服務和認證門戶，改善用戶體驗。權(quán)限管理是指基于ACL、RBAC、ABAC授權(quán)模型為應用開放訪問級、功能級、數(shù)據(jù)級和應用程序編程接口（Application Programming Interface，API）授權(quán)能力，基于人員、應用和數(shù)據(jù)進行訪問控制，嚴格控制信息的知悉范圍。安全審計是指為應用系統(tǒng)提供審計服務，收集各應用系統(tǒng)的相關(guān)日志，對日志進行關(guān)聯(lián)分析和安全存儲，對異常行為進行風險管控，實現(xiàn)業(yè)務的全流程監(jiān)管，為應用系統(tǒng)建立全面的風險管理和內(nèi)控體系提供必要的支撐。

4.4 零信任網(wǎng)關(guān)管理平臺

零信任網(wǎng)關(guān)作為可信身份管控平臺與不同網(wǎng)關(guān)間的樞紐，以管控分離為原則，聯(lián)動可信身份管理平臺下發(fā)不同應用策略。網(wǎng)關(guān)作為執(zhí)行點，執(zhí)行相關(guān)策略實現(xiàn)網(wǎng)絡接入控制、應用訪問控制、服務調(diào)用控制及數(shù)據(jù)獲取服務等，提升整體安全防護能力。為實現(xiàn)不同接入通道下細粒度的訪問控制，支持應用代理網(wǎng)關(guān)、API網(wǎng)關(guān)和運維代理網(wǎng)關(guān)多臺分布式部署網(wǎng)關(guān)的集中管理和統(tǒng)一調(diào)度。根據(jù)合法的授權(quán)信息實現(xiàn)內(nèi)部網(wǎng)絡和數(shù)據(jù)的安全隱藏，支持前端流量加密、后端流量加密，構(gòu)建不同維度的安全防護邊界。

4.5 環(huán)境感知中心

環(huán)境感知中心首先對可信的終端身份進行標識，不斷進行終端環(huán)境的感知和度量，并將相關(guān)數(shù)據(jù)發(fā)送給策略控制中心，協(xié)助策略控制中心完成終端可信環(huán)境的驗證，以達到動態(tài)訪問控制的目的。通過環(huán)境感知中心建立匹配的信任評估模型和相應算法，實現(xiàn)基于身份的信任評估能力，針對訪問請求數(shù)據(jù)的上下文進行風險判斷，對異常行為的訪問請求進行識別，對信任評估結(jié)果進行不斷的調(diào)整。

4.6 策略控制中心

策略控制中心負責風險匯聚、信任評估和指令傳遞下發(fā)，根據(jù)環(huán)境感知中心的風險來源進行綜合信任評估和指令下發(fā)；指令接收及執(zhí)行的中心可以是認證中心、安全防護平臺和安全訪問平臺。策略控制中心支持多租戶模式，提供基于角色、基于屬性和基于策略的安全訪問控制模型及細粒度授權(quán)模式，支持多種網(wǎng)關(guān)策略分發(fā)和統(tǒng)一管理[15]。

5 結(jié)語

面向不同的應用環(huán)境和業(yè)務場景，零信任架構(gòu)具備多種靈活的實現(xiàn)方式和部署模式。其中，在遠程辦公、云計算平臺、大數(shù)據(jù)中心、物聯(lián)網(wǎng)、5G應用等典型應用場景中，實施一個“從不信任，永遠驗證”的方法，根據(jù)訪問主體和資源之間的授權(quán)關(guān)系，數(shù)據(jù)平臺通過訪問代理搭建安全的訪問通道，對訪問請求進行分流。控制平臺的訪問引擎負責指揮，按照“先認證后連接”原則，建立、維持有效連接，實施對資源的安全訪問控制。在此過程中，對應用場景中出現(xiàn)的安全威脅進行監(jiān)控，并及時響應，削減風險。為現(xiàn)代IT信息系統(tǒng)快速向移動端和云環(huán)境進行遷移創(chuàng)建更安全的網(wǎng)絡，使數(shù)據(jù)更安全，減少違規(guī)帶來的負面影響，提高合規(guī)性和可視性，實現(xiàn)更低的網(wǎng)絡安全成本，并提高組織的整體風險應對防護能力。