余波 孫詩瑤 陶瑜 韓星 四川省成都市公安局

引言

隨著新一代信息技術(shù)在公安系統(tǒng)中快速部署應用，新的應用架構(gòu)隨技術(shù)發(fā)展不斷演進，打破了傳統(tǒng)集中式數(shù)據(jù)中心部署的單體架構(gòu)模式，應用業(yè)務由數(shù)據(jù)中心向云端、邊端和終端等各個環(huán)節(jié)不斷下沉和延伸。

零信任架構(gòu)就是基于該背景提出的，被認為是面向云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動網(wǎng)絡等場景的新一代安全技術(shù)架構(gòu)。最初的零信任概念思想是由咨詢機構(gòu)Forrester的分析師提出[1]，后來，谷歌基于這一概念在公司內(nèi)部進行了Beyond Corp項目實踐[2]，并最終取得成功，此后，零信任技術(shù)概念被大研究機構(gòu)廣泛接受，并進行了大量系統(tǒng)的研究工作，其中，云安全聯(lián)盟（CSA）進一步發(fā)展了零信任技術(shù)概念[3]，提出了軟件定義邊界（Software Defined Perimeter）網(wǎng)絡安全模型；美國國家標準技術(shù)研究院（NIST）研究制定了《零信任架構(gòu)》[4]，大大推動零信任技術(shù)落地和應用，并成為業(yè)界落地實施的指南，各大企業(yè)也紛紛提出自己的零信任技術(shù)架構(gòu)和行業(yè)解決方案[5,6]。

在這種背景下，本文將零信任理念引入到公安業(yè)務系統(tǒng)安全防護體系建設(shè)中，提出了以可信數(shù)字身份為中心的零信任安全接入架構(gòu)模式，并給出了零信任安全接入訪問流程、核心組件及主要功能。該模型依據(jù)環(huán)境安全感知對各類客體的訪問行為進行持續(xù)的信任評估，在訪問主體和資源之間建立安全可靠的連接通道，實現(xiàn)訪問動態(tài)安全可控，從而保證公安業(yè)務系統(tǒng)的接入安全，對零信任技術(shù)在公安業(yè)務系統(tǒng)的落地具有參考借鑒意義。

一、存在的問題

當前，公安業(yè)務系統(tǒng)面臨著多種類型的終端用戶設(shè)備接入，應用場景和網(wǎng)絡環(huán)境愈發(fā)多樣，系統(tǒng)的應用架構(gòu)隨著網(wǎng)絡基礎(chǔ)架構(gòu)升級不斷演進，內(nèi)外部威脅顯著增多，業(yè)務資源攻擊暴露面不斷增加，主要表現(xiàn)在如下幾點：（1）非黑即白的一次性授權(quán)問題，用戶權(quán)限采用一次性授權(quán)方式，隨著用戶使用時間累積，由于人事崗位和業(yè)務需要等開通的新權(quán)限得不到及時有效治理，造成用戶累積的資源訪問權(quán)限越來越大，造成系統(tǒng)性風險；（2）粗放的權(quán)限控制，用戶權(quán)限管理采用粗粒度管控，沒有結(jié)合業(yè)務、崗位、網(wǎng)絡環(huán)境等進行精細化分類分級管控；（3）威脅響應不及時，當發(fā)現(xiàn)用戶出現(xiàn)不安全的用戶訪問行為或者非法的操作后，不能及時發(fā)現(xiàn)接入終端的異常行為，并且不能及時做出對風險終端的處置，無法應對社工等攻擊行為，風險終端的接入可能會導致內(nèi)網(wǎng)業(yè)務遭到攻擊和掃描，并且無法對這類終端進行有效處置；（4）數(shù)據(jù)安全防護存在短板，從近年發(fā)生的多起數(shù)據(jù)泄露事件來看，迫切需要在頻繁變動的人員、組織架構(gòu)和業(yè)務應用系統(tǒng)過程中加強對用戶權(quán)限的管理。

二、零信任安全模型

零信任安全模型是一種安全設(shè)計理念，最早在2010年由Forrester首席分析師John Kindervag提出[1]，其核心思想為“Never Trust，Always Verify”，即“永不信任、持續(xù)驗證”，零信任安全模型打破物理邊界防護的局限性，不再默認信任物理安全邊界內(nèi)部的任何用戶、設(shè)備、系統(tǒng)或應用，而是構(gòu)建以身份認證作為核心，將認證和授權(quán)作為訪問控制基礎(chǔ)的新安全模型，零信任安全模型核心概念包括：（1）所有的網(wǎng)絡流量都是不可信的；（2）不以物理位置作為安全的依據(jù)，為所有訪問采取必要的安全措施；（3）對用戶采用最小授權(quán)策略和嚴格訪問控制；（4）持續(xù)驗證每個訪問請求的身份和安全狀態(tài)；（5）對所有網(wǎng)絡流量都需要進行可視化和分析檢查；（6）持續(xù)的風險評估，持續(xù)的動態(tài)策略調(diào)整。

零信任安全的概念推出后，引起了產(chǎn)業(yè)界的廣泛關(guān)注，進行了大量的技術(shù)實踐，并逐步開始在模型架構(gòu)方面形成了一些共識，其中，典型零信任架構(gòu)模型由美國國家標準技術(shù)研究院（NIST）研究制定[4]，如圖1所示，主要組件包括權(quán)限分析數(shù)據(jù)支撐系統(tǒng)、安全策略引擎（PE）、安全策略管理器（PA）和安全策略執(zhí)行器（PEP）構(gòu)成。

（一）策略引擎（PE）

策略引擎組件是零信任模型的決策中心，根據(jù)組織內(nèi)部信息以及來自外部各類情報來源的輸入（例如IP黑名單、威脅情報服務）作為“零信信任決策算法”的輸入?yún)?shù)，為給定的客戶端或訪問行為計算出信任結(jié)果，并授予對資源的訪問權(quán)限的最終決定，策略引擎與策略管理器一起配合使用，策略引擎分析計算結(jié)果（并進行審計記錄），策略管理器根據(jù)計算結(jié)果執(zhí)行決策（批準或拒絕），并生成相應的訪問憑證。

（二）策略管理器（PA）

策略管理器組件負責建立客戶端和資源之間的連接，一方面接收策略引擎的計算分析結(jié)果，并做出最終訪問控制決定（允許或拒絕連接）；另一方面生成客戶機用于訪問企業(yè)資源的身份驗證令牌或認證憑據(jù)，并下發(fā)給PEP控制器。

（三）策略執(zhí)行點（PEP）

策略執(zhí)行點組件主要負責啟用、監(jiān)視并最終終止客體和企業(yè)資源之間的連接，是零信任架構(gòu)模型中的一個單獨的邏輯組件，在具體實施過程中可分解為零信任客戶端和零信任網(wǎng)關(guān)兩個組件。

（四）權(quán)限分析數(shù)據(jù)支撐信息系統(tǒng)

實現(xiàn)零信任安全模型的核心在于權(quán)限實時計算分析，因此，除了上述實現(xiàn)零信任架構(gòu)模型的核心組件之外，還有大量數(shù)據(jù)源提供給策略引擎，支撐其進行權(quán)限實時計算分析，這些數(shù)據(jù)源既有自身的數(shù)據(jù)信息，也有來自外部的數(shù)據(jù)信息，主要包括：

1.企業(yè)網(wǎng)絡和應用環(huán)境信息

該部分信息主要包括企業(yè)各層級業(yè)務系統(tǒng)、操作系統(tǒng)、網(wǎng)絡環(huán)境等當前的一些狀態(tài)信息，涵蓋系統(tǒng)版本、補丁、漏洞等信息。

2.行業(yè)合規(guī)策略信息

該部分信息是確保企業(yè)遵守其可能遵循的任何監(jiān)管制度，包括企業(yè)為確保遵從性而開發(fā)的特有的安全策略規(guī)則信息。

3.威脅情報信息

該部分信息提供來自外部的威脅情報信息，幫助策略引擎做出訪問決策。這些威脅情報信息可以來自多個外部來源的情報數(shù)據(jù)，提供最新發(fā)現(xiàn)的攻擊或漏洞的信息，主要包括DNS黑名單、惡意軟件、病毒、惡意URL等威脅情報信息。

4.數(shù)據(jù)訪問策略信息

該部分信息是企業(yè)圍繞企業(yè)資源創(chuàng)建的數(shù)據(jù)訪問屬性、規(guī)則和策略的集合。這些規(guī)則可以在策略引擎中編碼，也可以動態(tài)生成。這些安全策略是授予資源訪問權(quán)的起始點，一般是基于用戶角色和資源控制需求制定，為企業(yè)中的訪問客體和應用程序提供基本訪問權(quán)限。

5.企業(yè)公鑰基礎(chǔ)設(shè)施信息（PKI）

6.身份管理系統(tǒng)用戶信息

該部分信息負責創(chuàng)建、存儲和管理企業(yè)用戶賬號和身份記錄信息。該系統(tǒng)包含必要的用戶信息（如姓名、電子郵件地址、證書等）和其他的企業(yè)特征，如角色、訪問屬性或分配的系統(tǒng)。該系統(tǒng)通常利用其他系統(tǒng)（如上面的PKI）來處理與用戶賬戶相關(guān)的構(gòu)件。

7.安全事件分析和管理平臺（SIEM）

收集組織的日志信息、采集節(jié)點網(wǎng)絡流量等對安全事件進行監(jiān)測和分析。

基于國內(nèi)外場景需求、業(yè)務系統(tǒng)和網(wǎng)絡環(huán)境等方面的差異，需要在上述零信任架構(gòu)模型的基礎(chǔ)上，結(jié)合公安業(yè)務系統(tǒng)的特點和場景，研究適合公安系統(tǒng)的零信任安全接入架構(gòu)模型，圍繞打造安全可信的網(wǎng)絡應用環(huán)境，構(gòu)建健康有序的網(wǎng)絡秩序，提升用戶業(yè)務訪問體驗和增強運維效能，構(gòu)建以數(shù)字身份為中心的、基于密碼和信任的安全支撐系統(tǒng)，提供統(tǒng)一和便捷的安全接入方式；面向人、機、物的安全防護體系，滿足公安系統(tǒng)信息化建設(shè)提升要求，滿足等級保護三級系統(tǒng)及關(guān)鍵信息基礎(chǔ)設(shè)施安全管理要求。

三、零信任安全接入技術(shù)架構(gòu)

本文提出的面向公安系統(tǒng)的零信任安全接入技術(shù)架構(gòu)如圖2所示，主要包括可信接入代理設(shè)備、可信代理控制服務平臺、認證管理平臺、權(quán)限管理平臺、環(huán)境感知代理設(shè)備和環(huán)境感知分析平臺。用戶通過各類終端訪問應用服務資源時，經(jīng)可信接入代理設(shè)備進行認證授權(quán)，在二次鑒權(quán)后才能夠訪問應用服務資源，可信接入代理設(shè)備由可信代理控制服務平臺統(tǒng)一管理和控制，進行動態(tài)安全策略的下發(fā)，使得各可信接入代理設(shè)備成為一個協(xié)同動態(tài)防御的整體，接收環(huán)境感知分析平臺對用戶信任度的分析評估結(jié)果，對接認證管理平臺和權(quán)限管理平臺用戶認證和權(quán)限信息，進行用戶權(quán)限的動態(tài)調(diào)整，與可信接入代理設(shè)備對接，實現(xiàn)用戶權(quán)限的動態(tài)控制。

四、工作流程設(shè)計

本文提出的面向公安業(yè)務系統(tǒng)的零信任安全接入技術(shù)架構(gòu)主要工作流程如下：（1）用戶訪問業(yè)務，首先通過環(huán)境感知代理進行終端認證，認證通過后接入中心下發(fā)控制策略到網(wǎng)關(guān)交換機，業(yè)務才可以通過交換機轉(zhuǎn)發(fā)到可信接入代理；（2）可信接入代理接收到不帶token的用戶請求，將請求重定向到認證頁面，認證管理平臺對用戶進行認證，認證通過后發(fā)送令牌到用戶；（3）前置業(yè)務系統(tǒng)通過可信代理控制服務對用戶進行二次應用鑒權(quán)，確認用戶是否可以訪問該應用，如果該用戶有權(quán)限，則可信代理服務為前置應用發(fā)放針對該用戶的應用token，并將請求報文發(fā)送至可信API代理；（4）可信API代理收到請求報文后，通過可信代理控制服務對用戶請求進行鑒權(quán)，鑒權(quán)通過后，才可以把報文轉(zhuǎn)發(fā)到后置業(yè)務系統(tǒng)；（5）環(huán)境感知代理對用戶終端、服務器上的業(yè)務持續(xù)進行環(huán)境感知，環(huán)境感知服務匯總環(huán)境感知代理的感知信息；（6）環(huán)境感知服務接收環(huán)境感知代理的風險信息、網(wǎng)絡安全設(shè)備的日志信息，對用戶風險進行綜合評估，將用戶可信度發(fā)送到可信代理控制服務；（7）用戶訪問業(yè)務時，可信代理控制服務對用戶進行認證，認證通過后將用戶token提供給用戶，用戶帶用戶token繼續(xù)訪問應用，可信接入代理對用戶訪問該應用的權(quán)限發(fā)送到可信代理控制服務鑒權(quán)，如果鑒權(quán)成功，則將用戶請求發(fā)送到應用；（8）可信代理控制服務根據(jù)接收到的用戶風險信息，實時對用戶的權(quán)限進行計算評估，當用戶權(quán)限有變更時，發(fā)送變更信息到可信接入代理和可信API代理。

五、主要核心組件

（一）可信代理控制服務平臺

該平臺是整個架構(gòu)模型的策略控制器中心，對接可信接入代理設(shè)備，將用戶認證請求上傳到認證管理平臺和權(quán)限管理平臺，對用戶進行認證和鑒權(quán)；并在用戶認證請求匹配其風險情況后，將權(quán)限下發(fā)到可信接入代理，實現(xiàn)動態(tài)安全控制策略的下發(fā)；對接環(huán)境感知系統(tǒng)，對用戶的每一次訪問行為進行綜合信任風險評估；對接認證管理平臺實現(xiàn)對用戶的認證；對接權(quán)限管理平臺，結(jié)合用戶的風險指數(shù)，實現(xiàn)對用戶的權(quán)限動態(tài)控制，實現(xiàn)權(quán)限最小化。

在本研究中HAE患者血清IgM抗體較正常對照組降低，而IgG和IgA則較正常對照組明顯升高，考慮包蟲在宿主體內(nèi)長期寄生的過程中刺激機體產(chǎn)生強弱不等的免疫應答反應，隨著包蟲囊增大和包蟲寄生數(shù)量的增多，抗體陽性率也隨之變化[16]。在人體感染包蟲后發(fā)生的免疫反應與疾病的性質(zhì)和特點相關(guān)，這個特性提供了一個重要的優(yōu)勢，使得免疫系統(tǒng)針對特定群體的傳染病病原體能夠調(diào)整其防御策略。

（二）可信權(quán)限管理平臺

提供統(tǒng)一用戶可信權(quán)限管理，實現(xiàn)用戶信息與賬號的集中存儲、全生命周期閉環(huán)管理，用戶賬號自動開通、變更和回收，同時對下游應用系統(tǒng)提供用戶主數(shù)據(jù)服務供給，可信權(quán)限管理平臺可以根據(jù)用戶的安全風險等級，調(diào)整用戶的訪問權(quán)限?？尚艡?quán)限管理平臺分為接口層、服務層和業(yè)務層，其中，接口層主要用于與外部服務的接口，主要的外部服務有可信代理控制服務平臺、認證管理平臺、其他用戶源和應用業(yè)務系統(tǒng)；服務層主要用于對業(yè)務主體、業(yè)務客體提供服務，業(yè)務主體主要指用戶，業(yè)務客體主要指業(yè)務應用；業(yè)務層主要進行實際的業(yè)務處理，如用戶、機構(gòu)和應用業(yè)務的管理，業(yè)務主體和客體之間的授權(quán)關(guān)系管理、用戶訪問權(quán)限的鑒權(quán)管理、權(quán)限審批、日志審計等。

（三）可信認證管理平臺

為用戶提供認證服務，與可信代理控制服務進行交互，對用戶進行認證；通過和權(quán)限管理平臺對接交互，實現(xiàn)信息的共享；通過接口和應用系統(tǒng)進行交互，實現(xiàn)對應用的單點登錄、應用的多級認證?？尚耪J證管理平臺分接口層和業(yè)務層，接口層主要用于與外部服務的接口，主要的外部服務有可信代理控制服務、用戶認證終端、權(quán)限管理平臺、應用業(yè)務系統(tǒng)；業(yè)務層主要進行實際的業(yè)務處理，主要包含應用管理、認證因子管理、認證鏈、認證策略、單點登錄、認證管理、日志審計。

（四）環(huán)境感知分析平臺

主要是采集各類主體環(huán)境感知數(shù)據(jù)（包括系統(tǒng)環(huán)境、網(wǎng)絡環(huán)境、軟件環(huán)境、物理環(huán)境、用戶行為、上下文信息等），將采集數(shù)據(jù)進行歸類處理，進行大數(shù)據(jù)分析，構(gòu)建各類AI模型，對用戶/設(shè)備實體的資源訪問行為進行分析，進行人物和資產(chǎn)風險畫像，建立環(huán)境、用戶和資產(chǎn)信任風險等級，據(jù)此對每次用戶和設(shè)備的實體訪問行為進行風險評估，并實時動態(tài)調(diào)整安全策略。

風險評估是零信任架構(gòu)中的關(guān)鍵環(huán)節(jié)，風險評估的能力很大程度上決定著零信任安全解決方案的有效性，也是業(yè)界各廠商重點研究內(nèi)容之一。如上所述，一方面，風險評估與場景環(huán)境密切相關(guān)，安全風險在不同場景下存在較大差異性。同一個方法在不同場景下分析效果不同，在不同的客戶環(huán)境下存在不一致性，需要針對公安系統(tǒng)的業(yè)務場景、網(wǎng)絡環(huán)境等依賴要素進行精細化設(shè)計，才能夠取得比較好的效果。另一方面，借助人工智能來解決日益復雜的風險識別和評估也是當前技術(shù)演進發(fā)展的趨勢，業(yè)界普遍期待使用更多、更實用的人工智能評估方法來提升風險評估的能力。鑒于機器學習對數(shù)據(jù)的高要求以及安全風險評估的低樣本、低檢出率，如何尋求更加適合的智能算法成為了一大挑戰(zhàn)。

六、結(jié)語

零信任安全技術(shù)經(jīng)過十多年的發(fā)展，已經(jīng)逐步走向成熟。近年來，隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動網(wǎng)絡等場景應用廣泛普及，傳統(tǒng)的以物理網(wǎng)絡邊界構(gòu)建的安全架構(gòu)模型逐漸被新的軟件定義邊界的零信任模型所取代。本文基于零信任理念，結(jié)合公安業(yè)務系統(tǒng)長期實踐經(jīng)驗和未來技術(shù)發(fā)展演進趨勢，提出了以可信數(shù)字身份為中心的零信任安全接入架構(gòu)模型，詳細設(shè)計了零信任安全接入訪問流程，分析了零信任安全接入架構(gòu)模型涉及的核心組件及主要功能，更好地滿足當前環(huán)境下公安業(yè)務系統(tǒng)訪問控制的安全性要求，后續(xù)將結(jié)合具體實踐效果，進一步完善整個技術(shù)架構(gòu)模型，不斷優(yōu)化提高效率及安全性。