赵 倩

（兰州市卫生统计信息中心，甘肃 兰州 730000）

0 引言

随着5G、大数据、云计算、人工智能和物联网等新技术的发展，特别是国家把5G、大数据中心、工业互联网和人工智四个领域能列为新基建重点基础设施。互联网正向着万物互联的方向快速发展。新技术不仅给我们带来便利，也带来了新的挑战。处在网络核心地位的信息资产（包括数据、业务系统和基础设施），无形中也增加了暴露面，从而使得被攻击的可能性越来越大。

未来利用各种类型的网络（主要是除单位内网外的各类公共网络，如移动互联网、酒店、网咖的网络等）、运用各种类型的终端（如PC、手机、传感器等）远程办公的需求也越来越多。这使得原来依据访问主体在网络拓扑图中的物理位置来划分边界，部署安全设备，设置安全域的做法变得越来越困难。

随着网络系统规模不断增大，复杂性不断增加，安全漏洞存在的可能性也在增加，再加上黑客的攻击手段不断翻新，根据网络边界进行安全防护的架构暴露出了很多问题。因此，作为一名从事政务网络安全管理的工作者更应该积极思考，为应对这一变化而努力探索。

1 网络安全现状分析

按照网络边界防护架构建设的安全体系根据设备在网络中的物理位置，把网络分为内网、外网、DMZ等不同区域，在各个区域之间通过部署防火墙、IPS、WAF等配置相应的策略，构筑起网络安全的数字护城河。如前所述，未来单位的政务办公网络会面对越来越多的内部人员通过遍布全国甚至全世界的公共网络访问业务系统，远程办公。即便是在单位通过办公电脑访问系统，也存在电脑被黑客木马控制，利用特权账号和弱口令等，非法窃取和破坏数据资源的安全隐患。造成这一局面的原因是基于网络边界的防护架构在设计之初就默认了内网比外网更安全，对来自内部的访问，在安全监管上并不严格。有时候内网比外网安全这一错误认识也使得很多内部工作人员忽视了潜在的安全风险。

堡垒最容易从内部攻破，一旦攻击者突破防护边界进入内网，原先的网络安全防护措施会显得形同虚设。根据美国Verizon公司《2017年数据泄露报告》分析指出，攻击者渗透进企业的内网之后，并没有采用什么高明的手段窃取数据，81%的攻击者只是利用偷来的凭证或者“爆破”得到的弱口令，就轻而易举地获得了系统和数据的访问权限。从上述分析可以看出，在网络边界防护架构下，即便增加更多的安全设备，设置更多的安全策略，也只是增强了网络边界的防护能力，无法有效阻止来自内部的攻击。因此，应用新的网络安全架构来应对技术发展带来的问题，是网络安全发展的必然要求。

2 零信任安全防护

零信任架构，核心理念是“Never Trust,Always Ver⁃ify”，即“永不信任”和“始终校验”。该模型的核心思想是在访问主体和客体之间，建立以身份认证为中心的动态可信访问控制体系。具体来说，我们不再以访问主体在网络中所处的位置来考虑是否给他访问权限，而是把要访问网络系统的特定人、设备赋予数字身份。无论来访者在任何位置利用任何一种互联网接入方式，我们都有对他的数字身份进行验证和强制授权，对所以访问请求进行加密，对该身份所关联各种数据源进行持续信任评估，并根据信任的程度对权限进行动态调整。本论述在安全研究组织Forrest⁃er提出的零信任安全模型和谷歌Beyond Corp项目基础上，提出零信任架构在政务网络安全防护中的应用模型。

2.1 零信任网络的安全组件

2.1.1 设备端安全管理组件

它以软件的形式在设备端建立一个进程，用于识别该设备的类型，状态和是否与固定机构绑定。

2.1.2 用户身份认证系统

该系统是一种集中式的用户认证系统，对访问政务网资源的各类主体进行身份验证。

2.1.3 动态访问控制网关

动态访问控制网关根据应用服务等级提供授权操作，其决策过程依据用户、用户所属的组，设备证书对应的设备数据库中记录，动态授予访问中最小化的权限。

2.1.4 智能安全大脑

智能安全大脑对网络中用户所关联的身份，登录系统的踪迹，操作行为进行综合分析，采用大数据和人工智能的方法对身份进行持续画像，最终生成和维护信任库，从而为动态访问控制网关提供决策依据。

2.2 零信任架构的网络分层

如果将用户“访问网络-登录应用-使用及操作-退出应用”的过程，可以将网络架构由下到上分为网络通讯、设备认证、身份认证和行为管控四个层次。每个层次有其不同的作用，如图1所示。

（1）网络通讯层：解决网络连通问题，以及网络层安全。

（2）设备认证层：解决设备层安全威胁，包括移动设备、PC机、服务器、物联网设备等，分为识别和控制两个层面。

（3）身份认证层：解决用户身份识别问题，通过对用户进行所知、所持、所有的信息进行持续、自适应认证的方式确定用户身份。

（4）行为管控层：解决威胁发现与应急处置问题，通过人工智能技术动态发现用户行为中的安全风险，并进行主动干预。

图1 零信任架构的网络层次模型

2.3 零信任网络的安全模型

基于上述组件和网络架构分层，我们定义了零信任网络在政务网中的安全模型如图2所示。无论访问主体来自哪里，在访问政务网内某个业务系统时，系统会依照该模型规定的流程，进行完整的权限校验。从而避免政务网系统边界防护被黑客突破后，数据资源被内网用户和设备非法窃取和破坏。该模型运行的具体流程如下：

（1）访问主体向政务网中某一业务系统提出访问请求，并由设备端安全管理组件提供设备证书。该请求被指向访问代理。

（2）访问代理在收到证书后，没有发现令牌，于是把请求转向用户身份验证系统。访问主体向验证系统输入账号和密码。在这一过程中，系统会针对设备信息、用户信息和账号密码的正确性进行可信判断。

（3）通过后可信判断后，由证书颁发系统想该用户授予访问令牌。并将访问请求指回访问代理。

（4）访问代理收到设备证书和访问令牌后，将访问主体的请求递交到动态访问控制网关。由该网关对访问主体每次访问请求的内容进行检查和控制。

（5）动态访问控制网关通过对访问请求的分析，将数据提交到智能安全大脑，该系统通过用户所知、所持、所有的信息、结合登录系统的踪迹，操作行为进行综合分析，采用大数据和人工智能的方法，发现用户行为中的安全风险，并进行主动干预。

图2 零信任架构在政务网安全防护中的应用模型

3 结束语

在国家加快推进新基建，各行各业加速信息化发展的今天，零信任安全思想和防护体系建设应该被高度重视。特别政务专网由于其服务对象多、重要程度高。一旦被黑客攻破，造成的损失和社会影响无法估量,所以网络安全防护工作必须与时俱进。

零信任安全架构不仅可以有效提升网络安全防护能力，也能很好的兼容新技术新应用，该架构对各种类型的终端设备、各种形式的接入网络具备良好的适应性。因此，在政务网的安全升级改造时，应该重点考虑基于零信任架构的网络安全防护体系。