基于零信任的高速公路網(wǎng)絡(luò)安全架構(gòu)研究

王文菁，李樹遠(yuǎn)

（北京交科公路勘察設(shè)計研究院有限公司，北京 100191）

0 引 言

高速公路網(wǎng)絡(luò)安全關(guān)乎國家關(guān)鍵基礎(chǔ)設(shè)施安全和人民生命財產(chǎn)安全。隨著信息化的發(fā)展，我國不斷完善對高速公路網(wǎng)絡(luò)安全體系的建設(shè)。近年來，高級可持續(xù)性威脅（Advanced Persistent Threat，APT）攻擊和軟件供應(yīng)鏈攻擊等各種形式的網(wǎng)絡(luò)攻擊嚴(yán)重威脅著我國高速公路信息網(wǎng)絡(luò)的安全。中國互聯(lián)網(wǎng)應(yīng)急中心2020年監(jiān)測數(shù)據(jù)顯示，我國境內(nèi)共發(fā)生各類網(wǎng)絡(luò)安全事件約103 000起，嚴(yán)重影響了我國近37%的重要基礎(chǔ)部門的網(wǎng)絡(luò)設(shè)施[1]。

訪問控制是目前高速公路網(wǎng)絡(luò)系統(tǒng)安全防護(hù)的核心策略，其主要任務(wù)是保證高速公路網(wǎng)絡(luò)資源訪問和操作等行為的安全。隨著高速公路網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)場景的增多，遠(yuǎn)程訪問和資源傳輸行為變得更加頻繁，其網(wǎng)絡(luò)安全風(fēng)險也急劇增加。傳統(tǒng)的高速公路網(wǎng)絡(luò)訪問控制體系下，一旦攻擊者獲取到合法的訪問控制權(quán)限進(jìn)入系統(tǒng)內(nèi)網(wǎng)，就能通過權(quán)限提升等橫向攻擊方法獲取大量機(jī)密信息，從而對高速公路的運(yùn)行安全造成極大的威脅。

高速公路網(wǎng)絡(luò)安全架構(gòu)是保證高速公路網(wǎng)絡(luò)安全的關(guān)鍵。網(wǎng)絡(luò)安全人員在高速公路網(wǎng)絡(luò)安全架構(gòu)的指導(dǎo)下能夠完成一整套高速公路網(wǎng)絡(luò)安全建設(shè)、運(yùn)營以及維護(hù)的解決方案?，F(xiàn)行高速公路網(wǎng)絡(luò)安全架構(gòu)的核心思想是基于邊界安全，其安全技術(shù)架構(gòu)主要基于傳統(tǒng)訪問控制系統(tǒng)、身份認(rèn)證以及密碼學(xué)理論，一旦非法訪問人員拿到泄露的密鑰，或者高速公路網(wǎng)絡(luò)系統(tǒng)內(nèi)部用戶通過權(quán)限提升執(zhí)行了非法越權(quán)操作，則邊界安全將不復(fù)存在。

為解決上述問題，本文基于零信任提出基于屬性的訪問控制模型，旨在完成訪問主體全部操作行為的持續(xù)驗(yàn)證。接著基于該訪問控制模型，構(gòu)建了基于零信任的高速公路網(wǎng)絡(luò)安全架構(gòu)。零信任是一種安全思想，秉持“持續(xù)驗(yàn)證、永不信任”的宗旨對會話網(wǎng)絡(luò)中一切行為持續(xù)進(jìn)行安全驗(yàn)證和信任評估，基于零信任的高速公路網(wǎng)絡(luò)安全架構(gòu)能夠有效保護(hù)高速公路網(wǎng)絡(luò)系統(tǒng)的安全[2-4]。

1 高速公路網(wǎng)絡(luò)訪問控制系統(tǒng)現(xiàn)狀

訪問控制技術(shù)的研究發(fā)展經(jīng)歷了自主訪問控制（Discretionary Access Control，DAC）、 強(qiáng) 制 訪 問 控制（Mandatory Access Control，MAC）、基于角色的訪問控制（Role-Based Access Control，RBAC）以及基于訪問控制列表（Access Control List，ACL）等階段[5-8]。DAC和MAC都是由主體與訪問權(quán)限直接作用，大多使用在用戶個人權(quán)限授予場景。這兩種簡單的訪問控制策略不適用于高速公路網(wǎng)絡(luò)系統(tǒng)等大型應(yīng)用系統(tǒng)。RBAC系統(tǒng)將權(quán)限和角色進(jìn)行關(guān)聯(lián)，通過給用戶分配適當(dāng)角色進(jìn)行權(quán)限授予，實(shí)現(xiàn)了用戶和權(quán)限訪問的邏輯分離，其可操作性和可管理性都十分適用于多用戶的大型信息管理系統(tǒng)。ACL是一個將PERMIT和DENY語句組織在一起的有順序規(guī)則列表，能夠保證合法用戶的訪問，同時拒絕非法訪問，并且可以對網(wǎng)絡(luò)流量進(jìn)行限制和數(shù)據(jù)包過濾，提高網(wǎng)絡(luò)性能。

傳統(tǒng)高速公路網(wǎng)絡(luò)安全架構(gòu)的核心思想是基于邊界的，也就是“一次授權(quán)、持續(xù)信任”，默認(rèn)邊界內(nèi)部的行為都是可信的，邊界外部都是不可信的。傳統(tǒng)高速公路網(wǎng)絡(luò)安全架構(gòu)如圖1所示，其核心訪問控制架構(gòu)基于公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI） 和 數(shù) 字 證 書 認(rèn) 證 中 心（Certificate Authority，CA）的模式，用于控制不同網(wǎng)絡(luò)區(qū)段的安全訪問。所有的請求都需要使用PKI/CA系統(tǒng)簽發(fā)的數(shù)字證書進(jìn)行身份驗(yàn)證，所有的內(nèi)外部網(wǎng)絡(luò)數(shù)據(jù)流通過訪問控制服務(wù)器系統(tǒng)進(jìn)行安全掃描檢測，網(wǎng)絡(luò)內(nèi)外網(wǎng)是一個動態(tài)網(wǎng)絡(luò)安全隔離系統(tǒng)，通過互聯(lián)網(wǎng)安全協(xié)議/虛擬專用網(wǎng)絡(luò)（Internet Protocol Security/Virtual Private Network，IPsec/VPN）等連接內(nèi)外網(wǎng)訪問控制服務(wù)器，確保內(nèi)外網(wǎng)之間沒有任何直連通道。

圖1 傳統(tǒng)高速公路網(wǎng)絡(luò)安全架構(gòu)

可以看出，隨著高速公路系統(tǒng)網(wǎng)絡(luò)業(yè)務(wù)的增多，互聯(lián)網(wǎng)技術(shù)（Internet Technology，IT）架構(gòu)越來越復(fù)雜，基于邊界安全的傳統(tǒng)“主體—客體”訪問控制架構(gòu)難以滿足高速公路網(wǎng)絡(luò)的安全需求，需要在現(xiàn)有的邊界安全體系中額外添加一層身份邏輯安全邊界，將訪問控制系統(tǒng)從網(wǎng)絡(luò)層面的粗粒度向訪問人、物理設(shè)備以及業(yè)務(wù)邏輯等細(xì)粒度層面遷移。下面介紹本文提出的基于零信任的高速公路網(wǎng)絡(luò)訪問控制架構(gòu)。

2 零信任高速公路網(wǎng)絡(luò)安全架構(gòu)設(shè)計

2.1 零信任原理

目前，高速公路網(wǎng)絡(luò)系統(tǒng)移動辦公和遠(yuǎn)程接入等云服務(wù)場景成為新的常態(tài)模式?；谶吔绲木W(wǎng)關(guān)型訪問控制體系難以解決新場景下的安全威脅，迫切需要重新對信任進(jìn)行定義。零信任是一種安全理念，其主要包含了如下原則。一是任何訪問主體的任何資源操作行為不論處于網(wǎng)絡(luò)中的任何位置，都必須先經(jīng)過身份認(rèn)證和合法授權(quán)；二是任何訪問主體在網(wǎng)絡(luò)中的資源操作行為必須持續(xù)接受安全評估，即“持續(xù)評估”；三是采用最小權(quán)限分配和動態(tài)策略原則對訪問主體進(jìn)行授權(quán)，同時對每一個訪問請求構(gòu)建安全的通道。

隨著云計算和數(shù)字化技術(shù)的發(fā)展，傳統(tǒng)的以防火墻、VPN為代表的安全技術(shù)無法解決內(nèi)部網(wǎng)絡(luò)的安全問題。隨著業(yè)務(wù)的發(fā)展，企業(yè)安全邊界也不斷在發(fā)展中變得模糊。零信任網(wǎng)絡(luò)訪問（Zero-Trust Network Access，ZTNA）則認(rèn)為不能信任出入網(wǎng)絡(luò)的任何內(nèi)容，應(yīng)當(dāng)創(chuàng)建一種以數(shù)據(jù)或軟件為中心的邊界，使用強(qiáng)身份驗(yàn)證技術(shù)對數(shù)據(jù)進(jìn)行全面保護(hù)。

高速公路網(wǎng)絡(luò)系統(tǒng)應(yīng)當(dāng)以低耦合、高內(nèi)聚的方式進(jìn)行安全能力建設(shè)，并且內(nèi)部網(wǎng)絡(luò)安全尤其值得重點(diǎn)關(guān)注。因此，基于零信任架構(gòu)建設(shè)高速公路網(wǎng)絡(luò)系統(tǒng)安全是合理且有益的。

2.2 高速公路網(wǎng)絡(luò)訪問控制模型

基于上述原則，如圖2所示，本文設(shè)計了基于屬性的零信任訪問控制模型，模型用安全屬性來定義授權(quán)，可以有效保護(hù)用戶身份等隱私信息，不同屬性由不同屬性權(quán)威定義和維護(hù)。

圖2 基于屬性的訪問控制模型

訪問主體主要指高速公路網(wǎng)絡(luò)系統(tǒng)中所有的使用人員、利用的通信以及網(wǎng)絡(luò)設(shè)備等。其中，策略管理點(diǎn)負(fù)責(zé)訪問控制策略的創(chuàng)建、管理與查詢，而策略判定點(diǎn)接收來自策略執(zhí)行點(diǎn)的基于屬性訪問請求，并從策略管理點(diǎn)接收策略集，根據(jù)策略對訪問請求進(jìn)行判定，然后將判定結(jié)果返回給策略執(zhí)行點(diǎn)。屬性權(quán)威負(fù)責(zé)實(shí)體屬性的創(chuàng)建、管理以及查詢工作，策略執(zhí)行點(diǎn)的功能是根據(jù)訪問請求向?qū)傩詸?quán)威查詢屬性，生成基于屬性訪問請求并發(fā)送給策略判定點(diǎn)，根據(jù)判定結(jié)果訪問資源[5-8]。

2.3 高速公路網(wǎng)絡(luò)安全架構(gòu)

利用提出的訪問控制模型，本文構(gòu)建了基于零信任的高速公路網(wǎng)絡(luò)系統(tǒng)安全架構(gòu)。如圖3所示，該架構(gòu)主要包含了訪問主體、訪問客體、信任評估引擎、動態(tài)訪問控制引擎、規(guī)則策略相關(guān)模塊、可信代理以及安全基礎(chǔ)設(shè)施等。下面詳細(xì)介紹主要組成部分和系統(tǒng)的核心技術(shù)。

圖3 基于零信任的高速公路網(wǎng)絡(luò)安全架構(gòu)

2.3.1 主要組成部分

訪問主體主要指發(fā)起資源訪問行為的人員、各種設(shè)備以及系統(tǒng)應(yīng)用等，訪問客體指受到零信任系統(tǒng)保護(hù)的數(shù)據(jù)或服務(wù)。信任評估引擎接收可信代理和動態(tài)訪問控制的日志信息等，對主體信任進(jìn)行持續(xù)信任評估。動態(tài)訪問控制引擎一般與可信代理模塊共同作用，實(shí)現(xiàn)對所有訪問主體的身份認(rèn)證和動態(tài)權(quán)限授予功能，同時動態(tài)訪問控制引擎可以基于簡單的靜態(tài)規(guī)則或上下文屬性，結(jié)合安全策略、信任等級等內(nèi)容進(jìn)行動態(tài)權(quán)限判定，其判定依據(jù)是信任庫、權(quán)限庫以及身份庫。

信任評估引擎模塊對訪問主體進(jìn)行信任度持續(xù)評估，并接收可信代理和動態(tài)訪問控制引擎的日志信息，為動態(tài)訪問控制引擎提供判定依據(jù)。

規(guī)則策略模塊主要包括策略管理器、策略引擎以及策略執(zhí)行點(diǎn)。需要指出的是，高速公路網(wǎng)絡(luò)安全架構(gòu)中的策略相關(guān)模塊與訪問控制模型的內(nèi)容有所不同，此處的策略管理器包含了私有公鑰基礎(chǔ)設(shè)施、數(shù)據(jù)訪問策略以及身份管理系統(tǒng)。實(shí)際部署時，考慮外部攻擊信息的預(yù)警作用，還可以把安全信息事件管理和威脅情報源納入策略管理器模塊。策略引擎主要對訪問主體完成最小權(quán)限分配功能，利用密碼算法和信任評估規(guī)則持續(xù)對訪問主體進(jìn)行權(quán)限動態(tài)分配。

2.3.2 系統(tǒng)核心技術(shù)

系統(tǒng)核心技術(shù)包含了身份安全、訪問代理、訪問控制以及信任評估。其中，身份安全主要包括身份管理和身份認(rèn)證，前者包含了身份識別、數(shù)據(jù)同步、密碼管理等功能，而后者主要是指持續(xù)信任驗(yàn)證過程中對用戶身份進(jìn)行動態(tài)認(rèn)證的相關(guān)技術(shù)。

零信任架構(gòu)中，通過傳輸加密等手段訪問代理實(shí)現(xiàn)了隱藏真實(shí)業(yè)務(wù)、代理訪問行為以及檢測、授權(quán)、認(rèn)證所有訪問主體流量等。訪問控制有多種實(shí)現(xiàn)方式，本文采取基于屬性的訪問控制模型，實(shí)現(xiàn)對用戶的最小化授權(quán)、動態(tài)信任評估以及持續(xù)驗(yàn)證等功能。信任評估是基于零信任的高速公路網(wǎng)絡(luò)安全核心環(huán)節(jié)，也是構(gòu)建零信任體系的關(guān)鍵技術(shù)手段，其中包含了信任評估模型和信任評估引擎，在獲取了終端環(huán)境及身份的信任評分后，利用身份的屬性信息對訪問行為的上下文進(jìn)行風(fēng)險判定，并對異常訪問行為進(jìn)行監(jiān)控識別，動態(tài)調(diào)整信任評估結(jié)果[9,10]。

值得注意的是，為了最大程度保證高速公路網(wǎng)絡(luò)的安全，本文所提架構(gòu)的外部分析平臺應(yīng)當(dāng)保證安全事件分析的效率和性能開銷，并及時對系統(tǒng)中的網(wǎng)絡(luò)安全事件做出響應(yīng)。

3 結(jié) 論

高速公路網(wǎng)絡(luò)系統(tǒng)的健壯程度關(guān)系到人民財產(chǎn)安全和國家安全，保障其網(wǎng)絡(luò)安全具有重大現(xiàn)實(shí)意義。本文針對新場景下高速公路網(wǎng)絡(luò)的系統(tǒng)安全問題，提出了一種基于零信任的屬性訪問控制模型，并詳細(xì)介紹了模型組成內(nèi)容?；谠撃Ｐ?，本文構(gòu)建了一種基于零信任的高速公路網(wǎng)絡(luò)安全架構(gòu)，討論了架構(gòu)中核心組件具備的功能，能夠?qū)崿F(xiàn)對其網(wǎng)絡(luò)安全的持續(xù)保障，隨著零信任核心架構(gòu)的發(fā)展與落地，高速公路系統(tǒng)的網(wǎng)絡(luò)安全能力必定能夠得到極大提升。