構建基于接入端鑒權的應用安全防護架構
——以5G政務外網應用為例

趙振華，劉玉錚

（1.中國國際中小企業博覽會事務局，廣東 廣州 510000；2.廣東省中科產業技術發展有限公司，廣東 云浮 527300）

0 引 言

《“十四五”規劃綱要》第17章表示，要提高數字政府建設水平；2021年，政府工作報告提出加強數字政府建設，實現更多政務服務事項網上辦、掌上辦、一次辦[1]。2021年，圍繞數字政府改革，廣東省出臺的《廣東省數字政府省域治理“一網統管”三年行動計劃》提出要在省域范圍內實現“一網感知勢態、一網縱觀全局、一網決策指揮、一網協同共治”[2]。中小企業服務作為政府履職、優化營商環境的重要一環，在保障安全的前提下，用好數字政府工具提升服務水平，將成為推進治理體系和治理能力現代化的重要支撐模塊。

1 相關需求分析

由于中小企業數量龐大、個體規模小、對市場及政策敏感度不高以及小微企業占比大，給政府精準、高效服務中小企業帶來了挑戰。數字政府工具中，針對企業盡管已開發了“粵商通”等全省統一的政務服務客戶端，但涉及中小企業服務且需要借助電子政務外網的模塊，如何平衡便捷性、安全性、性價比等因素，依舊是各級數字政府建設過程中需要解決的核心問題[3]。

1.1 便捷性需求特性

中小企業服務行業管理部門基本需覆蓋省、市、縣（市、區）、鎮（街）、村（社區）5級政府，尤其在鎮（街）、村（社區）2級，財政預算有限，因此中小企業服務業務功能模塊需要有足夠的輕量化屬性。中小企業服務數字政府功能模塊的需求之一是可實現移動終端快速接入電子政務網，即中小企業服務部門可通過移動終端實現便捷訪問與調用電子政務外網服務功能，現有公職人員的移動終端可不換卡、不換號，無需借助傳統虛擬專用網絡（Virtual Private Network，VPN），即可實現直接接入。

1.2 優質通道需求特性

因涉及到政務外網相關業務模塊的辦理，需要在流程上有其連貫性，因此基于電子政務外網加載的中小企業服務功能模塊，在可實現便捷接入服務功能界面的同時，需要有快速的網絡響應以及連貫且高效的系統功能實現，即移動端接入的電子政務外網的通道需要是穩定、安全的通道，且需要有快速的響應能力，具備大速率、低時延的傳輸功能。同時，該通道還需支持算力下沉，為政務系統處理能力提供便捷的算力支持。

1.3 嚴格的安全防護保障

提供快速便捷與高質量接入電子政務外網的前提，是需要有嚴格的安全防護舉措，因此服務于中小企業的業務功能模塊與其他電子政務服務業務一致，需要有著嚴格的數據隔離和安全防護。具體而言，接入政務外網的通道需高安全且與提供傳統互聯網訪問的信道彼此隔離，從接入端接入、數據交互通道、后臺系統數據調用與處理等層面形成安全防護的閉環管理。

2 構建接入端分級管理網絡安全防護架構

構建基于嚴格安全防護保障前提下的便捷、高效服務中小企業業務功能模塊，圍繞安全保障這一前提，首先需要明確安全防護架構的層級與相關邊界。總體來說，安全體系包括安全規章制度、安全系統、安全技術以及安全防護4大層級[4,5]。安全規章制度主要包括安全主體責任、安全規范、安全制度等內容；安全系統主要包括安全管理系統、安全監測與分析系統等；安全技術包括身份認證、密碼、安全審計等基礎技術；安全防護包括終端、應用、數據、網絡4個方面的基礎安全以及系列場景化應用的安全防護等內容。本文重點側重于安全防護架構設計，即從終端、應用、數據、網絡等模塊設計相應的安全防護架構，為面向中小企業服務應用模塊提供安全防護。

構建服務于中小企業電子政務外網模塊的安全防護架構，需要覆蓋接入層、傳輸層、核心層3級模塊[6,7]。接入端分級管理，側重于對終端用戶登錄、終端管理系統登錄及其他系統級應用登錄進行身份鑒別與登錄控制；為具備不同安全能力的終端提供統一接入認證，并提供雙向認證機制；在應用側僅有授權的App可獲得無線網絡管道能力、核心網能力等開放能力調用權限，且消息傳輸需安全保護，構建起可監控惡意行為并告警，對惡意App采取相應的安全控制。傳輸層安全管理側重于數據交互與傳輸通道的安全區隔，為涉及電子政務外網相關的數據交互和辦理提供邏輯隔離的專用信道。核心層安全管理側重于核心網在邏輯功能上嚴格隔離，區分政務業務切片，每個切片都有專用的功能并且只能訪問本切片的會話數據。

2.1 終端接入控制安全防護思路

在終端側做好安全機制設計，有效的防護策略是在中小企業服務終端做好分級鑒權并做好接入電子政務外網專用通道的安全控制。主要的策略包括以下2個方面：一是做好雙向鑒權和加密，即無線接入網啟用終端與網絡進行雙向鑒權和加密，防止仿冒終端接入網絡，；二是做好終端的機卡綁定，終端機綁定用戶識別卡（機卡分離自動停止訪問權限），防止終端仿冒?；谏鲜?個方面，終端安全策略設計具有可實施基礎的方案，依托電信運營商架設的5G網絡，開展基于5G電子政務外網的終端接入安全防護架構設計。

基于雙向鑒權和加密的終端接入安全防護架構中（見圖1），5G設備側觸發的指令（5G政務一體機、5G手持終端等）觸發訪問電子政務外網的需求，會在信令觸發前進行安全鑒權，在終端設備識別通過的前提下，相關的訪問信令則會通過網絡傳輸及核心安全防護2道安全防護模塊識別后，傳導至電子政務云，并調用相關的系統業務功能模塊。

圖1 基于雙向鑒權和加密的終端接入安全防護架構

2.2 傳輸側安全防護思路

傳輸側安全防護隸屬于網絡安全的范疇，有效的防護策略可確保數據交互發生在專用的信道中，且相關專用信道應具有可邏輯隔離、可多通道并行的功能。因此，采用專用數據網絡名稱（Data Network Name，DNN），建立以終端用戶識別卡為唯一身份標識并對專用業務站點采取白名單制管理將是十分有效的安全防護策略。可考慮借助運營商提供的電子政務外網，做好基于專用通道數據流交互的安全防護。使用專用DNN接入運營商廣域覆蓋的5G無線網絡，政務業務數據分流至專用DNN對應的專享用戶面功能（User Plane Function，UPF），確保接入電子政務外網的訪問訴求數據不出區，經過專線和防火墻進入電子政務外網，訪問電子政務云平臺，并調用相關的中小企業服務功能界面模塊。

2.3 核心層安全防護思路

核心層安全防護的重點在于依據業務屬性做好邏輯隔離，確保不同的信令和指令能從邏輯上形成專用的通道，保障數據安全。有效的安全防護策略是借助運營商提供的5G電子政務外網做好基于無線接入側的邏輯切片隔離，即利用切片技術做好用戶質量管理（Quality of Service，QoS），并在核心網層面基于UPF做好不同切片邏輯隔離，確保服務于中小企業的電子政務外網業務訴求能在邏輯隔離的專用通道中實現數據交互，保障數據安全。

3 健全應用安全防護體系的一些思考

前文設計的結合電信運營商5G電子政務外網的安全防護架構主要側重于應用安全，但構建完備的安全防護體系還涉及終端安全、數據安全以及網絡安全。因此，除基于終端側安全、傳輸側安全、核心層安全外，需結合安全管理、安全監測與分析等內容，健全應用安全防護體系。

3.1 健全安全告警、安全日志記錄、安全事件可審計的安全防護體系

安全事件防護是安全防護體系不可或缺的環節，因此在防護體系設計上需覆蓋安全事件的全流程、全環節，基于安全日志實施記錄的安全防護舉措，并涵蓋在應用安全防護體系設計中。在安全防護體系中，要設計好支持受攻擊后自動上報安全告警、記錄安全日志的功能模塊，具備實時通知客戶的功能，以助快速消除安全風險；在功能設計上，需要覆蓋文件損壞或丟失告警、本地用戶登錄失敗次數超限告警、數字證書即將過期告警、網元遭受攻擊告警、本地用戶修改其他操作員密碼事件告警以及本地用戶登錄失敗事件記錄等[8-10]；在防護體系設計中，要做好集中管理日志機制，支持記錄操作日志、系統日志和安全日志，且不可修改或刪除，支持快速發現異常。安全事件要可審計，用戶不可修改或刪除安全事件，相關功能模塊需要支持可審計運維用戶的相關操作、可審計系統或應用的啟動與關閉。

3.2 提升安全監測、安全態勢感知的安全防護水平

加強安全管理的長效機制，提升安全防護水平。除做好安全事件的防護機制設計外，還需重點圍繞安全態勢感知做好前置化的方案設計。對涉及中小企業服務關聯的電子政務外網應用模塊，要在機制設計過程中內生化的嵌入好資源使用率、通道流量使用情況等日常監測，做好分級分類預警，而對于重要系統和重要節點，要為后續部署入侵檢測、優化升級防火墻等內容模塊預留好空間。同時，安全管理機制設計中，需針對網絡安全漏洞、惡意網絡資源、網絡安全事件等展開網絡安全威脅實時監測，及時發現應用安全風險隱患，并為進一步做好應急處置奠定基礎。

3.3 強化安全分析、安全處置等安全防護能力

在安全分析上，設計安全防護架構時應對信令風暴、業務面分布式拒絕服務攻擊（Distributed Denial of Service，DDoS）以及運維面攻擊檢測分析等內容做好資源預留。同時，充分考慮基于安全日志做好安全溯源、安全分析的功能模塊，確保安全防護功能可快捷調用日志數據，自動關聯防火墻、病毒沙箱等模塊，為快速化解風險提供強力支撐。在安全處置反應能力和快速恢復能力提升上，則要設計好攻擊事件的安全策略編排及自動響應，為阻斷威脅以及快速恢復奠定能力基礎。

4 結 論

本文圍繞接入層、傳輸層以及核心層3個層級設計好電子政務外網應用的安全防護架構，覆蓋了終端接入鑒權、數據加密、網絡傳輸信道專用、核心層切片隔離等。探索性地提出了終端與信令二次鑒權、配置專用DNN保障數據不出區、基于UPF網絡切片邏輯隔離的技術方案構思，形成的相關架構已在電信運營商推動建設的5G電子政務外網中進行了實踐，為各地打造安全、便捷、高效的電子政務外網提供了安全架構設計參考。