零信任架構及其在企業移動辦公系統中的輕量級應用研究

王 朋

(中國中車股份有限公司科技質量與信息化中心 北京 100036)

1 企業移動辦公面臨的安全風險

企業的移動辦公系統必須借助于移動互聯網系統，傳統的發布模式是企業部署一臺或多臺固定對外(固定域名和固定IP地址)的反向代理服務器地址，移動客戶端通過代理服務器登錄到移動辦公服務集群進行各種業務工作流程流轉。這些固定對外的域名或地址往往成為靶點，成為黑客攻擊的入口。動車組車載信息無線傳輸系統是一種典型的移動應用，主要由無線傳輸裝置(車載設備)、數據中心、動車運用所數據工作站和用戶訪問終端組成。車載設備通過公網將實時數據傳輸到數據中心，數據中心采用具有固定IP地址的服務器集群來接收這些數據[1]，為了對抗日益增強的網絡測繪和網絡攻擊，傳統的做法是在鏈路上串接或旁路大量的攻擊防范設備，以實時監測網絡流量以及各種基于規則的訪問控制或入侵防御設備，這樣的做法不僅成本高，而且往往因為種種已知或未知的基于對漏洞的攻擊，造成防御系統被突破，進而殃及企業內網核心資產。本文從零信任概念入手，通過輕量級的部署實施方案，達到移動辦公系統的超高的安全性。通過改變傳統移動辦公系統的發布模式，讓移動辦公對外的反向代理服務器不需要固定的域名或IP地址，讓黑客找不到攻擊的目標(服務隱身)，從而以極低成本提高企業移動辦公系統的安全性。……