当前位置:  >> 首页/产品服务

基于零信任模型的政务数据应用平台架构

来源:昆明市网络安全协会专家组成员 张曦文、洪昆   作者:张雪   日期:2023-07-31 16:12

    

 以“零信任”模型理念,结合国家《个人信息安全规范》《数据安全能力成熟度模型》等相关信息化技术标准,针对政务数据应用从技术角度提出平台架构,分别从边界、身份认证、设备授信、网络区域划分、预警预告等方面阐述了零信任模型在政务数据应用平台中的安全作用,以弥补单从应用层面进行权限控制的安全漏洞,为降低政务数据在管理和应用中的风险,提高政务数据利用价值提供参考。

关键词 身份认证;设备入网管理;应用授信管理;访问控制;访问风险监控。

1 引言

在“数字中国”发展战略指引下,随着信息化、数据化的数字经济时代到来,数据作为一种新型生产要素,早已成为推动国家经济质量高速发展的新动力。对数据的高效利用,实现数据的最大化价值,是在数字经济时代掌握数据核心资产的关键。数据作为国家重要战略资源,与国家经济运行、政府治理、公共服务、国防安全、行业发展等方面密切相关。数据安全风险日益成为影响国家安全的重要因素,对数据的安全治理成为当前急需解决的首要任务,加强数据安全治理已成为维护国家安全和国家竞争力的战略要求。

2019年工信部发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》中, 零信任安全首次被列入网络安全需要突破的关键技术;2020年,在中国产业互联网发展联盟标准委员会指导下,成立“零信任产业标准工作组”,同年,零信任产业标准工作组正式对外发布国内首个基于攻防实践总结的《零信任实战白皮书》;2021 6月,中国电子工业标准化技术协会发布国内首部《零信任系统技术规范》,同年 7月,工信部发布的《网络安全产业高质量发展三年行动计划2021-2023》提出要发展创新安全技术,加快开展零信任框架等安全体系研发。

零信任网络架构 (ZTNA) 是一种安全模型,它在授予对数据和应用程序的访问权限之前对每个用户、设备和进程使用多层精细访问控制、强大的攻击预防和持续验证。使用 ZTNA方法,信任永远不会被隐式授予,必须不断评估。ZTNA-也称为零信任网络访问、软件定义边界 (SDP) 或动态安全边界 (DSP) - 不依赖于预定义的信任级别。

零信任的目标是为数据和应用程序提供更安全的访问,即使是远程工作人员也是如此。由于当今攻击类型呈多样性,且伪装性、隐蔽性强,加上钓鱼邮件、社会工程学的巧妙运用,使得整个内网区域也处于不安全的状态中。零信任可以帮助组织抵御来自外部和内部威胁的恶意活动,并防止代价高昂的内网区域应用系统破坏、数据篡改、数据泄露等。

零信任网络架构的主要优势在于,它有助于为当今现代 IT环境中的数字身份提供强大的方法。通过向所用户、端点授予详细的访问权限,提高内网攻击的阻断率,加上互联网区域威胁情报分析、SAAS 网关、入侵检测、抗 DDOS等安全技术的综合应用,进一步提高了攻击者的成本。

2 概念

2.1 零信任的基本假设

(1) 内部威胁不可避免;

(2) 从空间上,资源访问的过程中涉及的所有对象(用户、终端设备、应用、网络、资源等)默认都不信任,其安全不再由网络位置决定;

(3) 从时间上,每个对象的安全性是动态变化的(非全时段不变的)。

2.2 零信任的基本原则

(1)  任何访问主体(人/设备/应用等),在访问被允许之前,都必须要经过身份认证和授权,避免过度的信任 ;

(2)  访问主体对资源的访问权限是动态的(非静止不变的);

(3) 分配访问权限时应遵循最小权限原则;

(4) 尽可能减少资源非必要的网络暴露,以减少攻击面;

(5) 尽可能确保所有的访问主体、资源、通信链路处于最安全状态;

(6) 尽可能多地和及时地获取可能影响授权的所有信息,并根据这些信息进行持续的信任评估和安全响应。

2.3 零信任的三大核心技术

2.3.1 SDP

零信任 SDP(Zero Trust SDP)是一种网络安全架构,用于增强对网络和应用程序的访问控制和数据保护。它基于零信任Zero Trust)理念,即不相信网络内的任何用户或设备, 并要求对每次访问进行身份验证和授权。

零信任 SDP通过建立虚拟的、按需的、透明的网络连接(称为隧道)来实现安全访问。具体来说,它使用了一些技术手段,如动态隧道、多因素身份验证、加密通信等,以确保只有经过认证和授权的用户和设备能够访问特定的应用程序和资源。

与传统的边界防御不同,零信任 SDP不仅仅依赖于网络的边界来保护系统,而是将安全策略应用于具体的用户、设备和应用程序。这种方法可以更好地适应现代复杂的网络环境,防止内部和外部的威胁攻击,同时提供更加灵活和细粒度的访问控制和数据保护。

2.3.2 IAM

IAM(Identity and Access Management,身份和访问管理)是一种信息技术安全解决方案,用于管理组织中用户的身份和他们对系统和数据的访问权限。

IAM 系统通过集中管理和控制用户的身份验证、授权、权限分配和权限撤销等机制,确保只有经过认证和授权的用户能够访问特定的资源和功能。这有助于保护系统免受非授权用户的访问和数据泄露风险。

IAM 提供了如下的主要功能和特点:

(1)身份管理:管理用户信息、创建用户账户、分配用户角色等。

(2)访问控制:控制用户对系统和资源的访问权限。

(3)权限管理:分配和撤销用户的特定权限,确保用户只能访问他们所需的资源。

(4)身份认证:验证用户的身份,例如使用用户名和密码、多因素身份验证等方式。

(5)单一登录Single Sign-On,SSO):允许用户通过一次登录访问多个应用和系统。

(6)审计和监控:记录和监控用户的活动,以便进行审计和故障排除。

通过使用 IAM,组织能够更好地管理用户访问权限,提高系统和数据的安全性,并满足合规性要求。

2.3.3 访问风险监控

零信任访问风险监控的目的是及时发现并防止未经授权或异常行为,以保护系统和数据的安全。零信任访问风险监控是零信任访问模型中非常重要的一环,可以帮助组织及时发现和阻止安全风险,提升整体的安全性和安全响应能力。

基于零信任的“政务数据应用”平台架构

图片1

图片1

3.1 用户及设备管理

3.1.1 用户身份管理

传统的边界防御模型假设内部网络是可信的,而零信任模型需要明确资源访问的主体身份唯一,以授信身份为基础进行认证管理,授权管理,访问控制,行为审计等控制,可以处理传统边界无法解决的灰色地带,疑似安全风险可以增强认证,明确身份主体,使资源访问安全的管控更主动、灵活和精准。

(1) 用户范围:单位内部用户、运维人员、开发人员、数据信息交互单位。

(2) 身份验证和多因素身份验证(MFA):所有用户都需要进行身份验证,确保其真实身份。传统的用户名和密码可能不够安全,因此 MFA要求用户提供额外的身份验证因素,例如手机验证码、人脸识别等。

(3) 便利性和灵活性:零信任模型考虑到用户的便利性,并提供灵活的访问方式,以便用户在不降低安全性的同时能够高效地使用系统。可以通过单一的登录等技术来实现。

图片2

图片2

3.1.2设备入网管理

(1) 制定准入策略:明确网络准入控制的策略和要求,包括哪些设备可以接入网络、以及安全要求等。策略应根据组织的需求进行定制。

(2) 部署准入控制系统:选择合适的网络准入控制系统,并进行部署。

(3) 设备识别和认证:网络准入控制系统需要对设备进行识别和认证。可以使用设备的 MAC 地址、IP 地址、设备类型等信息进行识别。

(4) 设置安全保护:设置安全策略,包括 IP 阻断、威胁情报分析、端口禁用等。


图片3

图片3

3.1.3 用户设备绑定

为有效区分安全设备和非法设备,同时避免攻击者在窃取账号后,直接用非法设备窃取  数据等安全问题。采用设备清单和用户绑定关系管理,作为为终端管控的基础。

图片4

图片4

3.2 应用授信管理

对终端上发起访问的应用程序信息设置可信应用、不可信应用等,内网入侵者在终端上使用不可信应用访问业务时,动态访问策略将会拦截攻击业务系统的恶意进程,阻止横向攻击,保障系统安全,将风险降到更低。

图片5

图片5


3.3 访问控制

3.3.1 设备访问控制

1)设备访问控制:设置访问控制策略,以确保设备只能访问其需要的应用和数据。

4)输出安全管理:终端只设打印功能,且有打印日志记录。除极少数终端外,其余终端禁止数据拷贝。

3.3.2 用户访问控制

用户访问控制指对用户访问权限进行管理和控制的过程。以下是用户访问控制的措施:

(1) 最小权限原则:授权用户访问特定数据或执行特定操作。根据最小权限原则,用户应该只被授予执行其工作所需的最低权限级别。

(2) 基于角色的访问控制:将用户分配到不同的角色,并为每个角色分配一组权限。用户通过其角色的身份来访问数据。如某些用户只拥有数据读取权限;某些用户可以对数据进行读写操作;某些用户只拥有自身个人信息读取权限;只有部分用户拥有业务数据统计权限;只有少数用户拥有数据批量查询和导出权限等。

(3) 基于行为模式的访问控制:指对数据的操作控制。例如,某些数据只允许读取操作,某些数据可允许读取和写入操作。

3.3.3 数据访问控制

根据数据属性的进行访问控制设置,数据属性是指在访问控制中考虑的与数据本身相关的特征或属性。常见的数据属性包括:

(1) 类型:数据的类型可以根据其功能或性质进行分类,例如文件、数据库等。不同类型的数据可能具有不同的安全需求和访问控制策略。

(2) 重要性级别:数据的重要性级别反映了数据在组织或系统中的价值和关键性。较高重要性级别的数据可能需要更严格的访问控制措施和权限管理。

(3) 敏感度:数据的敏感度指数据对保密性的要求程度。某些数据可能包含敏感信息,对这些数据的访问需要更加严格的控制和审计。

(4) 所有权:数据的所有权指数据的归属人或组织。数据所有权可以影响对数据的访问权限和管理控制。

(5) 可用性要求:数据的可用性要求指数据对持续可用性的需求。某些数据可能要求一直可访问,而对于其他数据,仅在特定的时间或条件下可访问。

图片6

图片6

3.3.4 数据分级

数据分级是一种将数据按照其敏感程度或保密性的重要性进行分类和划分的方法。通过对数据进行分级,可以更好地管理和保护数据,并确保合适的安全措施被采取。分级原则:

(1) 合法合规性原则:满足国家法律法规及行业标准、行业主管部门有关原则。

(2) 可执行原则:数据分类分级在具体执行过程中,应综合考虑数据分级粒度对数据生命周期各阶段的实现过程的影响,包括人员能力、工具实现等情况,建议多次逐步递进的惯例,不要求一步到位;过度复杂的分类分级方案可能对使用来说不方便和不经济,或许是不实际的;

(3) 时效性原则:数据安全级别可能随时间变化而发生改变,应根据实际情况对其安全级别进行调整。

(4) CIA 或损害影响原则:数据分级可根据数据的保密性、完整性和可用性这三个安全目标进行分级,也可依据数据受到损害后产生的潜在影响进行分级。

(5) 二级分类原则:在数据分类时应防止出现分类重复或交叉的情况,可以根据业务数据特点分成几个大类, 对于较复杂的数据场景还可以对大类进一步细化二级分类。


3.4 访问风险监控

访问风险监控可以监控用户的访问行为、数据传输等,实时分析和识别潜在的安全风险和漏洞。一旦发现异常活动,如异常登录、大量数据下载或不寻常的权限请求,监控系统可以触发警报或采取自动响应措施。访问风险监控基于终端身份环境标识、系统环境感知、应用环境感知等。

图片7

图片7


3.5 网络区域划分

网络区域划分是指根据不同的网络需求和管理要求,将一个大的网络划分为多个独立的网络域。网络区域划分可以通过物理隔离和逻辑隔离两种方式来实现。结合实际情况,多数采用的逻辑隔离方式,指通过网络配置和安全策略,将不同的网络设备和用户分隔到不同的虚拟网络中,实现彼此之间的逻辑隔离。比如本文下面将要阐述的将生产区划分成核心应用区、风险监控应用区,同时建设数据管理仓库以提供的数据服务。

(1) 生产区分为核心应用区和一般应用区,将核心区和一般区隔离是为了保护核心 应用及数据的安全性和可靠性,并提高整个系统的稳定性和安全性。核心应用通常包括关键的、重要的业务应用和业务通道,一般应用区包含针对互联网公众用户提供的应用访问。

(2) 将生产区的数据汇聚至数据管理仓库,数据管理仓库与生产数据库进行安全隔离(物理隔离或逻辑隔离)。数据管理仓库用于完成数据处理和数据存储。(详见 1)

(3) 应用数据脱敏技术将数据管理仓库敏感数据进行保护。同时对数据的脱敏操作过程都应该留存日志记录,以审核违规使用和恶意行为,防止意外的敏感数据泄露。脱敏技术包括泛化技术、隐藏技术、扰乱技术、有损技术。

图片8

图片8

4 结束语

随着政务业务的不断细化和拓展,政务数据量的快速增长以及共享应用的快速增加,基于零信任模型的“政务数据应用平台”结构提供了一个完整的内网安全解决方案,当然对于 内部用户、外联单位组织、内部应用及数据较少的部门,考虑节约建设成本的情况下,亦可暂不使用零信任模型。

零信任模型所涉及的管理组件较多,管理策略较多,亦采用“分步建设,先小后整体”的原则,即先从最少的用户组、最小的应用开始建设。

此外,数据管理仓库涉及的技术工具、管理系统亦较多,需要长期建设完成,按照国家《数据安全法》等法律法规以及相关标准要求,亦可先完成数据的初步分级,以及相应加密策略和脱敏技术的应用。


参考文献

[1] 诸葛程晨,王 群,刘家银,等.零信任网络综述[J].计算机 工程与应用,2022,58(22):12-29.

[2] 郭宝霞, 王佳慧, 马利民, 等. 基于零信任的敏感数据动访问控制模型研究[J]. 信息网络安全, 2022,22(6):86-93.

[3] 李雪妮,秦书锴.数据安全治理能力评估框架构建研究[J].信息通信技术与政策,2022,48(2):37-41.

[4]全国信息安全标准化技术委员会.GB/T 37988-2019 信息安全技术数据安全能力成熟度模型[S].北京: 中国标准出版社,2019.

[5]陈 明,汤文峤.智能化条件下网络威胁情报分析研究[J].情报杂志,2023,42(3):17-23,33.