王文菁，李樹(shù)遠(yuǎn)

（北京交科公路勘察設(shè)計(jì)研究院有限公司，北京 100191）

0 引 言

高速公路網(wǎng)絡(luò)安全關(guān)乎國(guó)家關(guān)鍵基礎(chǔ)設(shè)施安全和人民生命財(cái)產(chǎn)安全。隨著信息化的發(fā)展，我國(guó)不斷完善對(duì)高速公路網(wǎng)絡(luò)安全體系的建設(shè)。近年來(lái)，高級(jí)可持續(xù)性威脅（Advanced Persistent Threat，APT）攻擊和軟件供應(yīng)鏈攻擊等各種形式的網(wǎng)絡(luò)攻擊嚴(yán)重威脅著我國(guó)高速公路信息網(wǎng)絡(luò)的安全。中國(guó)互聯(lián)網(wǎng)應(yīng)急中心2020年監(jiān)測(cè)數(shù)據(jù)顯示，我國(guó)境內(nèi)共發(fā)生各類(lèi)網(wǎng)絡(luò)安全事件約103 000起，嚴(yán)重影響了我國(guó)近37%的重要基礎(chǔ)部門(mén)的網(wǎng)絡(luò)設(shè)施[1]。

訪問(wèn)控制是目前高速公路網(wǎng)絡(luò)系統(tǒng)安全防護(hù)的核心策略，其主要任務(wù)是保證高速公路網(wǎng)絡(luò)資源訪問(wèn)和操作等行為的安全。隨著高速公路網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)場(chǎng)景的增多，遠(yuǎn)程訪問(wèn)和資源傳輸行為變得更加頻繁，其網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也急劇增加。傳統(tǒng)的高速公路網(wǎng)絡(luò)訪問(wèn)控制體系下，一旦攻擊者獲取到合法的訪問(wèn)控制權(quán)限進(jìn)入系統(tǒng)內(nèi)網(wǎng)，就能通過(guò)權(quán)限提升等橫向攻擊方法獲取大量機(jī)密信息，從而對(duì)高速公路的運(yùn)行安全造成極大的威脅。

高速公路網(wǎng)絡(luò)安全架構(gòu)是保證高速公路網(wǎng)絡(luò)安全的關(guān)鍵。網(wǎng)絡(luò)安全人員在高速公路網(wǎng)絡(luò)安全架構(gòu)的指導(dǎo)下能夠完成一整套高速公路網(wǎng)絡(luò)安全建設(shè)、運(yùn)營(yíng)以及維護(hù)的解決方案。現(xiàn)行高速公路網(wǎng)絡(luò)安全架構(gòu)的核心思想是基于邊界安全，其安全技術(shù)架構(gòu)主要基于傳統(tǒng)訪問(wèn)控制系統(tǒng)、身份認(rèn)證以及密碼學(xué)理論，一旦非法訪問(wèn)人員拿到泄露的密鑰，或者高速公路網(wǎng)絡(luò)系統(tǒng)內(nèi)部用戶(hù)通過(guò)權(quán)限提升執(zhí)行了非法越權(quán)操作，則邊界安全將不復(fù)存在。

為解決上述問(wèn)題，本文基于零信任提出基于屬性的訪問(wèn)控制模型，旨在完成訪問(wèn)主體全部操作行為的持續(xù)驗(yàn)證。接著基于該訪問(wèn)控制模型，構(gòu)建了基于零信任的高速公路網(wǎng)絡(luò)安全架構(gòu)。零信任是一種安全思想，秉持“持續(xù)驗(yàn)證、永不信任”的宗旨對(duì)會(huì)話網(wǎng)絡(luò)中一切行為持續(xù)進(jìn)行安全驗(yàn)證和信任評(píng)估，基于零信任的高速公路網(wǎng)絡(luò)安全架構(gòu)能夠有效保護(hù)高速公路網(wǎng)絡(luò)系統(tǒng)的安全[2-4]。

1 高速公路網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)現(xiàn)狀

訪問(wèn)控制技術(shù)的研究發(fā)展經(jīng)歷了自主訪問(wèn)控制（Discretionary Access Control，DAC）、 強(qiáng) 制 訪 問(wèn) 控制（Mandatory Access Control，MAC）、基于角色的訪問(wèn)控制（Role-Based Access Control，RBAC）以及基于訪問(wèn)控制列表（Access Control List，ACL）等階段[5-8]。DAC和MAC都是由主體與訪問(wèn)權(quán)限直接作用，大多使用在用戶(hù)個(gè)人權(quán)限授予場(chǎng)景。這兩種簡(jiǎn)單的訪問(wèn)控制策略不適用于高速公路網(wǎng)絡(luò)系統(tǒng)等大型應(yīng)用系統(tǒng)。RBAC系統(tǒng)將權(quán)限和角色進(jìn)行關(guān)聯(lián)，通過(guò)給用戶(hù)分配適當(dāng)角色進(jìn)行權(quán)限授予，實(shí)現(xiàn)了用戶(hù)和權(quán)限訪問(wèn)的邏輯分離，其可操作性和可管理性都十分適用于多用戶(hù)的大型信息管理系統(tǒng)。ACL是一個(gè)將PERMIT和DENY語(yǔ)句組織在一起的有順序規(guī)則列表，能夠保證合法用戶(hù)的訪問(wèn)，同時(shí)拒絕非法訪問(wèn)，并且可以對(duì)網(wǎng)絡(luò)流量進(jìn)行限制和數(shù)據(jù)包過(guò)濾，提高網(wǎng)絡(luò)性能。

傳統(tǒng)高速公路網(wǎng)絡(luò)安全架構(gòu)的核心思想是基于邊界的，也就是“一次授權(quán)、持續(xù)信任”，默認(rèn)邊界內(nèi)部的行為都是可信的，邊界外部都是不可信的。傳統(tǒng)高速公路網(wǎng)絡(luò)安全架構(gòu)如圖1所示，其核心訪問(wèn)控制架構(gòu)基于公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI） 和 數(shù) 字 證 書(shū) 認(rèn) 證 中 心（Certificate Authority，CA）的模式，用于控制不同網(wǎng)絡(luò)區(qū)段的安全訪問(wèn)。所有的請(qǐng)求都需要使用PKI/CA系統(tǒng)簽發(fā)的數(shù)字證書(shū)進(jìn)行身份驗(yàn)證，所有的內(nèi)外部網(wǎng)絡(luò)數(shù)據(jù)流通過(guò)訪問(wèn)控制服務(wù)器系統(tǒng)進(jìn)行安全掃描檢測(cè)，網(wǎng)絡(luò)內(nèi)外網(wǎng)是一個(gè)動(dòng)態(tài)網(wǎng)絡(luò)安全隔離系統(tǒng)，通過(guò)互聯(lián)網(wǎng)安全協(xié)議/虛擬專(zhuān)用網(wǎng)絡(luò)（Internet Protocol Security/Virtual Private Network，IPsec/VPN）等連接內(nèi)外網(wǎng)訪問(wèn)控制服務(wù)器，確保內(nèi)外網(wǎng)之間沒(méi)有任何直連通道。

圖1 傳統(tǒng)高速公路網(wǎng)絡(luò)安全架構(gòu)

可以看出，隨著高速公路系統(tǒng)網(wǎng)絡(luò)業(yè)務(wù)的增多，互聯(lián)網(wǎng)技術(shù)（Internet Technology，IT）架構(gòu)越來(lái)越復(fù)雜，基于邊界安全的傳統(tǒng)“主體—客體”訪問(wèn)控制架構(gòu)難以滿(mǎn)足高速公路網(wǎng)絡(luò)的安全需求，需要在現(xiàn)有的邊界安全體系中額外添加一層身份邏輯安全邊界，將訪問(wèn)控制系統(tǒng)從網(wǎng)絡(luò)層面的粗粒度向訪問(wèn)人、物理設(shè)備以及業(yè)務(wù)邏輯等細(xì)粒度層面遷移。下面介紹本文提出的基于零信任的高速公路網(wǎng)絡(luò)訪問(wèn)控制架構(gòu)。

2 零信任高速公路網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)

2.1 零信任原理

目前，高速公路網(wǎng)絡(luò)系統(tǒng)移動(dòng)辦公和遠(yuǎn)程接入等云服務(wù)場(chǎng)景成為新的常態(tài)模式?；谶吔绲木W(wǎng)關(guān)型訪問(wèn)控制體系難以解決新場(chǎng)景下的安全威脅，迫切需要重新對(duì)信任進(jìn)行定義。零信任是一種安全理念，其主要包含了如下原則。一是任何訪問(wèn)主體的任何資源操作行為不論處于網(wǎng)絡(luò)中的任何位置，都必須先經(jīng)過(guò)身份認(rèn)證和合法授權(quán)；二是任何訪問(wèn)主體在網(wǎng)絡(luò)中的資源操作行為必須持續(xù)接受安全評(píng)估，即“持續(xù)評(píng)估”；三是采用最小權(quán)限分配和動(dòng)態(tài)策略原則對(duì)訪問(wèn)主體進(jìn)行授權(quán)，同時(shí)對(duì)每一個(gè)訪問(wèn)請(qǐng)求構(gòu)建安全的通道。

隨著云計(jì)算和數(shù)字化技術(shù)的發(fā)展，傳統(tǒng)的以防火墻、VPN為代表的安全技術(shù)無(wú)法解決內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題。隨著業(yè)務(wù)的發(fā)展，企業(yè)安全邊界也不斷在發(fā)展中變得模糊。零信任網(wǎng)絡(luò)訪問(wèn)（Zero-Trust Network Access，ZTNA）則認(rèn)為不能信任出入網(wǎng)絡(luò)的任何內(nèi)容，應(yīng)當(dāng)創(chuàng)建一種以數(shù)據(jù)或軟件為中心的邊界，使用強(qiáng)身份驗(yàn)證技術(shù)對(duì)數(shù)據(jù)進(jìn)行全面保護(hù)。

高速公路網(wǎng)絡(luò)系統(tǒng)應(yīng)當(dāng)以低耦合、高內(nèi)聚的方式進(jìn)行安全能力建設(shè)，并且內(nèi)部網(wǎng)絡(luò)安全尤其值得重點(diǎn)關(guān)注。因此，基于零信任架構(gòu)建設(shè)高速公路網(wǎng)絡(luò)系統(tǒng)安全是合理且有益的。

2.2 高速公路網(wǎng)絡(luò)訪問(wèn)控制模型

基于上述原則，如圖2所示，本文設(shè)計(jì)了基于屬性的零信任訪問(wèn)控制模型，模型用安全屬性來(lái)定義授權(quán)，可以有效保護(hù)用戶(hù)身份等隱私信息，不同屬性由不同屬性權(quán)威定義和維護(hù)。

圖2 基于屬性的訪問(wèn)控制模型

訪問(wèn)主體主要指高速公路網(wǎng)絡(luò)系統(tǒng)中所有的使用人員、利用的通信以及網(wǎng)絡(luò)設(shè)備等。其中，策略管理點(diǎn)負(fù)責(zé)訪問(wèn)控制策略的創(chuàng)建、管理與查詢(xún)，而策略判定點(diǎn)接收來(lái)自策略執(zhí)行點(diǎn)的基于屬性訪問(wèn)請(qǐng)求，并從策略管理點(diǎn)接收策略集，根據(jù)策略對(duì)訪問(wèn)請(qǐng)求進(jìn)行判定，然后將判定結(jié)果返回給策略執(zhí)行點(diǎn)。屬性權(quán)威負(fù)責(zé)實(shí)體屬性的創(chuàng)建、管理以及查詢(xún)工作，策略執(zhí)行點(diǎn)的功能是根據(jù)訪問(wèn)請(qǐng)求向?qū)傩詸?quán)威查詢(xún)屬性，生成基于屬性訪問(wèn)請(qǐng)求并發(fā)送給策略判定點(diǎn)，根據(jù)判定結(jié)果訪問(wèn)資源[5-8]。

2.3 高速公路網(wǎng)絡(luò)安全架構(gòu)

利用提出的訪問(wèn)控制模型，本文構(gòu)建了基于零信任的高速公路網(wǎng)絡(luò)系統(tǒng)安全架構(gòu)。如圖3所示，該架構(gòu)主要包含了訪問(wèn)主體、訪問(wèn)客體、信任評(píng)估引擎、動(dòng)態(tài)訪問(wèn)控制引擎、規(guī)則策略相關(guān)模塊、可信代理以及安全基礎(chǔ)設(shè)施等。下面詳細(xì)介紹主要組成部分和系統(tǒng)的核心技術(shù)。

圖3 基于零信任的高速公路網(wǎng)絡(luò)安全架構(gòu)

2.3.1 主要組成部分

訪問(wèn)主體主要指發(fā)起資源訪問(wèn)行為的人員、各種設(shè)備以及系統(tǒng)應(yīng)用等，訪問(wèn)客體指受到零信任系統(tǒng)保護(hù)的數(shù)據(jù)或服務(wù)。信任評(píng)估引擎接收可信代理和動(dòng)態(tài)訪問(wèn)控制的日志信息等，對(duì)主體信任進(jìn)行持續(xù)信任評(píng)估。動(dòng)態(tài)訪問(wèn)控制引擎一般與可信代理模塊共同作用，實(shí)現(xiàn)對(duì)所有訪問(wèn)主體的身份認(rèn)證和動(dòng)態(tài)權(quán)限授予功能，同時(shí)動(dòng)態(tài)訪問(wèn)控制引擎可以基于簡(jiǎn)單的靜態(tài)規(guī)則或上下文屬性，結(jié)合安全策略、信任等級(jí)等內(nèi)容進(jìn)行動(dòng)態(tài)權(quán)限判定，其判定依據(jù)是信任庫(kù)、權(quán)限庫(kù)以及身份庫(kù)。

信任評(píng)估引擎模塊對(duì)訪問(wèn)主體進(jìn)行信任度持續(xù)評(píng)估，并接收可信代理和動(dòng)態(tài)訪問(wèn)控制引擎的日志信息，為動(dòng)態(tài)訪問(wèn)控制引擎提供判定依據(jù)。

規(guī)則策略模塊主要包括策略管理器、策略引擎以及策略執(zhí)行點(diǎn)。需要指出的是，高速公路網(wǎng)絡(luò)安全架構(gòu)中的策略相關(guān)模塊與訪問(wèn)控制模型的內(nèi)容有所不同，此處的策略管理器包含了私有公鑰基礎(chǔ)設(shè)施、數(shù)據(jù)訪問(wèn)策略以及身份管理系統(tǒng)。實(shí)際部署時(shí)，考慮外部攻擊信息的預(yù)警作用，還可以把安全信息事件管理和威脅情報(bào)源納入策略管理器模塊。策略引擎主要對(duì)訪問(wèn)主體完成最小權(quán)限分配功能，利用密碼算法和信任評(píng)估規(guī)則持續(xù)對(duì)訪問(wèn)主體進(jìn)行權(quán)限動(dòng)態(tài)分配。

2.3.2 系統(tǒng)核心技術(shù)

系統(tǒng)核心技術(shù)包含了身份安全、訪問(wèn)代理、訪問(wèn)控制以及信任評(píng)估。其中，身份安全主要包括身份管理和身份認(rèn)證，前者包含了身份識(shí)別、數(shù)據(jù)同步、密碼管理等功能，而后者主要是指持續(xù)信任驗(yàn)證過(guò)程中對(duì)用戶(hù)身份進(jìn)行動(dòng)態(tài)認(rèn)證的相關(guān)技術(shù)。

零信任架構(gòu)中，通過(guò)傳輸加密等手段訪問(wèn)代理實(shí)現(xiàn)了隱藏真實(shí)業(yè)務(wù)、代理訪問(wèn)行為以及檢測(cè)、授權(quán)、認(rèn)證所有訪問(wèn)主體流量等。訪問(wèn)控制有多種實(shí)現(xiàn)方式，本文采取基于屬性的訪問(wèn)控制模型，實(shí)現(xiàn)對(duì)用戶(hù)的最小化授權(quán)、動(dòng)態(tài)信任評(píng)估以及持續(xù)驗(yàn)證等功能。信任評(píng)估是基于零信任的高速公路網(wǎng)絡(luò)安全核心環(huán)節(jié)，也是構(gòu)建零信任體系的關(guān)鍵技術(shù)手段，其中包含了信任評(píng)估模型和信任評(píng)估引擎，在獲取了終端環(huán)境及身份的信任評(píng)分后，利用身份的屬性信息對(duì)訪問(wèn)行為的上下文進(jìn)行風(fēng)險(xiǎn)判定，并對(duì)異常訪問(wèn)行為進(jìn)行監(jiān)控識(shí)別，動(dòng)態(tài)調(diào)整信任評(píng)估結(jié)果[9,10]。

值得注意的是，為了最大程度保證高速公路網(wǎng)絡(luò)的安全，本文所提架構(gòu)的外部分析平臺(tái)應(yīng)當(dāng)保證安全事件分析的效率和性能開(kāi)銷(xiāo)，并及時(shí)對(duì)系統(tǒng)中的網(wǎng)絡(luò)安全事件做出響應(yīng)。

3 結(jié) 論

高速公路網(wǎng)絡(luò)系統(tǒng)的健壯程度關(guān)系到人民財(cái)產(chǎn)安全和國(guó)家安全，保障其網(wǎng)絡(luò)安全具有重大現(xiàn)實(shí)意義。本文針對(duì)新場(chǎng)景下高速公路網(wǎng)絡(luò)的系統(tǒng)安全問(wèn)題，提出了一種基于零信任的屬性訪問(wèn)控制模型，并詳細(xì)介紹了模型組成內(nèi)容。基于該模型，本文構(gòu)建了一種基于零信任的高速公路網(wǎng)絡(luò)安全架構(gòu)，討論了架構(gòu)中核心組件具備的功能，能夠?qū)崿F(xiàn)對(duì)其網(wǎng)絡(luò)安全的持續(xù)保障，隨著零信任核心架構(gòu)的發(fā)展與落地，高速公路系統(tǒng)的網(wǎng)絡(luò)安全能力必定能夠得到極大提升。