網絡安全等級保護下的零信任SDP 評估方法

◆寧華 榮曉燕 劉海峰 史宜會 李媛

（1.中國信息通信研究院 北京 100191；2.北京信息安全測評中心 北京 100101；3.北京2022 年冬奧會和冬殘奧會組織委員會 北京 102022）

1 網絡安全等級保護概述

等級保護是我國網絡安全基本政策，根據等保對象在國家安全、經濟建設、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權益的危害程度等因素，對保護對象劃分等級，按照對應要求進行細粒度管理。等級保護制度在國際上廣泛采用，美國國防部90 年代公布的橘皮書帶動了網絡安全評估；歐洲公布了歐洲白皮書，首次提出信息安全的保密性、完整性、可用性；1996 年美國政府制定了通用安全評估準則（CC）。

我國充分借鑒國際成熟等級保護管理理念，建立信息系統網絡安全等級保護制度，依據國家標準《GB/T 22239—2019 信息安全技術 網絡安全等級保護基本要求》（下簡稱“等保2.0”）開展測評[5-7]。我國網絡安全等級一共分為五級，安全要求逐級增強。其中三級適用于重要信息系統，遭到破壞后對社會秩序和公共利益造成嚴重損害，對國家安全造成損害，屬于“監管級別”，由國家網絡安全監管部門進行監督檢查。依據等保2.0，保護對象的安全技術要求涵蓋安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心5個層面諸多控制點，控制點數量見表1。

表1 安全技術要求控制點數量

2 零信任架構概況

針對網絡邊界日益復雜的問題，著名研究機構 Forrester 公司2010 年提出了零信任思路。零信任安全針對傳統邊界安全架構思想進行了重新評估，審視，對安全架構思路給出了新的建議。其核心思想是默認情況下不應該信任網絡內部和外部的任何人/設備/系統，需要基于認證和授權重構訪問控制的信任基礎。諸如 IP 地址、主機、地理位置、所處網絡等均不能作為可信的憑證。零信任對訪問控制進行了范式上的顛覆，引導安全體系架構從“網絡中心化”走向“身份中心化”，以身份為中心進行訪問控制，零信任架構作為一種去邊界化的安全思路，越來越受到行業重視[1-5]。國際上許多重要信息化服務提供商選擇應用零信任技術構建網絡安全。研究零信任技術與等保2.0 合規比對，對于落實我國等級保護政策、夯實重要信息系統網絡安全非常有必要性。

2.1 零信任架構模型

根據NIST 標準零信任模型[8]，見圖1，訪問控制分為策略決策點（PDP）和相應的策略執行點（PEP），用戶或計算機在訪問企業資源時，需要通過PDP 和PEP 授予訪問權限。零信任架構下，資源訪問控制策略不再僅基于網絡位置，而是基于風險，并通過建設相關系統確保策略得到正確和一致性的執行。零信任包括SDP（軟件定義邊界）、微隔離和增強身份認證三種技術方案。

圖1 零信任模型

2.2 SDP 技術實現

SDP（軟件定義邊界）架構是由國際云安全聯盟CSA 在2014年提出的第一個落地的零信任技術方案[9]。SDP 架構主要包括三大組件：SDP控制器（SDP Controller）、SDP連接發起主機（IH，Initial host）、SDP 連接接受主機（AH，Accept host），見圖2。SDP 控制器確定哪些IH、AH 主機可以相互通信，可以與外部認證服務進行信息交互，例如認證系統、地理位置、身份服務器等。SDP 連接發起主機IH 和接受主機AH 會直接連接到SDP 控制器，通過控制器與安全控制信道的交互來管理。

圖2 SDP 架構

2.3 SDP 應用通信

企業SDP 典型應用方案及數據通信見圖3，SDP 由客戶端（Client）、管控平臺（也稱控制器，Controller）、應用網關（Gateway）三個主要組件組成。管控平臺和應用網關可采用云平臺和私有化部署，應用網關部署在客戶端與企業本地信息系統或云部署信息系統之間。按照SDP 的設計原則，SPD 實施隱藏服務器地址和端口，掃描不被發現，實現網絡隱身。用戶只有應用層訪問權限，無網絡級訪問。在連接服務器之前，先驗證用戶和設備合法性，后連接。用戶只能看到被授權應用，實現最小權限。

圖3 典型SDP 應用通信

3 網絡安全評估

以等保三級控制點為例，基于SDP 的單包授權功能，從安全通信網絡、安全區域邊界和安全計算環境三個層次，對對SDP 典型應用實施安全測評。同樣對二級、四級相關控制點要求測評，給出SDP等保2.0 等級網絡安全防控能力綜合評估情況。

3.1 單包權功能

SDP 應用PA 技術實現網絡隱身，如圖4 實驗，分別利用普通終端WIN10進行Nmap掃描和通過單包認證后掃描應用服務比對發現，通過Nmap 無法發現掃描器，通過單包認證掃描后可以查看應用服務。

圖4 SDP 單包授權功能測評

3.2 安全通信網絡測評

SDP 典型應用部署在客戶端和企業資源之間，在原有網絡層安全控制之上，增加了應用層控制，提供了應用層的邊界防護，應用網關起到應用層技術隔離作用。由于網絡架構、權限集中等變化，需要考慮SDP 應用下的網絡層和應用層單點故障風險，應用集群部署等方式。恰當的SDP 部署，利用SDP 的 PDP 和PEP 控制特定的用戶和終端對應的特定的應用，提高訪問可靠，滿足等保2.0控制點要求。表2 列舉了零信任系統符合的安全通信的測評標準和結果，測評類別包括①網絡架構 ②通信傳輸。

表2 安全通信網絡測評

3.3 安全區域邊界測評

SDP 典型用于南北向流量安全控制，在客戶端和企業資源之間通過應用網關建立邏輯區域邊界。基于其“先驗證后連接”的原則，能實現在邏輯邊界上非法內聯和外聯阻止，以及細粒度訪問控制，并基于其動態管理策略的特性，能實現安全審計和入侵防范。表3 列舉了零信任系統符合的安全區域邊界的測評標準和結果，測評類別包括①邊界防護 ②訪問控制③入侵防范④安全審計。

表3 安全區域邊界測評

3.4 安全計算環境測評

SDP 基于“先驗證后連接”的原則，對應用系統用戶能實現在邏輯邊界上非法內聯和外聯阻止，以及細粒度訪問控制，并基于其動態管理策略的特性，能實現安全審計和入侵防范。表4 列舉了零信任系統符合的安全計算環境的測評標準和結果，測評類別包括①身份鑒別 ②訪問控制③安全審計④入侵防范⑤數據完整性⑥數據保密性。

表4 安全計算環境測評

3.5 安全管理中心測評

SDP 安全控制南北向流量，在客戶端和企業資源之間通過應用網關建立邏輯區域邊界，基于其動態管理策略的特性，實現終端和應用之間集中管控。表5 列舉了零信任系統符合的安全管理中心的測評標準和結果，測評類別包括①集中管控。

表5 安全管理中心測評

3.6 SDP 綜合評估

依據同樣模式，按照等保2.0 第二級和第三級控制點要求，對SDP 應用進行測評，得到等保控制點測評情況，見表6。應用SDP零信任技術的系統，從等保合規角度，需要應用其他技術加強惡意代碼防范，加強數據保護以及安全管理功能，協同其他技術系統，共同構建合規安全。這與NIST 的零信任框架安全吻合，在NIST 定義的零信任框架中，除了在執行PEP/PEP 的零信任核心之外，也需要包括多個能夠提供輸入和策略規則的數據源。數據源包括本地數據源和外部數據源，包括來自安全信息與事件管理（SIEM）、威脅情報系統、企業風險持續診斷系統等。

表6 SDP 應用等保控制點測評符合情況

4 總結與展望

我國等保2.0 充分體現了“一個中心三重防御”的思想，一個中心指“安全管理中心”，三重防御指“安全計算環境，安全區域邊界，安全網絡通信”。軟件定義邊界（SDP）本質是一套訪問控制的策略體系，核心思想是構建以身份為中心，對網絡傳輸進行的動態訪問控制。它強調建立包括用戶，設備，應用，系統等實體的統一身份標識，并基于最小化授權原則構筑訪問。隨著傳統邊界防護的脆弱，網絡安全技術自身適應進化的一個過程，應用零信任SDP 技術，在邊界防護、入侵防范、通信傳輸、身份鑒別、數據保密等方面，可以幫助組織收窄業務系統暴露面，保障業務系統的邊界安全，很好的強化和落實整個信息系統中安全通信網絡、安全區域邊界、安全計算環境的內容，更加有效的解決等級保護的要求，構建全新的安全架構基石，夯實等級保護2.0 技術要求落實。