基于零信任的移動(dòng)辦公系統(tǒng)安全模型研究

龔劍鋒，鄧宏湡，溫興根，王欽坤

（江西和壹科技有限公司 江西 南昌 330096）

0 引言

隨著時(shí)代的發(fā)展，社會(huì)人員的辦公方式不斷發(fā)生轉(zhuǎn)變，現(xiàn)已脫離了傳統(tǒng)辦公模式，成了一種依托于線上網(wǎng)絡(luò)環(huán)境、可以進(jìn)行移動(dòng)遠(yuǎn)程辦公的模式，這種辦公模式具有極高的應(yīng)用價(jià)值，大幅提升了人們辦公便捷性、效率、質(zhì)量，因此在非常短的時(shí)間內(nèi)變得非常普及。但模式的普及也讓一些問題被放大，移動(dòng)辦公系統(tǒng)的安全就是其中最值得關(guān)注的問題，因?yàn)檗k公涉及網(wǎng)絡(luò)，而網(wǎng)絡(luò)中存在惡意攻擊、病毒等風(fēng)險(xiǎn)，如果遭遇風(fēng)險(xiǎn)，就可能導(dǎo)致辦公人員乃至企業(yè)承受損失，或受到其他方面的不利影響，所以如何對移動(dòng)辦公系統(tǒng)進(jìn)行防護(hù)引起了人們的關(guān)注。傳統(tǒng)安全模型確實(shí)給移動(dòng)辦公提供了有效的安全防護(hù)，但網(wǎng)絡(luò)風(fēng)險(xiǎn)日新月異，傳統(tǒng)模型逐漸不能滿足需求，故現(xiàn)代移動(dòng)辦公系統(tǒng)需要一個(gè)更加完善、可靠的安全模型來規(guī)避風(fēng)險(xiǎn)，零信任安全模型就符合時(shí)代要求，因此為了避免安全風(fēng)險(xiǎn)，保障移動(dòng)辦公系統(tǒng)可靠性，有必要對零信任安全模型展開相關(guān)研究。

1 零信任安全模型的基本概念、優(yōu)勢與特點(diǎn)

1.1 基本概念

根據(jù)NIST《零信任架構(gòu)標(biāo)準(zhǔn)》，零信任安全模型是零信任理念下提出的一種網(wǎng)絡(luò)安全防護(hù)架構(gòu)。總的來說，零信任理念主要思想是在網(wǎng)絡(luò)環(huán)境已經(jīng)被攻陷的假設(shè)前提下，網(wǎng)絡(luò)信息系統(tǒng)、服務(wù)訪問請求依舊可以順利運(yùn)作，且運(yùn)作中能夠降低決策的不確定性，通過這種方式來保護(hù)網(wǎng)絡(luò)安全[1]。從這一角度出發(fā)，依托于零信任理念，圍繞其組件關(guān)系、工作流規(guī)劃與訪問策略，零信任安全模型應(yīng)運(yùn)而生，該模式有基本的框架，在實(shí)際應(yīng)用當(dāng)中可以根據(jù)該框架進(jìn)行企業(yè)網(wǎng)絡(luò)安全規(guī)劃。零信任安全模型的出現(xiàn)解決了傳統(tǒng)網(wǎng)絡(luò)安全模型逐漸失效的危機(jī)，即長期以來我國網(wǎng)絡(luò)環(huán)境一直使用的是傳統(tǒng)模型，但該模型本身設(shè)計(jì)就存在缺陷，加之入侵技術(shù)的日新月異，安全保障作用越來越低，人們急需更換安全模型，而零信任安全模型的出現(xiàn)顯然解決了燃眉之急。

1.2 模型優(yōu)勢

為了解零信任安全模式的優(yōu)勢，本文主要參照傳統(tǒng)網(wǎng)絡(luò)安全模型進(jìn)行論述。首先，傳統(tǒng)網(wǎng)絡(luò)安全模型的主要出發(fā)點(diǎn)是網(wǎng)絡(luò)邊界安全保護(hù)，即從IP地址、端口等基礎(chǔ)上的網(wǎng)絡(luò)邊界出發(fā)，進(jìn)行信任區(qū)劃分，劃分后形成外網(wǎng)、內(nèi)網(wǎng)兩個(gè)網(wǎng)絡(luò)環(huán)境，其中外網(wǎng)就是互聯(lián)網(wǎng)大環(huán)境，內(nèi)網(wǎng)類似于局域網(wǎng)，整體處于封閉狀態(tài)，理論上具有更好的安全性，因此內(nèi)網(wǎng)就是信任區(qū)，反之外網(wǎng)為非信任區(qū)，這一基礎(chǔ)上信任區(qū)內(nèi)部所有用戶可以任意訪問內(nèi)網(wǎng)資源、信息、數(shù)據(jù)（只要權(quán)限得到許可，即可無障礙進(jìn)行內(nèi)網(wǎng)方位），而非信任區(qū)的用戶無法直接進(jìn)入內(nèi)網(wǎng)，自然也不能直接訪問內(nèi)網(wǎng)資源，要做到這一點(diǎn)，非信任區(qū)用戶就必須穿過防火墻等安全防護(hù)邊界，諸如提交內(nèi)網(wǎng)訪問請求，如果內(nèi)網(wǎng)管理員通過請求，非信任區(qū)用戶即可通過防火墻進(jìn)行訪問，反之被拒之門外。表面來看，傳統(tǒng)網(wǎng)絡(luò)安全模型的思路與架構(gòu)似乎非常完善，這也導(dǎo)致現(xiàn)代依舊有許多企業(yè)用戶在使用這種網(wǎng)絡(luò)安全模式，但實(shí)際上傳統(tǒng)模型存在很多缺陷與問題：（1）傳統(tǒng)模型的安全防護(hù)邊界由防火墻組成，因此防火墻是網(wǎng)絡(luò)安全保障的唯一壁壘，但現(xiàn)在各種黑客入侵技術(shù)層出不窮，相關(guān)技術(shù)水平早已具備了攻破防火墻的能力，故一旦防火墻被攻破，那么非信任區(qū)人員就可以隨意進(jìn)入內(nèi)網(wǎng)，例如移動(dòng)辦公用戶的電腦設(shè)備內(nèi)有駐留的惡意軟件，這是只要該電腦設(shè)備通過VPN接入企業(yè)網(wǎng)絡(luò)，惡意軟件就會(huì)通過電腦設(shè)備獲得內(nèi)網(wǎng)的訪問權(quán)限，繞過防火墻對內(nèi)網(wǎng)資源進(jìn)行破壞，這種現(xiàn)象在現(xiàn)代依舊普遍存在，說明防火墻并不能完全保障內(nèi)網(wǎng)安全；（2）現(xiàn)代許多企業(yè)員工在移動(dòng)辦公中會(huì)使用云端第三方協(xié)同應(yīng)用軟件，這種軟件不受企業(yè)傳統(tǒng)網(wǎng)絡(luò)安全模型管理，防火墻對其不起作用（因?yàn)樵贫藨?yīng)用軟件對企業(yè)防火墻便捷是不可見狀態(tài)），因此黑客可以通過相同的方式進(jìn)入內(nèi)網(wǎng)；（3）當(dāng)下不少企業(yè)開始使用云技術(shù)進(jìn)行辦公，許多辦公數(shù)據(jù)或者業(yè)務(wù)都會(huì)上傳到云環(huán)境內(nèi)，這種做法導(dǎo)致企業(yè)數(shù)據(jù)過度分散，環(huán)境也變得異常復(fù)雜，這時(shí)進(jìn)行移動(dòng)辦公就會(huì)導(dǎo)致數(shù)據(jù)被轉(zhuǎn)移到各個(gè)電腦設(shè)備與網(wǎng)絡(luò)環(huán)境中，傳統(tǒng)安全模型并不能對所有電腦設(shè)備與網(wǎng)絡(luò)環(huán)境進(jìn)行防護(hù)，黑客可以選擇攻破某員工電腦設(shè)備來獲取一些數(shù)據(jù)[2]；（4）因?yàn)閂PN是現(xiàn)代企業(yè)移動(dòng)辦公的主流軟件，所以VPN的使用會(huì)帶來一些安全威脅，諸如當(dāng)員工使用VPN登錄內(nèi)網(wǎng)后，VPN的遠(yuǎn)程訪問網(wǎng)關(guān)就會(huì)暴露在互聯(lián)網(wǎng)大環(huán)境中，這會(huì)導(dǎo)致內(nèi)網(wǎng)容易遭遇拒絕服務(wù)的攻擊；（5）移動(dòng)辦公中員工可以使用的設(shè)備除電腦以外，還有智能手機(jī)等，這種情況下智能手機(jī)也會(huì)成為風(fēng)險(xiǎn)來源，諸如智能手機(jī)在外網(wǎng)感染的病毒，然后在辦公中進(jìn)入內(nèi)網(wǎng)，病毒就會(huì)通過手機(jī)感染內(nèi)網(wǎng)，造成安全影響。與此同時(shí)，智能手機(jī)的安全防護(hù)力度比較弱，其中數(shù)據(jù)是比較容易被竊取的，無疑加大了安全風(fēng)險(xiǎn)。

其次，零信任安全模型是一種針對用戶、資源保護(hù)的網(wǎng)絡(luò)安全模型，其核心是零信任架構(gòu)，即個(gè)人與非個(gè)人實(shí)體、憑證、訪問管理、操作、端口、托管環(huán)境等互聯(lián)架構(gòu)，能用于企業(yè)資源與數(shù)據(jù)安全的端到端保護(hù)中。根據(jù)國外NIST組織的描述，零信任安全模型是一種將網(wǎng)絡(luò)安全防護(hù)廣泛網(wǎng)絡(luò)邊界收縮到最小微隔離區(qū)的模型結(jié)構(gòu)，可以針對每個(gè)用戶的訪問請求建立一對一的訪問通道，并對這個(gè)通道進(jìn)行安全管理，過程中用戶必須經(jīng)過策略決策引擎、策略管理引擎認(rèn)證才能得到范圍許可，同時(shí)認(rèn)證是對訪問全過程展開的，其間沒有任何遺漏。因此零信任安全模型與傳統(tǒng)安全模型相比，兩者在安全防護(hù)的思路與方式上差異較大，即傳統(tǒng)安全模型就是典型的廣泛網(wǎng)絡(luò)邊界安全防護(hù)模型，該模型在現(xiàn)代移動(dòng)辦公中存在很多問題，例如傳統(tǒng)安全模型中僅有防火墻一道防線，如果防火墻被攻破，那么就非常容易獲得訪問權(quán)利，同時(shí)如果攻擊者來源于網(wǎng)絡(luò)特權(quán)區(qū)域，那么傳統(tǒng)安全模型不會(huì)做出防護(hù)反應(yīng)，代表其不會(huì)生效，而這樣造成的結(jié)果是非常可怕的。反觀零信任安全模型，它的策略決策引擎、策略管理引擎會(huì)根據(jù)一系列的控制操作、外部輸入條件對整個(gè)訪問過程進(jìn)行管理，設(shè)訪問過程包括查閱、修改、刪除、增加、轉(zhuǎn)移5個(gè)步驟，那么每進(jìn)行一個(gè)步驟，兩大引擎都會(huì)進(jìn)行一次認(rèn)證，得到認(rèn)證之前用戶無法進(jìn)行相關(guān)操作，只有系統(tǒng)管理員作出決策后，如果得到授權(quán)才能完成操作，這一點(diǎn)就有效保護(hù)了訪問過程安全，任何異動(dòng)都不會(huì)遺漏，因此零信任安全模型更具優(yōu)勢[3]。

1.3 模型特點(diǎn)

零信任安全模型在實(shí)際應(yīng)用中有4大特點(diǎn)。

（1）用戶認(rèn)證。零信任安全模型的基本功能就是用戶認(rèn)證，在邏輯上任何未得到認(rèn)證的用戶無法在系統(tǒng)中做任何操作，同時(shí)該模式的用戶認(rèn)證方式非常嚴(yán)格，是一種針對用戶實(shí)際身份進(jìn)行認(rèn)證的方法，區(qū)別于普遍的“賬號(hào)+密碼+密鑰”的認(rèn)證方式，即零信任安全模型的用戶認(rèn)證主要采用數(shù)字證書展開，甚至還會(huì)考慮到其他因素，無論用戶所處網(wǎng)絡(luò)環(huán)境在何處，認(rèn)證過程中所有因素必須正確，任意錯(cuò)誤都會(huì)導(dǎo)致認(rèn)證失敗，拒絕用戶進(jìn)入系統(tǒng)[4]。

（2）設(shè)備認(rèn)證。以往很多網(wǎng)絡(luò)安全模式在安全防護(hù)中主要關(guān)注用戶身份，但零信任安全模型除考慮到了用戶身份以外，還考慮到了用戶所使用的移動(dòng)設(shè)備，即現(xiàn)實(shí)辦公中辦公設(shè)備一般由企業(yè)提供，因此用戶也就有了專用的認(rèn)證設(shè)備，預(yù)先將專用設(shè)備信息記錄，所有記錄在案的設(shè)備將得到授權(quán)，故用戶無法使用其他設(shè)備登錄系統(tǒng)辦公，實(shí)現(xiàn)了設(shè)備認(rèn)證，這也是零信任安全模型的一大特點(diǎn)。

（3）最小特權(quán)原則。所謂最小特權(quán)原則，是根據(jù)用戶當(dāng)前操作識(shí)別用戶現(xiàn)階段意圖，如果用戶得到授權(quán)，那么就提供可實(shí)現(xiàn)意圖的最小權(quán)限，代表用戶在現(xiàn)階段只能實(shí)現(xiàn)當(dāng)下意圖；如果還有其他意圖要實(shí)現(xiàn)就循環(huán)這個(gè)過程，再次得到最小權(quán)限后即可進(jìn)行操作。最小特權(quán)原則區(qū)別于其他網(wǎng)絡(luò)安全模型，即其他網(wǎng)絡(luò)安全模型一般對用戶身份進(jìn)行認(rèn)證之后，就會(huì)向用戶開放內(nèi)部所有資源，因此用戶能夠在無人管理的情況下做很多事，但零信任安全模型的最小特權(quán)原則使得用戶每個(gè)操作流程獨(dú)立，無法做多余的事，配合管理員就能避免安全風(fēng)險(xiǎn)爆發(fā)。例如當(dāng)前一名“黑客”偽造了員工身份進(jìn)入了移動(dòng)辦公系統(tǒng)，想要獲取系統(tǒng)中的核心數(shù)據(jù)，為實(shí)現(xiàn)這個(gè)目的其需要進(jìn)行訪問、尋找數(shù)據(jù)、查閱數(shù)據(jù)3個(gè)步驟的操作，而得益于最小特權(quán)原則每一步驟操作都要得到認(rèn)證才能展開，管理員可以根據(jù)認(rèn)證信息了解該用戶的意圖，如果用戶沒有權(quán)限查閱數(shù)據(jù)，就拒絕，反之如果用戶有權(quán)限查閱數(shù)據(jù)，管理員可以立即與其溝通，確認(rèn)后再授權(quán)，最大限度地保障了安全。

（4）應(yīng)用隱身。零信任安全模型使得應(yīng)用只對得到認(rèn)證的用戶、設(shè)備開放，即如果用戶未能得到認(rèn)證，甚至無法將應(yīng)用程序下載到設(shè)備上，而初次認(rèn)證是線下展開的，代表只有企業(yè)員工才能下載應(yīng)用，同時(shí)如果員工離職，管理員可以取消認(rèn)證授權(quán)，這時(shí)原先下載的軟件將成為“空殼”。這一條件下辦公應(yīng)用軟件順利隱身，外部人員是看不見應(yīng)用的，因此從外部無法展開“攻擊”，徹底保障網(wǎng)絡(luò)與系統(tǒng)安全[5]。

2 零信任安全模型的建構(gòu)方案

2.1 基本框架

本方案中零信任安全模型的基本框架見圖1。

1可以看出，零信任安全模型的策略決策引擎、策略管理引擎處于中間部位，將內(nèi)部區(qū)域定義為隱含信任區(qū)，該區(qū)域不對外開放，甚至不會(huì)顯示，而引擎以外屬于非信任區(qū)，所有訪問請求都來源于該區(qū)域，因此訪問請求必然要通過兩大引擎的認(rèn)證才能進(jìn)入隱含信任區(qū)，接觸到相關(guān)資源，并展開對應(yīng)操作。與此同時(shí)，圖1中非信任區(qū)、兩大引擎與資源之間存在雙向聯(lián)系，其中非信任區(qū)與引擎的聯(lián)系代表認(rèn)證是否通過，即用戶如果通過認(rèn)證就能進(jìn)入隱含信任區(qū)，否則返回非信任區(qū)，而隱含信任區(qū)與引擎的聯(lián)系代表每次操作的認(rèn)證，即隱含信任區(qū)內(nèi)用戶的每次操作都會(huì)被反饋到引擎中，得到認(rèn)證后再回到資源處進(jìn)行操作，否則用戶只能單純地停留在隱含信任區(qū)中，無法接觸到資源。

2.2 建構(gòu)方案

依照基本框架，本文零信任安全模型的建構(gòu)方案大體可以分為4個(gè)部分，各部分具體內(nèi)容如下。

2.2.1 安全防護(hù)邏輯建構(gòu)

（1）除移動(dòng)辦公系統(tǒng)管理員以外，所有用戶全部歸納到非信任區(qū)，網(wǎng)絡(luò)規(guī)劃上要將該區(qū)域視作無特權(quán)區(qū)域；（2）在無特權(quán)區(qū)域開發(fā)系統(tǒng)窗口，例如在Web上開發(fā)網(wǎng)頁辦公窗口，窗口依靠設(shè)備認(rèn)證功能對辦公用戶進(jìn)行初步識(shí)別，設(shè)備未得到認(rèn)證的用戶無法登錄網(wǎng)頁接觸窗口，反之可以進(jìn)行識(shí)別；（3）依托于安全云，搭建零信任安全模型，將安全云內(nèi)部的辦公網(wǎng)絡(luò)視作內(nèi)網(wǎng)，配置對應(yīng)的辦公應(yīng)用與資源，同時(shí)與數(shù)據(jù)對接，這樣所有通過身份認(rèn)證的用戶能夠進(jìn)入內(nèi)網(wǎng)進(jìn)行遠(yuǎn)程移動(dòng)辦公[6]；（4）采用統(tǒng)一的身份認(rèn)證、辦公窗口、配置下發(fā)、行為管理、設(shè)備管理標(biāo)準(zhǔn)，對用戶的身份進(jìn)行全方位認(rèn)證，并協(xié)同管理員對用戶的內(nèi)部操作進(jìn)行管理，如果用戶操作超出權(quán)限，管理員將駁回操作請求，也可以通過權(quán)限值計(jì)算方法讓系統(tǒng)自主管理。

2.2.2 模型功能設(shè)計(jì)

主要采用模塊化思路進(jìn)行模型功能設(shè)計(jì)，相關(guān)模塊與模塊內(nèi)功能見表1。

表1 功能模塊與功能

2.3 系統(tǒng)應(yīng)用效果分析

以上方案是典型的零信任安全模型，理念是先認(rèn)證、授權(quán)，再進(jìn)行訪問，依照最小特權(quán)、最短授權(quán)原則投入使用，能夠得出以零信任安全模型為基礎(chǔ)的移動(dòng)辦公系統(tǒng)。該系統(tǒng)能夠與Web或其他網(wǎng)頁瀏覽器集成，提供移動(dòng)線上辦公平臺(tái)，因此借助瀏覽器能夠?qū)?quán)限控制精化到URL級別，還能兼顧用戶體驗(yàn)，即能夠通過認(rèn)證的用戶只需要登錄網(wǎng)絡(luò)即可，不會(huì)有太過繁瑣的操作，且用戶的信息會(huì)受到保護(hù)，不會(huì)被其他人所得。實(shí)際應(yīng)用中該系統(tǒng)能夠有效防護(hù)當(dāng)前主流的DDoS與其他惡意軟件的攻擊，即本文對系統(tǒng)進(jìn)行了測試，通過Pulse VPN漏洞發(fā)起攻擊，結(jié)果顯示用戶端應(yīng)用沒有任何暴露，整個(gè)網(wǎng)絡(luò)如同“暗網(wǎng)”，而任何網(wǎng)絡(luò)攻擊都無法針對一個(gè)看不見的目標(biāo)展開，同時(shí)在不斷進(jìn)行攻擊嘗試的過程中，該系統(tǒng)開始主動(dòng)分析攻擊原理，一段時(shí)間后原先的攻擊手段能夠被準(zhǔn)確識(shí)別，再次攻擊會(huì)迅速預(yù)警，故攻擊不可能達(dá)成目標(biāo)[7]。另外，從體驗(yàn)角度來看作為普通辦公人員登錄系統(tǒng)，并進(jìn)行操作，整個(gè)過程只需要提供認(rèn)證資料即可，流程并不繁瑣，說明系統(tǒng)起到了應(yīng)有效果，方案應(yīng)用有效。

3 結(jié)語

綜上所述，零信任安全模型與傳統(tǒng)安全模型項(xiàng)目相比更有優(yōu)勢，因此企業(yè)應(yīng)當(dāng)了解前者特點(diǎn)與價(jià)值，在移動(dòng)辦公系統(tǒng)開發(fā)中融入零信任安全模型。零信任安全模型的介入能夠讓安全防護(hù)更加精細(xì)，并實(shí)現(xiàn)全過程防護(hù)，故防護(hù)力度大，同時(shí)該模型的最小權(quán)限原則也能將很多可能存在的風(fēng)險(xiǎn)扼殺于搖籃，且“暗網(wǎng)”式的設(shè)計(jì)最大限度地保障了系統(tǒng)在外網(wǎng)中的安全。