公安系統零信任安全接入架構研究

余波 孫詩瑤 陶瑜 韓星 四川省成都市公安局

引言

隨著新一代信息技術在公安系統中快速部署應用，新的應用架構隨技術發展不斷演進，打破了傳統集中式數據中心部署的單體架構模式，應用業務由數據中心向云端、邊端和終端等各個環節不斷下沉和延伸。

零信任架構就是基于該背景提出的，被認為是面向云計算、大數據、物聯網、移動網絡等場景的新一代安全技術架構。最初的零信任概念思想是由咨詢機構Forrester的分析師提出[1]，后來，谷歌基于這一概念在公司內部進行了Beyond Corp項目實踐[2]，并最終取得成功，此后，零信任技術概念被大研究機構廣泛接受，并進行了大量系統的研究工作，其中，云安全聯盟（CSA）進一步發展了零信任技術概念[3]，提出了軟件定義邊界（Software Defined Perimeter）網絡安全模型；美國國家標準技術研究院（NIST）研究制定了《零信任架構》[4]，大大推動零信任技術落地和應用，并成為業界落地實施的指南，各大企業也紛紛提出自己的零信任技術架構和行業解決方案[5,6]。

在這種背景下，本文將零信任理念引入到公安業務系統安全防護體系建設中，提出了以可信數字身份為中心的零信任安全接入架構模式，并給出了零信任安全接入訪問流程、核心組件及主要功能。該模型依據環境安全感知對各類客體的訪問行為進行持續的信任評估，在訪問主體和資源之間建立安全可靠的連接通道，實現訪問動態安全可控，從而保證公安業務系統的接入安全，對零信任技術在公安業務系統的落地具有參考借鑒意義。

一、存在的問題

當前，公安業務系統面臨著多種類型的終端用戶設備接入，應用場景和網絡環境愈發多樣，系統的應用架構隨著網絡基礎架構升級不斷演進，內外部威脅顯著增多，業務資源攻擊暴露面不斷增加，主要表現在如下幾點：（1）非黑即白的一次性授權問題，用戶權限采用一次性授權方式，隨著用戶使用時間累積，由于人事崗位和業務需要等開通的新權限得不到及時有效治理，造成用戶累積的資源訪問權限越來越大，造成系統性風險；（2）粗放的權限控制，用戶權限管理采用粗粒度管控，沒有結合業務、崗位、網絡環境等進行精細化分類分級管控；（3）威脅響應不及時，當發現用戶出現不安全的用戶訪問行為或者非法的操作后，不能及時發現接入終端的異常行為，并且不能及時做出對風險終端的處置，無法應對社工等攻擊行為，風險終端的接入可能會導致內網業務遭到攻擊和掃描，并且無法對這類終端進行有效處置；（4）數據安全防護存在短板，從近年發生的多起數據泄露事件來看，迫切需要在頻繁變動的人員、組織架構和業務應用系統過程中加強對用戶權限的管理。

二、零信任安全模型

零信任安全模型是一種安全設計理念，最早在2010年由Forrester首席分析師John Kindervag提出[1]，其核心思想為“Never Trust，Always Verify”，即“永不信任、持續驗證”，零信任安全模型打破物理邊界防護的局限性，不再默認信任物理安全邊界內部的任何用戶、設備、系統或應用，而是構建以身份認證作為核心，將認證和授權作為訪問控制基礎的新安全模型，零信任安全模型核心概念包括：（1）所有的網絡流量都是不可信的；（2）不以物理位置作為安全的依據，為所有訪問采取必要的安全措施；（3）對用戶采用最小授權策略和嚴格訪問控制；（4）持續驗證每個訪問請求的身份和安全狀態；（5）對所有網絡流量都需要進行可視化和分析檢查；（6）持續的風險評估，持續的動態策略調整。

零信任安全的概念推出后，引起了產業界的廣泛關注，進行了大量的技術實踐，并逐步開始在模型架構方面形成了一些共識，其中，典型零信任架構模型由美國國家標準技術研究院（NIST）研究制定[4]，如圖1所示，主要組件包括權限分析數據支撐系統、安全策略引擎（PE）、安全策略管理器（PA）和安全策略執行器（PEP）構成。

（一）策略引擎（PE）

策略引擎組件是零信任模型的決策中心，根據組織內部信息以及來自外部各類情報來源的輸入（例如IP黑名單、威脅情報服務）作為“零信信任決策算法”的輸入參數，為給定的客戶端或訪問行為計算出信任結果，并授予對資源的訪問權限的最終決定，策略引擎與策略管理器一起配合使用，策略引擎分析計算結果（并進行審計記錄），策略管理器根據計算結果執行決策（批準或拒絕），并生成相應的訪問憑證。

（二）策略管理器（PA）

策略管理器組件負責建立客戶端和資源之間的連接，一方面接收策略引擎的計算分析結果，并做出最終訪問控制決定（允許或拒絕連接）；另一方面生成客戶機用于訪問企業資源的身份驗證令牌或認證憑據，并下發給PEP控制器。

（三）策略執行點（PEP）

策略執行點組件主要負責啟用、監視并最終終止客體和企業資源之間的連接，是零信任架構模型中的一個單獨的邏輯組件，在具體實施過程中可分解為零信任客戶端和零信任網關兩個組件。

（四）權限分析數據支撐信息系統

實現零信任安全模型的核心在于權限實時計算分析，因此，除了上述實現零信任架構模型的核心組件之外，還有大量數據源提供給策略引擎，支撐其進行權限實時計算分析，這些數據源既有自身的數據信息，也有來自外部的數據信息，主要包括：

1.企業網絡和應用環境信息

該部分信息主要包括企業各層級業務系統、操作系統、網絡環境等當前的一些狀態信息，涵蓋系統版本、補丁、漏洞等信息。

2.行業合規策略信息

該部分信息是確保企業遵守其可能遵循的任何監管制度，包括企業為確保遵從性而開發的特有的安全策略規則信息。

3.威脅情報信息

該部分信息提供來自外部的威脅情報信息，幫助策略引擎做出訪問決策。這些威脅情報信息可以來自多個外部來源的情報數據，提供最新發現的攻擊或漏洞的信息，主要包括DNS黑名單、惡意軟件、病毒、惡意URL等威脅情報信息。

4.數據訪問策略信息

該部分信息是企業圍繞企業資源創建的數據訪問屬性、規則和策略的集合。這些規則可以在策略引擎中編碼，也可以動態生成。這些安全策略是授予資源訪問權的起始點，一般是基于用戶角色和資源控制需求制定，為企業中的訪問客體和應用程序提供基本訪問權限。

5.企業公鑰基礎設施信息（PKI）

6.身份管理系統用戶信息

該部分信息負責創建、存儲和管理企業用戶賬號和身份記錄信息。該系統包含必要的用戶信息（如姓名、電子郵件地址、證書等）和其他的企業特征，如角色、訪問屬性或分配的系統。該系統通常利用其他系統（如上面的PKI）來處理與用戶賬戶相關的構件。

7.安全事件分析和管理平臺（SIEM）

收集組織的日志信息、采集節點網絡流量等對安全事件進行監測和分析。

基于國內外場景需求、業務系統和網絡環境等方面的差異，需要在上述零信任架構模型的基礎上，結合公安業務系統的特點和場景，研究適合公安系統的零信任安全接入架構模型，圍繞打造安全可信的網絡應用環境，構建健康有序的網絡秩序，提升用戶業務訪問體驗和增強運維效能，構建以數字身份為中心的、基于密碼和信任的安全支撐系統，提供統一和便捷的安全接入方式；面向人、機、物的安全防護體系，滿足公安系統信息化建設提升要求，滿足等級保護三級系統及關鍵信息基礎設施安全管理要求。

三、零信任安全接入技術架構

本文提出的面向公安系統的零信任安全接入技術架構如圖2所示，主要包括可信接入代理設備、可信代理控制服務平臺、認證管理平臺、權限管理平臺、環境感知代理設備和環境感知分析平臺。用戶通過各類終端訪問應用服務資源時，經可信接入代理設備進行認證授權，在二次鑒權后才能夠訪問應用服務資源，可信接入代理設備由可信代理控制服務平臺統一管理和控制，進行動態安全策略的下發，使得各可信接入代理設備成為一個協同動態防御的整體，接收環境感知分析平臺對用戶信任度的分析評估結果，對接認證管理平臺和權限管理平臺用戶認證和權限信息，進行用戶權限的動態調整，與可信接入代理設備對接，實現用戶權限的動態控制。

四、工作流程設計

本文提出的面向公安業務系統的零信任安全接入技術架構主要工作流程如下：（1）用戶訪問業務，首先通過環境感知代理進行終端認證，認證通過后接入中心下發控制策略到網關交換機，業務才可以通過交換機轉發到可信接入代理；（2）可信接入代理接收到不帶token的用戶請求，將請求重定向到認證頁面，認證管理平臺對用戶進行認證，認證通過后發送令牌到用戶；（3）前置業務系統通過可信代理控制服務對用戶進行二次應用鑒權，確認用戶是否可以訪問該應用，如果該用戶有權限，則可信代理服務為前置應用發放針對該用戶的應用token，并將請求報文發送至可信API代理；（4）可信API代理收到請求報文后，通過可信代理控制服務對用戶請求進行鑒權，鑒權通過后，才可以把報文轉發到后置業務系統；（5）環境感知代理對用戶終端、服務器上的業務持續進行環境感知，環境感知服務匯總環境感知代理的感知信息；（6）環境感知服務接收環境感知代理的風險信息、網絡安全設備的日志信息，對用戶風險進行綜合評估，將用戶可信度發送到可信代理控制服務；（7）用戶訪問業務時，可信代理控制服務對用戶進行認證，認證通過后將用戶token提供給用戶，用戶帶用戶token繼續訪問應用，可信接入代理對用戶訪問該應用的權限發送到可信代理控制服務鑒權，如果鑒權成功，則將用戶請求發送到應用；（8）可信代理控制服務根據接收到的用戶風險信息，實時對用戶的權限進行計算評估，當用戶權限有變更時，發送變更信息到可信接入代理和可信API代理。

五、主要核心組件

（一）可信代理控制服務平臺

該平臺是整個架構模型的策略控制器中心，對接可信接入代理設備，將用戶認證請求上傳到認證管理平臺和權限管理平臺，對用戶進行認證和鑒權；并在用戶認證請求匹配其風險情況后，將權限下發到可信接入代理，實現動態安全控制策略的下發；對接環境感知系統，對用戶的每一次訪問行為進行綜合信任風險評估；對接認證管理平臺實現對用戶的認證；對接權限管理平臺，結合用戶的風險指數，實現對用戶的權限動態控制，實現權限最小化。

在本研究中HAE患者血清IgM抗體較正常對照組降低，而IgG和IgA則較正常對照組明顯升高，考慮包蟲在宿主體內長期寄生的過程中刺激機體產生強弱不等的免疫應答反應，隨著包蟲囊增大和包蟲寄生數量的增多，抗體陽性率也隨之變化[16]。在人體感染包蟲后發生的免疫反應與疾病的性質和特點相關，這個特性提供了一個重要的優勢，使得免疫系統針對特定群體的傳染病病原體能夠調整其防御策略。

（二）可信權限管理平臺

提供統一用戶可信權限管理，實現用戶信息與賬號的集中存儲、全生命周期閉環管理，用戶賬號自動開通、變更和回收，同時對下游應用系統提供用戶主數據服務供給，可信權限管理平臺可以根據用戶的安全風險等級，調整用戶的訪問權限。可信權限管理平臺分為接口層、服務層和業務層，其中，接口層主要用于與外部服務的接口，主要的外部服務有可信代理控制服務平臺、認證管理平臺、其他用戶源和應用業務系統；服務層主要用于對業務主體、業務客體提供服務，業務主體主要指用戶，業務客體主要指業務應用；業務層主要進行實際的業務處理，如用戶、機構和應用業務的管理，業務主體和客體之間的授權關系管理、用戶訪問權限的鑒權管理、權限審批、日志審計等。

（三）可信認證管理平臺

為用戶提供認證服務，與可信代理控制服務進行交互，對用戶進行認證；通過和權限管理平臺對接交互，實現信息的共享；通過接口和應用系統進行交互，實現對應用的單點登錄、應用的多級認證。可信認證管理平臺分接口層和業務層，接口層主要用于與外部服務的接口，主要的外部服務有可信代理控制服務、用戶認證終端、權限管理平臺、應用業務系統；業務層主要進行實際的業務處理，主要包含應用管理、認證因子管理、認證鏈、認證策略、單點登錄、認證管理、日志審計。

（四）環境感知分析平臺

主要是采集各類主體環境感知數據（包括系統環境、網絡環境、軟件環境、物理環境、用戶行為、上下文信息等），將采集數據進行歸類處理，進行大數據分析，構建各類AI模型，對用戶/設備實體的資源訪問行為進行分析，進行人物和資產風險畫像，建立環境、用戶和資產信任風險等級，據此對每次用戶和設備的實體訪問行為進行風險評估，并實時動態調整安全策略。

風險評估是零信任架構中的關鍵環節，風險評估的能力很大程度上決定著零信任安全解決方案的有效性，也是業界各廠商重點研究內容之一。如上所述，一方面，風險評估與場景環境密切相關，安全風險在不同場景下存在較大差異性。同一個方法在不同場景下分析效果不同，在不同的客戶環境下存在不一致性，需要針對公安系統的業務場景、網絡環境等依賴要素進行精細化設計，才能夠取得比較好的效果。另一方面，借助人工智能來解決日益復雜的風險識別和評估也是當前技術演進發展的趨勢，業界普遍期待使用更多、更實用的人工智能評估方法來提升風險評估的能力。鑒于機器學習對數據的高要求以及安全風險評估的低樣本、低檢出率，如何尋求更加適合的智能算法成為了一大挑戰。

六、結語

零信任安全技術經過十多年的發展，已經逐步走向成熟。近年來，隨著云計算、大數據、物聯網、移動網絡等場景應用廣泛普及，傳統的以物理網絡邊界構建的安全架構模型逐漸被新的軟件定義邊界的零信任模型所取代。本文基于零信任理念，結合公安業務系統長期實踐經驗和未來技術發展演進趨勢，提出了以可信數字身份為中心的零信任安全接入架構模型，詳細設計了零信任安全接入訪問流程，分析了零信任安全接入架構模型涉及的核心組件及主要功能，更好地滿足當前環境下公安業務系統訪問控制的安全性要求，后續將結合具體實踐效果，進一步完善整個技術架構模型，不斷優化提高效率及安全性。