零信任網(wǎng)絡(luò)架構(gòu)與實現(xiàn)技術(shù)的研究與思考

本文針對上述問題開展了研究，期望找到適合的應(yīng)對措施，為想要提升網(wǎng)絡(luò)安全防護(hù)能力的各類組織提供參考。１零信任思想的本質(zhì)零信任思想的本質(zhì)是基于動態(tài)的信任度賦予適度的訪問權(quán)限，其關(guān)鍵點在于擯棄無端或超出合理范圍的信任，對實體、環(huán)境等進(jìn)行持續(xù)評估，并根據(jù)反饋結(jié)果及時修正策略，從而將靜態(tài)的防御轉(zhuǎn)換為動態(tài)的防御。２零信任網(wǎng)絡(luò)功能架構(gòu)零信任網(wǎng)絡(luò)功能架構(gòu)可分解為5個基本功能，分別是：（1）網(wǎng)絡(luò)身份管理：提供對網(wǎng)絡(luò)實體全生命周期的管理，確保所有實體來源可信、安全可控。（2）網(wǎng)絡(luò)身份認(rèn)證：確保網(wǎng)絡(luò)實體在發(fā)起網(wǎng)絡(luò)行為時向相關(guān)對象證明其身份可信。（3）網(wǎng)絡(luò)訪問授權(quán)：實現(xiàn)基于網(wǎng)絡(luò)實體的身份對網(wǎng)絡(luò)訪問進(jìn)行無特權(quán)的權(quán)限管控和訪問控制，保證所有訪問都必須得到授權(quán)。（4）傳輸安全保障：實現(xiàn)訪問數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的安全可信，確保數(shù)據(jù)訪問不可抵賴、內(nèi)容不被竊取等。（5）行為安全監(jiān)控：對網(wǎng)絡(luò)實體的運行狀態(tài)和網(wǎng)絡(luò)行為的持續(xù)監(jiān)測，并抑制網(wǎng)絡(luò)攻擊對系統(tǒng)的影響。３零信任網(wǎng)絡(luò)實現(xiàn)技術(shù)3.1網(wǎng)絡(luò)身份管理網(wǎng)絡(luò)身份管理的目標(biāo)是在網(wǎng)絡(luò)空間中產(chǎn)生網(wǎng)絡(luò)行為的網(wǎng)絡(luò)實體的全生命周期內(nèi)，掌握網(wǎng)絡(luò)實體與現(xiàn)實實體之間的映射關(guān)系，并記錄其變更過程。由于網(wǎng)絡(luò)行為均由應(yīng)用軟件和設(shè)備發(fā)起，還可能來自操作應(yīng)用的用戶，故網(wǎng)絡(luò)身份管理的對象既可以是用戶，也可以是應(yīng)用和設(shè)備。在某些場合，可將一個網(wǎng)絡(luò)中的網(wǎng)絡(luò)實體視為一個整體，從而實現(xiàn)簡化管理，故網(wǎng)絡(luò)身份管理的對象還可以是網(wǎng)絡(luò)。人員管理主要包括身份注冊、安全審查、安全培訓(xùn)、身份變更處理和身份注銷處理幾個方面。其中，身份注冊的主要目的是為可信度評估提供基礎(chǔ)，用戶信息分為基本信息和高級信息。用戶基本信息包括姓名、生日、年齡等；用戶高級信息包括身份證號、生物特征和住址等。根據(jù)系統(tǒng)的安全等級選擇是否需要錄入高級信息，錄入的信息越多，掌握的信息越全面，判斷人員可信度的參數(shù)則越多。完成可信度初始評估后，還需對人員進(jìn)行安全審查，包括對其信用信息、履歷和犯罪記錄等的調(diào)閱和審查。在安全審查通過之前，需要限制人員對網(wǎng)絡(luò)進(jìn)行所有或者部分訪問。當(dāng)人員正式成為員工或者客戶時，至少應(yīng)該在開放訪問前對其進(jìn)行安全培訓(xùn)或提示。在高安全等級系統(tǒng)中，為了防止出現(xiàn)人為安全漏洞，需要在系統(tǒng)使用過程中不斷進(jìn)行安全提示和必要的強(qiáng)化培訓(xùn)。當(dāng)人員身份信息和安全審查相關(guān)信息發(fā)生改變時需要及時更新。當(dāng)人員不再使用信息系統(tǒng)時需要及時關(guān)閉其所有權(quán)限，進(jìn)行注銷處理。在發(fā)生身份注銷時，應(yīng)該根據(jù)信息系統(tǒng)的保密程度，考慮是否對人員要求簽署保密條款。設(shè)備的管理方面，應(yīng)結(jié)合資產(chǎn)管理系統(tǒng)對設(shè)備的采購來源、用途等基本信息，以及IP地址、證書的狀態(tài)進(jìn)行登記和隨時更新，并記錄相關(guān)的變更日志。根據(jù)網(wǎng)絡(luò)安全等級要求，應(yīng)選擇記錄良好、資本構(gòu)成符合要求的供應(yīng)商進(jìn)行供貨，并考慮是否對供應(yīng)商進(jìn)行背景調(diào)查。根據(jù)網(wǎng)絡(luò)安全等級要求，考慮是否監(jiān)管供應(yīng)商生產(chǎn)供應(yīng)過程，包括元器件采購、加工、裝備、檢驗等，以提升產(chǎn)品安全性，一般適用于高安全網(wǎng)絡(luò)。接收設(shè)備時，應(yīng)對設(shè)備進(jìn)行系統(tǒng)安全檢測，比如病毒掃描、漏洞掃描，掌握設(shè)備的安全風(fēng)險狀態(tài)。在設(shè)備上線前和運行過程中，應(yīng)及時對設(shè)備進(jìn)行安全加固，包括病毒查殺、修補漏洞、升級病毒庫等。若設(shè)備不再接入網(wǎng)絡(luò)使用，則應(yīng)下線處理，對于安全要求高的組織機(jī)構(gòu)，應(yīng)該強(qiáng)制要求拆除設(shè)備硬盤，或者擦除硬盤數(shù)據(jù)，最后才能將設(shè)備轉(zhuǎn)作他用或者報廢。應(yīng)用的身份管理主要關(guān)注應(yīng)用的開發(fā)、測評和部署3個階段。在應(yīng)用開發(fā)階段，至少應(yīng)先明確安全性需求，并明確是否允許使用高風(fēng)險數(shù)據(jù)庫或者第三方插件等。在應(yīng)用開發(fā)完成后，應(yīng)組織專業(yè)機(jī)構(gòu)對應(yīng)用安全性進(jìn)行測評，包括是否存在已知漏洞、是否符合安全性設(shè)計要求等。在應(yīng)用部署階段，應(yīng)對應(yīng)用進(jìn)行上線審批，建立軟件白名單，通過終端管控軟件控制設(shè)備允許運行的軟件。網(wǎng)絡(luò)安全等級越高，評估的因素就越多，要求掌握的信息就越豐富。在建立身份管理系統(tǒng)、資產(chǎn)管理系統(tǒng)、軟件白名單和網(wǎng)絡(luò)組織清單時，信息采集應(yīng)滿足法律的要求，如果是采集個人信息，應(yīng)該得到個人的授權(quán)，并且數(shù)據(jù)的生成、傳遞和保存必須采用制度和技術(shù)保護(hù)，保證數(shù)據(jù)的保密、真實和完整。3.2網(wǎng)絡(luò)身份認(rèn)證網(wǎng)絡(luò)身份認(rèn)證時，不同實體選用不同的認(rèn)證方式。人員認(rèn)證方法有基于口令、生物特征或者私人持有的基于硬件的可信處理模塊（Trusted

ProcessingModule，TPM）等的方法。設(shè)備和應(yīng)用的認(rèn)證方法有通過軟數(shù)字證書或者設(shè)備綁定的TPM來認(rèn)證的方法。網(wǎng)絡(luò)的認(rèn)證可以通過網(wǎng)絡(luò)代理設(shè)備或軟件代理網(wǎng)絡(luò)整體對外認(rèn)證，從而不用對網(wǎng)絡(luò)中多個實體分別認(rèn)證，在某些對計算或網(wǎng)絡(luò)開銷比較敏感的場合可以考慮使用。身份認(rèn)證方法的選擇通常根據(jù)風(fēng)險高低決定。當(dāng)環(huán)境風(fēng)險小到一定程度時，身份認(rèn)證可以通過傳遞身份標(biāo)識（如IP、端口等）實現(xiàn)，如同新認(rèn)識的朋友相互交換名字就知道對方是誰。但當(dāng)環(huán)境風(fēng)險不夠高時，身份認(rèn)證必須采用更安全的方式。一般來說，首先使用非常強(qiáng)的認(rèn)證手段保證一定是該實體；其次生成一個可驗證的身份斷言用于基本業(yè)務(wù)，即“初始強(qiáng)認(rèn)證”與“使用時弱認(rèn)證”結(jié)合，可兼顧安全性和便利性。“初始強(qiáng)認(rèn)證”一般在系統(tǒng)開設(shè)、業(yè)務(wù)開通階段進(jìn)行，比如用戶到銀行開戶需要本人到柜臺出示身份證，新員工入職時公司對員工進(jìn)行安全審查，此工作可以與網(wǎng)絡(luò)身份管理的身份錄入和信息審查合并進(jìn)行。經(jīng)過“初始強(qiáng)認(rèn)證”后，進(jìn)入“使用時弱認(rèn)證”階段，銀行頒發(fā)給用戶一張銀行卡，并讓用戶設(shè)置一個口令，允許用戶通過銀行卡和口令辦理存取款業(yè)務(wù)；公司也給員工辦理一張員工證，允許員工憑該證出入工作環(huán)境。但用戶銀行卡和口令必須經(jīng)過ATM機(jī)在線驗證，員工證也必須經(jīng)過公司門衛(wèi)手工驗證或者刷卡機(jī)在線驗證。采用可變強(qiáng)度的身份認(rèn)證。當(dāng)環(huán)境風(fēng)險發(fā)生變化時，身份認(rèn)證強(qiáng)度應(yīng)該及時調(diào)整。比如首次使用新設(shè)備風(fēng)險較高，需要使用強(qiáng)認(rèn)證、設(shè)置口令并綁定設(shè)備，后續(xù)允許使用口令進(jìn)行操作，但再次更換新設(shè)備時，需要再次使用強(qiáng)認(rèn)證、設(shè)置口令并綁定設(shè)備。在進(jìn)行高風(fēng)險操作時，也需要提高認(rèn)證強(qiáng)度。必須警惕口令不當(dāng)使用。某些系統(tǒng)可能必須多人使用同一賬戶操作業(yè)務(wù)，造成口令知悉范圍較大，沒有與人綁定；某些系統(tǒng)口令復(fù)雜度要求低，抗攻擊能力弱。上述不當(dāng)?shù)目诹钍褂脮砗芏囡L(fēng)險，應(yīng)該設(shè)法降低風(fēng)險。在無法與人綁定賬戶的系統(tǒng)中，應(yīng)增強(qiáng)環(huán)境準(zhǔn)入控制或用其他方法保證使用者的合法性，在口令復(fù)雜度要求低的系統(tǒng)中，應(yīng)強(qiáng)制提升密碼復(fù)雜度要求。使用的數(shù)字證書應(yīng)當(dāng)定期更新。相當(dāng)多的系統(tǒng)使用數(shù)字證書方式進(jìn)行認(rèn)證，卻忽視了數(shù)字證書有效期的限制。為提升安全性，其證書需要強(qiáng)制定期更新。此外，證書更新途徑是否安全、更新周期是否得到控制等因素都會影響可信度。充分利用信任傳遞技術(shù)來構(gòu)建信任鏈。如圖1所示，信任傳遞是指當(dāng)B在一定程度上信任C時，A依賴于對B的信任而一定程度地信任C。比如員工與公司門衛(wèi)并不熟識，但員工因公攜帶物品離開公司大門，若向公司門衛(wèi)出具部門領(lǐng)導(dǎo)簽署的審批單，公司門衛(wèi)可依據(jù)審批單對其放行。上述例子中，A對B和B對C的信任稱為直接信任，而A對C的信任稱為間接信任。A基于B從而對C的信任形成信任鏈。在信任鏈上，相鄰實體間不都是絕對信任，所以信任度會隨著信任傳遞次數(shù)的增加而減小。此外，A對C的信任程度與A對B和B對C的信任程度正相關(guān)，但不一定線性。特別的，若A不再信任B或B不再信任C，則A也不再信任C。信任傳遞用途很廣，只要兩個實體能夠借助其他實體生成一個信任鏈，就可以計算出信任度。3.3網(wǎng)絡(luò)訪問授權(quán)一般情況下，應(yīng)采用基于身份的訪問控制技術(shù)，或者相應(yīng)的人機(jī)結(jié)合的管理方式來進(jìn)行網(wǎng)絡(luò)授權(quán)。很多情況下，網(wǎng)絡(luò)實體的標(biāo)識不會固定不變，比如對于移動環(huán)境或者使用動態(tài)主機(jī)配置協(xié)議（DynamicHostConfigurationProtocol，DHCP）技術(shù)的局域網(wǎng)，如果基于固定網(wǎng)絡(luò)標(biāo)識進(jìn)行訪問控制，則無法快速調(diào)整策略以適應(yīng)動態(tài)的網(wǎng)絡(luò)標(biāo)識變化，給訪問控制策略維護(hù)帶來極大負(fù)擔(dān)。這時候應(yīng)該配置基于身份的訪問控制策略，通過認(rèn)證過程跟蹤網(wǎng)絡(luò)訪問標(biāo)識的動態(tài)變化，隨時自動更新策略，提高策略的安全性和適應(yīng)性。圖1任鏈關(guān)系及基于信任鏈的信任度基于動態(tài)信任度和風(fēng)險的訪問控制可極大增強(qiáng)訪問控制的安全性。零信任思想之所以更安全，是因為其根據(jù)信任度做出是否允許訪問的決策。因為身份證明并不代表對方是安全的，所以大量系統(tǒng)僅通過身份認(rèn)證就開放安全策略的方式存在諸多安全漏洞。判斷是否開放安全策略的依據(jù)應(yīng)該是對方是否可信，以及是否具有高風(fēng)險。信任度和風(fēng)險評估可從第三方獲取，也可基于交互行為與預(yù)期的對比不斷積累形成。統(tǒng)一權(quán)限管控解決全網(wǎng)權(quán)限的一致性問題，確保不因權(quán)限差異導(dǎo)致訪問受阻或產(chǎn)生權(quán)限漏洞。統(tǒng)一權(quán)限管控的高效架構(gòu)是樹形分級架構(gòu)，該架構(gòu)從主干到分支每一級管轄本級策略，并逐級細(xì)化，分支僅在主干約束范圍下定制詳細(xì)策略。如圖2所示，A分支到B分支的主干路徑上的策略，只管理整個A分支能否訪問整個B分支，但A分支入口和B分支入口的策略則管理A分支的實體a能否訪問B分支的實體b的約束。這樣的管理架構(gòu)有利于降低主干策略壓力，分支策略雖受限于主干策略的限制，但有一定自主靈活度。圖2樹形分級的權(quán)限管控架構(gòu)權(quán)限同步一般分為管理流驅(qū)動和業(yè)務(wù)流驅(qū)動兩類。管理流驅(qū)動是指權(quán)限在各個策略管控節(jié)點之間進(jìn)行同步，需要占用帶寬，且每個策略管控節(jié)點需要存儲大量的權(quán)限（無法事先判斷權(quán)限是否有用），處理訪問時本地已經(jīng)有策略，處理延遲小。業(yè)務(wù)流驅(qū)動無須各個權(quán)限管控節(jié)點之間進(jìn)行同步，訪問者訪問時向策略控制點提供權(quán)限信息，策略控制點驗證權(quán)限真實性并進(jìn)行生成策略，需要花費更多時間，處理延遲大。權(quán)限同步方案的選擇需要根據(jù)具體需求進(jìn)行。3.4傳輸安全保障因為數(shù)據(jù)在傳輸時可能受到竊取、偽造、篡改和重放攻擊，所以必須考慮數(shù)據(jù)傳輸受到上述攻擊時系統(tǒng)是否有安全風(fēng)險。常見的數(shù)據(jù)傳輸安全保護(hù)技術(shù)包括互聯(lián)網(wǎng)安全協(xié)議（InternetProtocolSecurity，IPSEC）、安全接口層（SecureSocketLayer，SSL）等。IPSEC由操作系統(tǒng)在網(wǎng)絡(luò)層為應(yīng)用程序統(tǒng)一提供基于IP的安全性能，對應(yīng)用程序是透明的。SSL為應(yīng)用層提供標(biāo)準(zhǔn)安全接口，需要應(yīng)用程序進(jìn)行適配實現(xiàn)。IPSEC和SSL屬于網(wǎng)絡(luò)認(rèn)證和加密，可以部署在路徑網(wǎng)關(guān)上，也可以部署在端點上。在帶寬和處理能力允許的情況下，兩種技術(shù)可以同時運用，進(jìn)一步增強(qiáng)數(shù)據(jù)傳輸?shù)陌踩?。?shù)據(jù)安全的傳輸通道構(gòu)建可以因地制宜，比如在兩個局域網(wǎng)之間的數(shù)據(jù)傳輸中，可以在各自網(wǎng)絡(luò)的出口架設(shè)實體網(wǎng)關(guān)，對經(jīng)過網(wǎng)關(guān)的數(shù)據(jù)進(jìn)行保護(hù)，也可以在對外提供服務(wù)的數(shù)據(jù)服務(wù)器上部署代理軟件，或者在其物理接口處部署實體網(wǎng)關(guān)，接管出入服務(wù)器的數(shù)據(jù)流。至于局域網(wǎng)內(nèi)部流量是否加密不應(yīng)一概而論，需要綜合考慮網(wǎng)絡(luò)安全需求、環(huán)境威脅、安全脆弱性等多方面因素。3.5行為安全監(jiān)控行為安全監(jiān)控通過分析網(wǎng)絡(luò)實體的各種攻擊和異常行為的活動，可以及早發(fā)現(xiàn)威脅并進(jìn)行風(fēng)險控制，對實體信任度進(jìn)行動態(tài)評價。主要方法包括網(wǎng)絡(luò)攻擊抑制、異常行為監(jiān)測。網(wǎng)絡(luò)攻擊抑制用于檢測并抑制網(wǎng)絡(luò)中已知攻擊，從而對網(wǎng)絡(luò)進(jìn)行保護(hù)。網(wǎng)絡(luò)攻擊檢測方法主要有兩種：一種是通過檢測流量是否滿足某種已知特征來發(fā)現(xiàn)攻擊，即基于流量特征匹配的攻擊檢測方法，這種方法對拒絕服務(wù)（DenyofService，DoS）和分布式拒絕服務(wù)（DistributedDenyofService，DDoS）等流量攻擊有效；另一種是通過檢測網(wǎng)絡(luò)包內(nèi)容是否滿足某種已知特征來發(fā)現(xiàn)攻擊，即基于內(nèi)容特征匹配的攻擊檢測方法，這種方法對于漏洞利用、惡意代碼等攻擊有效。當(dāng)發(fā)現(xiàn)攻擊后，可以對攻擊進(jìn)行抑制，但很多情況下，攻擊檢測設(shè)備難以識別正常訪問和攻擊訪問。攻擊監(jiān)測分析人員不斷地深入分析攻擊特征，對匹配規(guī)則進(jìn)行完善，但總會出現(xiàn)滯后，這正是零日攻擊的突破口。在數(shù)據(jù)中心，攻擊檢測通常搭配流量清洗工作，當(dāng)發(fā)現(xiàn)攻擊后，攻擊檢測設(shè)備聯(lián)動網(wǎng)絡(luò)交換設(shè)備進(jìn)行引流清洗，經(jīng)過清洗后，正常訪問流量被導(dǎo)回網(wǎng)絡(luò)繼續(xù)轉(zhuǎn)發(fā)。異常行為監(jiān)測用于進(jìn)一步檢測超越使用習(xí)慣的高風(fēng)險操作，發(fā)現(xiàn)各種未知攻擊，比如后臺木馬程序借用用戶和終端身份發(fā)起越級訪問。異常行為監(jiān)測與純粹的基于行為的網(wǎng)絡(luò)攻擊檢測不同，基于行為的網(wǎng)絡(luò)攻擊檢測主要通過事先把攻擊模式和特征進(jìn)行總結(jié)成為模型，再通過抓取流量進(jìn)行分析，檢查是否存在匹配相似的網(wǎng)絡(luò)流量，從而判斷是否存在攻擊行為；而網(wǎng)絡(luò)行為安全檢測是評估用戶行為超出正常習(xí)慣是否帶來信任度降低的方法。網(wǎng)絡(luò)行為安全檢測通過不斷收集正常業(yè)務(wù)的習(xí)慣，進(jìn)行用戶、流量、包長、時刻、間隔等多維的分析和總結(jié)歸納，形成正常業(yè)務(wù)習(xí)慣模型。有了正常業(yè)務(wù)習(xí)慣模型后，再對新流量進(jìn)行分析，評估是否符合正常業(yè)務(wù)習(xí)慣特征，最終給出相應(yīng)的可信度一維評價。網(wǎng)絡(luò)行為安全檢測使用人工輔助機(jī)器學(xué)習(xí)或深度學(xué)習(xí)技術(shù)，對此，研究者們提出了很多理論方法，如文獻(xiàn)[10]提出了在靜態(tài)的身份認(rèn)證之上，通過對用戶行為的實時評估，引入獎懲因子和時間因子，實現(xiàn)動態(tài)的信任度評價；提出了一種基于灰色關(guān)聯(lián)度的信任模型，對節(jié)點進(jìn)行細(xì)粒度的信任評估，抑制不誠實的節(jié)點的訪問行為；文獻(xiàn)[12]提出了一種基于隱式反饋控制的用戶行為度量模型，構(gòu)建用戶的狀態(tài)和行為基線，并根據(jù)基線評估用戶的可信度，進(jìn)而實施動態(tài)的信任度評價。４零信任網(wǎng)絡(luò)推廣應(yīng)用的突破點利用零信任提升網(wǎng)絡(luò)安全防護(hù)能力不能僅依靠優(yōu)化網(wǎng)絡(luò)拓?fù)?、提升點位產(chǎn)品的功能，還需要在制度、架構(gòu)及配套上進(jìn)行相應(yīng)的改變與提升。（1）在管理方面，需要引導(dǎo)相關(guān)行業(yè)分步細(xì)化和落實《信息安全等級保護(hù)管理辦法》等國