基于零信任的移动办公系统安全模型研究

龚剑锋，邓宏湡，温兴根，王钦坤

（江西和壹科技有限公司 江西 南昌 330096）

0 引言

随着时代的发展，社会人员的办公方式不断发生转变，现已脱离了传统办公模式，成了一种依托于线上网络环境、可以进行移动远程办公的模式，这种办公模式具有极高的应用价值，大幅提升了人们办公便捷性、效率、质量，因此在非常短的时间内变得非常普及。但模式的普及也让一些问题被放大，移动办公系统的安全就是其中最值得关注的问题，因为办公涉及网络，而网络中存在恶意攻击、病毒等风险，如果遭遇风险，就可能导致办公人员乃至企业承受损失，或受到其他方面的不利影响，所以如何对移动办公系统进行防护引起了人们的关注。传统安全模型确实给移动办公提供了有效的安全防护，但网络风险日新月异，传统模型逐渐不能满足需求，故现代移动办公系统需要一个更加完善、可靠的安全模型来规避风险，零信任安全模型就符合时代要求，因此为了避免安全风险，保障移动办公系统可靠性，有必要对零信任安全模型展开相关研究。

1 零信任安全模型的基本概念、优势与特点

1.1 基本概念

根据NIST《零信任架构标准》，零信任安全模型是零信任理念下提出的一种网络安全防护架构。总的来说，零信任理念主要思想是在网络环境已经被攻陷的假设前提下，网络信息系统、服务访问请求依旧可以顺利运作，且运作中能够降低决策的不确定性，通过这种方式来保护网络安全[1]。从这一角度出发，依托于零信任理念，围绕其组件关系、工作流规划与访问策略，零信任安全模型应运而生，该模式有基本的框架，在实际应用当中可以根据该框架进行企业网络安全规划。零信任安全模型的出现解决了传统网络安全模型逐渐失效的危机，即长期以来我国网络环境一直使用的是传统模型，但该模型本身设计就存在缺陷，加之入侵技术的日新月异，安全保障作用越来越低，人们急需更换安全模型，而零信任安全模型的出现显然解决了燃眉之急。

1.2 模型优势

为了解零信任安全模式的优势，本文主要参照传统网络安全模型进行论述。首先，传统网络安全模型的主要出发点是网络边界安全保护，即从IP地址、端口等基础上的网络边界出发，进行信任区划分，划分后形成外网、内网两个网络环境，其中外网就是互联网大环境，内网类似于局域网，整体处于封闭状态，理论上具有更好的安全性，因此内网就是信任区，反之外网为非信任区，这一基础上信任区内部所有用户可以任意访问内网资源、信息、数据（只要权限得到许可，即可无障碍进行内网方位），而非信任区的用户无法直接进入内网，自然也不能直接访问内网资源，要做到这一点，非信任区用户就必须穿过防火墙等安全防护边界，诸如提交内网访问请求，如果内网管理员通过请求，非信任区用户即可通过防火墙进行访问，反之被拒之门外。表面来看，传统网络安全模型的思路与架构似乎非常完善，这也导致现代依旧有许多企业用户在使用这种网络安全模式，但实际上传统模型存在很多缺陷与问题：（1）传统模型的安全防护边界由防火墙组成，因此防火墙是网络安全保障的唯一壁垒，但现在各种黑客入侵技术层出不穷，相关技术水平早已具备了攻破防火墙的能力，故一旦防火墙被攻破，那么非信任区人员就可以随意进入内网，例如移动办公用户的电脑设备内有驻留的恶意软件，这是只要该电脑设备通过VPN接入企业网络，恶意软件就会通过电脑设备获得内网的访问权限，绕过防火墙对内网资源进行破坏，这种现象在现代依旧普遍存在，说明防火墙并不能完全保障内网安全；（2）现代许多企业员工在移动办公中会使用云端第三方协同应用软件，这种软件不受企业传统网络安全模型管理，防火墙对其不起作用（因为云端应用软件对企业防火墙便捷是不可见状态），因此黑客可以通过相同的方式进入内网；（3）当下不少企业开始使用云技术进行办公，许多办公数据或者业务都会上传到云环境内，这种做法导致企业数据过度分散，环境也变得异常复杂，这时进行移动办公就会导致数据被转移到各个电脑设备与网络环境中，传统安全模型并不能对所有电脑设备与网络环境进行防护，黑客可以选择攻破某员工电脑设备来获取一些数据[2]；（4）因为VPN是现代企业移动办公的主流软件，所以VPN的使用会带来一些安全威胁，诸如当员工使用VPN登录内网后，VPN的远程访问网关就会暴露在互联网大环境中，这会导致内网容易遭遇拒绝服务的攻击；（5）移动办公中员工可以使用的设备除电脑以外，还有智能手机等，这种情况下智能手机也会成为风险来源，诸如智能手机在外网感染的病毒，然后在办公中进入内网，病毒就会通过手机感染内网，造成安全影响。与此同时，智能手机的安全防护力度比较弱，其中数据是比较容易被窃取的，无疑加大了安全风险。

其次，零信任安全模型是一种针对用户、资源保护的网络安全模型，其核心是零信任架构，即个人与非个人实体、凭证、访问管理、操作、端口、托管环境等互联架构，能用于企业资源与数据安全的端到端保护中。根据国外NIST组织的描述，零信任安全模型是一种将网络安全防护广泛网络边界收缩到最小微隔离区的模型结构，可以针对每个用户的访问请求建立一对一的访问通道，并对这个通道进行安全管理，过程中用户必须经过策略决策引擎、策略管理引擎认证才能得到范围许可，同时认证是对访问全过程展开的，其间没有任何遗漏。因此零信任安全模型与传统安全模型相比，两者在安全防护的思路与方式上差异较大，即传统安全模型就是典型的广泛网络边界安全防护模型，该模型在现代移动办公中存在很多问题，例如传统安全模型中仅有防火墙一道防线，如果防火墙被攻破，那么就非常容易获得访问权利，同时如果攻击者来源于网络特权区域，那么传统安全模型不会做出防护反应，代表其不会生效，而这样造成的结果是非常可怕的。反观零信任安全模型，它的策略决策引擎、策略管理引擎会根据一系列的控制操作、外部输入条件对整个访问过程进行管理，设访问过程包括查阅、修改、删除、增加、转移5个步骤，那么每进行一个步骤，两大引擎都会进行一次认证，得到认证之前用户无法进行相关操作，只有系统管理员作出决策后，如果得到授权才能完成操作，这一点就有效保护了访问过程安全，任何异动都不会遗漏，因此零信任安全模型更具优势[3]。

1.3 模型特点

零信任安全模型在实际应用中有4大特点。

（1）用户认证。零信任安全模型的基本功能就是用户认证，在逻辑上任何未得到认证的用户无法在系统中做任何操作，同时该模式的用户认证方式非常严格，是一种针对用户实际身份进行认证的方法，区别于普遍的“账号+密码+密钥”的认证方式，即零信任安全模型的用户认证主要采用数字证书展开，甚至还会考虑到其他因素，无论用户所处网络环境在何处，认证过程中所有因素必须正确，任意错误都会导致认证失败，拒绝用户进入系统[4]。

（2）设备认证。以往很多网络安全模式在安全防护中主要关注用户身份，但零信任安全模型除考虑到了用户身份以外，还考虑到了用户所使用的移动设备，即现实办公中办公设备一般由企业提供，因此用户也就有了专用的认证设备，预先将专用设备信息记录，所有记录在案的设备将得到授权，故用户无法使用其他设备登录系统办公，实现了设备认证，这也是零信任安全模型的一大特点。

（3）最小特权原则。所谓最小特权原则，是根据用户当前操作识别用户现阶段意图，如果用户得到授权，那么就提供可实现意图的最小权限，代表用户在现阶段只能实现当下意图；如果还有其他意图要实现就循环这个过程，再次得到最小权限后即可进行操作。最小特权原则区别于其他网络安全模型，即其他网络安全模型一般对用户身份进行认证之后，就会向用户开放内部所有资源，因此用户能够在无人管理的情况下做很多事，但零信任安全模型的最小特权原则使得用户每个操作流程独立，无法做多余的事，配合管理员就能避免安全风险爆发。例如当前一名“黑客”伪造了员工身份进入了移动办公系统，想要获取系统中的核心数据，为实现这个目的其需要进行访问、寻找数据、查阅数据3个步骤的操作，而得益于最小特权原则每一步骤操作都要得到认证才能展开，管理员可以根据认证信息了解该用户的意图，如果用户没有权限查阅数据，就拒绝，反之如果用户有权限查阅数据，管理员可以立即与其沟通，确认后再授权，最大限度地保障了安全。

（4）应用隐身。零信任安全模型使得应用只对得到认证的用户、设备开放，即如果用户未能得到认证，甚至无法将应用程序下载到设备上，而初次认证是线下展开的，代表只有企业员工才能下载应用，同时如果员工离职，管理员可以取消认证授权，这时原先下载的软件将成为“空壳”。这一条件下办公应用软件顺利隐身，外部人员是看不见应用的，因此从外部无法展开“攻击”，彻底保障网络与系统安全[5]。

2 零信任安全模型的建构方案

2.1 基本框架

本方案中零信任安全模型的基本框架见图1。

1可以看出，零信任安全模型的策略决策引擎、策略管理引擎处于中间部位，将内部区域定义为隐含信任区，该区域不对外开放，甚至不会显示，而引擎以外属于非信任区，所有访问请求都来源于该区域，因此访问请求必然要通过两大引擎的认证才能进入隐含信任区，接触到相关资源，并展开对应操作。与此同时，图1中非信任区、两大引擎与资源之间存在双向联系，其中非信任区与引擎的联系代表认证是否通过，即用户如果通过认证就能进入隐含信任区，否则返回非信任区，而隐含信任区与引擎的联系代表每次操作的认证，即隐含信任区内用户的每次操作都会被反馈到引擎中，得到认证后再回到资源处进行操作，否则用户只能单纯地停留在隐含信任区中，无法接触到资源。

2.2 建构方案

依照基本框架，本文零信任安全模型的建构方案大体可以分为4个部分，各部分具体内容如下。

2.2.1 安全防护逻辑建构

（1）除移动办公系统管理员以外，所有用户全部归纳到非信任区，网络规划上要将该区域视作无特权区域；（2）在无特权区域开发系统窗口，例如在Web上开发网页办公窗口，窗口依靠设备认证功能对办公用户进行初步识别，设备未得到认证的用户无法登录网页接触窗口，反之可以进行识别；（3）依托于安全云，搭建零信任安全模型，将安全云内部的办公网络视作内网，配置对应的办公应用与资源，同时与数据对接，这样所有通过身份认证的用户能够进入内网进行远程移动办公[6]；（4）采用统一的身份认证、办公窗口、配置下发、行为管理、设备管理标准，对用户的身份进行全方位认证，并协同管理员对用户的内部操作进行管理，如果用户操作超出权限，管理员将驳回操作请求，也可以通过权限值计算方法让系统自主管理。

2.2.2 模型功能设计

主要采用模块化思路进行模型功能设计，相关模块与模块内功能见表1。

表1 功能模块与功能

2.3 系统应用效果分析

以上方案是典型的零信任安全模型，理念是先认证、授权，再进行访问，依照最小特权、最短授权原则投入使用，能够得出以零信任安全模型为基础的移动办公系统。该系统能够与Web或其他网页浏览器集成，提供移动线上办公平台，因此借助浏览器能够将权限控制精化到URL级别，还能兼顾用户体验，即能够通过认证的用户只需要登录网络即可，不会有太过繁琐的操作，且用户的信息会受到保护，不会被其他人所得。实际应用中该系统能够有效防护当前主流的DDoS与其他恶意软件的攻击，即本文对系统进行了测试，通过Pulse VPN漏洞发起攻击，结果显示用户端应用没有任何暴露，整个网络如同“暗网”，而任何网络攻击都无法针对一个看不见的目标展开，同时在不断进行攻击尝试的过程中，该系统开始主动分析攻击原理，一段时间后原先的攻击手段能够被准确识别，再次攻击会迅速预警，故攻击不可能达成目标[7]。另外，从体验角度来看作为普通办公人员登录系统，并进行操作，整个过程只需要提供认证资料即可，流程并不繁琐，说明系统起到了应有效果，方案应用有效。

3 结语

综上所述，零信任安全模型与传统安全模型项目相比更有优势，因此企业应当了解前者特点与价值，在移动办公系统开发中融入零信任安全模型。零信任安全模型的介入能够让安全防护更加精细，并实现全过程防护，故防护力度大，同时该模型的最小权限原则也能将很多可能存在的风险扼杀于摇篮，且“暗网”式的设计最大限度地保障了系统在外网中的安全。