公安系统零信任安全接入架构研究

余波 孙诗瑶 陶瑜 韩星 四川省成都市公安局

引言

随着新一代信息技术在公安系统中快速部署应用，新的应用架构随技术发展不断演进，打破了传统集中式数据中心部署的单体架构模式，应用业务由数据中心向云端、边端和终端等各个环节不断下沉和延伸。

零信任架构就是基于该背景提出的，被认为是面向云计算、大数据、物联网、移动网络等场景的新一代安全技术架构。最初的零信任概念思想是由咨询机构Forrester的分析师提出[1]，后来，谷歌基于这一概念在公司内部进行了Beyond Corp项目实践[2]，并最终取得成功，此后，零信任技术概念被大研究机构广泛接受，并进行了大量系统的研究工作，其中，云安全联盟（CSA）进一步发展了零信任技术概念[3]，提出了软件定义边界（Software Defined Perimeter）网络安全模型；美国国家标准技术研究院（NIST）研究制定了《零信任架构》[4]，大大推动零信任技术落地和应用，并成为业界落地实施的指南，各大企业也纷纷提出自己的零信任技术架构和行业解决方案[5,6]。

在这种背景下，本文将零信任理念引入到公安业务系统安全防护体系建设中，提出了以可信数字身份为中心的零信任安全接入架构模式，并给出了零信任安全接入访问流程、核心组件及主要功能。该模型依据环境安全感知对各类客体的访问行为进行持续的信任评估，在访问主体和资源之间建立安全可靠的连接通道，实现访问动态安全可控，从而保证公安业务系统的接入安全，对零信任技术在公安业务系统的落地具有参考借鉴意义。

一、存在的问题

当前，公安业务系统面临着多种类型的终端用户设备接入，应用场景和网络环境愈发多样，系统的应用架构随着网络基础架构升级不断演进，内外部威胁显著增多，业务资源攻击暴露面不断增加，主要表现在如下几点：（1）非黑即白的一次性授权问题，用户权限采用一次性授权方式，随着用户使用时间累积，由于人事岗位和业务需要等开通的新权限得不到及时有效治理，造成用户累积的资源访问权限越来越大，造成系统性风险；（2）粗放的权限控制，用户权限管理采用粗粒度管控，没有结合业务、岗位、网络环境等进行精细化分类分级管控；（3）威胁响应不及时，当发现用户出现不安全的用户访问行为或者非法的操作后，不能及时发现接入终端的异常行为，并且不能及时做出对风险终端的处置，无法应对社工等攻击行为，风险终端的接入可能会导致内网业务遭到攻击和扫描，并且无法对这类终端进行有效处置；（4）数据安全防护存在短板，从近年发生的多起数据泄露事件来看，迫切需要在频繁变动的人员、组织架构和业务应用系统过程中加强对用户权限的管理。

二、零信任安全模型

零信任安全模型是一种安全设计理念，最早在2010年由Forrester首席分析师John Kindervag提出[1]，其核心思想为“Never Trust，Always Verify”，即“永不信任、持续验证”，零信任安全模型打破物理边界防护的局限性，不再默认信任物理安全边界内部的任何用户、设备、系统或应用，而是构建以身份认证作为核心，将认证和授权作为访问控制基础的新安全模型，零信任安全模型核心概念包括：（1）所有的网络流量都是不可信的；（2）不以物理位置作为安全的依据，为所有访问采取必要的安全措施；（3）对用户采用最小授权策略和严格访问控制；（4）持续验证每个访问请求的身份和安全状态；（5）对所有网络流量都需要进行可视化和分析检查；（6）持续的风险评估，持续的动态策略调整。

零信任安全的概念推出后，引起了产业界的广泛关注，进行了大量的技术实践，并逐步开始在模型架构方面形成了一些共识，其中，典型零信任架构模型由美国国家标准技术研究院（NIST）研究制定[4]，如图1所示，主要组件包括权限分析数据支撑系统、安全策略引擎（PE）、安全策略管理器（PA）和安全策略执行器（PEP）构成。

（一）策略引擎（PE）

策略引擎组件是零信任模型的决策中心，根据组织内部信息以及来自外部各类情报来源的输入（例如IP黑名单、威胁情报服务）作为“零信信任决策算法”的输入参数，为给定的客户端或访问行为计算出信任结果，并授予对资源的访问权限的最终决定，策略引擎与策略管理器一起配合使用，策略引擎分析计算结果（并进行审计记录），策略管理器根据计算结果执行决策（批准或拒绝），并生成相应的访问凭证。

（二）策略管理器（PA）

策略管理器组件负责建立客户端和资源之间的连接，一方面接收策略引擎的计算分析结果，并做出最终访问控制决定（允许或拒绝连接）；另一方面生成客户机用于访问企业资源的身份验证令牌或认证凭据，并下发给PEP控制器。

（三）策略执行点（PEP）

策略执行点组件主要负责启用、监视并最终终止客体和企业资源之间的连接，是零信任架构模型中的一个单独的逻辑组件，在具体实施过程中可分解为零信任客户端和零信任网关两个组件。

（四）权限分析数据支撑信息系统

实现零信任安全模型的核心在于权限实时计算分析，因此，除了上述实现零信任架构模型的核心组件之外，还有大量数据源提供给策略引擎，支撑其进行权限实时计算分析，这些数据源既有自身的数据信息，也有来自外部的数据信息，主要包括：

1.企业网络和应用环境信息

该部分信息主要包括企业各层级业务系统、操作系统、网络环境等当前的一些状态信息，涵盖系统版本、补丁、漏洞等信息。

2.行业合规策略信息

该部分信息是确保企业遵守其可能遵循的任何监管制度，包括企业为确保遵从性而开发的特有的安全策略规则信息。

3.威胁情报信息

该部分信息提供来自外部的威胁情报信息，帮助策略引擎做出访问决策。这些威胁情报信息可以来自多个外部来源的情报数据，提供最新发现的攻击或漏洞的信息，主要包括DNS黑名单、恶意软件、病毒、恶意URL等威胁情报信息。

4.数据访问策略信息

该部分信息是企业围绕企业资源创建的数据访问属性、规则和策略的集合。这些规则可以在策略引擎中编码，也可以动态生成。这些安全策略是授予资源访问权的起始点，一般是基于用户角色和资源控制需求制定，为企业中的访问客体和应用程序提供基本访问权限。

5.企业公钥基础设施信息（PKI）

6.身份管理系统用户信息

该部分信息负责创建、存储和管理企业用户账号和身份记录信息。该系统包含必要的用户信息（如姓名、电子邮件地址、证书等）和其他的企业特征，如角色、访问属性或分配的系统。该系统通常利用其他系统（如上面的PKI）来处理与用户账户相关的构件。

7.安全事件分析和管理平台（SIEM）

收集组织的日志信息、采集节点网络流量等对安全事件进行监测和分析。

基于国内外场景需求、业务系统和网络环境等方面的差异，需要在上述零信任架构模型的基础上，结合公安业务系统的特点和场景，研究适合公安系统的零信任安全接入架构模型，围绕打造安全可信的网络应用环境，构建健康有序的网络秩序，提升用户业务访问体验和增强运维效能，构建以数字身份为中心的、基于密码和信任的安全支撑系统，提供统一和便捷的安全接入方式；面向人、机、物的安全防护体系，满足公安系统信息化建设提升要求，满足等级保护三级系统及关键信息基础设施安全管理要求。

三、零信任安全接入技术架构

本文提出的面向公安系统的零信任安全接入技术架构如图2所示，主要包括可信接入代理设备、可信代理控制服务平台、认证管理平台、权限管理平台、环境感知代理设备和环境感知分析平台。用户通过各类终端访问应用服务资源时，经可信接入代理设备进行认证授权，在二次鉴权后才能够访问应用服务资源，可信接入代理设备由可信代理控制服务平台统一管理和控制，进行动态安全策略的下发，使得各可信接入代理设备成为一个协同动态防御的整体，接收环境感知分析平台对用户信任度的分析评估结果，对接认证管理平台和权限管理平台用户认证和权限信息，进行用户权限的动态调整，与可信接入代理设备对接，实现用户权限的动态控制。

四、工作流程设计

本文提出的面向公安业务系统的零信任安全接入技术架构主要工作流程如下：（1）用户访问业务，首先通过环境感知代理进行终端认证，认证通过后接入中心下发控制策略到网关交换机，业务才可以通过交换机转发到可信接入代理；（2）可信接入代理接收到不带token的用户请求，将请求重定向到认证页面，认证管理平台对用户进行认证，认证通过后发送令牌到用户；（3）前置业务系统通过可信代理控制服务对用户进行二次应用鉴权，确认用户是否可以访问该应用，如果该用户有权限，则可信代理服务为前置应用发放针对该用户的应用token，并将请求报文发送至可信API代理；（4）可信API代理收到请求报文后，通过可信代理控制服务对用户请求进行鉴权，鉴权通过后，才可以把报文转发到后置业务系统；（5）环境感知代理对用户终端、服务器上的业务持续进行环境感知，环境感知服务汇总环境感知代理的感知信息；（6）环境感知服务接收环境感知代理的风险信息、网络安全设备的日志信息，对用户风险进行综合评估，将用户可信度发送到可信代理控制服务；（7）用户访问业务时，可信代理控制服务对用户进行认证，认证通过后将用户token提供给用户，用户带用户token继续访问应用，可信接入代理对用户访问该应用的权限发送到可信代理控制服务鉴权，如果鉴权成功，则将用户请求发送到应用；（8）可信代理控制服务根据接收到的用户风险信息，实时对用户的权限进行计算评估，当用户权限有变更时，发送变更信息到可信接入代理和可信API代理。

五、主要核心组件

（一）可信代理控制服务平台

该平台是整个架构模型的策略控制器中心，对接可信接入代理设备，将用户认证请求上传到认证管理平台和权限管理平台，对用户进行认证和鉴权；并在用户认证请求匹配其风险情况后，将权限下发到可信接入代理，实现动态安全控制策略的下发；对接环境感知系统，对用户的每一次访问行为进行综合信任风险评估；对接认证管理平台实现对用户的认证；对接权限管理平台，结合用户的风险指数，实现对用户的权限动态控制，实现权限最小化。

在本研究中HAE患者血清IgM抗体较正常对照组降低，而IgG和IgA则较正常对照组明显升高，考虑包虫在宿主体内长期寄生的过程中刺激机体产生强弱不等的免疫应答反应，随着包虫囊增大和包虫寄生数量的增多，抗体阳性率也随之变化[16]。在人体感染包虫后发生的免疫反应与疾病的性质和特点相关，这个特性提供了一个重要的优势，使得免疫系统针对特定群体的传染病病原体能够调整其防御策略。

（二）可信权限管理平台

提供统一用户可信权限管理，实现用户信息与账号的集中存储、全生命周期闭环管理，用户账号自动开通、变更和回收，同时对下游应用系统提供用户主数据服务供给，可信权限管理平台可以根据用户的安全风险等级，调整用户的访问权限。可信权限管理平台分为接口层、服务层和业务层，其中，接口层主要用于与外部服务的接口，主要的外部服务有可信代理控制服务平台、认证管理平台、其他用户源和应用业务系统；服务层主要用于对业务主体、业务客体提供服务，业务主体主要指用户，业务客体主要指业务应用；业务层主要进行实际的业务处理，如用户、机构和应用业务的管理，业务主体和客体之间的授权关系管理、用户访问权限的鉴权管理、权限审批、日志审计等。

（三）可信认证管理平台

为用户提供认证服务，与可信代理控制服务进行交互，对用户进行认证；通过和权限管理平台对接交互，实现信息的共享；通过接口和应用系统进行交互，实现对应用的单点登录、应用的多级认证。可信认证管理平台分接口层和业务层，接口层主要用于与外部服务的接口，主要的外部服务有可信代理控制服务、用户认证终端、权限管理平台、应用业务系统；业务层主要进行实际的业务处理，主要包含应用管理、认证因子管理、认证链、认证策略、单点登录、认证管理、日志审计。

（四）环境感知分析平台

主要是采集各类主体环境感知数据（包括系统环境、网络环境、软件环境、物理环境、用户行为、上下文信息等），将采集数据进行归类处理，进行大数据分析，构建各类AI模型，对用户/设备实体的资源访问行为进行分析，进行人物和资产风险画像，建立环境、用户和资产信任风险等级，据此对每次用户和设备的实体访问行为进行风险评估，并实时动态调整安全策略。

风险评估是零信任架构中的关键环节，风险评估的能力很大程度上决定着零信任安全解决方案的有效性，也是业界各厂商重点研究内容之一。如上所述，一方面，风险评估与场景环境密切相关，安全风险在不同场景下存在较大差异性。同一个方法在不同场景下分析效果不同，在不同的客户环境下存在不一致性，需要针对公安系统的业务场景、网络环境等依赖要素进行精细化设计，才能够取得比较好的效果。另一方面，借助人工智能来解决日益复杂的风险识别和评估也是当前技术演进发展的趋势，业界普遍期待使用更多、更实用的人工智能评估方法来提升风险评估的能力。鉴于机器学习对数据的高要求以及安全风险评估的低样本、低检出率，如何寻求更加适合的智能算法成为了一大挑战。

六、结语

零信任安全技术经过十多年的发展，已经逐步走向成熟。近年来，随着云计算、大数据、物联网、移动网络等场景应用广泛普及，传统的以物理网络边界构建的安全架构模型逐渐被新的软件定义边界的零信任模型所取代。本文基于零信任理念，结合公安业务系统长期实践经验和未来技术发展演进趋势，提出了以可信数字身份为中心的零信任安全接入架构模型，详细设计了零信任安全接入访问流程，分析了零信任安全接入架构模型涉及的核心组件及主要功能，更好地满足当前环境下公安业务系统访问控制的安全性要求，后续将结合具体实践效果，进一步完善整个技术架构模型，不断优化提高效率及安全性。