0 引言

随着信息技术的高速发展，计算机网络技术应用到了各个行业，网络的整体安全也日益重要。我国网络安全法的颁布更是将网络安全防护的重要性提升到了新的高度。面对网络上各种威胁攻击，传统网络安全防护主要是在区域边界部署防火墙、VPN网关等防护设备将内网与外网隔离，以构建网络安全防护体系的。在传统网络安全分区里，内网默认安全可信。但随着移动互联网、5G、云技术的发展，内外网的边界越来越模糊，黑客、木马、勒索等病毒在网络上可以轻易伪装成“合法身份”，对网络实施攻击，篡改、窃取甚至破坏数据及网络安全。

新疆地震行业网由中国地震局统一规划，自主建设。自建成以来，其承载着区域内所有业务运转，以满足各项地震业务需求。随着信息化建设的不断深入，网络结构不断变化、扩大，网络中信息资产数量基数较大，网络结构复杂。在原有网络分区分域管理模式下的网络安全防护构架有待优化，防护能力略显薄弱。特别是网络中身份欺骗、访问权滥用等安全隐患，传统防护方式对其起不到相应的作用。这些安全隐患，一旦在内网传播，传统防火墙、网关设备无法起到防护作用。为弥补传统安全防护中对身份识别验证的不足，作者引入零信任网络安全模型，加强网络访问中对访问主体的身份验证、授权。

1 新疆地震行业网的安全构架与现状 1.1 新疆地震行业网络构架概述

随着网络安全法的颁布，中国地震局下属单位的信息系统均要通过等级保护2.0的测评，在用的信息系统必须满足合规建设方可上线使用。目前，新疆维吾尔自治区地震局整体网络构架较完整（图 1），网络实行分区分域管理，网络中也部署了相应的安全防护设备。互联网和内网有DMZ缓冲隔离区。互联网与内网边界部署有防火墙、IPS、抗DDOS，在隔离区部署了IDS、上网行为管理、网络安全分析系统、漏洞扫描系统等安全设备。互联网远程办公采用VPN加密隧道连接到内网。但是各类安全设备联动不充分，设备基本上是单兵作战，综合防御能力有待加强。

1.2 终端安全和外网访问情况

目前，为保障地震行业网的终端安全，部署了终端安全管理系统对用户PC端进行安全防护。用户接入使用的VPN技术，通过VPN网关接入内网。区域地震行业内网的各个业务系统几乎均无障碍通信，故一旦用户或服务器受到攻击，攻击者很容易对区域网内其他服务器、系统发起攻击，而不会受到防火墙的检测和干扰。

1.3 边界安全

目前，区域地震行业网在边界上部署了边界防火墙，隔离互联网与地震行业网，以避免行业网私有地址暴露在互联网上。同时，及时更新防火墙AV、IPS、特征库，采用“白名单”机制以外的全部deny策略。VPN网关实现外网访问内网的加密隧道。随着移动互联网技术的广泛应用，野外作业人员需要访问内网，这使得进入网内的入口增多。而用户接入越多，网络暴露风险越大，网络边界越模糊，安全隐患就越多。

1.4 应用安全

目前，针对常用应用安全，均以用户的基础身份和访问控制口令来实现对内网应用系统、数据的控制。即用户只要有1个用户名和密码即可获得访问权限。普遍情况下，多数用户的用户名、口令复杂度不达标。如前所述，只要用户获得外网进入内网的VPN账号密码即可进入内网，便可在网内畅通无阻。面对地震行业网多样化的业务、平台、设备、用户之间的流动，很难通过传统边界防护实现灵活、动态的访问控制需求。再如特权账号，一旦网络超级管理员口令泄露，引发的违规、恶意操作会给区域地震行业网的业务数据安全带来巨大隐患。

综上所述，目前新疆地震行业网络安全构架中，存在访问权限范围过大、访问主体身份验证不够等网络安全访问控制方面的不足。近年来，基于零信任的网络安全模型得到广泛应用（李欢欢，2021）。基于该模型，在网络的任何位置，网内任何一个访问主体（用户、设备、信息系统、软件、数据库、APP等）每次访问时都需要通过持续的身份验证及访问授权来构建动态访问信任，这是对传统网络安全模型中的特权用户、“信任区域”等访问主体身份验证的补充。

2 零信任网络构架及常用部署方式概述 2.1 零信任

零信任理念的提出为网络构架开辟了新思路。零信任不再默认信任物理边界的任何主体，而是始终验证用户身份和设备的合理性、一致性、合规性，在授予访问权限前验证所有尝试连接到网络资产的事物，并在整个连接期间对会话进行持续评估。零信任打破了传统网络边界防护思想，其核心思想是“从不信任，始终在验证”（马春亮，2022；诸葛程晨等，2022），认为网络中不存在可信区域，任何用户、设备、网络流量在访问业务数据时都需要进行实时监测。

2.2 零信任网络构架

零信任网络基于5个假设（埃文·吉尔曼等，2022）：①网络时刻处于危险环境中；②无论内网还是外网位置都时刻存在网络安全威胁；③网络中的位置不能决定网络的可信度；④网络中所有的主体（包括用户、设备、信息系统、软件、数据库等）都应当经过认证和授权；⑤安全策略必须是动态的。即，验证用户、验证设备、合理的访问规则与权限控制，以及配套的动态机制。

零信任网络实施原则是先验证再连接。零信任网络构架中建立信任的平面与传输实际数据平面分离；隐藏网络中的服务器、数据库均为“不可见”，丢弃所有未授权数据包并将它们用于记录和流量分析；在访问受保护前，必须通过用户、设备的身份验证和授权，只有通过信任评估才可访问目标（图 2）。

零信任网络安全构架（图 3）主要以身份验证为核心、业务安全访问为目的，对访问请求做可持续信任评估且做动态访问控制来优化现有网络安全构架中的不足。身份是网络中的所有用户、网络资产、程序、应用系统等数字身份的唯一标识。基于数字身份，可为用户、资产、程序、业务系统等物理实体建立统一的身份标识和管理控制流程。为保障业务的访问安全，数字身份是持续验证的对象，对于所有的业务访问请求身份都要被认证、授权、加密。

2.3 零信任网络部署方式

目前，云安全联盟CSA的零信任标准规范中对零信任网络构架给出了6种部署模式建议：①客户端—网关模式。零信任网关可保护1个或多个服务器，无论底层网络拓扑如何，客户端与网关之间的连接都是安全的。网关既可以主要位于客户端的同一网络，又可以跨区域分布。②客户端—服务器端模式。该模式将服务和网关组合在1个主机上，客户端可以位于服务器上的相同位置，也可以是分布式的，适用于将应用程序迁移到云的企业，无论服务器位于何处（本地或云），企业都可以完全控制与应用程序之间的连接。③服务器—服务器模式。适用于物联网和虚拟机环境，无论底层网络或基础结构如何，都可确保服务器之间的所有连接加密。④客户端—服务器—客户端模式。该模式服务器和零信任网络使用相同的网关。网关与服务器之间的安全连接模式由服务器上的应用程序或服务器的所有者控制，适用于将应用程序迁移到云的企业。⑤客户端—网关—客户端模式。该模式实现了客户端之间的逻辑连接，零信任网关充当客户端之间的防火墙。⑥网关—网关模式。该模式适用于某些物联网，该模式下零信任网关可作为防火墙，也可作为路由器或代理（陈本峰等，2021）。

根据各个部署模式及试用场景建议，为充分保障现有业务不受任何影响，不改变现有网络结构，笔者在测试研究新疆零信任安全模型时选用客户端—网关模式。零信任网关部署在现有网络的内网区域（图 4）。

为了方便部署，在客户端—网关模式下直接将零信任网关置于内网区域，该连接对网内所有资源可达。部署零信任网关后，不仅可代理远外部用户访问，还可代理内网区用户访问。所有访问必须经过零信任的安全评估，以实现动态的访问控制。

3 新疆地震行业网零信任网络安全模型初步设计

随着新疆地震行业业务不断发展，应用服务增加，资源配置增多。人员不仅需要远程办公，还需要不断访问相应的业务系统、应用。网络资产的频繁增加及业务扩大、移动互联网技术的应用，新疆地震行业网的安全保护边界越来越模糊，安全防护策略的要求更加复杂。基于网络构架基本稳定、满足业务需求和网络安全防护要求的考虑，改变现有网络构架难度较大，成本较高，设计应用零信任网络安全模型（图 5），既不需改变现有网络结构，又可加强访问控制，可以有效提升新疆地震行业网络风险防范能力。

3.1 身份数字化

建立统一的数字身份库。将与新疆地震行业网的物理网络系统相关的所有人员、设备、程序、应用系统、接口等全面身份数字化，并赋予相应的身份属性，属性的核心包括身份、账号、权限。梳理关联业务、系统账号与身份间的属主关系，控制各个账号的权限分配，作最小权限设置（张泽洲等，2021）。将相应的数字身份信息——新疆地震行业网用户信息、访问设备主机信息、访问业务系统的行为特征、用户权限等都作为身份验证的目标，从身份、账号、权限等方面评价访问主体的可信度。

3.2 身份管理和授权

将新疆地震行业网中真实的物理实体数字身份作为网络中唯一权威的身份源，这包括但不限于用户、硬件设备、软件、应用系统、数据库、APP等，将IP作为网络数字身份。

对数字身份分配账号、密码，再根据实际业务需求赋予访问主体、客体最小访问权限。如授权地震台网的用户和服务器仅可以访问测震业务系统、自动编目系统等相关业务；对于地球物理台网用户，仅授权访问前兆业务系统；对于流体业务人员，仅授权访问流体业务系统。身份的物理实体会获得相应的账号和访问资源权限。身份认证由验证账号密码来控制，信任评估则可以根据该身份被分配的可访问资源集来实施。授权表现为有访问权限的资源给与验证通过，没有访问权限资源不给予授权，直接拒绝连接。

3.3 新疆地震行业网零信任模型应用测试

通过实际的零信任网关部署，完成数字身份授权工作，根据现有业务，作实际业务测试。零信任控制网关直接部署于内网并直连在内网交换机上。配置好网关，全网可达，使用用户端直接安装客户端。设置测试用户，分配相应权限。用户无论在内网区域还是在互联网访问业务系统或服务器时，应先通过零信任网关。用户请求通过零信任网关身份控制引擎的验证、审计、评估后，得到控制平台的授权确认，才可连接到网内相应的目标服务器或系统。

在测试过程中，分别从内网和互联网作了访问申请，均得到了相同的零信任网关代理访问机制的反馈。在内网登录客户端请求访问服务器资源时，通过路由寻址发现，用户请求时所用终端的“唯一数字身份”即IP地址与终端的实际IP地址不同，说明零信任网关代理了访问请求主体。测试访问授权时，在内网登录客户端，使用测试用户A去访问授权以外的服务器、业务资源均不成功。以上测试说明用户对零信任网关发出请求，通过验证后，后续访问直接由零信任网关代理服务器去访问目标客体。非授权身份在访问控制、评估时验证失败，策略引擎访问权限评估则不通过，该访问就无法进行。

4 零信任网络优势及可能存在的风险点 4.1 安全性高于VPN

传统VPN访问只作通信安全加密。获得授权的用户被认为是安全的，不再作访问控制，所有的内网设备、资源对VPN用户均可见、放行。即使不是授权访问客体，也对VPN用户可见。零信任网关的访问控制，通过评估、验证后，对资源的访问由零信任网关作代理完成，具体的访问主体对零信任非授权资源都不可见，这有效保护了网内信息资产的安全。而VPN连接成功后，在内网可畅通无阻，连接进网后所有设备相互可见，这常成为外网进内网的风险点。

4.2 补充传统边界安全模型以外的访问策略

传统安全边界策略根据安全域、源目地址、端口、服务设置策略“允许”“拒绝”来实现准入网络边界。零信任补充边界采用内访问策略，在测试中即使内网网络可达的服务器，也需要授权访问。对身份欺骗一类的访问对象加强校验，可以有效查缺补漏。在零信任网络访问控制中，用户的访问控制策略将不再是一成不变的，而是基于用户的身份验证和权限重建的双重访问控制。对接入对象的多维度信息作出实时判断，即授权的时效性可持续评估判断当前接入对象的危险性。对控制策略和应用访问权限进行实时调整，以应对可能出现的网络攻击(李欢欢，2021)。如根据用户登录归属地、登录时间间距，从时间、空间上来评估访问主体的可信度。访问控制策略具有动态性，并且应尽可能多地从资源中提取特征，根据应用、系统安全属性、时间、地点、历史行为等计算、评估访问主体，为访问主体分配最低的访问权限。

4.3 零信任可能存在的风险点

零信任的访问代理机制能有效缩小网络攻击面。但一些来自人为因素的风险是无法规避的。如访问策略是否定义正确、准入的策略过于宽泛、授权用户对网络资源的恶意访问等。查阅现有较广泛应用零信任的案例中获悉零信任也可能受到大规模DDos攻击的影响。这些不足也充分说明，网络安全防护工作中，没有任何一个防护设备是坚不可摧的，管理好使用设备的运维人员，综合各类防护设备的优势功能，才能较好地应对网络安全风险。

感谢审稿专家提出宝贵建议，感谢王卓老师对研究设计方案的建议。