【零信任架構(gòu)在網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用實(shí)例分析9100字（論文）】

零信任架構(gòu)在網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用實(shí)例分析目錄TOC\o"1-2"\h\u6244引言 119551新疆地震行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析 2298271.1人為因素 2115111.2網(wǎng)絡(luò)軟件因素 3147382零信任安全 362212.1零信任的出現(xiàn) 3151472.2零信任網(wǎng)絡(luò)的提出 3285033.基于零信任地震行業(yè)網(wǎng)絡(luò)SDP的構(gòu)建設(shè)計(jì) 4119493.1零信任的技術(shù)方案與實(shí)踐特點(diǎn) 416733.2實(shí)踐零信任的技術(shù)架構(gòu) 42693.3SDP的構(gòu)建設(shè)計(jì) 5414.SDP在新疆地震系統(tǒng)網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用效果 961614.1安全通道 9115394.2環(huán)境感知 9170364.3網(wǎng)絡(luò)隱身 1011724.4權(quán)限管控 11305475結(jié)論 12摘要：本文分析了現(xiàn)階段新疆地震系統(tǒng)網(wǎng)絡(luò)安全中使用的保護(hù)模型的特點(diǎn)。結(jié)合新疆地震系統(tǒng)工作實(shí)際，考慮到該模型在安全防護(hù)方面的缺陷，提出了基于零信任安全架構(gòu)的網(wǎng)絡(luò)安全防護(hù)。結(jié)合零信任訪問(wèn)控制系統(tǒng)實(shí)際應(yīng)用效果的模型，探討了基于零信任架構(gòu)的訪問(wèn)控制系統(tǒng)在新疆地震系統(tǒng)網(wǎng)絡(luò)安全防護(hù)中應(yīng)用的優(yōu)勢(shì)及存在的價(jià)值，及未來(lái)的發(fā)展趨勢(shì)，其次為行業(yè)中網(wǎng)絡(luò)安全防護(hù)提供一種新的思路。關(guān)鍵詞：零信任；地震系統(tǒng)；網(wǎng)絡(luò)安全引言傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)基于邊界建立防護(hù)體系，使用單一物理邊界將網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng)，且默認(rèn)認(rèn)為內(nèi)網(wǎng)中的人、設(shè)備、系統(tǒng)、應(yīng)用是可信任的。然而，對(duì)內(nèi)網(wǎng)的過(guò)度信任已經(jīng)成為當(dāng)前安全問(wèn)題大量爆發(fā)的根源，比如賬號(hào)被盜用或內(nèi)鬼導(dǎo)致大量敏感信息泄露，比如攻擊在內(nèi)部橫向擴(kuò)散等問(wèn)題。傳統(tǒng)基于邊界的信息安全防御體系逐漸失效，亟待新的方法來(lái)構(gòu)建網(wǎng)絡(luò)信任。隨著云計(jì)算和移動(dòng)互聯(lián)網(wǎng)的發(fā)展，基于邊界防御的傳統(tǒng)業(yè)務(wù)安全模型已經(jīng)不能適應(yīng)需求，被軟件定義邊界（SoftwareDefinedPerimeter，或SDP）安全模型所取代。本文主要研究基于零信任理論的SDP解決方案及其在新疆地震網(wǎng)絡(luò)信息系統(tǒng)中的安全防護(hù)應(yīng)用。在研究課題的創(chuàng)新性方面，在IT架構(gòu)從“有邊界”向“無(wú)邊界”演進(jìn)的背景下，基于零信任安全進(jìn)行治理的新興理念，為新疆地震網(wǎng)絡(luò)信息系統(tǒng)安全防護(hù)提供了新的解決方案——軟件定義邊界（SDP）。1新疆地震行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析經(jīng)過(guò)“十五”中國(guó)數(shù)字地震觀測(cè)網(wǎng)絡(luò)項(xiàng)目及“十一五”新疆地震局安全基礎(chǔ)工程項(xiàng)目的建設(shè)，新疆地震局已經(jīng)建成了一套服務(wù)于轄區(qū)內(nèi)的地震行業(yè)信息網(wǎng)絡(luò)系統(tǒng)[1]。目前新疆地震系統(tǒng)的網(wǎng)絡(luò)安全體系是按照傳統(tǒng)的網(wǎng)絡(luò)邊界防護(hù)架構(gòu)建設(shè)的，并根據(jù)設(shè)備在網(wǎng)絡(luò)中的物理位置，把網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)、外網(wǎng)、DMZ等不同區(qū)域，在各個(gè)區(qū)域之間通過(guò)部署防火墻、IPS、WAF等網(wǎng)絡(luò)安全設(shè)備對(duì)網(wǎng)絡(luò)邊界進(jìn)行防護(hù)。再結(jié)合安全態(tài)勢(shì)感知系統(tǒng)、行為管理系統(tǒng)、科來(lái)全流量系統(tǒng)等安全設(shè)備形成了目前的防護(hù)體系結(jié)構(gòu)。新疆地震行業(yè)網(wǎng)絡(luò)是新疆地震觀測(cè)網(wǎng)的基礎(chǔ)支撐平臺(tái)，其主要任務(wù)是為地震及相關(guān)行業(yè)提供數(shù)據(jù)和信息服務(wù)，為政府部門做出重要決策提供信息支持[2]。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，互聯(lián)網(wǎng)上的未經(jīng)授權(quán)的信息、非法入侵、系統(tǒng)漏洞、病毒等對(duì)地震信息服務(wù)系統(tǒng)構(gòu)成了重大威脅，地震網(wǎng)絡(luò)的安全要求越來(lái)越高。因此，地震系統(tǒng)網(wǎng)絡(luò)安全建設(shè)成為各級(jí)領(lǐng)導(dǎo)和相關(guān)專家學(xué)者都非常重視的問(wèn)題。本文，對(duì)新疆地震行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行分析。以目前運(yùn)行的新疆地震局信息網(wǎng)絡(luò)系統(tǒng)為研究平臺(tái)，圍繞新疆地震系統(tǒng)網(wǎng)絡(luò)運(yùn)行的特殊需求，分析潛在的安全風(fēng)險(xiǎn)，總結(jié)網(wǎng)絡(luò)安全隱患，一些常見的網(wǎng)絡(luò)突發(fā)事件，主要分為兩大類：1.1人為因素人為因素也分為無(wú)意失誤和惡意攻擊。例如，不正確的操作員安全配置造成安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶密碼選擇不慎，用戶賬號(hào)被轉(zhuǎn)借或與其他用戶共享等[3]。人為惡意攻擊：這是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的主要威脅，可分為兩種類型：第一種是主動(dòng)攻擊，它以各種方式選擇性地破壞信息的有效性和完整性。另一種是被動(dòng)攻擊。它在不影響網(wǎng)絡(luò)正常運(yùn)行的情況下攔截、竊取和解密敏感信息。閆民正（2011）[4]以山西地震網(wǎng)絡(luò)系統(tǒng)為對(duì)象指出，該網(wǎng)絡(luò)安全目前存在網(wǎng)絡(luò)安全域劃分不夠細(xì)致、缺乏網(wǎng)絡(luò)安全構(gòu)建，沒(méi)有充分利用已部署的安全性服務(wù)。并針對(duì)以上問(wèn)題提出相關(guān)意見。戴麗金（2021）以福建地震網(wǎng)絡(luò)為研究對(duì)象，研究發(fā)現(xiàn)其存在用戶網(wǎng)絡(luò)安全意識(shí)不足，基礎(chǔ)設(shè)施差，安全管理規(guī)制不完善，缺乏人才隊(duì)伍等問(wèn)題，并從加強(qiáng)全系統(tǒng)網(wǎng)絡(luò)安全意識(shí)、計(jì)算機(jī)網(wǎng)絡(luò)安全管理策略、網(wǎng)絡(luò)安全技術(shù)保障等三個(gè)方面提出意見[5-6]。1.2網(wǎng)絡(luò)軟件因素網(wǎng)絡(luò)軟件并非百分百完善，有部分缺陷屬于軟件待更新的常態(tài)。而這些缺陷一旦被發(fā)現(xiàn)就會(huì)成為黑客攻擊的第一個(gè)目標(biāo)?，F(xiàn)實(shí)中發(fā)生的大部分黑客事件都是利用軟件漏洞進(jìn)行的。而且軟件“后門”是軟件公司設(shè)計(jì)人員和程序員為了方便設(shè)置的，一般外人不知道，一旦被打開將會(huì)造成及其嚴(yán)重的后果（陳述新2009）[7]。根據(jù)其他學(xué)者相關(guān)研究，新疆地震行業(yè)網(wǎng)絡(luò)信息安全還存在惡意入侵、病毒感染、用戶信息安全意識(shí)低、安全設(shè)備保護(hù)不足、地震行業(yè)網(wǎng)絡(luò)安全體系不完善（學(xué)峰，2020）等問(wèn)題[8]。2零信任安全2.1零信任的出現(xiàn)IT基礎(chǔ)設(shè)施云化、容器化，以及隨著業(yè)務(wù)上云和微服務(wù)的興起，傳統(tǒng)以安全域劃分、邊界防護(hù)的理念越來(lái)越受到懷疑。隨著大數(shù)據(jù)浪潮的發(fā)展，數(shù)據(jù)趨向集中，且應(yīng)用互通，訪問(wèn)路徑多，人員混雜，一個(gè)應(yīng)用出現(xiàn)問(wèn)題就會(huì)產(chǎn)生廣泛的潛在威脅。而違規(guī)訪問(wèn)、數(shù)據(jù)泄露、數(shù)據(jù)竊取成為當(dāng)前的主要威脅，傳統(tǒng)的基于信任的訪問(wèn)控制無(wú)法有效緩解數(shù)據(jù)風(fēng)險(xiǎn)。2.2零信任網(wǎng)絡(luò)的提出2010年，約翰·金德維格提出了零信任網(wǎng)絡(luò)(亦稱零信任架構(gòu))的設(shè)計(jì)模型。零信任本質(zhì)是一種安全治理的理念，其核心內(nèi)涵是企業(yè)不應(yīng)未經(jīng)驗(yàn)證就信任內(nèi)部或外部的任何人、事、物，而是永不信任、始終驗(yàn)證，并在賦予訪問(wèn)、使用權(quán)限前，對(duì)任何試圖接入網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的人、事、物進(jìn)行驗(yàn)證。簡(jiǎn)言之，零信任的策略就是不相信任何人。除非已經(jīng)明確了解接入者的身份，否則任何人都不能接入。經(jīng)過(guò)多年發(fā)展，零信任網(wǎng)絡(luò)安全技術(shù)逐漸成為行業(yè)主流，隨著企業(yè)區(qū)域邊界、通信網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)安全的防護(hù)壓力顯著增大，而網(wǎng)絡(luò)攻擊又變得更加復(fù)雜多樣，零信任安全也有了更加廣闊的用武之地。Forrester指出，零信任將在未來(lái)3年之內(nèi)發(fā)展成為網(wǎng)絡(luò)安全盛行的標(biāo)準(zhǔn)框架之一。3.基于零信任地震行業(yè)網(wǎng)絡(luò)SDP的構(gòu)建設(shè)計(jì)3.1零信任的技術(shù)方案與實(shí)踐特點(diǎn)零信任架構(gòu)重新評(píng)估和探索了傳統(tǒng)的外圍安全架構(gòu)，并提供了新的想法。假設(shè)外部和內(nèi)部威脅在網(wǎng)絡(luò)中無(wú)處不在，信任和授權(quán)不能僅僅基于網(wǎng)絡(luò)的位置[9]。網(wǎng)絡(luò)內(nèi)外的人、設(shè)備、系統(tǒng)等都是不可信的，通過(guò)認(rèn)證授權(quán)恢復(fù)訪問(wèn)通道。在此基礎(chǔ)上，訪問(wèn)控制策略也應(yīng)該動(dòng)態(tài)且持續(xù)地驗(yàn)證。零信任顛覆了傳統(tǒng)的了訪問(wèn)控制范式，將網(wǎng)絡(luò)安全架構(gòu)從“網(wǎng)絡(luò)中心化”轉(zhuǎn)變?yōu)椤吧矸葜行幕薄?.2實(shí)踐零信任的技術(shù)架構(gòu)3.2.1零信任安全模型《計(jì)算機(jī)與網(wǎng)絡(luò)》2020年發(fā)布了“實(shí)現(xiàn)零信任安全模型的4種方法”，就達(dá)到零信任所需的安全級(jí)別，給出了物理安全、邏輯安全、流程和第三方認(rèn)證四個(gè)維度的模型。在物理安全方面，構(gòu)成第一層防御，物理數(shù)據(jù)中心（無(wú)論是在本地還是在云中），依然是數(shù)據(jù)的核心，需要給與足夠的關(guān)注和重視，既包括人員進(jìn)出、業(yè)務(wù)訪問(wèn)的控制，也包括供電、供水和滅火等措施的保障。在邏輯安全方面，對(duì)于網(wǎng)絡(luò)、存儲(chǔ)和程序管理層，每一層中提供充分的安全保障，確保邏輯安全策略得當(dāng)[10]。在流程方面，對(duì)于員工背景核查、安全管理制度培訓(xùn)、定期的審查詢問(wèn)，以及對(duì)關(guān)鍵基礎(chǔ)設(shè)施的滲透測(cè)試，以及對(duì)業(yè)務(wù)系統(tǒng)的定期補(bǔ)丁計(jì)劃，都是保障流程正確的核心。最后，通過(guò)第三方認(rèn)證可以保障客觀性，但也不能對(duì)第三方的驗(yàn)證盲目夸大。3.2.2如何實(shí)現(xiàn)零信任安全零信任安全架構(gòu)如圖1所示：圖1零信任安全架構(gòu)圖零信任安全的本質(zhì)是收回安全控制權(quán)，跨部門應(yīng)用網(wǎng)絡(luò)隔離，驗(yàn)證網(wǎng)絡(luò)訪問(wèn)對(duì)象的身份、位置和時(shí)間，實(shí)施深度控制。零信任依賴多因素認(rèn)證、IAM認(rèn)證管理、規(guī)則編排、策略分析、通信加密、安全評(píng)估、文件系統(tǒng)權(quán)限等技術(shù)來(lái)實(shí)現(xiàn)上述目標(biāo)[11]。構(gòu)建零信任環(huán)境可以參考五個(gè)步驟，具體是界定保護(hù)表面范圍、記錄事務(wù)流量、構(gòu)建零信任IT網(wǎng)絡(luò)、創(chuàng)建零信任安全策略、監(jiān)控和維護(hù)網(wǎng)絡(luò)，以及構(gòu)建零信任框架可能不一定需要完整的技術(shù)變革，但它是一種可控迭代的方法。將對(duì)用戶和業(yè)務(wù)系統(tǒng)的干擾降到最低，并保障獲得最佳效果。3.3SDP的構(gòu)建設(shè)計(jì)3.3.1SDP安全思路在過(guò)去，地震行業(yè)網(wǎng)絡(luò)的服務(wù)器和辦公設(shè)備都在內(nèi)網(wǎng)，安全建設(shè)類似古代的“城堡式”防御。傳統(tǒng)安全“以墻為中心”，是基于防火墻的物理邊界防御。在未來(lái)，隨著信息流通性與地震監(jiān)測(cè)活動(dòng)需要，不再嚴(yán)格區(qū)分內(nèi)網(wǎng)和外網(wǎng)，無(wú)論應(yīng)用服務(wù)器在哪里，無(wú)論地震局專家學(xué)者、工作人員在什么時(shí)間、什么地點(diǎn)、使用什么設(shè)備，都能安全訪問(wèn)地震行業(yè)網(wǎng)絡(luò)權(quán)限內(nèi)的數(shù)據(jù)。新一代安全以人（身份）為中心，基于“零信任”安全治理理念的軟件定義邊界(SDP)應(yīng)運(yùn)而生。首先要拋棄傳統(tǒng)的邊界觀念，不再依據(jù)地震行業(yè)專家學(xué)者或者是地震行業(yè)網(wǎng)絡(luò)使用者所處的網(wǎng)絡(luò)位置而決定這個(gè)人是否可信。取而代之的是對(duì)每個(gè)請(qǐng)求都進(jìn)行嚴(yán)格驗(yàn)證。信任建立起來(lái)之前，網(wǎng)絡(luò)上的任何資源都是隱身的。未授權(quán)用戶和設(shè)備是隔離的。完全看不到地震信息網(wǎng)絡(luò)上的任何東西。SDP安全思路驗(yàn)證過(guò)程包括人的因素和設(shè)備的因素。人的因素包括驗(yàn)證用戶的身份，看看他的身份是不是真的。和驗(yàn)證用戶是不是有授權(quán)，看看他是否被允許訪問(wèn)地震行業(yè)網(wǎng)絡(luò)的資源。除此之外，還要了解用戶是否使用了合法的設(shè)備，設(shè)備是否未被攻陷，是否是地震行業(yè)網(wǎng)絡(luò)所允許的。通過(guò)對(duì)用戶使用的設(shè)備進(jìn)行驗(yàn)證，可以避免將敏感地震、地質(zhì)數(shù)據(jù)暴露給被攻陷的設(shè)備，并避免被該設(shè)備橫向攻擊網(wǎng)絡(luò)上的其他臺(tái)站節(jié)點(diǎn)網(wǎng)絡(luò)。一旦通過(guò)了驗(yàn)證過(guò)程，就建立了信任。用戶就可以訪問(wèn)到請(qǐng)求的地震數(shù)據(jù)資源了。當(dāng)然其它未授權(quán)訪問(wèn)的資源還是隱身的。因?yàn)榱阈湃问墙⒃诎葱枋跈?quán)的理念之上的。某一用戶只能訪問(wèn)自己需要的資源，其它的都不行。除非用戶發(fā)起新的請(qǐng)求，并通過(guò)同樣的驗(yàn)證和授權(quán)過(guò)程。在零信任安全模型中，對(duì)用戶的訪問(wèn)進(jìn)行動(dòng)態(tài)驗(yàn)證，并且持續(xù)進(jìn)行。這意味著合法用戶被攻陷后，設(shè)備驗(yàn)證會(huì)立即報(bào)錯(cuò)。他們對(duì)資源的訪問(wèn)將立即被切斷，不安全設(shè)備和其它資源之間的連接也會(huì)立即被切斷，以避免數(shù)據(jù)泄露和橫向攻擊。3.3.2SDP安全模型與三大組件基于零信任安全治理理念，國(guó)際云安全聯(lián)盟CSA提出了新一代網(wǎng)絡(luò)架構(gòu)SDP，根據(jù)CSA標(biāo)準(zhǔn)，SDP安全模型的實(shí)現(xiàn)由三個(gè)部分組成：（1）SDP客戶端（Client）（2）SDP應(yīng)用網(wǎng)關(guān)（Gateway）（3）SDP安全大腦（Controller）圖2軟件定義邊界（SDP）技術(shù)架構(gòu)如圖2所展示的架構(gòu)，SDPController（SDP管控平臺(tái)）是SDP的大腦，當(dāng)業(yè)務(wù)發(fā)生時(shí)，在資源和用戶之間建立細(xì)粒度和動(dòng)態(tài)的“業(yè)務(wù)訪問(wèn)通道”。與傳統(tǒng)的VPN隧道不同，SDP隧道是根據(jù)業(yè)務(wù)需求創(chuàng)建的。簡(jiǎn)而言之，這就是單包單服務(wù)訪問(wèn)控制。SDP控制器建立的訪問(wèn)規(guī)則只能被授權(quán)的用戶和服務(wù)訪問(wèn)，密鑰和策略也是動(dòng)態(tài)的和一次性的。（1）SDP客戶端通常是安裝在用戶終端上的一個(gè)軟件，他的功能非常廣泛，包括設(shè)備驗(yàn)證，和SDP網(wǎng)關(guān)建立隧道等。設(shè)備驗(yàn)證通常包括員工UEBA(用戶行為分析)，EDR（終端檢測(cè)響應(yīng)）等功能。以檢測(cè)設(shè)備是否為行為異常，或已被攻陷。如注冊(cè)表更改，異常的網(wǎng)絡(luò)流量和其它被攻陷的典型行為特征等。（2）SDP應(yīng)用網(wǎng)關(guān)對(duì)所有業(yè)務(wù)系統(tǒng)的訪問(wèn)進(jìn)行驗(yàn)證和過(guò)濾，對(duì)安全應(yīng)用進(jìn)行發(fā)布。它不提供與外界的可見性和連接性，只有在端點(diǎn)被證明可靠后才能建立連接，只能通過(guò)合法流量，這樣基本上可以防止所有基于網(wǎng)絡(luò)的攻擊。（3）SDP管控平臺(tái)(控制器)SDP控制器可以充當(dāng)客戶端和后端資源之間的信任協(xié)調(diào)人，控制器先與你的IDM（用戶身份管理）系統(tǒng)對(duì)接，以便對(duì)用戶的各類請(qǐng)求進(jìn)行身份校驗(yàn)和授權(quán)驗(yàn)證?？刂破骺梢酝ㄟ^(guò)PKI，OpenID，SAML或者AD等方式進(jìn)行身份驗(yàn)證，控制器還有一個(gè)CA證書，用于建立客戶端和后端資源之間的加密隧道，這里的關(guān)鍵是控制器只為客戶端請(qǐng)求的被授權(quán)的特定資源提供訪問(wèn)權(quán)限。3.3.3SDP安全技術(shù)特征地震行業(yè)網(wǎng)絡(luò)安全需要實(shí)現(xiàn)有效監(jiān)控和過(guò)濾從Internet進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)，有效控制對(duì)內(nèi)部網(wǎng)絡(luò)的所有訪問(wèn)，研究員或者其他訪問(wèn)者從Internet進(jìn)入內(nèi)部網(wǎng)絡(luò)的用戶通信需要加密。所有的網(wǎng)絡(luò)訪問(wèn)行為都可以被記錄和審計(jì)，未經(jīng)授權(quán)的訪問(wèn)可以被警告和阻止，應(yīng)用系統(tǒng)平臺(tái)和數(shù)據(jù)可以被有效備份，以應(yīng)對(duì)災(zāi)難風(fēng)險(xiǎn)，用戶身份認(rèn)證等幾個(gè)目標(biāo)。而基于零信任架構(gòu)SDP安全技術(shù)特征完全符合要求。（1）防止數(shù)據(jù)泄露通過(guò)部署SDP，可以將防護(hù)等級(jí)高的應(yīng)用程序與核心區(qū)的其他應(yīng)用程序隔離開，并與整個(gè)網(wǎng)絡(luò)中的未授權(quán)用戶進(jìn)行隔離，通過(guò)最小訪問(wèn)權(quán)限的安全管控機(jī)制，減少攻擊面，通過(guò)層層授權(quán)和驗(yàn)證，可以有效減少數(shù)據(jù)泄露。（2）弱身份、密碼與訪問(wèn)管理相對(duì)于VPN來(lái)說(shuō)，SDP大大提升了對(duì)于弱身份、密碼與訪問(wèn)管理的系統(tǒng)性安全管理能力，包括通過(guò)授權(quán)驗(yàn)證。可以通過(guò)有效的策略選擇，阻止非權(quán)限者進(jìn)入地震行業(yè)網(wǎng)內(nèi)部網(wǎng)絡(luò)。從Internet中進(jìn)入地震行業(yè)網(wǎng)的用戶可以通過(guò)權(quán)限進(jìn)行有效分類。即可以分為普通訪問(wèn)者或權(quán)限者。對(duì)訪問(wèn)者經(jīng)過(guò)認(rèn)證和驗(yàn)證，沒(méi)有用戶權(quán)限的訪問(wèn)者被拒絕訪問(wèn)內(nèi)網(wǎng)。還可以可以將地震行業(yè)網(wǎng)內(nèi)部按照應(yīng)用系統(tǒng)邏輯劃分為幾個(gè)子網(wǎng)系統(tǒng)。換句話說(shuō)，它在技術(shù)上提供了一個(gè)虛擬系統(tǒng)分區(qū)，對(duì)僅有本分區(qū)權(quán)限的訪問(wèn)者開放本分區(qū)資源，并且進(jìn)行強(qiáng)驗(yàn)證，從而避免只有一個(gè)權(quán)限的訪問(wèn)者對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行廣泛滲透。（3）阻止不安全的界面和API通過(guò)SDP，可以有效阻止用戶UI被未授權(quán)的用戶連接和訪問(wèn)，未經(jīng)授權(quán)的用戶（或潛在攻擊者）無(wú)法訪問(wèn)到需要授權(quán)的界面，也就沒(méi)有漏洞可供利用。SDP還可以實(shí)現(xiàn)運(yùn)行在用戶設(shè)備上的進(jìn)程來(lái)保護(hù)API。（5）系統(tǒng)和應(yīng)用程序漏洞SDP通過(guò)預(yù)授權(quán)和層層防御，可以減少系統(tǒng)和應(yīng)用程序暴露面，隱藏系統(tǒng)和應(yīng)用程序的漏洞，降低被攻擊者發(fā)現(xiàn)的風(fēng)險(xiǎn)。(5)賬號(hào)劫持SDP系統(tǒng)完全避免了基于會(huì)話cookie的帳戶劫持，只有被預(yù)驗(yàn)證和預(yù)授權(quán)，并且匹配SPA數(shù)據(jù)包的連接請(qǐng)求，才會(huì)被應(yīng)用服務(wù)器所允許，攜帶被劫持的會(huì)話cookie網(wǎng)絡(luò)連接請(qǐng)求，會(huì)被SDP網(wǎng)關(guān)拒絕。（6）內(nèi)部惡意人員威脅SDP系統(tǒng)支持策略配置，對(duì)訪問(wèn)用戶的權(quán)限可以做到細(xì)粒度的管理，從而避免非授權(quán)用戶訪問(wèn)或使用其權(quán)限外的應(yīng)用，將所有其他資源都隱藏并隔離開，從而有效防范內(nèi)部惡意人員威脅。（7）高級(jí)持續(xù)威脅攻擊（APTS）APTS攻擊具有復(fù)雜、持續(xù)、多方位的特性，如果僅依靠單一的安全防御措施很難阻斷。而在SDP網(wǎng)絡(luò)架構(gòu)下，可以對(duì)受感染終端尋找網(wǎng)絡(luò)目標(biāo)的行為進(jìn)行阻斷，并且通過(guò)多因子認(rèn)證的方式，能大大縮小資產(chǎn)暴露面，從而降低了APT的危害。（8）數(shù)據(jù)丟失通過(guò)采取最小權(quán)限原則，并對(duì)未授權(quán)用戶隱藏網(wǎng)絡(luò)資源，從而大大減少數(shù)據(jù)丟失的發(fā)生概率。通過(guò)引入DLP解決方案，SDP可以提升數(shù)據(jù)丟失的防護(hù)能力。4.SDP在新疆地震系統(tǒng)網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用效果為了提升目前新疆地震系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力，新疆地震局于2022年1月開始測(cè)試使用亞信安全公司的SDP系統(tǒng)，測(cè)試期間系統(tǒng)運(yùn)行穩(wěn)定，狀態(tài)良好，系統(tǒng)總體部署功能在提升新疆地震系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力方面來(lái)說(shuō)，具有非常高的實(shí)用價(jià)值。4.1安全通道4.1.1訪問(wèn)安全SDP采用客戶端+網(wǎng)關(guān)的模式部署在新疆地震局網(wǎng)絡(luò)中，實(shí)現(xiàn)了傳統(tǒng)產(chǎn)品難以實(shí)現(xiàn)的終端安全管理，實(shí)現(xiàn)更粒度的安全管理。按照零信任（ZeroTrust）安全訪問(wèn)模型設(shè)計(jì)，符合零信任網(wǎng)絡(luò)安全的理念。（1）不自動(dòng)信任網(wǎng)絡(luò)的安全性（內(nèi)網(wǎng)≠可信）。（2）驗(yàn)證連接到系統(tǒng)的每個(gè)人和設(shè)備。（3）身份認(rèn)證和行為審核每次訪問(wèn)。（4）細(xì)粒度的訪問(wèn)和控制策略Need-To-Know。4.1.2應(yīng)用級(jí)訪問(wèn)只開放應(yīng)用級(jí)訪問(wèn)，隱藏內(nèi)網(wǎng)，即便內(nèi)部人員電腦上被安裝了病毒木馬或者惡意軟件，也無(wú)法掃描、竊取到內(nèi)網(wǎng)上的資源。通過(guò)最小授權(quán)原則和基于零信任安全解決方案在訪問(wèn)網(wǎng)絡(luò)中的應(yīng)用研究于身份確認(rèn)授權(quán)，可以保證被授權(quán)的訪問(wèn)者只能看到對(duì)應(yīng)權(quán)限的應(yīng)用或資源。4.1.3按需授權(quán)業(yè)務(wù)系統(tǒng)的管理員可以根據(jù)用戶的身份特征和具體需求，在后臺(tái)賦予其對(duì)應(yīng)的權(quán)限，并合理限制用戶的訪問(wèn)內(nèi)容。比如，只允許普通用戶瀏覽地震新聞查詢系統(tǒng)，不允許訪問(wèn)中國(guó)地震帶數(shù)據(jù)查詢系統(tǒng)，越權(quán)訪問(wèn)會(huì)被網(wǎng)關(guān)自動(dòng)攔截。通過(guò)這種授權(quán)模式，就避免了用戶權(quán)限過(guò)大的問(wèn)題，可以大大縮小可能被攻擊的接觸面，也大大減少了內(nèi)部人員導(dǎo)致數(shù)據(jù)泄密的風(fēng)險(xiǎn)。除了對(duì)應(yīng)用這一維度進(jìn)行授權(quán)之外，還能夠建立對(duì)用戶的訪問(wèn)時(shí)間、訪問(wèn)位置、訪問(wèn)設(shè)備等維度的控制和授權(quán)策略。4.2環(huán)境感知SDP安全大腦通過(guò)對(duì)隱盾網(wǎng)關(guān)以及所有SDP客戶端傳送來(lái)的日志及審計(jì)信息進(jìn)行匯聚，運(yùn)用大數(shù)據(jù)智能算法，對(duì)匯聚的信息進(jìn)行統(tǒng)計(jì)分析，從而滿足管理單位的運(yùn)維及安全需求。（1）構(gòu)建SDP模型之后的地震行業(yè)網(wǎng)絡(luò)可以收集安全狀態(tài)數(shù)據(jù)，統(tǒng)計(jì)并顯示連接設(shè)備數(shù)量、實(shí)時(shí)活躍用戶、用戶訪問(wèn)次數(shù)、激活用戶和阻止訪問(wèn)情況。輔助安全系統(tǒng)快速了解訪問(wèn)人員的基本情況。（2）可以對(duì)用戶訪問(wèn)數(shù)據(jù)進(jìn)行多個(gè)維度的安全態(tài)勢(shì)統(tǒng)計(jì)分析，呈現(xiàn)應(yīng)用業(yè)務(wù)的訪問(wèn)排名，輔助運(yùn)維人員全面了解業(yè)務(wù)系統(tǒng)訪問(wèn)及運(yùn)營(yíng)情況，通過(guò)隱盾網(wǎng)關(guān)攔截的非法請(qǐng)求記錄可以為運(yùn)維人員排查異常用戶訪問(wèn)情況提供幫助，及時(shí)發(fā)現(xiàn)并阻斷被攻擊的風(fēng)險(xiǎn)。（3）可以按不同周期，如每日、每周或每月，對(duì)安全態(tài)勢(shì)進(jìn)行感知分析，展示活躍度變化最大的用戶和某時(shí)間周期訪問(wèn)量變化最大的應(yīng)用系統(tǒng)，通過(guò)這種方式幫助安全運(yùn)維人員了解地震行業(yè)網(wǎng)絡(luò)中流量發(fā)生的波峰、波谷變化，及時(shí)記錄異常并響應(yīng)預(yù)警。（4）可以實(shí)時(shí)查勘SDP組件及業(yè)務(wù)系統(tǒng)的狀態(tài)，感知當(dāng)前安全態(tài)勢(shì)，發(fā)現(xiàn)隱盾網(wǎng)關(guān)或管理系統(tǒng)故障時(shí)，第一時(shí)間進(jìn)行預(yù)警，從而降低新疆地震網(wǎng)運(yùn)維壓力和被攻擊風(fēng)險(xiǎn)。4.3網(wǎng)絡(luò)隱身4.3.1層層授權(quán)、層層防御SDP解決方案在TCP/IP數(shù)據(jù)通信的每一層都進(jìn)行授權(quán)的管控，層層授權(quán)，層層防御，防止非法數(shù)據(jù)或訪問(wèn)的進(jìn)入，不用擔(dān)心IP對(duì)外開放，也不用擔(dān)心多端口對(duì)外開放。在網(wǎng)絡(luò)層，默認(rèn)情況下，通過(guò)隱藏的屏蔽網(wǎng)關(guān)拒絕所有IP訪問(wèn)。只有在SDP客戶端獲得SPA批準(zhǔn)后，才向批準(zhǔn)的客戶端開放訪問(wèn)通道。另外，由于域名的內(nèi)部解析是利用SDP的私有DNS功能實(shí)現(xiàn)的，所以也沒(méi)有必要。域名出現(xiàn)在公共網(wǎng)絡(luò)上，并為網(wǎng)絡(luò)內(nèi)的IP地址提供隱蔽性。在傳輸層，默認(rèn)端口拒絕所有連接請(qǐng)求，采用SPA動(dòng)態(tài)端口許可技術(shù)，動(dòng)態(tài)允許SDP客戶端端口訪問(wèn)，防止未經(jīng)授權(quán)的連接。這可確保開放端口不會(huì)對(duì)地震行業(yè)網(wǎng)絡(luò)構(gòu)成安全風(fēng)險(xiǎn)。不必?fù)?dān)心打開多個(gè)端口。在安全傳輸層，在UDP客戶端和隱藏網(wǎng)關(guān)之間使用SSL（安全套接字協(xié)議）加密通信技術(shù)，以防止通信數(shù)據(jù)被未經(jīng)授權(quán)的人監(jiān)視、篡改或破壞。在應(yīng)用層，網(wǎng)關(guān)對(duì)發(fā)起的每一個(gè)HTTP請(qǐng)求進(jìn)行HMAC（哈希運(yùn)算消息認(rèn)證碼）動(dòng)態(tài)驗(yàn)證，防止非法HTTP數(shù)據(jù)以及非授權(quán)HTTP數(shù)據(jù)通過(guò)，從而最大化保障地震行業(yè)網(wǎng)絡(luò)系統(tǒng)處于安全訪問(wèn)的機(jī)制內(nèi)。4.3.2網(wǎng)絡(luò)隱身圖3SDP網(wǎng)絡(luò)隱身原理如圖3所展示的基于SPA單包授權(quán)技術(shù)，默認(rèn)關(guān)閉所有端口，拒絕一切鏈接，讓服務(wù)器“隱身”，任何人訪問(wèn)不到。杜絕各種掃描工具探測(cè)。只有安裝SDP客戶端的合法員工能“連接”企業(yè)應(yīng)用，讓網(wǎng)絡(luò)攻擊無(wú)從發(fā)起。網(wǎng)絡(luò)隱身：對(duì)非授權(quán)訪問(wèn)的不可見、不可達(dá)、不回應(yīng)不可見：網(wǎng)絡(luò)掃描不到網(wǎng)絡(luò)接入地址與端口，使攻擊方無(wú)法通過(guò)掃描確定攻擊目標(biāo)，從而無(wú)法展開進(jìn)一步的攻擊行為。不可達(dá)：即使攻擊方獲取了網(wǎng)絡(luò)接入地址、接入的用戶名與密碼，網(wǎng)絡(luò)依然對(duì)訪問(wèn)者不可達(dá)，因?yàn)檫€有專用的接入客戶端證書、賬號(hào)綁定的終端指紋需要認(rèn)證，并且認(rèn)證過(guò)程對(duì)訪問(wèn)者不可見。不回應(yīng)：采用基于SPA協(xié)議的單包認(rèn)證，在確認(rèn)請(qǐng)求方可信前不與請(qǐng)求方建立連接，面對(duì)DDOS類攻擊時(shí)，不做任何服務(wù)層回應(yīng)，攻擊報(bào)文會(huì)被直接丟棄，所受影響遠(yuǎn)小于傳統(tǒng)網(wǎng)絡(luò)邊界設(shè)備。通過(guò)網(wǎng)絡(luò)隱身將需要防守的資產(chǎn)隱藏起來(lái)，讓攻擊方找不到可攻擊的目標(biāo)，無(wú)法實(shí)施后續(xù)的攻擊。4.4權(quán)限管控授權(quán)是權(quán)限管控中一個(gè)非常重要的概念。這是指評(píng)估用戶擁有的權(quán)限的過(guò)程。批準(zhǔn)明確了用戶之間的邊界關(guān)系，便于保護(hù)數(shù)據(jù)，并預(yù)防和管理數(shù)據(jù)泄露風(fēng)險(xiǎn)。授權(quán)范圍決定了用戶可以操作的功能和可以看到的數(shù)據(jù)范圍以及可以對(duì)數(shù)據(jù)進(jìn)行的具體操作，避免用戶干擾、數(shù)據(jù)泄露、誤操作等事故。權(quán)限管控就是一個(gè)判斷“誰(shuí)對(duì)數(shù)據(jù)進(jìn)行怎么的操作”的一個(gè)邏輯。權(quán)限粒度粗細(xì)決定著是否需要考慮具體對(duì)象的實(shí)例。為了實(shí)現(xiàn)通用性，傳統(tǒng)VPN權(quán)限粒度粗，信任范圍較大，對(duì)所有訪問(wèn)者都一視同仁，無(wú)法做到對(duì)資源細(xì)粒度地授權(quán)。這也就造成了用戶身份無(wú)法辨別，一旦攻擊者通過(guò)VPN接入地震行業(yè)網(wǎng)，網(wǎng)絡(luò)所有薄弱點(diǎn)都會(huì)暴露，形成較大攻擊面，數(shù)據(jù)容易泄露、破壞。SDP能夠?qū)崿F(xiàn)非常靈活的權(quán)限控制，細(xì)粒度地授權(quán)在何種情況下對(duì)某個(gè)資源具備某個(gè)特定的權(quán)限。SDP替代VPN在遠(yuǎn)程辦公接入方面優(yōu)勢(shì)：1.相較于傳統(tǒng)的SSLVPN方案，該方案收斂網(wǎng)絡(luò)暴露面。遠(yuǎn)程接入更安全，接入服務(wù)不受攻擊影響更穩(wěn)定2.強(qiáng)制檢驗(yàn)用戶賬號(hào)密碼，密碼強(qiáng)度檢查和強(qiáng)制修改，當(dāng)用戶訪問(wèn)異常時(shí)觸發(fā)二次認(rèn)證，從賬戶可靠性進(jìn)行安全加固3.SPA縮小業(yè)務(wù)暴露面，規(guī)避任意終端任意身份都可發(fā)起認(rèn)證請(qǐng)求4.建立遠(yuǎn)程接入終端安全準(zhǔn)入機(jī)制，全訪問(wèn)周期檢測(cè)接入終端環(huán)境安全5.建立最小權(quán)限模型，動(dòng)態(tài)權(quán)限調(diào)整保護(hù)核心業(yè)務(wù)6.用戶接入訪問(wèn)網(wǎng)絡(luò)訪問(wèn)行為的完整審計(jì)，具備安全溯源能力7.具備異常行為的及時(shí)發(fā)現(xiàn)和處置能力8.入網(wǎng)后的橫向跳轉(zhuǎn)受控，遠(yuǎn)程接入的服務(wù)范圍可管理因而可見，SDP相較于傳統(tǒng)的VPN隧道技術(shù)，完全解決VPN本身的一些弱點(diǎn)，同時(shí)也提供了縱深多維度的安全防御機(jī)制。5結(jié)論本文通過(guò)對(duì)零信任安全和SDP解決方案的概念、理念，以及SDP解決方案原理、架構(gòu)、部署。經(jīng)過(guò)全文的分析研究，得到以下主要結(jié)論：第一，零信任安全越來(lái)越被產(chǎn)業(yè)界接受，SDP解決方案也逐漸成熟并已開展應(yīng)用。第二，SDP解決方案作為零信任安全的一種實(shí)現(xiàn)方式，與目前新疆地震系統(tǒng)使用的基于網(wǎng)絡(luò)邊界的防護(hù)結(jié)構(gòu)相輔相成，在不改變現(xiàn)有的網(wǎng)絡(luò)架構(gòu)的情況下，提供了一種新的接入方式，實(shí)現(xiàn)了傳統(tǒng)邊界隱身不可見，減少