基于零信任的高速公路网络安全架构研究

王文菁，李树远

（北京交科公路勘察设计研究院有限公司，北京 100191）

0 引 言

高速公路网络安全关乎国家关键基础设施安全和人民生命财产安全。随着信息化的发展，我国不断完善对高速公路网络安全体系的建设。近年来，高级可持续性威胁（Advanced Persistent Threat，APT）攻击和软件供应链攻击等各种形式的网络攻击严重威胁着我国高速公路信息网络的安全。中国互联网应急中心2020年监测数据显示，我国境内共发生各类网络安全事件约103 000起，严重影响了我国近37%的重要基础部门的网络设施[1]。

访问控制是目前高速公路网络系统安全防护的核心策略，其主要任务是保证高速公路网络资源访问和操作等行为的安全。随着高速公路网络系统业务场景的增多，远程访问和资源传输行为变得更加频繁，其网络安全风险也急剧增加。传统的高速公路网络访问控制体系下，一旦攻击者获取到合法的访问控制权限进入系统内网，就能通过权限提升等横向攻击方法获取大量机密信息，从而对高速公路的运行安全造成极大的威胁。

高速公路网络安全架构是保证高速公路网络安全的关键。网络安全人员在高速公路网络安全架构的指导下能够完成一整套高速公路网络安全建设、运营以及维护的解决方案。现行高速公路网络安全架构的核心思想是基于边界安全，其安全技术架构主要基于传统访问控制系统、身份认证以及密码学理论，一旦非法访问人员拿到泄露的密钥，或者高速公路网络系统内部用户通过权限提升执行了非法越权操作，则边界安全将不复存在。

为解决上述问题，本文基于零信任提出基于属性的访问控制模型，旨在完成访问主体全部操作行为的持续验证。接着基于该访问控制模型，构建了基于零信任的高速公路网络安全架构。零信任是一种安全思想，秉持“持续验证、永不信任”的宗旨对会话网络中一切行为持续进行安全验证和信任评估，基于零信任的高速公路网络安全架构能够有效保护高速公路网络系统的安全[2-4]。

1 高速公路网络访问控制系统现状

访问控制技术的研究发展经历了自主访问控制（Discretionary Access Control，DAC）、 强 制 访 问 控制（Mandatory Access Control，MAC）、基于角色的访问控制（Role-Based Access Control，RBAC）以及基于访问控制列表（Access Control List，ACL）等阶段[5-8]。DAC和MAC都是由主体与访问权限直接作用，大多使用在用户个人权限授予场景。这两种简单的访问控制策略不适用于高速公路网络系统等大型应用系统。RBAC系统将权限和角色进行关联，通过给用户分配适当角色进行权限授予，实现了用户和权限访问的逻辑分离，其可操作性和可管理性都十分适用于多用户的大型信息管理系统。ACL是一个将PERMIT和DENY语句组织在一起的有顺序规则列表，能够保证合法用户的访问，同时拒绝非法访问，并且可以对网络流量进行限制和数据包过滤，提高网络性能。

传统高速公路网络安全架构的核心思想是基于边界的，也就是“一次授权、持续信任”，默认边界内部的行为都是可信的，边界外部都是不可信的。传统高速公路网络安全架构如图1所示，其核心访问控制架构基于公钥基础设施（Public Key Infrastructure，PKI） 和 数 字 证 书 认 证 中 心（Certificate Authority，CA）的模式，用于控制不同网络区段的安全访问。所有的请求都需要使用PKI/CA系统签发的数字证书进行身份验证，所有的内外部网络数据流通过访问控制服务器系统进行安全扫描检测，网络内外网是一个动态网络安全隔离系统，通过互联网安全协议/虚拟专用网络（Internet Protocol Security/Virtual Private Network，IPsec/VPN）等连接内外网访问控制服务器，确保内外网之间没有任何直连通道。

图1 传统高速公路网络安全架构

可以看出，随着高速公路系统网络业务的增多，互联网技术（Internet Technology，IT）架构越来越复杂，基于边界安全的传统“主体—客体”访问控制架构难以满足高速公路网络的安全需求，需要在现有的边界安全体系中额外添加一层身份逻辑安全边界，将访问控制系统从网络层面的粗粒度向访问人、物理设备以及业务逻辑等细粒度层面迁移。下面介绍本文提出的基于零信任的高速公路网络访问控制架构。

2 零信任高速公路网络安全架构设计

2.1 零信任原理

目前，高速公路网络系统移动办公和远程接入等云服务场景成为新的常态模式。基于边界的网关型访问控制体系难以解决新场景下的安全威胁，迫切需要重新对信任进行定义。零信任是一种安全理念，其主要包含了如下原则。一是任何访问主体的任何资源操作行为不论处于网络中的任何位置，都必须先经过身份认证和合法授权；二是任何访问主体在网络中的资源操作行为必须持续接受安全评估，即“持续评估”；三是采用最小权限分配和动态策略原则对访问主体进行授权，同时对每一个访问请求构建安全的通道。

随着云计算和数字化技术的发展，传统的以防火墙、VPN为代表的安全技术无法解决内部网络的安全问题。随着业务的发展，企业安全边界也不断在发展中变得模糊。零信任网络访问（Zero-Trust Network Access，ZTNA）则认为不能信任出入网络的任何内容，应当创建一种以数据或软件为中心的边界，使用强身份验证技术对数据进行全面保护。

高速公路网络系统应当以低耦合、高内聚的方式进行安全能力建设，并且内部网络安全尤其值得重点关注。因此，基于零信任架构建设高速公路网络系统安全是合理且有益的。

2.2 高速公路网络访问控制模型

基于上述原则，如图2所示，本文设计了基于属性的零信任访问控制模型，模型用安全属性来定义授权，可以有效保护用户身份等隐私信息，不同属性由不同属性权威定义和维护。

图2 基于属性的访问控制模型

访问主体主要指高速公路网络系统中所有的使用人员、利用的通信以及网络设备等。其中，策略管理点负责访问控制策略的创建、管理与查询，而策略判定点接收来自策略执行点的基于属性访问请求，并从策略管理点接收策略集，根据策略对访问请求进行判定，然后将判定结果返回给策略执行点。属性权威负责实体属性的创建、管理以及查询工作，策略执行点的功能是根据访问请求向属性权威查询属性，生成基于属性访问请求并发送给策略判定点，根据判定结果访问资源[5-8]。

2.3 高速公路网络安全架构

利用提出的访问控制模型，本文构建了基于零信任的高速公路网络系统安全架构。如图3所示，该架构主要包含了访问主体、访问客体、信任评估引擎、动态访问控制引擎、规则策略相关模块、可信代理以及安全基础设施等。下面详细介绍主要组成部分和系统的核心技术。

图3 基于零信任的高速公路网络安全架构

2.3.1 主要组成部分

访问主体主要指发起资源访问行为的人员、各种设备以及系统应用等，访问客体指受到零信任系统保护的数据或服务。信任评估引擎接收可信代理和动态访问控制的日志信息等，对主体信任进行持续信任评估。动态访问控制引擎一般与可信代理模块共同作用，实现对所有访问主体的身份认证和动态权限授予功能，同时动态访问控制引擎可以基于简单的静态规则或上下文属性，结合安全策略、信任等级等内容进行动态权限判定，其判定依据是信任库、权限库以及身份库。

信任评估引擎模块对访问主体进行信任度持续评估，并接收可信代理和动态访问控制引擎的日志信息，为动态访问控制引擎提供判定依据。

规则策略模块主要包括策略管理器、策略引擎以及策略执行点。需要指出的是，高速公路网络安全架构中的策略相关模块与访问控制模型的内容有所不同，此处的策略管理器包含了私有公钥基础设施、数据访问策略以及身份管理系统。实际部署时，考虑外部攻击信息的预警作用，还可以把安全信息事件管理和威胁情报源纳入策略管理器模块。策略引擎主要对访问主体完成最小权限分配功能，利用密码算法和信任评估规则持续对访问主体进行权限动态分配。

2.3.2 系统核心技术

系统核心技术包含了身份安全、访问代理、访问控制以及信任评估。其中，身份安全主要包括身份管理和身份认证，前者包含了身份识别、数据同步、密码管理等功能，而后者主要是指持续信任验证过程中对用户身份进行动态认证的相关技术。

零信任架构中，通过传输加密等手段访问代理实现了隐藏真实业务、代理访问行为以及检测、授权、认证所有访问主体流量等。访问控制有多种实现方式，本文采取基于属性的访问控制模型，实现对用户的最小化授权、动态信任评估以及持续验证等功能。信任评估是基于零信任的高速公路网络安全核心环节，也是构建零信任体系的关键技术手段，其中包含了信任评估模型和信任评估引擎，在获取了终端环境及身份的信任评分后，利用身份的属性信息对访问行为的上下文进行风险判定，并对异常访问行为进行监控识别，动态调整信任评估结果[9,10]。

值得注意的是，为了最大程度保证高速公路网络的安全，本文所提架构的外部分析平台应当保证安全事件分析的效率和性能开销，并及时对系统中的网络安全事件做出响应。

3 结 论

高速公路网络系统的健壮程度关系到人民财产安全和国家安全，保障其网络安全具有重大现实意义。本文针对新场景下高速公路网络的系统安全问题，提出了一种基于零信任的属性访问控制模型，并详细介绍了模型组成内容。基于该模型，本文构建了一种基于零信任的高速公路网络安全架构，讨论了架构中核心组件具备的功能，能够实现对其网络安全的持续保障，随着零信任核心架构的发展与落地，高速公路系统的网络安全能力必定能够得到极大提升。