达钰鹏1,2 陈艳春1

(石家庄铁道大学经济管理学院 石家庄 050043)

2(河北省人力资源和社会保障厅信息中心 石家庄 050071)

信息共享是目前电子政务发展过程中一个日益增长的需求，根据《国务院办公厅关于印发政务信息系统整合共享实施方案的通知》(国办发〔2017〕39号)要求，以最大程度利企便民，让企业和群众“少跑腿、好办事、不添堵”为目标，加快推进政务信息系统整合共享，建设“大平台、大数据、大系统”，形成覆盖全国、统筹利用、统一接入的数据共享大平台，建立物理分散、逻辑集中、资源共享、政企互联的政务信息资源大数据[1].在这一大背景下，各级政府结合自身实际情况，制定了一系列的政府信息系统整合共享实施方案，大力度推进信息共享工作，取得了很好的成效，但其中也存在不少的安全风险，而零信任模型的思想有助于改进信息共享方面的工作.

1 信息共享现状

根据国家电子政务外网管理中心发布的《2019年全国政务外网建设、应用及运行情况》，2019年度，仅国家级电子政务外网就有31个国务院部门在国家共享平台注册发布实时数据共享接口1 153个，约1.1万个数据项，涵盖个人身份、出生、教育、婚姻、社保等自然人相关信息，企业基本信息、信用信息、资质信息等法人相关信息[2].各级政府更是依托各级别电子政务外网建设政务信息资源交换共享平台(下文简称共享平台)，统一接入国家数据共享交换平台，实现了跨部门、跨地区的信息共享.

目前信息共享的主要方式有2种：一种是部门直连方式，即有相关需求的2个部门之间通过部署专线或者电子政务外网实现部门之间的直接数据交换，该方式较为少见，常见于对业务实时性要求比较高的业务，例如社保和税务之间由于税务部门代收社保费用产生的共享数据要求.如图1所示.

图1 直连方式

另一种方式借助于各级政府依托各级电子政务外网建设的共享平台，以河北为例，其共享平台是在政务云上建设的，简单来说就是在各部门部署数据交换前置机，以数据库表对表复制的方式实现平台和前置机、前置机和部门之间的数据交互，而后所有数据在共享平台上进行汇聚.如图2所示.

图2 政务信息资源交换共享平台

2 现有共享模式存在的问题及原因

2.1 数据高度集中，存在泄漏风险

由于技术和日常分析的需求，现有的共享平台大多采取了集中建设的方式，在政务云平台建设中心数据库存储数据，通过云平台技术实现物理分散、逻辑集中，这种方式具有建设周期短、数据分析较为容易的特点，但数据的高度集中和不断地增长，一方面使得云平台的压力不断增大，存储风险增高，即便在各部门部署数据交换前置机来减少对中心节点的访问量，但是分批进行数据同步也对电子政务外网造成了巨大的压力；另一方面，目前常采用数据库表对表复制的方式进行数据交换，虽然这种方式实现数据调用、查询在技术上较为简单，但难以对敏感数据增加数据水印，同样的数据被多个部门共享使用，一旦数据泄露，由于没有数据水印难以溯源查清泄露渠道，存在着巨大的安全隐患.

2.2 网络环境复杂，网络安全管理成本高

无论是部门直连方式还是借助电子政务外网上的共享平台，由于涉及多个不同的主管部门，且政务外网部署系统分属于不同的等级保护级别，而等保安全模型是基于边界防护模型建立的，加上部分电子政务外网区域是可以连接互联网的，这都使得数据共享的网络环境更加复杂[3].如果由各级政府统一管理，那么网络安全管理成本高.例如在网络区域划分上，如果划分网络区域较少，那么一旦个别终端和服务器中毒便会进行大范围的横向攻击.如果划分区域较多，为了保证信息共享就需要大量在防火墙、IDS/IPS、WAF等安全设备上进行规则配置，管理复杂度成指数增长.

同时，为了便于防火墙、日志审计系统、IDS/IPS、WAF等安全设备进行防御，目前部门间电子政务外网无论是数据共享还是业务系统办理业务，主要是以明文传输为主，安全性依赖于网络环境的安全,即便有小部分SSL/TLS加密通信，但也是个别业务系统自身实现的，而要求所有系统自身实现SSL/TLS加密通信存在实施和维护困难，一旦系统维护不善丢失密钥，危害更加巨大.

2.3 缺乏公共安全服务设施

由于经济发展水平的差距，各级政府在电子政务外网上的投入存在着较大的差距，尤其是在公共安全服务设施的建设上.有的省份如上海地区已经建设完成包括基础建立身份认证体系、时钟源同步设施、统一补丁更新和分发系统以及电子印章服务系统等较为完善的公共安全服务设施[4]；而很多地区由于财力有限，无法进行相关设施的建设，只能将具体的网络信息安全工作分配给各个使用电子政务外网的部门，如在身份认证上很多地区仅仅是以IP地址进行认证，如果相关设备管理不善便会产生横向攻击.

3 基于零信任模型的信息共享方案

由上文的分析可以看出，跨部门间的数据共享无论是部门直连还是借助电子政务外网的共享平台，实际上都是在一个零信任的网络环境下，部门并不能确定所处的网络环境、访问的用户和对接的信息系统是否安全，那么零信任模型的思想也是可以应用在信息共享的改进上.

零信任模型与传统安全模型最大的不同在于：打破了传统的认证即信任、边界防护、静态访问控制、以系统为中心等思维，建立起一套以资源为中心，以识别、认证、动态访问控制、授权、审计以及监测为手段，以最小化实时授权为核心，以多维信任算法为基础，认证直达末端的动态安全架构[5-7].如图3所示：

零信任模型放弃了“边界防御，区域内信任”的思想，假设网络环境、用户等皆为零信任，将整个网络分为控制平面和数据平面，通过智能的算法实现动态访问控制，通过SSL/TLS技术实现端到端的加密通信以保证信息传输的机密性.零信任提供了一种基于身份的更细粒度的访问控制方法.传统安全模型是以系统为中心的安全，而零信任模型则是以资源为中心的安全，把安全聚焦在资源本身，围绕着资源的全生命周期进行部署[8-10].

零信任模型的优点有：1)动态访问控制安全性强，通过对访问用户的实时风险分析决定是否给予其访问特定资源的权限，提高了对资源的防护力度，每一次访问都需要进行验证；2)利用成熟技术，全部使用现有的成熟技术，例如HTTPS/TLS加密技术、网络代理技术等，这些技术已经广泛地在信息系统建设、金融风险评估等领域广泛使用，技术成熟可靠；3)简化了网络结构，零信任模型放弃网络区域按照安全级别进行区域划分的思想，整个网络仅分为数据平面和控制平面，简化了网络区域的划分，大幅度减少了边界安全设备的部署数量和管理工作量[11-14].

通过建设身份认证系统和访问控制系统等公共安全服务设施，加强对用户身份的验证，通过建立数据安全管理制度对数据资源进行全面管理，利用统一数据网关实现对用户的动态访问控制和端到端加密通信，建立一个基于零信任模型的信息共享方案.具体内容如图4所示：

图4 政务信息资源交换共享平台改造

3.1 加强电子政务外网公共安全服务设施建设

建立统一身份认证和访问控制系统，对电子政务外网内每一个终端和设备进行访问控制，访问控制落实到具体的责任人，压实责任.建立统一的补丁分发系统，对政务外网中管理类、服务类、应用类系统提供统一操作系统、通用应用软件的补丁分发和更新.建立电子印章服务系统，为政务外网安全运维保障提供印章签名服务.建立电子政务外网DNS服务，推进IPv6，减少地址转换，简化网络结构，降低管理复杂度.利用MPLS VPN对各部门网络进行隔离，减少跨部门的横向攻击.建立NTP时钟源同步设施，为政务外网网络基础设施承载的安全防护以及网络中涉及的服务类、管理类、应用类等设备提供时钟同步服务，以便实现安全设备日志时间戳的统一，便于进行数据分析[15].

3.2 建设建立数据安全管理制度

既然数据集中难以避免，那么为了避免数据泄露，就需要建立数据安全管理制度.具体来说：

第一，对于非敏感、调用频率高的结构化数据，例如企业统一信用代码、企业公开注册信息等，还可以继续采用目前常用的数据库表对表同步的方式进行共享，以保证效率;

第二，对于敏感、调用频率低的结构化数据，例如身份证号、电话号码等数据，采用数据接口方式进行共享，杜绝数据在各个部门的违规缓存和存储;

第三，对于敏感且部门需要存储的数据和非结构化数据，例如人员档案等信息，采用PDF等可以添加数字水印格式进行存储，一旦数据泄露可以根据数字水印进行溯源，查出是在哪个环节泄露的以便理清责任.

3.3 建设统一数据网关

由于目前数据共享的网络环境可以看作是一个零信任环境，利用建设完成的公共安全服务设施，通过建立统一数据网关实现对外数据交互的统一管理.所谓统一数据网关，可以理解为部门对外进行数据交互的统一出入口，以统一的接口提供数据交互服务.如图5所示.

图5 统一数据网关

建设统一数据网关.首先，降低了数据共享过程中信息系统改造的工作量，无须一个部门一个部门进行开发，统一按照一个标准开发接入即可；其次，通过统一数据网关，使得外部访问仅仅与数据网关进行交互，和具体业务系统无关，可以有效规避SQL注入、XSS等对应用系统和数据库的攻击，减少了对业务系统的直接攻击；最后，通过数据网关可以对数据传输进行端到端的加密以及动态访问控制，由数据网关完成加密解密工作，对外加密传输、共享平台内明文传输，内部业务系统无须为了加密通信进行改造，也解决加密通信下的审计问题；同时结合数字水印技术，可以实现数据的全流程溯源，保障数据安全，而在数据网关可以根据访问用户和系统的实时行为判断用户可信程度，发现可疑行为及时进行告警和阻断，实现对数据资源的动态访问控制[16].

4 应用存在的问题

虽然零信任模型为改进信息共享安全提出了一个不错的解决方案，但完成从以系统为中心边界防护到以资源为中心动态防护的转变，还存在着不少问题和困难.具体问题如下：

1) 大规模的基础设施建设投入巨大.零信任模型是以统一身份认证和访问控制系统、电子印章服务系统等公共安全服务设施为基础的，这都需进行大规模的基础设施建设和投入，例如实现对服务器设备的认证就需要服务器具备TPM安全芯片，进行用户认证需要USB Key乃至生物特征识别设备，这都需要进行相当大的投入和较长的建设周期.

2) 策略引擎开发难度大.策略引擎的开发需要将网络设备、安全设备和应用系统等多个数据源的行为日志进行整合、清晰和聚合，为策略决策提供数据支持，这其中便涉及到对应用系统的深入改造，需要将应用系统的用户和权限管理功能与公共安全服务设施进行集成，实现对用户权限的最小化实时授权.

3) 加密解密消耗资源大.零信任模型大量采用加密通信，加密解密过程十分消耗服务器计算资源，物理服务器还可以通过配置加速硬件进行加速，云主机一般配置较低且无法加挂专用硬件，大量云主机进行加密解密也会给云平台计算资源带来较大的压力.

5 结束语

随着电子政务外网的发展和信息共享需求的增多，针对电子政务信息共享平台的网络攻击活动的日益频繁，仅按照等级保护要求进行相关保护已不能满足实际工作需求，而是应当将等级保护要求看作是网络安全工作的最低要求.网络安全工作应紧跟技术发展潮流，在合规的基础上，结合技术变化趋势和业务需求变化，进行合理规划和建设.零信任模型作为一个新理念，是等保安全模型的有益补充，其很多思想可以在电子政务信息共享工作中进行借鉴使用，希望本文的研究分析能对大家的网络安全工作有所帮助.