基于零信任的企业安全浏览器设计与实践

［贺景锋］

1 引言

在各类个人办公平台上，浏览器是业务的最主要访问入口，近80%的应用都需要通过浏览器方式进行访问，因此浏览器安全显得尤为重要。近年来国内外积极开展浏览器安全方向的技术研究，特别是在RSA 2022 创新沙盒大赛中，面向企业的安全浏览器厂商Talon Cyber Security公司，荣膺“RSAC 2022 最具创新初创企业”，其主要技术和解决方案涵盖了从数据加密、恶意软件检测、网络防火墙到用户隐私保护等方面。此外，零信任技术已经成熟落地于不同场景，比如谷歌BeyondCorp[1]项目提供了较好研究基础。

企业在面对不断升级的网络威胁，政府、企业和个人对网络安全的需求持续增长，浏览器直接关系到用户的信息安全、数据安全和隐私保护。

本论文基于国内外安全前沿技术的跟踪与分析，结合浏览器办公过程中面对的问题与挑战，将国际前沿技术如零信任、数据隔离与加密以及具有中国特色的国家密码算法技术等进行融合探索，设计符合当前企业实际的安全办公场景的、兼顾安全防御的浏览器安全防御链，并在营业厅业务办理、办公应用实践、国密改造等场景进行探索，最终形成一套集业务门户、数据门户、管理门户三大门户一体化的统一办公浏览器安全解决方案体系。

2 浏览器关键角色与安全挑战

2.1 重要业务访问入口

浏览器作为业务访问的最主要入口和工具，扮演以下角色。

（1）信息获取与分享：它不仅是信息获取的窗口，浏览器为用户提供了便捷的访问方式，使其能够获取、分享和传播各类丰富信息资源。

（2）在线交互与服务利用：用户通过浏览器能够访问各种在线服务，包括但不限于电子邮件、公文处理、业务办理、财务处理，实现生活和工作的访问需求。

（3）应用程序运行与数据处理：用户可以在浏览器中运行复杂的应用、处理和呈现数据，甚至执行在线办公任务。

2.2 面临安全挑战

浏览器在给用户提供便捷访问的同时，面临着一系列严重的安全挑战，严重威胁着用户隐私、数据完整性以及系统稳定性。

（1）恶意软件与病毒威胁：恶意软件和病毒通过浏览器传播，可能导致病毒感染、数据泄露，对用户设备和隐私构成严重威胁。

（2）网络攻击与恶意网站：恶意网站和网络攻击透过浏览器进行钓鱼、欺诈和恶意代码注入，企图窃取用户敏感信息。

（3）跨站脚本攻击 (XSS) 与跨站请求伪造 (CSRF)：该类攻击可能导致恶意脚本执行、用户数据泄露，以及对用户账户的未授权访问。

（4）浏览器插件和漏洞：不安全的浏览器插件和未修复的浏览器漏洞为攻击者提供进入用户系统的途径，增加了安全威胁。

（5）不安全的网站通信：使用不安全的通信协议可能导致数据泄露和篡改，使用户的敏感信息处于风险之中。

（6）Cookie 窃取：不安全的Cookie 管理导致用户身份信息泄露，被攻击者盗用。

（7）身份验证问题：传统身份验证存在弱点，单一身份验证因素可能不足以保护用户的身份。

3 总体研究设计

3.1 总体设计框架

本次研究总体设计实现重点围绕浏览器办公门户，主要架构包括基于零信任的浏览器安全接入，数据安全隔离、可编排策略管理、国密技术应用等，形成终端接入层、通信层、应用服务层、数据层的多维一体化防御体系（如图1 所示）。

图1 基于零信任与国密浏览器的数据安全防御架构图

零信任浏览器接入层：以零信任SDP[2]为技术基础，将浏览器能力与零信任SDP 融合，输出安全浏览器客户端，以零信任SDP 能力解决安全接入过程边界接入安全。

数据安全隔离控制层：对接入后授权访问的业务系统，结合web 数据隔离、终端数据隔离、数据隔离策略等形成云-管-端链条式数据隔离防御，保障浏览器访问数据过程合法、安全。

可编排浏览器策略管理层：基于浏览器构建可编排的策略管理模型，解决普通浏览器无法管控问题，借助可编排策略可对每一个浏览器客户端进行精细化安全能力分配以及调度。

国密安全应用层：将国家密码算法技术融合进认证登录、应用访问过程。同时在浏览器访问过程自适应国密算法加解密，可适配访问已改造国密应用。

3.1.1 基于零信任的浏览器安全接入

浏览器安全机制[3]可以有效保护接入安全（如图2 所示）。通过建立基于零信任安全浏览器，打造统一办公门户：借助零信任实现接入过程的终端、身份、权限、通道、应用入口的链条式安全接入防护；借助浏览器实现日常办公入口的安全管理，比如移动OA 办公、营业厅业务安全办理等。

图2 零信任浏览器接入安全架构

结合零信任建立一个统一办公入口、形成统一业务发布、统一身份、统一访问、可调度编排安全策略的安全浏览器访问服务入口。建立浏览器Portal门户统一办公入口，营业/服务人员一键入网访问业务，在不暴露任何内网业务的基础上，实现浏览器业务访问安全防护。

3.1.2 数据安全隔离控制

数据安全隔离采用三部分管控（如图3 所示）：web数据隔离、终端数据隔离、数据防泄漏管控：

图3 数据安全隔离

（1）web 数据隔离

web 数据隔离防护采用自适应映像隔离技术，可以隐藏web 服务端的真实代码，隔离自动化攻击源，实现对web 应用系统的全面安全防护。

（2）终端数据隔离

通过构建安全浏览器沙箱[3]环境，把终端数据操作过程限制在数据沙箱环境中，防止终端数据泄露。

（3）数据防泄漏管控

在web 数据隔离以及终端数据隔离基础上，可通过多种数据防泄漏能力保障数据安全隔离的有效性，包括：web 水印和系统水印、禁止打印与右键、上传下载限制、录屏审计等。

3.1.3 可编排浏览器策略管理

可编排浏览器策略管理，重点解决普通浏览器访问业务时无法管、不受控问题。通过建立可编排策略中心，对每一个接入的终端、每一个用户身份、每一个业务，都可以进行定制化策略管理（如图4 所示）。通过构建面向浏览器的可编排、可调度、可调整的策略机制，有效控制浏览器接入平台的风险。

图4 可编排的浏览器安全管理架构

3.1.4 国密技术应用

集成商用密码算法[4]：引入符合国密标准的认证算法，如SM2SM3SM4SM9 等，实现端到端的数据加密，确保在数据传输中的机密性和完整性，建立全链条的数据安全保护通道，防范中间人攻击和窃听。

此外，通过国密应用兼容，对通过浏览器访问的、经过国密化改造的业务系统，确保应用正确调用和使用符合国密标准的算法和协议进行加解密，最终实现浏览器对国密以及非国密应用的兼容并存访问（如图5 所示）。

图5 国密安全架构图

3.2 总体防护流程设计（如图6 所示）

图6 总体防护流程

3.3 技术原理和优势特点

3.3.1 零信任 (Zero Trust)技术

零信任技术基于对用户、设备和网络始终不信任的原则，通过实时的动态访问控制、多因素身份验证、细粒度授权和动态信任评估等技术手段，确保网络安全的高度可控性和灵活性。零信任SDP 架构主要包括三大部分（如图7 所示）：SDP 连接发起主机（客户端）、SDP 控制器、SDP 连接接受主机（安全网关）。

图7 SDP 安全架构图[1]

将零信任的安全特性与浏览器框架结合后，可以有效应对浏览器跨网络边界访问业务过程的暴露面风险问题以及权限管控问题。该技术的融合运用，具有降低攻击面、隐藏真实业务入口、基于用户身份按需访问、实时风险评估以及自动授权等优势。

3.3.2 web 数据安全隔离保护

采用web 映像隔离防护技术实现web 数据安全隔离保护，实现应用隐身和数据防泄漏，屏蔽自动漏洞扫描、网页爬取、注入攻击等多种攻击，无需改动应用服务器代码即可实现最大限度攻击源隔离，通过“安全防护关口前移”技术手段，增强网站的安全防护能力。该技术防御思路通过主动防御，弥补传统网站安全产品基于规则库的被动式防御思路，提升网站安全性。主要包括以下特点：

隐藏站点：采用网站映像防护技术，隔离用户与网站应用服务器的直接访问，将网站应用服务器隐藏。

减小暴露面：隐藏网站服务器源代码，减小其暴露面，大大减少被攻击的可能性。

数据防泄漏：管控网站文件的上传、下载，加载页面动态水印，页面禁止截图和打印、禁止鼠标右键等，防止数据外泄。

隔离自动化攻击源：自动免疫自动化漏洞扫描工具的漏洞扫描攻击，阻断不法分子的网络攻击路径。

防爬虫和克隆：绝大多数自动化爬虫工具爬取不到网站页面内容，加大克隆网站的难度。

3.3.3 数据沙箱

通过零信任浏览器构建数据沙箱隔离空间，对于访问敏感数据的应用系统时，通过沙箱实现敏感数据不落宿主机，从而实现数据隔离。当沙箱内的应用启动，完成沙箱化的过程中，该应用的一切文件操作行为，都会被沙箱管理驱动和重定向引擎所接管，重定向至这个不可见空间，保证了不可见空间数据与个人可见空间数据的隔离以及数据安全性。

3.3.4 国密技术融合

国密技术融合通过采用符合国家密码标准的SM2、SM3、SM4 等算法，在两个环节体现能力：

（1）通信加密环节：通过国密算法融合进端到端加密隧道，提升加密通信隧道的安全性。

（2）国密应用的兼容访问：对已经进行国密改造的应用，安全浏览器通过算法适配，实现国密应用的兼容访问。

4 落地实践与应用分析

4.1 营业厅业务受理场景

在营业厅业务受理场景下，业务办理人员安全能力水平不一，所访问和操作的业务系统均为企业重要系统，可通过建立基于零信任的安全浏览器办公门户，打造专属于营业厅业务受理场景的安全防御体系，具体如下：

（1）应用接入安全

业务办理人员访问各类业务系统之前，首先借助安全浏览器进行零信任接入验证：用户通过多因素认证，包括身份证结合人脸识别或指纹识别，并结合零信任单包敲门技术，确保用户身份的强安全性验证，有效防范恶意访问和身份冒用风险。

（2）应用数据传输加密

为了保障数据安全，电信营业厅安全浏览器采用国密加密传输技术。用户在提交办理业务的信息时，系统使用符合国密标准的加密算法（如SM4）对数据进行端到端的加密传输，防止数据在传输过程中被窃听或篡改。

（3）业务系统数据安全

成功登录业务系统后，营业厅人员可能需要查询或更新客户的个人信息。这些信息是敏感的，因此在数据访问过程中，通过统一编排与控制每一个终端浏览器的安全策略，可以实现浏览器屏幕数据水印、控制上传下载、数据脱敏、录屏审计等数据安全防御措施。

（4）管理安全

业务系统登录后，营业厅人员的权限由系统动态控制。不同的员工根据职责和权限获得不同的系统访问权限。动态访问控制确保了员工只能访问其工作职责所需的信息和功能，有效降低内部权限蔓延的风险。

4.2 办公应用实践场景

在企业内部，为了提升安全性和用户体验，财务系统和公文系统等办公场景通过安全浏览器作为统一入口进行访问：

（1）安全浏览器作为统一入口

员工通过办公电脑上的安全浏览器访问财务系统和公文系统，集成零信任模型，为所有系统提供一致的安全接入标准，确保零信任接入的安全性。同时可结合网络准入限制等，限制办公终端的接入。

（2）多因素身份验证

通过安全浏览器登录时，员工进行多因素身份验证，包括身份证、智能卡、用户名/密码、生物特征（人脸识别、指纹识别）等。这一层强化了安全性，只有通过身份验证的员工能够使用统一入口进入系统。

（3）强加密技术保障数据安全

安全浏览器在数据传输中使用国密加密传输技术和TLS 协议进行加密，与财务系统和公文系统保持一致的加密标准，确保数据在传输和存储中的安全性。

（4）动态权限管理与审计

安全浏览器通过统一的动态访问控制和右键操作管控策略为员工分配权限，集成审计机制记录员工在财务系统和公文系统中的操作，实现对整个访问过程的可追溯性。

（5）用户隐私保护

安全浏览器通过隐私保护策略限制对用户敏感信息的收集和使用，采用匿名化技术，确保用户个人身份的隐私安全，合规处理个人信息。

（6）恶意软件防护

安全浏览器内置有效的恶意软件防护机制，包括实时监测、病毒扫描和恶意软件防火墙，为统一入口提供全方位的安全保护。

通过将财务系统和公文系统统一到安全浏览器作为入口，不仅实现了一站式访问，还提供了一致的安全标准，全面加强了系统的安全性、用户体验以及管理可控性。

4.3 国密改造实践场景

为加强国产化业务建设的安全性，现存应用系统将逐步推行国密改造，浏览器作为应用访问的入口，普通浏览器无法适配国密应用，导致应用改造后无法使用普通浏览器访问。通过使用可兼容国密算法的零信任浏览器，满足用户在访问国密改造后的应用系统访问，可自动对国密应用进行算法适配、识别、加解密等工作，可促进国密改造后的各类业务系统的推广与应用。

5 未来思考与演进

展望未来，零信任企业安全浏览器将不断演进，以适应新的威胁和技术发展。随着人工智能和机器学习的进步，预测性安全分析可能会成为零信任模型的重要组成部分。同时，新型的身份验证方法和设备管理技术也将不断涌现，为企业提供更多选择和可能性。

（1）新兴威胁应对：随着网络攻击手法的不断创新，我们需要不断加强对新兴威胁的监测和理解。未来的零信任企业安全浏览器应更加智能化，能够快速适应新的攻击手段，采用先进的威胁情报技术进行实时监测和防范。

（2）人工智能和机器学习的应用：人工智能（AI）和机器学习（ML）在网络安全领域的应用将成为未来发展的关键驱动力。零信任企业安全浏览器可借助这些技术，实现更精准的威胁检测、行为分析和风险评估，从而提高系统的自适应性和智能性。

（3）量子安全技术的整合：随着量子计算技术的发展，网络安全领域将面临新的挑战。零信任企业安全浏览器需要考虑整合量子安全技术，以保护传输中的敏感信息免受未来量子计算的威胁。

（4）合规性与隐私保护：随着对个人数据隐私的关注不断增加，未来的零信任企业安全浏览器需更加注重合规性和隐私保护。技术创新应与法规要求相结合，确保用户数据的合法使用和隐私权益的保护。

6 结束语

本论文深入研究了零信任企业安全浏览器的设计、实施和落地实践，旨在应对当今网络环境中不断增长的威胁。通过结合零信任模型、浏览器隔离技术、数据沙箱机制以及国密等先进技术，构建了一套全面的企业浏览器安全防护方案。

零信任企业安全浏览器在提高网络安全性、防范高级威胁方面具有显著效果。其动态身份验证、细粒度访问控制和实时监测等功能，为企业提供了更可靠的网络安全保障。同时也研究了用户体验、合规性和成本效益等方面的考虑，使企业能够在提升安全性的同时保持高效的业务运营。

然而，随着网络威胁不断演变，我们意识到未来需要持续创新和升级以维持对抗性。未来的研究方向可以包括对新兴威胁的深入理解、人工智能和机器学习、以及量子安全技术在零信任环境中的应用。此外，与其他安全解决方案的集成也是一个关键的研究方向，有望进一步提高企业网络安全水平，确保用户和组织的数字资产得到最佳的保护。