達(dá)鈺鵬1,2 陳艷春1

(石家莊鐵道大學(xué)經(jīng)濟(jì)管理學(xué)院 石家莊 050043)

2(河北省人力資源和社會(huì)保障廳信息中心 石家莊 050071)

信息共享是目前電子政務(wù)發(fā)展過(guò)程中一個(gè)日益增長(zhǎng)的需求，根據(jù)《國(guó)務(wù)院辦公廳關(guān)于印發(fā)政務(wù)信息系統(tǒng)整合共享實(shí)施方案的通知》(國(guó)辦發(fā)〔2017〕39號(hào))要求，以最大程度利企便民，讓企業(yè)和群眾“少跑腿、好辦事、不添堵”為目標(biāo)，加快推進(jìn)政務(wù)信息系統(tǒng)整合共享，建設(shè)“大平臺(tái)、大數(shù)據(jù)、大系統(tǒng)”，形成覆蓋全國(guó)、統(tǒng)籌利用、統(tǒng)一接入的數(shù)據(jù)共享大平臺(tái)，建立物理分散、邏輯集中、資源共享、政企互聯(lián)的政務(wù)信息資源大數(shù)據(jù)[1].在這一大背景下，各級(jí)政府結(jié)合自身實(shí)際情況，制定了一系列的政府信息系統(tǒng)整合共享實(shí)施方案，大力度推進(jìn)信息共享工作，取得了很好的成效，但其中也存在不少的安全風(fēng)險(xiǎn)，而零信任模型的思想有助于改進(jìn)信息共享方面的工作.

1 信息共享現(xiàn)狀

根據(jù)國(guó)家電子政務(wù)外網(wǎng)管理中心發(fā)布的《2019年全國(guó)政務(wù)外網(wǎng)建設(shè)、應(yīng)用及運(yùn)行情況》，2019年度，僅國(guó)家級(jí)電子政務(wù)外網(wǎng)就有31個(gè)國(guó)務(wù)院部門(mén)在國(guó)家共享平臺(tái)注冊(cè)發(fā)布實(shí)時(shí)數(shù)據(jù)共享接口1 153個(gè)，約1.1萬(wàn)個(gè)數(shù)據(jù)項(xiàng)，涵蓋個(gè)人身份、出生、教育、婚姻、社保等自然人相關(guān)信息，企業(yè)基本信息、信用信息、資質(zhì)信息等法人相關(guān)信息[2].各級(jí)政府更是依托各級(jí)別電子政務(wù)外網(wǎng)建設(shè)政務(wù)信息資源交換共享平臺(tái)(下文簡(jiǎn)稱共享平臺(tái))，統(tǒng)一接入國(guó)家數(shù)據(jù)共享交換平臺(tái)，實(shí)現(xiàn)了跨部門(mén)、跨地區(qū)的信息共享.

目前信息共享的主要方式有2種：一種是部門(mén)直連方式，即有相關(guān)需求的2個(gè)部門(mén)之間通過(guò)部署專線或者電子政務(wù)外網(wǎng)實(shí)現(xiàn)部門(mén)之間的直接數(shù)據(jù)交換，該方式較為少見(jiàn)，常見(jiàn)于對(duì)業(yè)務(wù)實(shí)時(shí)性要求比較高的業(yè)務(wù)，例如社保和稅務(wù)之間由于稅務(wù)部門(mén)代收社保費(fèi)用產(chǎn)生的共享數(shù)據(jù)要求.如圖1所示.

圖1 直連方式

另一種方式借助于各級(jí)政府依托各級(jí)電子政務(wù)外網(wǎng)建設(shè)的共享平臺(tái)，以河北為例，其共享平臺(tái)是在政務(wù)云上建設(shè)的，簡(jiǎn)單來(lái)說(shuō)就是在各部門(mén)部署數(shù)據(jù)交換前置機(jī)，以數(shù)據(jù)庫(kù)表對(duì)表復(fù)制的方式實(shí)現(xiàn)平臺(tái)和前置機(jī)、前置機(jī)和部門(mén)之間的數(shù)據(jù)交互，而后所有數(shù)據(jù)在共享平臺(tái)上進(jìn)行匯聚.如圖2所示.

圖2 政務(wù)信息資源交換共享平臺(tái)

2 現(xiàn)有共享模式存在的問(wèn)題及原因

2.1 數(shù)據(jù)高度集中，存在泄漏風(fēng)險(xiǎn)

由于技術(shù)和日常分析的需求，現(xiàn)有的共享平臺(tái)大多采取了集中建設(shè)的方式，在政務(wù)云平臺(tái)建設(shè)中心數(shù)據(jù)庫(kù)存儲(chǔ)數(shù)據(jù)，通過(guò)云平臺(tái)技術(shù)實(shí)現(xiàn)物理分散、邏輯集中，這種方式具有建設(shè)周期短、數(shù)據(jù)分析較為容易的特點(diǎn)，但數(shù)據(jù)的高度集中和不斷地增長(zhǎng)，一方面使得云平臺(tái)的壓力不斷增大，存儲(chǔ)風(fēng)險(xiǎn)增高，即便在各部門(mén)部署數(shù)據(jù)交換前置機(jī)來(lái)減少對(duì)中心節(jié)點(diǎn)的訪問(wèn)量，但是分批進(jìn)行數(shù)據(jù)同步也對(duì)電子政務(wù)外網(wǎng)造成了巨大的壓力；另一方面，目前常采用數(shù)據(jù)庫(kù)表對(duì)表復(fù)制的方式進(jìn)行數(shù)據(jù)交換，雖然這種方式實(shí)現(xiàn)數(shù)據(jù)調(diào)用、查詢?cè)诩夹g(shù)上較為簡(jiǎn)單，但難以對(duì)敏感數(shù)據(jù)增加數(shù)據(jù)水印，同樣的數(shù)據(jù)被多個(gè)部門(mén)共享使用，一旦數(shù)據(jù)泄露，由于沒(méi)有數(shù)據(jù)水印難以溯源查清泄露渠道，存在著巨大的安全隱患.

2.2 網(wǎng)絡(luò)環(huán)境復(fù)雜，網(wǎng)絡(luò)安全管理成本高

無(wú)論是部門(mén)直連方式還是借助電子政務(wù)外網(wǎng)上的共享平臺(tái)，由于涉及多個(gè)不同的主管部門(mén)，且政務(wù)外網(wǎng)部署系統(tǒng)分屬于不同的等級(jí)保護(hù)級(jí)別，而等保安全模型是基于邊界防護(hù)模型建立的，加上部分電子政務(wù)外網(wǎng)區(qū)域是可以連接互聯(lián)網(wǎng)的，這都使得數(shù)據(jù)共享的網(wǎng)絡(luò)環(huán)境更加復(fù)雜[3].如果由各級(jí)政府統(tǒng)一管理，那么網(wǎng)絡(luò)安全管理成本高.例如在網(wǎng)絡(luò)區(qū)域劃分上，如果劃分網(wǎng)絡(luò)區(qū)域較少，那么一旦個(gè)別終端和服務(wù)器中毒便會(huì)進(jìn)行大范圍的橫向攻擊.如果劃分區(qū)域較多，為了保證信息共享就需要大量在防火墻、IDS/IPS、WAF等安全設(shè)備上進(jìn)行規(guī)則配置，管理復(fù)雜度成指數(shù)增長(zhǎng).

同時(shí)，為了便于防火墻、日志審計(jì)系統(tǒng)、IDS/IPS、WAF等安全設(shè)備進(jìn)行防御，目前部門(mén)間電子政務(wù)外網(wǎng)無(wú)論是數(shù)據(jù)共享還是業(yè)務(wù)系統(tǒng)辦理業(yè)務(wù)，主要是以明文傳輸為主，安全性依賴于網(wǎng)絡(luò)環(huán)境的安全,即便有小部分SSL/TLS加密通信，但也是個(gè)別業(yè)務(wù)系統(tǒng)自身實(shí)現(xiàn)的，而要求所有系統(tǒng)自身實(shí)現(xiàn)SSL/TLS加密通信存在實(shí)施和維護(hù)困難，一旦系統(tǒng)維護(hù)不善丟失密鑰，危害更加巨大.

2.3 缺乏公共安全服務(wù)設(shè)施

由于經(jīng)濟(jì)發(fā)展水平的差距，各級(jí)政府在電子政務(wù)外網(wǎng)上的投入存在著較大的差距，尤其是在公共安全服務(wù)設(shè)施的建設(shè)上.有的省份如上海地區(qū)已經(jīng)建設(shè)完成包括基礎(chǔ)建立身份認(rèn)證體系、時(shí)鐘源同步設(shè)施、統(tǒng)一補(bǔ)丁更新和分發(fā)系統(tǒng)以及電子印章服務(wù)系統(tǒng)等較為完善的公共安全服務(wù)設(shè)施[4]；而很多地區(qū)由于財(cái)力有限，無(wú)法進(jìn)行相關(guān)設(shè)施的建設(shè)，只能將具體的網(wǎng)絡(luò)信息安全工作分配給各個(gè)使用電子政務(wù)外網(wǎng)的部門(mén)，如在身份認(rèn)證上很多地區(qū)僅僅是以IP地址進(jìn)行認(rèn)證，如果相關(guān)設(shè)備管理不善便會(huì)產(chǎn)生橫向攻擊.

3 基于零信任模型的信息共享方案

由上文的分析可以看出，跨部門(mén)間的數(shù)據(jù)共享無(wú)論是部門(mén)直連還是借助電子政務(wù)外網(wǎng)的共享平臺(tái)，實(shí)際上都是在一個(gè)零信任的網(wǎng)絡(luò)環(huán)境下，部門(mén)并不能確定所處的網(wǎng)絡(luò)環(huán)境、訪問(wèn)的用戶和對(duì)接的信息系統(tǒng)是否安全，那么零信任模型的思想也是可以應(yīng)用在信息共享的改進(jìn)上.

零信任模型與傳統(tǒng)安全模型最大的不同在于：打破了傳統(tǒng)的認(rèn)證即信任、邊界防護(hù)、靜態(tài)訪問(wèn)控制、以系統(tǒng)為中心等思維，建立起一套以資源為中心，以識(shí)別、認(rèn)證、動(dòng)態(tài)訪問(wèn)控制、授權(quán)、審計(jì)以及監(jiān)測(cè)為手段，以最小化實(shí)時(shí)授權(quán)為核心，以多維信任算法為基礎(chǔ)，認(rèn)證直達(dá)末端的動(dòng)態(tài)安全架構(gòu)[5-7].如圖3所示：

零信任模型放棄了“邊界防御，區(qū)域內(nèi)信任”的思想，假設(shè)網(wǎng)絡(luò)環(huán)境、用戶等皆為零信任，將整個(gè)網(wǎng)絡(luò)分為控制平面和數(shù)據(jù)平面，通過(guò)智能的算法實(shí)現(xiàn)動(dòng)態(tài)訪問(wèn)控制，通過(guò)SSL/TLS技術(shù)實(shí)現(xiàn)端到端的加密通信以保證信息傳輸?shù)臋C(jī)密性.零信任提供了一種基于身份的更細(xì)粒度的訪問(wèn)控制方法.傳統(tǒng)安全模型是以系統(tǒng)為中心的安全，而零信任模型則是以資源為中心的安全，把安全聚焦在資源本身，圍繞著資源的全生命周期進(jìn)行部署[8-10].

零信任模型的優(yōu)點(diǎn)有：1)動(dòng)態(tài)訪問(wèn)控制安全性強(qiáng)，通過(guò)對(duì)訪問(wèn)用戶的實(shí)時(shí)風(fēng)險(xiǎn)分析決定是否給予其訪問(wèn)特定資源的權(quán)限，提高了對(duì)資源的防護(hù)力度，每一次訪問(wèn)都需要進(jìn)行驗(yàn)證；2)利用成熟技術(shù)，全部使用現(xiàn)有的成熟技術(shù)，例如HTTPS/TLS加密技術(shù)、網(wǎng)絡(luò)代理技術(shù)等，這些技術(shù)已經(jīng)廣泛地在信息系統(tǒng)建設(shè)、金融風(fēng)險(xiǎn)評(píng)估等領(lǐng)域廣泛使用，技術(shù)成熟可靠；3)簡(jiǎn)化了網(wǎng)絡(luò)結(jié)構(gòu)，零信任模型放棄網(wǎng)絡(luò)區(qū)域按照安全級(jí)別進(jìn)行區(qū)域劃分的思想，整個(gè)網(wǎng)絡(luò)僅分為數(shù)據(jù)平面和控制平面，簡(jiǎn)化了網(wǎng)絡(luò)區(qū)域的劃分，大幅度減少了邊界安全設(shè)備的部署數(shù)量和管理工作量[11-14].

通過(guò)建設(shè)身份認(rèn)證系統(tǒng)和訪問(wèn)控制系統(tǒng)等公共安全服務(wù)設(shè)施，加強(qiáng)對(duì)用戶身份的驗(yàn)證，通過(guò)建立數(shù)據(jù)安全管理制度對(duì)數(shù)據(jù)資源進(jìn)行全面管理，利用統(tǒng)一數(shù)據(jù)網(wǎng)關(guān)實(shí)現(xiàn)對(duì)用戶的動(dòng)態(tài)訪問(wèn)控制和端到端加密通信，建立一個(gè)基于零信任模型的信息共享方案.具體內(nèi)容如圖4所示：

圖4 政務(wù)信息資源交換共享平臺(tái)改造

3.1 加強(qiáng)電子政務(wù)外網(wǎng)公共安全服務(wù)設(shè)施建設(shè)

建立統(tǒng)一身份認(rèn)證和訪問(wèn)控制系統(tǒng)，對(duì)電子政務(wù)外網(wǎng)內(nèi)每一個(gè)終端和設(shè)備進(jìn)行訪問(wèn)控制，訪問(wèn)控制落實(shí)到具體的責(zé)任人，壓實(shí)責(zé)任.建立統(tǒng)一的補(bǔ)丁分發(fā)系統(tǒng)，對(duì)政務(wù)外網(wǎng)中管理類、服務(wù)類、應(yīng)用類系統(tǒng)提供統(tǒng)一操作系統(tǒng)、通用應(yīng)用軟件的補(bǔ)丁分發(fā)和更新.建立電子印章服務(wù)系統(tǒng)，為政務(wù)外網(wǎng)安全運(yùn)維保障提供印章簽名服務(wù).建立電子政務(wù)外網(wǎng)DNS服務(wù)，推進(jìn)IPv6，減少地址轉(zhuǎn)換，簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)，降低管理復(fù)雜度.利用MPLS VPN對(duì)各部門(mén)網(wǎng)絡(luò)進(jìn)行隔離，減少跨部門(mén)的橫向攻擊.建立NTP時(shí)鐘源同步設(shè)施，為政務(wù)外網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施承載的安全防護(hù)以及網(wǎng)絡(luò)中涉及的服務(wù)類、管理類、應(yīng)用類等設(shè)備提供時(shí)鐘同步服務(wù)，以便實(shí)現(xiàn)安全設(shè)備日志時(shí)間戳的統(tǒng)一，便于進(jìn)行數(shù)據(jù)分析[15].

3.2 建設(shè)建立數(shù)據(jù)安全管理制度

既然數(shù)據(jù)集中難以避免，那么為了避免數(shù)據(jù)泄露，就需要建立數(shù)據(jù)安全管理制度.具體來(lái)說(shuō)：

第一，對(duì)于非敏感、調(diào)用頻率高的結(jié)構(gòu)化數(shù)據(jù)，例如企業(yè)統(tǒng)一信用代碼、企業(yè)公開(kāi)注冊(cè)信息等，還可以繼續(xù)采用目前常用的數(shù)據(jù)庫(kù)表對(duì)表同步的方式進(jìn)行共享，以保證效率;

第二，對(duì)于敏感、調(diào)用頻率低的結(jié)構(gòu)化數(shù)據(jù)，例如身份證號(hào)、電話號(hào)碼等數(shù)據(jù)，采用數(shù)據(jù)接口方式進(jìn)行共享，杜絕數(shù)據(jù)在各個(gè)部門(mén)的違規(guī)緩存和存儲(chǔ);

第三，對(duì)于敏感且部門(mén)需要存儲(chǔ)的數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)，例如人員檔案等信息，采用PDF等可以添加數(shù)字水印格式進(jìn)行存儲(chǔ)，一旦數(shù)據(jù)泄露可以根據(jù)數(shù)字水印進(jìn)行溯源，查出是在哪個(gè)環(huán)節(jié)泄露的以便理清責(zé)任.

3.3 建設(shè)統(tǒng)一數(shù)據(jù)網(wǎng)關(guān)

由于目前數(shù)據(jù)共享的網(wǎng)絡(luò)環(huán)境可以看作是一個(gè)零信任環(huán)境，利用建設(shè)完成的公共安全服務(wù)設(shè)施，通過(guò)建立統(tǒng)一數(shù)據(jù)網(wǎng)關(guān)實(shí)現(xiàn)對(duì)外數(shù)據(jù)交互的統(tǒng)一管理.所謂統(tǒng)一數(shù)據(jù)網(wǎng)關(guān)，可以理解為部門(mén)對(duì)外進(jìn)行數(shù)據(jù)交互的統(tǒng)一出入口，以統(tǒng)一的接口提供數(shù)據(jù)交互服務(wù).如圖5所示.

圖5 統(tǒng)一數(shù)據(jù)網(wǎng)關(guān)

建設(shè)統(tǒng)一數(shù)據(jù)網(wǎng)關(guān).首先，降低了數(shù)據(jù)共享過(guò)程中信息系統(tǒng)改造的工作量，無(wú)須一個(gè)部門(mén)一個(gè)部門(mén)進(jìn)行開(kāi)發(fā)，統(tǒng)一按照一個(gè)標(biāo)準(zhǔn)開(kāi)發(fā)接入即可；其次，通過(guò)統(tǒng)一數(shù)據(jù)網(wǎng)關(guān)，使得外部訪問(wèn)僅僅與數(shù)據(jù)網(wǎng)關(guān)進(jìn)行交互，和具體業(yè)務(wù)系統(tǒng)無(wú)關(guān)，可以有效規(guī)避SQL注入、XSS等對(duì)應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)的攻擊，減少了對(duì)業(yè)務(wù)系統(tǒng)的直接攻擊；最后，通過(guò)數(shù)據(jù)網(wǎng)關(guān)可以對(duì)數(shù)據(jù)傳輸進(jìn)行端到端的加密以及動(dòng)態(tài)訪問(wèn)控制，由數(shù)據(jù)網(wǎng)關(guān)完成加密解密工作，對(duì)外加密傳輸、共享平臺(tái)內(nèi)明文傳輸，內(nèi)部業(yè)務(wù)系統(tǒng)無(wú)須為了加密通信進(jìn)行改造，也解決加密通信下的審計(jì)問(wèn)題；同時(shí)結(jié)合數(shù)字水印技術(shù)，可以實(shí)現(xiàn)數(shù)據(jù)的全流程溯源，保障數(shù)據(jù)安全，而在數(shù)據(jù)網(wǎng)關(guān)可以根據(jù)訪問(wèn)用戶和系統(tǒng)的實(shí)時(shí)行為判斷用戶可信程度，發(fā)現(xiàn)可疑行為及時(shí)進(jìn)行告警和阻斷，實(shí)現(xiàn)對(duì)數(shù)據(jù)資源的動(dòng)態(tài)訪問(wèn)控制[16].

4 應(yīng)用存在的問(wèn)題

雖然零信任模型為改進(jìn)信息共享安全提出了一個(gè)不錯(cuò)的解決方案，但完成從以系統(tǒng)為中心邊界防護(hù)到以資源為中心動(dòng)態(tài)防護(hù)的轉(zhuǎn)變，還存在著不少問(wèn)題和困難.具體問(wèn)題如下：

1) 大規(guī)模的基礎(chǔ)設(shè)施建設(shè)投入巨大.零信任模型是以統(tǒng)一身份認(rèn)證和訪問(wèn)控制系統(tǒng)、電子印章服務(wù)系統(tǒng)等公共安全服務(wù)設(shè)施為基礎(chǔ)的，這都需進(jìn)行大規(guī)模的基礎(chǔ)設(shè)施建設(shè)和投入，例如實(shí)現(xiàn)對(duì)服務(wù)器設(shè)備的認(rèn)證就需要服務(wù)器具備TPM安全芯片，進(jìn)行用戶認(rèn)證需要USB Key乃至生物特征識(shí)別設(shè)備，這都需要進(jìn)行相當(dāng)大的投入和較長(zhǎng)的建設(shè)周期.

2) 策略引擎開(kāi)發(fā)難度大.策略引擎的開(kāi)發(fā)需要將網(wǎng)絡(luò)設(shè)備、安全設(shè)備和應(yīng)用系統(tǒng)等多個(gè)數(shù)據(jù)源的行為日志進(jìn)行整合、清晰和聚合，為策略決策提供數(shù)據(jù)支持，這其中便涉及到對(duì)應(yīng)用系統(tǒng)的深入改造，需要將應(yīng)用系統(tǒng)的用戶和權(quán)限管理功能與公共安全服務(wù)設(shè)施進(jìn)行集成，實(shí)現(xiàn)對(duì)用戶權(quán)限的最小化實(shí)時(shí)授權(quán).

3) 加密解密消耗資源大.零信任模型大量采用加密通信，加密解密過(guò)程十分消耗服務(wù)器計(jì)算資源，物理服務(wù)器還可以通過(guò)配置加速硬件進(jìn)行加速，云主機(jī)一般配置較低且無(wú)法加掛專用硬件，大量云主機(jī)進(jìn)行加密解密也會(huì)給云平臺(tái)計(jì)算資源帶來(lái)較大的壓力.

5 結(jié)束語(yǔ)

隨著電子政務(wù)外網(wǎng)的發(fā)展和信息共享需求的增多，針對(duì)電子政務(wù)信息共享平臺(tái)的網(wǎng)絡(luò)攻擊活動(dòng)的日益頻繁，僅按照等級(jí)保護(hù)要求進(jìn)行相關(guān)保護(hù)已不能滿足實(shí)際工作需求，而是應(yīng)當(dāng)將等級(jí)保護(hù)要求看作是網(wǎng)絡(luò)安全工作的最低要求.網(wǎng)絡(luò)安全工作應(yīng)緊跟技術(shù)發(fā)展潮流，在合規(guī)的基礎(chǔ)上，結(jié)合技術(shù)變化趨勢(shì)和業(yè)務(wù)需求變化，進(jìn)行合理規(guī)劃和建設(shè).零信任模型作為一個(gè)新理念，是等保安全模型的有益補(bǔ)充，其很多思想可以在電子政務(wù)信息共享工作中進(jìn)行借鑒使用，希望本文的研究分析能對(duì)大家的網(wǎng)絡(luò)安全工作有所幫助.