基于零信任的省級(jí)氣象信息網(wǎng)絡(luò)防護(hù)技術(shù)研究

摘"要：隨著省級(jí)氣象部門對(duì)外服務(wù)統(tǒng)一出口要求，系統(tǒng)和數(shù)據(jù)逐步集約化，部分省級(jí)單位建立了專門對(duì)外提供數(shù)據(jù)服務(wù)的數(shù)據(jù)中臺(tái)，傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)在當(dāng)前新的業(yè)務(wù)形態(tài)和場(chǎng)景下顯得捉襟見肘。零信任作為一種全新的網(wǎng)絡(luò)安全理念，為重構(gòu)網(wǎng)絡(luò)安全架構(gòu)提供了理論指引。設(shè)計(jì)了一種基于零信任的適用于省級(jí)氣象部門的安全架構(gòu)體系，并基于零信任構(gòu)建了氣象網(wǎng)絡(luò)的可信訪問通道解決數(shù)據(jù)訪問管道安全問題，提出了一種數(shù)據(jù)動(dòng)態(tài)授權(quán)訪問的方法解決氣象數(shù)據(jù)安全訪問授信問題，給出終端可信空間方案解決端上數(shù)據(jù)泄露問題。

關(guān)鍵詞：零信任模型；動(dòng)態(tài)授權(quán)；可信訪問通道；可信終端空間

中圖分類號(hào)：TP393．08""""""文獻(xiàn)標(biāo)識(shí)碼：A

Research"on"Provincial"Meteorological"Information"Network"

Protection"Technology"Based"on"Zero"Trust

LIU"Xiaobo1，2，F(xiàn)ENG"Xian1，ZHANG"Sirui1，ZHENG"Qiusheng1，ZHOU"Wuning3

（1.Hunan"Meteorological"Information"Center，"Changsha，Hunan"410118，China;

2.Hunan"Primary"Laboratory"of"Meteorological"Disaster"Prevention"and"Reduction，"Changsha，"Hunan"410118，China;

3.QiAnxin"Science"and"Technology"Group"Co.，"Ltd.，"Changsha，"Hunan"410000，"China"）

Abstract：With"the"unified"export"requirements"for"external"services"of"provincial"meteorological"departments，the"system"and"data"are"gradually"intensified，and"some"provincial"units"have"established"data"centers"dedicated"to"providing"external"data"services，and"traditional"network"security"technology"is"strained"under"the"current"new"business"forms"and"scenarios."As"a"new"concept"of"network"security，zero"trust"provides"theoretical"guidance"for"reconstructing"network"security"architecture."This"paper"designs"a"zerotrustbased"security"architecture"applicable"to"provincial"meteorological"departments，constructs"a"trusted"access"channel"of"meteorological"network"based"on"zerotrust"to"solve"the"security"problem"of"data"access"pipeline，proposes"a"method"of"dynamic"data"authorization"access"to"solve"the"problem"of"meteorological"data"security"access"credit，and"proposes"a"terminal"trusted"space"scheme"to"solve"the"data"leakage"problem"on"the"terminal.

Key"words：zero"trust"model；dynamic"authorization"；trusted"access"channel；trusted"terminal"space

當(dāng)前，政企機(jī)構(gòu)網(wǎng)絡(luò)接入方式、接入設(shè)備類型越來越多樣化，網(wǎng)絡(luò)邊界變得越來越模糊，各種突破內(nèi)網(wǎng)邊界的安全事件層出不窮，傳統(tǒng)的邊界安全解決方案愈發(fā)難以應(yīng)對(duì)這些新的挑戰(zhàn)。為應(yīng)對(duì)新IT時(shí)代的網(wǎng)絡(luò)安全挑戰(zhàn)，零信任安全應(yīng)運(yùn)而生。零信任架構(gòu)最早由約翰·金德維格（John"Kindervag）在2010年提出[1]。2014年Google提出并實(shí)現(xiàn)了基于零信任構(gòu)建的BeyondCorp架構(gòu)，為零信任架構(gòu)提供了可靠的實(shí)踐背書[2]。

零信任是一種網(wǎng)絡(luò)/數(shù)據(jù)安全的實(shí)體到實(shí)體的方法，區(qū)別于傳統(tǒng)安全方案只關(guān)注邊界保護(hù)，零信任更關(guān)注數(shù)據(jù)保護(hù)的架構(gòu)方法[3]。隨著近年來零信任領(lǐng)域在安全業(yè)界的逐步升溫，國內(nèi)零信任領(lǐng)域也開始形成相關(guān)的趨勢(shì)和規(guī)模。2019年9月，工信部在《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見》中，明確將“零信任安全”列入網(wǎng)絡(luò)安全重點(diǎn)突破的關(guān)鍵技術(shù)[4]。騰訊在中國通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）立項(xiàng)《零信任安全技術(shù)安全框架》，奇安信等企業(yè)推出相應(yīng)產(chǎn)品原型，全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布首個(gè)零信任國家標(biāo)準(zhǔn)《信息安全技術(shù)"零信任參考體系架構(gòu)》，可以看出零信任技術(shù)的先進(jìn)性以及市場(chǎng)前景[5]。

現(xiàn)階段，我國一些大型政企機(jī)構(gòu)對(duì)零信任的實(shí)踐應(yīng)用主要以特定場(chǎng)景為主，如遠(yuǎn)程辦公場(chǎng)景、遠(yuǎn)程運(yùn)維開發(fā)場(chǎng)景、內(nèi)外網(wǎng)一體化接入場(chǎng)景等[6]。在這些典型場(chǎng)景下，零信任技術(shù)主要用于替代原有傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)，尤其是遠(yuǎn)程訪問場(chǎng)景下基于零信任技術(shù)替換傳統(tǒng)VPN方案常常作為零信任落地的切入點(diǎn)，這也充分說明零信任技術(shù)在保護(hù)數(shù)據(jù)和應(yīng)用訪問安全方面的先進(jìn)性。為了更好地為政企數(shù)字化轉(zhuǎn)型提供保障，越來越多的單位開始以零信任理念來升級(jí)傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)。

1"零信任網(wǎng)絡(luò)安全防護(hù)模型

1.1"零信任理論模型綜述

零信任是一種端到端的網(wǎng)絡(luò)安全模型，秉承“從不信任并始終驗(yàn)證”的安全原則，通過控制平面和數(shù)據(jù)平臺(tái)相互分離的架構(gòu)設(shè)計(jì)，在訪問主體（人員、設(shè)備、應(yīng)用、系統(tǒng)等）和訪問客體（應(yīng)用、接口、功能、數(shù)據(jù)等）之間構(gòu)筑一道新的“邊界”，通過對(duì)主客體之間持續(xù)動(dòng)態(tài)的信任評(píng)估驗(yàn)證，最終實(shí)現(xiàn)端到端的安全訪問。其理論模型如圖1所示：

相較于傳統(tǒng)安全模型而言，零信任模型具備明顯的先進(jìn)性，主要體現(xiàn)在理念核心、訪問模式以及信任評(píng)估方式三個(gè)方面。

1.1.1"理念核心轉(zhuǎn)變

傳統(tǒng)安全架構(gòu)核心在于建“邊界”，設(shè)定一個(gè)“邊界”對(duì)內(nèi)外網(wǎng)進(jìn)行隔離，邊界內(nèi)是安全可信的，邊界外是不安全、不可信的，為了構(gòu)建這樣一套邊界機(jī)制，企業(yè)通常在網(wǎng)絡(luò)邊界處部署各類防火墻、防毒墻、入侵防御/檢測(cè)等網(wǎng)絡(luò)安全設(shè)備來構(gòu)筑內(nèi)網(wǎng)的安全護(hù)城河[7]。而零信任安全理念始終假設(shè)網(wǎng)絡(luò)內(nèi)外部都不可信，安全信任的驗(yàn)證不能僅僅依靠網(wǎng)絡(luò)邊界一層措施，信任的驗(yàn)證過程應(yīng)當(dāng)覆蓋所有的訪問主客體之間的所有行為動(dòng)作，并且驗(yàn)證動(dòng)作需要持續(xù)不斷（圖2）。

1.1.2"訪問模式轉(zhuǎn)變

傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)中，用戶需要通過客戶端先建立與服務(wù)端的連接，然后再進(jìn)行認(rèn)證授權(quán)，因此服務(wù)端的端口就暴露在公網(wǎng)中，很容易被攻擊者利用。在零信任架構(gòu)中，服務(wù)端資源被隱藏在零信任組件中，零信任組件默認(rèn)關(guān)閉所有端口，用戶通過驗(yàn)證后登錄零信任客戶端，才能通過SPA敲門的方式和目標(biāo)服務(wù)器連接[8]，將傳統(tǒng)先連接后認(rèn)證模式轉(zhuǎn)變?yōu)橄日J(rèn)證后連接模式，減少安全暴露面，具備天然的安全防護(hù)優(yōu)勢(shì)（圖3）。

1.1.3"信任評(píng)估方式轉(zhuǎn)變

傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的信任評(píng)估是采用靜態(tài)單次評(píng)估方式，即通過信任評(píng)估認(rèn)證授權(quán)后，在后續(xù)的持續(xù)訪問過程中，不再進(jìn)行信任核實(shí)，雖然為了提高信任評(píng)估的可信度，通常會(huì)采用多維因素參與評(píng)估，但本質(zhì)上整個(gè)評(píng)估方式是靜態(tài)單次的，這種評(píng)估方式容易被攻擊者利用，通過冒用合法用戶身份的方式侵入系統(tǒng)，導(dǎo)致安全機(jī)制失效[9]。而零信任架構(gòu)采用持續(xù)動(dòng)態(tài)信任評(píng)估方式，更多地強(qiáng)調(diào)過程中的持續(xù)動(dòng)態(tài)評(píng)估，根據(jù)設(shè)計(jì)好的評(píng)估因子，一旦發(fā)現(xiàn)非法違規(guī)等行為，就能夠及時(shí)調(diào)整該用戶的訪問動(dòng)作，避免進(jìn)一步損失，將信任評(píng)估動(dòng)作貫穿訪問全過程[10]。

1.2"典型零信任應(yīng)用架構(gòu)綜述

從具體應(yīng)用實(shí)踐來看，業(yè)內(nèi)主流零信任技術(shù)架構(gòu)，基本上采用可信訪問控制臺(tái)（TAC）和可信應(yīng)用代理（TAP）兩個(gè)組件來分別對(duì)應(yīng)零信任控制平面和數(shù)據(jù)平面，其技術(shù)架構(gòu)如圖4所示。

張照，王中斌等人所提出的技術(shù)架構(gòu)也證實(shí)了這是當(dāng)前零信任理論模型在實(shí)際場(chǎng)景應(yīng)用的典型技術(shù)架構(gòu)[8]。該架構(gòu)是零信任理論落地的最小化版本，適用于大多數(shù)典型場(chǎng)景。但是，隨著政企機(jī)構(gòu)數(shù)字化轉(zhuǎn)型、云原生以及微服務(wù)架構(gòu)等新技術(shù)應(yīng)用，該技術(shù)架構(gòu)也存在應(yīng)用場(chǎng)景覆蓋不全的弊端。

在此背景下，本文將零信任模型引入省級(jí)氣象部門網(wǎng)絡(luò)防護(hù)體系中，設(shè)計(jì)了一種基于零信任的、適用于省級(jí)氣象部門的、全面整體的零信任安全技術(shù)架構(gòu)，并提出構(gòu)建氣象網(wǎng)絡(luò)的可信訪問通道，數(shù)據(jù)動(dòng)態(tài)授權(quán)以及終端可信空間方案。

2"基于零信任的省氣象網(wǎng)絡(luò)安全架構(gòu)

當(dāng)前，大多省級(jí)氣象部門已經(jīng)搭建國、省、市、州四級(jí)縱向網(wǎng)絡(luò)架構(gòu)，并橫向與各級(jí)政府職能部門連通形成綜合氣象網(wǎng)絡(luò)。但是，在網(wǎng)絡(luò)安全方面，大多數(shù)氣象部門還處于傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)階段。隨著氣象部門業(yè)務(wù)服務(wù)、數(shù)據(jù)服務(wù)架構(gòu)的升級(jí)和開放，網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)和挑戰(zhàn)越來越大，迫切需要對(duì)網(wǎng)絡(luò)安全架構(gòu)進(jìn)行迭代升級(jí)。

2.1"省級(jí)氣象部門零信任安全架構(gòu)

以零信任理論模型為指導(dǎo)，基于省級(jí)氣象部門網(wǎng)絡(luò)架構(gòu)及業(yè)務(wù)服務(wù)現(xiàn)狀，針對(duì)當(dāng)前網(wǎng)絡(luò)安全面臨的主要問題，提出“2+3”架構(gòu)的省級(jí)氣象部門零信任安全架構(gòu)，即通過2個(gè)控制平面組件和3個(gè)數(shù)據(jù)平面組件來實(shí)踐零信任（圖5）。

在省級(jí)氣象部門零信任安全架構(gòu)中，零信任數(shù)據(jù)平面的各類可信代理組件將攔截所有訪問氣象業(yè)務(wù)服務(wù)和數(shù)據(jù)服務(wù)的請(qǐng)求，通過在控制平面采用RBAC和ABAC的授權(quán)方式，實(shí)現(xiàn)用戶權(quán)限的高效分配、授權(quán)動(dòng)態(tài)控制和不同粒度的授權(quán)控制，在控制內(nèi)容上有效提升訪問控制能力，滿足比較復(fù)雜的業(yè)務(wù)系統(tǒng)訪問控制要求。

整個(gè)架構(gòu)的核心組件設(shè)計(jì)如下：

2個(gè)控制平面組件：即可信訪問控制臺(tái)（Trust"Access"Console，TAC），用于省氣象業(yè)務(wù)和數(shù)據(jù)資源注冊(cè)與授權(quán)，并統(tǒng)一對(duì)接零信任中各個(gè)組件，是整個(gè)架構(gòu)的控制中樞，能夠提供認(rèn)證、授權(quán)、動(dòng)態(tài)信任評(píng)估、細(xì)粒度訪問控制等能力。另一個(gè)控制平面組件為可信終端空間（Trust"Terminal"Space，TTC），主要用于解決終端落地?cái)?shù)據(jù)保護(hù)問題，面向訪問氣象業(yè)務(wù)和數(shù)據(jù)的運(yùn)維、開發(fā)測(cè)試終端提供安全可信的終端數(shù)據(jù)空間。兩個(gè)控制平面組件在用戶和應(yīng)用授權(quán)數(shù)據(jù)上保持同步。

3個(gè)數(shù)據(jù)平面組件：可信應(yīng)用代理（Trust"Application"Proxy，TAP），作為應(yīng)用統(tǒng)一發(fā)布的網(wǎng)關(guān)，為所有的應(yīng)用訪問提供安全可信的代理轉(zhuǎn)發(fā)服務(wù)；可信API代理（Trust"API"Proxy，TIP），作為API統(tǒng)一發(fā)布網(wǎng)關(guān)，為所有的API接口訪問提供安全可信的代理轉(zhuǎn)發(fā)服務(wù)；可信運(yùn)維代理（Trust"OPS"Proxy，TOP），作為統(tǒng)一的運(yùn)維訪問入口，為所有的運(yùn)維訪問提供安全可信的代理轉(zhuǎn)發(fā)服務(wù)。數(shù)據(jù)平面所有的組件都是零信任的訪問控制策略執(zhí)行節(jié)點(diǎn)，共同構(gòu)成訪問氣象業(yè)務(wù)和數(shù)據(jù)服務(wù)的可信訪問通道。

2.2"省級(jí)氣象部門可信訪問通道

2.2.1"可信應(yīng)用訪問通道

為盡可能降低對(duì)外氣象業(yè)務(wù)服務(wù)系統(tǒng)和數(shù)據(jù)服務(wù)平臺(tái)的暴露面，提高訪問安全性，通過可信應(yīng)用代理（TAP）為橫向部門（國土、水利、交通、林業(yè)等）訪問、互聯(lián)網(wǎng)公眾訪問、第三方機(jī)構(gòu)訪問以及遠(yuǎn)程訪問氣象對(duì)外業(yè)務(wù)和數(shù)據(jù)服務(wù)系統(tǒng)提供安全通道。TAP作為零信任中的策略執(zhí)行點(diǎn)PEP（Policy"Enforcement"Point），為用戶訪問應(yīng)用提供代理轉(zhuǎn)發(fā)服務(wù)，并與TAC協(xié)同實(shí)現(xiàn)用戶訪問應(yīng)用的動(dòng)態(tài)訪問控制。且能夠根據(jù)TAC的策略開啟端口隱藏能力，實(shí)現(xiàn)業(yè)務(wù)端口對(duì)用戶側(cè)的隱藏，使得業(yè)務(wù)端口對(duì)外不可見，從而保護(hù)業(yè)務(wù)端口無法被掃描到、無法PING通、無法發(fā)起惡意訪問等，進(jìn)而緩解針對(duì)業(yè)務(wù)端口的惡意嗅探、定向攻擊、DDos攻擊等安全風(fēng)險(xiǎn)?？尚趴蛻舳送ㄟ^UDPTCP敲門和TAP建立隧道，采用SSL通信加密，為業(yè)務(wù)訪問提供安全通道，確保訪問安全。

2.2.2"可信API訪問通道

湖南省氣象局研制了用于氣象信息共享的服務(wù)插件，通過標(biāo)準(zhǔn)數(shù)據(jù)API和圖形接口等方式提供服務(wù)，涉及幾十類氣象數(shù)據(jù)，數(shù)百個(gè)數(shù)據(jù)接口。為保護(hù)各類API服務(wù)接口安全，通過TIP集中代理API使用者與API服務(wù)之間的訪問請(qǐng)求與應(yīng)答，TIP作為零信任中的策略執(zhí)行點(diǎn)PEP，在提供代理服務(wù)的過程中，持續(xù)與TAC協(xié)同，接收來自TAC的動(dòng)態(tài)訪問控制策略，實(shí)現(xiàn)對(duì)API訪問過程安全控制。同時(shí)，TIP采用SSL通信加密，為數(shù)據(jù)傳輸提供安全通道。

2.2.3"可信運(yùn)維訪問通道

省級(jí)氣象部門各類對(duì)外服務(wù)系統(tǒng)和氣象數(shù)據(jù)中臺(tái)在部署和運(yùn)行期間，面臨不同第三方的運(yùn)維、開發(fā)以及測(cè)試人員頻繁訪問系統(tǒng)、數(shù)據(jù)或設(shè)備的需求。為此，省級(jí)氣象部門零信任安全架構(gòu)中采用TOP對(duì)開發(fā)、測(cè)試和運(yùn)維人員、B/S系統(tǒng)、C/S系統(tǒng)和網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備和主機(jī)系統(tǒng)等資源進(jìn)行安全訪問和運(yùn)維管理，統(tǒng)一運(yùn)維訪問入口。TOP作為零信任中的策略執(zhí)行點(diǎn)PEP，可通過與TAC進(jìn)行訪問控制策略判定，并根據(jù)判定結(jié)果執(zhí)行運(yùn)維訪問身份認(rèn)證和權(quán)限控制。同時(shí)，TOP采用SSL通信加密，為運(yùn)維訪問提供安全通道。2.3"省級(jí)氣象部門數(shù)據(jù)動(dòng)態(tài)授權(quán)

數(shù)據(jù)安全是省級(jí)氣象部門當(dāng)前需要重點(diǎn)關(guān)注的問題。就湖南省氣象局而言，已經(jīng)在省氣象信息中心DMZ區(qū)搭建數(shù)據(jù)中臺(tái)，統(tǒng)一對(duì)外提供氣象數(shù)據(jù)服務(wù)，考慮到數(shù)據(jù)安全隱患，省氣象信息中心雖然建立了MOID數(shù)據(jù)標(biāo)識(shí)系統(tǒng)，實(shí)現(xiàn)對(duì)向外部門提供的氣象數(shù)據(jù)進(jìn)行安全標(biāo)記、數(shù)據(jù)來源追溯、數(shù)據(jù)流程監(jiān)控，但是，如何確保數(shù)據(jù)是被安全可信的人、在可信的時(shí)間、可信的地方、因可信必要的業(yè)務(wù)需求而進(jìn)行訪問是當(dāng)前數(shù)據(jù)被安全訪問的關(guān)鍵問題。為了有效解決該問題，本文基于零信任技術(shù)架構(gòu)，提出一種數(shù)據(jù)動(dòng)態(tài)授權(quán)訪問的方法（圖6）。

從圖6可以看出，構(gòu)建零信任動(dòng)態(tài)授權(quán)能力，需要對(duì)請(qǐng)求方的主體、響應(yīng)方的客體資源、授權(quán)方的訪問需求和策略進(jìn)行抽象，建立一套全鏈路的縱深防御體系，關(guān)鍵舉措包括：

（1）構(gòu)建數(shù)據(jù)視圖。通過MOID系統(tǒng)進(jìn)行客體資源治理，為數(shù)據(jù)打上標(biāo)簽，作為數(shù)據(jù)資源屬性，建立客體數(shù)據(jù)資源目錄。通過數(shù)據(jù)中臺(tái)對(duì)原始數(shù)據(jù)進(jìn)行處理封裝，將數(shù)據(jù)封裝成服務(wù)，供主體訪問。

（2）構(gòu)建身份視圖。通過TAC組件從設(shè)備和用戶身份認(rèn)證開始，進(jìn)行主體身份治理，采用實(shí)人認(rèn)證、設(shè)備認(rèn)證加強(qiáng)認(rèn)證的強(qiáng)度，保證主體身份可信。判定主體屬性（如部門、角色、職責(zé)）。

（3）構(gòu)建統(tǒng)一管控策略體系?；谑跈?quán)方需求，通過TAC對(duì)數(shù)據(jù)的權(quán)限進(jìn)行統(tǒng)一管理，通過基于屬性的訪問控制機(jī)制進(jìn)行精細(xì)化的業(yè)務(wù)合規(guī)控制，保證數(shù)據(jù)僅供其工作職責(zé)訪問之內(nèi)使用。業(yè)務(wù)規(guī)則使用自然語言方式進(jìn)行描述，再轉(zhuǎn)化為可以進(jìn)行屬性精細(xì)化描述的表述性語言（如XML、接口）。通過零信任數(shù)據(jù)平臺(tái)各類代理等進(jìn)行策略的執(zhí)行。

（4）持續(xù)信任評(píng)估與策略治理。在零信任架構(gòu)中，訪問主體由用戶、設(shè)備和服務(wù)三者共同構(gòu)成，訪問主體的信任值包括用戶信任值、設(shè)備信任值、服務(wù)請(qǐng)求信任值以及這三者的綜合信任值，同時(shí)還需要考慮外部威脅情況對(duì)綜合值進(jìn)行動(dòng)態(tài)調(diào)整[1]。因此，持續(xù)信任評(píng)估與策略治理需要采集主體環(huán)境感知數(shù)據(jù)（包括系統(tǒng)環(huán)境、網(wǎng)絡(luò)環(huán)境、軟件環(huán)境、物理環(huán)境、時(shí)間、地點(diǎn)等），建立環(huán)境信任風(fēng)險(xiǎn)等級(jí)，同時(shí)還采集用戶和應(yīng)用行為數(shù)據(jù)，持續(xù)對(duì)訪問會(huì)話進(jìn)行評(píng)估，動(dòng)態(tài)調(diào)整數(shù)據(jù)訪問安全策略。

2.4"省級(jí)氣象部門終端可信數(shù)據(jù)空間

省級(jí)氣象部門各類對(duì)外服務(wù)系統(tǒng)和氣象數(shù)據(jù)中臺(tái)在日常運(yùn)行過程中，面臨第三方開發(fā)人員、測(cè)試人員、運(yùn)維人員以及部門內(nèi)部管理人員因業(yè)務(wù)需要訪問各類系統(tǒng)和數(shù)據(jù)中臺(tái)的場(chǎng)景，如何確保這些人員在訪問及業(yè)務(wù)操作過程中的數(shù)據(jù)安全，有效防止數(shù)據(jù)泄露？本文提出了一種基于零信任的終端可信數(shù)據(jù)空間方案來統(tǒng)一解決上述場(chǎng)景數(shù)據(jù)安全問題，實(shí)現(xiàn)數(shù)據(jù)“可用不可拿”（圖7）。

從圖7來看，終端可信數(shù)據(jù)空間設(shè)計(jì)由TOP作為統(tǒng)一的訪問入口，為第三方開發(fā)人員、測(cè)試人員、運(yùn)維人員以及部門內(nèi)部管理人員訪問氣象系統(tǒng)和資源提供可信訪問通道，構(gòu)成第一道數(shù)據(jù)安全防線。

終端可信數(shù)據(jù)空間由可信客戶端和TTS兩大核心組件構(gòu)成。TTS作為控制中心，從TAC同步用戶及應(yīng)用授權(quán)，并下發(fā)訪問策略至可信客戶端。可信客戶端部署在第三方開發(fā)人員、測(cè)試人員、運(yùn)維人員以及部門內(nèi)部管理人員終端上，根據(jù)TTS下發(fā)的訪問策略，執(zhí)行網(wǎng)絡(luò)訪問控制、進(jìn)程隔離、數(shù)據(jù)隔離以及權(quán)限控制等。

通過終端可信數(shù)據(jù)空間技術(shù)，可在相關(guān)人員終端上創(chuàng)建單個(gè)或多個(gè)安全空間，如運(yùn)維空間、研發(fā)空間、測(cè)試空間等。安全空間是基于主機(jī)操作系統(tǒng)之上的虛擬化，所有安全控件與主機(jī)系統(tǒng)共用軟硬件資源，安全空間內(nèi)進(jìn)程間通信不受限制，安全空間之間進(jìn)程通信嚴(yán)格受限，包括但不限于文件通信、服務(wù)通信、剪貼板進(jìn)程通信等。每個(gè)安全空間可定義不同的安全等級(jí)、加密密鑰，設(shè)置允許/禁止在該安全空間內(nèi)運(yùn)行的應(yīng)用程序列表，設(shè)置允許/禁止在該安全空間內(nèi)訪問的網(wǎng)絡(luò)地址。安全空間內(nèi)的進(jìn)程將嚴(yán)格受所屬空間限制，在此空間內(nèi)如果主機(jī)進(jìn)程未經(jīng)授權(quán)，則不能訪問任何安全空間內(nèi)的數(shù)據(jù)。個(gè)人空間與安全空間進(jìn)程實(shí)行嚴(yán)格的IPC/管道/剪切板單向隔離，安全空間內(nèi)的進(jìn)程不能將文件另存到個(gè)人空間，個(gè)人空間不能以任何方式打開安全空間內(nèi)的文件。通過內(nèi)核沙箱驅(qū)動(dòng)，安全空間內(nèi)進(jìn)程的所有數(shù)據(jù)，將被重定向到對(duì)應(yīng)的安全存儲(chǔ)空間，即使存儲(chǔ)介質(zhì)丟失也不會(huì)導(dǎo)致數(shù)據(jù)泄密，空間內(nèi)進(jìn)程產(chǎn)生的數(shù)據(jù)只能保存在空間安全盤上，空間外進(jìn)程也不能訪問空間內(nèi)的數(shù)據(jù)。同時(shí)，還可以授予不同用戶不同的使用權(quán)限，如空間內(nèi)數(shù)據(jù)的復(fù)制/粘貼、打印、截屏、水印、文件導(dǎo)出等，通過空間定義與使用授權(quán)的分離，有效防止數(shù)據(jù)泄露事件的發(fā)生。為氣象系統(tǒng)重要數(shù)據(jù)的存儲(chǔ)、使用、流轉(zhuǎn)建立安全、易用、可信的工作環(huán)境。

3"結(jié)"論

主要是對(duì)零信任理念及模型在氣象部門全面應(yīng)用的預(yù)研，本文所設(shè)計(jì)的省級(jí)氣象部門“2+3”零信任安全模型，是基于省級(jí)氣象部門當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀以及未來業(yè)務(wù)安全需求，以零信任理念為指導(dǎo)設(shè)計(jì)的一套全新的安全架構(gòu)，旨在為氣象部門當(dāng)前及未來開展網(wǎng)絡(luò)安全工作提供新思路、新方案。

不同于典型零信任應(yīng)用架構(gòu)，該架構(gòu)設(shè)計(jì)面向全局場(chǎng)景，更先進(jìn)、更全面，能滿足省級(jí)氣象部門當(dāng)前及未來對(duì)網(wǎng)絡(luò)安全的新需求。同時(shí)，也由于架構(gòu)設(shè)計(jì)的先進(jìn)性和全面性，以及省級(jí)氣象部門當(dāng)前應(yīng)用場(chǎng)景條件限制，完整的架構(gòu)尚未在氣象部門實(shí)際環(huán)境中落地應(yīng)用。

下一步，將在湖南省氣象信息中心以該架構(gòu)為指導(dǎo)，率先開展落地應(yīng)用工作，為全國各省氣象部門實(shí)踐零信任提供應(yīng)用實(shí)踐樣本。

參考文獻(xiàn)

［１］"POLALTO.Zero"trust"network"architecture"with"JohnKindervag"video[EB/OL].[2020-05-31].https：//www.paloaltonetworks.com"resources/videoszero-trust.

[2]"王斯梁，馮暄，蔡友保，等.零信任安全模型解析及應(yīng)用研究[J].信息安全研究，2020，6（11）：966-969.

[3]"余雙玻，李春燕，周吉，等.零信任架構(gòu)在網(wǎng)絡(luò)信任體系中的應(yīng)用[J].通信技術(shù)，2020，53（10）：2533-2537.

[4]"劉歡，楊帥，劉皓.零信任安全架構(gòu)及應(yīng)用研究[J].通信技術(shù)，2020，53（7）：1745-1749.

[5]"何國峰.零信任架構(gòu)在5G云網(wǎng)中應(yīng)用防護(hù)的研究[J].應(yīng)用及終端安全，2020，10（11）：1000-1010.

[6]"魏小強(qiáng).基于零信任的遠(yuǎn)程辦公系統(tǒng)安全模型研究與實(shí)現(xiàn)[J].信息安全研究，2020，4（6）：289-295.

[7]"張劉天，陳丹尾.基于零信任的動(dòng)態(tài)訪問控制模型研究[J].信息安全研究，2022，8（10）：1008-1017.

[8]"張照，王中斌，張建偉.零信任訪問解決方案[J].信息安全研究，2022，8（增刊）：119-122.

[9]"張宇，張妍.零信任研究綜述[J]."信息安全研究，"2020，"6（7）："608-614.

[10]薛人瑞，吳華佳.HiSec零信任安全解決方案[J].信息安全研究，2021，7（增刊）：117-121.