电子真人官方纸牌-电子真人官方纸牌官网

零信任安全防护(hu)理念(nian)在公安大数(shu)据行业中的(de)实践 来源: 发表时间: 2021-08-25

前(qian)言


    近期,安(an)(an)(an)全(quan)(quan)领域(yu)讨论的(de)最多(duo)的(de)就(jiu)是《关键信(xin)息(xi)基(ji)础设施(shi)安(an)(an)(an)全(quan)(quan)保(bao)护条例(li)》以及(ji)(ji)9月1日将会(hui)一起施(shi)行的(de)另一部重要(yao)法(fa)例(li)《数(shu)据(ju)安(an)(an)(an)全(quan)(quan)法(fa)》。重要(yao)性不言而喻,《条例(li)》明确了(le)关键信(xin)息(xi)基(ji)础设施(shi)安(an)(an)(an)全(quan)(quan)保(bao)护中各个责(ze)任(ren)主(zhu)体(ti),以及(ji)(ji)各个角色的(de)职责(ze)范围和法(fa)律义务。《数(shu)据(ju)安(an)(an)(an)全(quan)(quan)法(fa)》则(ze)明确了(le)以数(shu)据(ju)为中心(xin)、数(shu)据(ju)安(an)(an)(an)全(quan)(quan)保(bao)护方责(ze)任(ren),确认了(le)数(shu)据(ju)安(an)(an)(an)全(quan)(quan)分级(ji)分类(lei)的(de)指(zhi)导原则(ze)。目(mu)前,各级(ji)公(gong)安(an)(an)(an)机关在(zai)(zai)全(quan)(quan)国(guo)开展公(gong)安(an)(an)(an)大数(shu)据(ju)的(de)建设,除了(le)需要(yao)满足上述法(fa)规的(de)要(yao)求外,也正在(zai)(zai)积极实践(jian)零信(xin)任(ren)的(de)安(an)(an)(an)全(quan)(quan)防护理念(nian),进一步增强公(gong)安(an)(an)(an)的(de)数(shu)据(ju)安(an)(an)(an)全(quan)(quan)。


    公安业务在数(shu)据(ju)层面(mian),从(cong)数(shu)据(ju)接入开始,根据(ju)分级分类(lei)的(de)标准(zhun),对数(shu)据(ju)进行(xing)各类(lei)标注,包括(kuo)数(shu)据(ju)集、数(shu)据(ju)表、行(xing)、列(lie)进行(xing)一(yi)系列(lie)的(de)标记(ji),为上层应用和(he)安全(quan)访(fang)问控(kong)制提供底层支撑。


    在应用(yong)(yong)层面,通过统(tong)一(yi)访(fang)问(wen)主体的身份认证,动态的权限控制以及通过工作流的审批和审计(ji)管理,能够实(shi)现对数据“可(ke)(ke)用(yong)(yong)可(ke)(ke)见(jian)、可(ke)(ke)用(yong)(yong)不(bu)可(ke)(ke)见(jian)、不(bu)可(ke)(ke)用(yong)(yong)不(bu)可(ke)(ke)见(jian)”等的安全措施。


    本文基于锐安科技在公安行业所积(ji)累的经(jing)验(yan)(yan)优势,介绍了对零(ling)信(xin)任思想的研究及实践(jian)经(jing)验(yan)(yan),希望可以为公安大(da)数(shu)据行业零(ling)信(xin)任安全建设(she)提供参考(kao)。



一、零(ling)信任设计(ji)理念

    零信任设计理念主要有四个:

    第一、系统以身份为中心。零信任的思想从一开始就是设计每一个应用、设备、用户等实体达到唯一的身份,通过研发的认证服务把这些管起来,统一身份化都有唯一的标识。


    第二、环境感知。结合国内知名厂家的安全能力,在用户登录系统之后,能对用户终端的环境,网络的环境以及用户自身访问的行为进行持续的监测,从而实现身份的认证。


    第三、动态的权限控制。用户登录系统之后,权限不是一成不变的,可以通过权限服务进行细粒度的权限管理,另外通过环境感知的变化来实现动态权限的管控。


    第四、严格的业务安全访问控制。用户在安全访问数据的过程中,有很多安全的执行检查点。目前有可信接入检控、可信API/数据检控来实现相关的功能。


二、零信任(ren)设计组成(cheng)

    整个(ge)零信任部(bu)署(shu)的物理(li)逻(luo)辑(ji)架(jia)构:

    用户在访问数据的过(guo)程中,有很多安(an)全(quan)组件,例(li)如环境感知(zhi)、认证服务、权限服务、可(ke)信接入检控、可(ke)信API/数据检控。

    

    本文(wen)重点介绍认(ren)证服务(wu)、权(quan)限服务(wu)配合环境(jing)服务(wu)是如何实现持续身份认(ren)证,和动态(tai)权(quan)限管控这(zhei)两(liang)方面的实践经验。

    

    首(shou)先介(jie)绍(shao)的是(shi)认证(zheng)服务(wu)。认证(zheng)服务(wu)分以下几个模块:

 

1.png 

图1:零信任体(ti)系服务架(jia)构-以身(shen)份(fen)为中(zhong)心


    集中身份管理。目前零信任(ren)的(de)思想是将系统(tong)(tong)的(de)人员、设备的(de)利用(yong)等统(tong)(tong)一分(fen)配唯一的(de)标识(shi)码进行管理。只有注册的(de)用(yong)户(hu)、合法(fa)的(de)用(yong)户(hu)才能使(shi)用(yong)系统(tong)(tong),合法(fa)的(de)设备才能接(jie)入网(wang)络,合法(fa)的(de)应用(yong)才能部署。


    统(tong)一(yi)(yi)门(men)户(hu)(hu)(hu)(hu)(hu)(hu)。为了方便使(shi)用(yong)(yong),认证服务也提供(gong)(gong)了统(tong)一(yi)(yi)的(de)(de)门(men)户(hu)(hu)(hu)(hu)(hu)(hu)。当用(yong)(yong)户(hu)(hu)(hu)(hu)(hu)(hu)登(deng)录(lu)系(xi)统(tong)之后(hou),统(tong)一(yi)(yi)门(men)户(hu)(hu)(hu)(hu)(hu)(hu)可根据用(yong)(yong)户(hu)(hu)(hu)(hu)(hu)(hu)的(de)(de)身份,将(jiang)权(quan)(quan)(quan)限范围内应(ying)用(yong)(yong)系(xi)统(tong)的(de)(de)APP图标展(zhan)现(xian)(xian)在统(tong)一(yi)(yi)门(men)户(hu)(hu)(hu)(hu)(hu)(hu)上(shang)面(mian)。例如用(yong)(yong)户(hu)(hu)(hu)(hu)(hu)(hu)A,他具有(you)(you)右边A、B、C三个业(ye)务系(xi)统(tong)的(de)(de)访(fang)(fang)(fang)问权(quan)(quan)(quan)限,那(nei)么用(yong)(yong)户(hu)(hu)(hu)(hu)(hu)(hu)在登(deng)录(lu)系(xi)统(tong)之后(hou),统(tong)一(yi)(yi)门(men)户(hu)(hu)(hu)(hu)(hu)(hu)会(hui)查询这(zhei)个用(yong)(yong)户(hu)(hu)(hu)(hu)(hu)(hu)A的(de)(de)权(quan)(quan)(quan)限,然后(hou)将(jiang)A、B、C三个APP图标展(zhan)现(xian)(xian)在统(tong)一(yi)(yi)门(men)户(hu)(hu)(hu)(hu)(hu)(hu)上(shang)面(mian),提供(gong)(gong)给用(yong)(yong)户(hu)(hu)(hu)(hu)(hu)(hu)A访(fang)(fang)(fang)问。用(yong)(yong)户(hu)(hu)(hu)(hu)(hu)(hu)B,具有(you)(you)A、B、C、D四个业(ye)务系(xi)统(tong)的(de)(de)访(fang)(fang)(fang)问权(quan)(quan)(quan)限,那(nei)么B用(yong)(yong)户(hu)(hu)(hu)(hu)(hu)(hu)在登(deng)录(lu)系(xi)统(tong)之后(hou),在统(tong)一(yi)(yi)门(men)户(hu)(hu)(hu)(hu)(hu)(hu)内可看到A、B、C、D四个APP图标。


    认(ren)证因(yin)子(zi)管(guan)(guan)理(li)。为了确保(bao)用(yong)户登录的(de)(de)安(an)全(quan)(quan),系(xi)统提供统一认(ren)证因(yin)子(zi)的(de)(de)管(guan)(guan)理(li),目前(qian)系(xi)统已(yi)经对(dui)接PKI、人(ren)脸、声纹(wen)、指纹(wen)等认(ren)证因(yin)子(zi),用(yong)户可以(yi)很方便的(de)(de)组合这些认(ren)证因(yin)子(zi),来实现用(yong)户登录到(dao)门户的(de)(de)安(an)全(quan)(quan)。系(xi)统可以(yi)很方便的(de)(de)调(diao)用(yong)人(ren)脸或者声纹(wen)对(dui)用(yong)户进行二(er)次安(an)全(quan)(quan)校验。


    其次(ci)是权(quan)(quan)限服(fu)务。权(quan)(quan)限服(fu)务就(jiu)是能(neng)够实现细粒度的(de)权(quan)(quan)限管(guan)控服(fu)务。

 

2.png 

图2:零(ling)信任(ren)体系服务架(jia)构(gou)-细(xi)粒(li)度授权(quan)


    先说说集中权(quan)(quan)限管理这个(ge)模(mo)块,这是(shi)系统授权(quan)(quan)的(de)(de)一(yi)个(ge)核心。通过(guo)该模(mo)块,可(ke)以(yi)很方便(bian)实(shi)现用(yong)(yong)户的(de)(de)授权(quan)(quan)管理。该模(mo)块有(you)两个(ge)属(shu)性,一(yi)个(ge)是(shi)身(shen)份(fen)(fen)(fen)的(de)(de)属(shu)性,一(yi)个(ge)是(shi)角色(se)的(de)(de)属(shu)性。身(shen)份(fen)(fen)(fen)的(de)(de)属(shu)性可(ke)以(yi)是(shi)人,也可(ke)以(yi)是(shi)组(zu)(zu)织机构(gou)(相当(dang)于给组(zu)(zu)织机构(gou)所有(you)的(de)(de)人授权(quan)(quan),实(shi)现批量授权(quan)(quan));角色(se)在我们系统里面相当(dang)于一(yi)个(ge)权(quan)(quan)限的(de)(de)集合,权(quan)(quan)限的(de)(de)粒度可(ke)以(yi)管理到应用(yong)(yong)、服务、功(gong)能(neng)菜(cai)单(dan)操(cao)作、数(shu)(shu)据等(deng)。尤其是(shi)在数(shu)(shu)据的(de)(de)权(quan)(quan)限管理,粒度可(ke)以(yi)细化到数(shu)(shu)据的(de)(de)类别、来源、数(shu)(shu)据集、表的(de)(de)行或列,把这些组(zu)(zu)合的(de)(de)权(quan)(quan)限赋予到某(mou)个(ge)角色(se),这个(ge)角色(se)给予某(mou)个(ge)身(shen)份(fen)(fen)(fen),就(jiu)可(ke)以(yi)实(shi)现授权(quan)(quan)的(de)(de)效果。这些身(shen)份(fen)(fen)(fen)具体的(de)(de)指向(xiang)某(mou)个(ge)人,那么这个(ge)人就(jiu)有(you)访问某(mou)个(ge)应用(yong)(yong)的(de)(de)权(quan)(quan)限,能(neng)够(gou)使(shi)用(yong)(yong)这个(ge)应用(yong)(yong)的(de)(de)哪(na)(na)几个(ge)功(gong)能(neng)项,这个(ge)功(gong)能(neng)项下面能(neng)够(gou)使(shi)用(yong)(yong)哪(na)(na)几个(ge)功(gong)能(neng)子菜(cai)单(dan),这些菜(cai)单(dan)能(neng)够(gou)使(shi)用(yong)(yong)那些服务接口,这些服务接口能(neng)够(gou)调用(yong)(yong)查询哪(na)(na)些数(shu)(shu)据,这样(yang)就(jiu)构(gou)成了一(yi)个(ge)完整(zheng)的(de)(de)业务流程。


    另外,大(da)数据(ju)(ju)平台提供数据(ju)(ju)资(zi)(zi)源(yuan)(yuan)目(mu)录(lu)、业务系统目(mu)录(lu)以及服务资(zi)(zi)源(yuan)(yuan)目(mu)录(lu),方便(bian)授权服务进行(xing)管(guan)理,可以很(hen)方便(bian)的对这(zhei)几大(da)类的资(zi)(zi)源(yuan)(yuan)进行(xing)排列(lie)组合(he)。


    接下来(lai),介绍零信任(ren)的持(chi)续身(shen)份(fen)认证是怎么实现(xian)的。

 


 


 

3.png 

图3:零信(xin)任(ren)体系服(fu)务(wu)架构(gou)-持续身(shen)份认证


    如前面(mian)所述,零信任一般是(shi)(shi)与众多安(an)全厂(chang)商合作,用(yong)(yong)户(hu)(hu)在(zai)访问(wen)(wen)业(ye)务系(xi)统的(de)过(guo)程(cheng)中(zhong),安(an)全厂(chang)家提供的(de)环境(jing)感知模块对(dui)终端、网络(luo)环境(jing)是(shi)(shi)持续监测的(de),根据风险会输出分(fen)值提供给(ji)认(ren)(ren)(ren)(ren)证服(fu)(fu)务。如果用(yong)(yong)户(hu)(hu)使(shi)用(yong)(yong)的(de)设备(bei)中(zhong)了病(bing)毒或木(mu)马,那么环境(jing)感知服(fu)(fu)务传(chuan)递给(ji)系(xi)统的(de)分(fen)值就会比较低。认(ren)(ren)(ren)(ren)证服(fu)(fu)务触(chu)发两个动(dong)作:当用(yong)(yong)户(hu)(hu)访问(wen)(wen)的(de)是(shi)(shi)低敏(min)应(ying)(ying)用(yong)(yong),触(chu)发二次认(ren)(ren)(ren)(ren)证,调(diao)用(yong)(yong)人脸,确认(ren)(ren)(ren)(ren)是(shi)(shi)否是(shi)(shi)本人在(zai)访问(wen)(wen)应(ying)(ying)用(yong)(yong)系(xi)统;当用(yong)(yong)户(hu)(hu)访问(wen)(wen)的(de)是(shi)(shi)高敏(min)应(ying)(ying)用(yong)(yong),认(ren)(ren)(ren)(ren)证服(fu)(fu)务会将当前用(yong)(yong)户(hu)(hu)令(ling)牌撤(che)销,该用(yong)(yong)户(hu)(hu)的(de)访问(wen)(wen)被(bei)拦截并暂时(shi)取消应(ying)(ying)用(yong)(yong)的(de)访问(wen)(wen)权限(xian)。待(dai)用(yong)(yong)户(hu)(hu)的(de)风险消除后,才能够(gou)正常(chang)访问(wen)(wen)系(xi)统。


    最后,介绍动态授权是怎么实现的。



 


 

4.png 

 图4:零信任(ren)体系服(fu)务架构-动态授权(quan)

 


    目前权限(xian)服务提供两(liang)种授(shou)(shou)权,第一个(ge)是静(jing)态的授(shou)(shou)权,人员根据所属(shu)组织机(ji)构、职级等可以预(yu)置一些(xie)权限(xian)。


    重(zhong)点(dian)分(fen)享第二个动态授权是如(ru)(ru)何实现(xian)的(de)(de)。假如(ru)(ru)用(yong)户(hu)(hu)(hu)(hu)A,他(ta)目前拥有1、2、3、4四个业(ye)(ye)务(wu)(wu)(wu)(wu)系(xi)(xi)(xi)(xi)统(tong)(tong)(tong)的(de)(de)访(fang)问权限,其(qi)中业(ye)(ye)务(wu)(wu)(wu)(wu)系(xi)(xi)(xi)(xi)统(tong)(tong)(tong)4是一个高敏的(de)(de)应(ying)用(yong),环(huan)(huan)境(jing)(jing)感(gan)知系(xi)(xi)(xi)(xi)统(tong)(tong)(tong)在用(yong)户(hu)(hu)(hu)(hu)访(fang)问系(xi)(xi)(xi)(xi)统(tong)(tong)(tong)过(guo)程中持续检测环(huan)(huan)境(jing)(jing),把(ba)风险分(fen)值(zhi)提供(gong)给认证服(fu)(fu)(fu)务(wu)(wu)(wu)(wu),如(ru)(ru)果当前用(yong)户(hu)(hu)(hu)(hu)风险分(fen)值(zhi)很(hen)低(di),也就(jiu)(jiu)是风险等级很(hen)高,那么认证服(fu)(fu)(fu)务(wu)(wu)(wu)(wu)通(tong)知权限服(fu)(fu)(fu)务(wu)(wu)(wu)(wu),需(xu)要做权限变(bian)更(geng)(geng),调整该用(yong)户(hu)(hu)(hu)(hu)的(de)(de)应(ying)用(yong)访(fang)问权限,实现(xian)动态的(de)(de)变(bian)更(geng)(geng)。当这(zhei)个用(yong)户(hu)(hu)(hu)(hu)再(zai)(zai)次登(deng)(deng)录(lu),因为权限已经做了变(bian)更(geng)(geng),在登(deng)(deng)录(lu)后(hou),门户(hu)(hu)(hu)(hu)只展(zhan)示1、2、3业(ye)(ye)务(wu)(wu)(wu)(wu)系(xi)(xi)(xi)(xi)统(tong)(tong)(tong),4业(ye)(ye)务(wu)(wu)(wu)(wu)系(xi)(xi)(xi)(xi)统(tong)(tong)(tong)的(de)(de)图(tu)标就(jiu)(jiu)看(kan)不到(dao)了。当用(yong)户(hu)(hu)(hu)(hu)的(de)(de)环(huan)(huan)境(jing)(jing)恢(hui)复到(dao)安全(quan)状态的(de)(de)时候(hou),权限服(fu)(fu)(fu)务(wu)(wu)(wu)(wu)才会(hui)把(ba)业(ye)(ye)务(wu)(wu)(wu)(wu)系(xi)(xi)(xi)(xi)统(tong)(tong)(tong)4的(de)(de)访(fang)问权限重(zhong)新(xin)赋(fu)予给用(yong)户(hu)(hu)(hu)(hu),用(yong)户(hu)(hu)(hu)(hu)重(zhong)新(xin)登(deng)(deng)后(hou),门户(hu)(hu)(hu)(hu)就(jiu)(jiu)会(hui)再(zai)(zai)次展(zhan)现(xian)4个APP图(tu)标。通(tong)过(guo)以上认证服(fu)(fu)(fu)务(wu)(wu)(wu)(wu)、权限服(fu)(fu)(fu)务(wu)(wu)(wu)(wu)再(zai)(zai)结合环(huan)(huan)境(jing)(jing)感(gan)知服(fu)(fu)(fu)务(wu)(wu)(wu)(wu),可以实现(xian)一次完整的(de)(de)用(yong)户(hu)(hu)(hu)(hu)动态权限的(de)(de)变(bian)更(geng)(geng)。


四、锐安科技(ji)零信任实践案例


    锐安(an)(an)科(ke)技是大数据(ju)产(chan)品与(yu)网络(luo)安(an)(an)全服务(wu)的(de)(de)提(ti)供商(shang),在公(gong)安(an)(an)大数据(ju)的(de)(de)建(jian)设过程中(zhong),为保护数据(ju)和应用(yong)的(de)(de)安(an)(an)全做了很多工(gong)作。在实际建(jian)设当(dang)(dang)中(zhong)锐安(an)(an)科(ke)技除实现部标要求外,也根据(ju)当(dang)(dang)地的(de)(de)实际情(qing)况(kuang),结合大数据(ju)建(jian)设的(de)(de)需求对系统(tong)功能做了适当(dang)(dang)的(de)(de)定制,以(yi)便(bian)更好(hao)的(de)(de)发挥(hui)零信(xin)任安(an)(an)全的(de)(de)效果。目(mu)前,锐安(an)(an)科(ke)技零信(xin)任体系建(jian)设已在多个省公(gong)安(an)(an)厅、市局部署并应用(yong)。


    最(zui)后,锐安(an)(an)科技也将积极联(lian)合各(ge)安(an)(an)全(quan)厂家形成(cheng)安(an)(an)全(quan)生态联(lian)盟(meng),共(gong)同推动零(ling)信(xin)任在公安(an)(an)等各(ge)行(xing)业的应用(yong),为(wei)大数据的安(an)(an)全(quan)保驾(jia)护航(hang)。