一、建設背景
自2019年起,美國陸續發布零信任指導建議、計劃等推動零信任在美落地,其他發達國家也紛紛開展零信任布局,達到強化網絡空間話語權的目的。直至2023年4月,CISA(美國網絡空間和基礎設施安全局)發布第二版零信任成熟度模型,由此看出美國正試圖用零信任引領國防部的安全架構,即從“以網絡為中心”轉變到“以身份和數據為中心”。
零信任之所以能成為美國國防部的首選安全技術之一,是因為建設數據安全流通體系,究其根本是建立以業務數據保護為核心的零信任安全架構,包括用戶、終端、網絡、業務系統、數據庫等涉及業務系統訪問的各個節點。所以,數據安全架構設計,除了要有強的環境適應性之外,覆蓋身份、網絡、數據等多個維度的訪問控制,也是非常必要的。
二、建設思路
業務系統數據安全流轉解決方案以零信任安全架構為底座,以數據全生命周期防護為目標,遵從“特定的用戶見特定的設備”原則,結合自主研發的中心端的零信任訪問控制系統、零信任安全網關、零信任安全沙箱系統、物聯網安全接入控制系統、Web動態脫敏系統、數據庫訪問控制系統、主機微隔離、全鏈路安全管控系統,并基于SPA單包認證的網絡隱身技術,可構建起一張隱形的從終端安全、鏈路加密、數據使用、最小權限等多維度的數據安全保護網。
在對數據流轉保護方面,提供泛終端、多樣化網絡通信等環境中的數據保護,規避數據在流轉時存在的被入侵、被控制、被竊取、被監聽、被篡改等風險,提供計算與存儲環境中的數據保護,避免敏感數據在使用過程中因管控力度不足以及服務器被攻擊、被入侵導致的業務停擺或數據泄露等問題。
零信任訪問控制系統是一個管理控制平臺,可對全數據流轉解決方案中的所有安全系統進行納管、策略編排、動態管控、信任評估、風險決策、可視化呈現等。
零信任安全網關主要負責和零信任安全訪問系統、零信任客戶端、零信任安全沙箱建立安全傳輸通道,以及對用戶訪問內網進行數據轉發控制。安全傳輸通道方面,基于SPA單包授權,零信任業務流量訪問策略控制單元在“網絡隱身”的狀態下,可僅針對授權客戶端建立起國密或非國密算法加密的傳輸通路。
零信任安全沙箱系統是基于客戶端在受保護的終端上的部署安全,保護終端用戶數據安全使用、敏感數據防泄漏而設計的輕量化安全接入客戶端。
物聯網安全接入控制系統對接入內外網的物聯網設備和邊帶網關設備進行安全性的檢查。對接入的所有物聯網進行識別、認證、準入,防止違規接入和身份偽造。其終端在身份認證過程中利用SPA敲門技術實現網絡隱身,數據在傳輸過程中基于安全隧道實現數據安全傳輸,以及物聯網終端的全生命周期管理和監測。
Web動態脫敏系統對接入的業務系統基于API字段識別和敏感數據標注,利用API脫敏技術批量生產脫敏規則,內置RBAC和ABAC權限模型來對用戶角色權限實現敏感內容訪問控制、脫敏和加密,并提供詳細的審計日志。
數據庫訪問控制系統基于用戶身份透傳、數據庫指令識別和數據存儲加密的能力,可在各類場景下,對數據庫的訪問進行精細化的控制,利用SQL協議字段特點對數據庫的數據識別、敏感數據密文存儲、透明訪問、國密算法及算法擴展、列級隨機密鑰等進行指令級管控。
主機微隔離系統將安全保護能力延伸到服務器側。通過在服務器上安裝微隔離程序,監測服務器“東西向”和“南北向”流量、東向西路徑訪問控制、異常服務監測,對主機服務器的本機訪問控制策略做實時調整和聯動,并通過零信任動態自適應基座與終端和資源訪問關系,建立預制的訪問路徑,當服務器上有異常流量或攻擊行為時,對訪問關系進行動態權限控制和訪問視圖可視化。
零信任全鏈路數據管控系統利用虛擬隧道技術,可有效適配網絡環境惡劣、網絡切換頻繁、高并發等場景,內置國密和商密算法,為用戶和業務系統提供穩定的網絡傳輸環境。
三、建設優勢
業務系統數據安全流轉解決方案涵蓋零信任六大領域能力:身份安全、網絡安全、應用負載安全、數據安全、終端安全、安全管理。
(一)確保身份安全
確保所有用戶、終端、IOT設備和應用程序在訪問資源前進行身份認證,并通過身份自適應技術動態智能選取認證方式組合,保證用戶、設備、資源等身份的安全性和合規性。
(二)確保終端數據安全
為核心數據、敏感數據構建獨立的、隔離的安全工作空間,在此空間中一切文件操作行為都會被安全工作空間的管理驅動和重定向引擎所接管和檢測,保證了不可見空間數據與個人可見空間數據的隔離以及數據安全交互。
(三)確保應用負載安全
在不改造業務系統的前提下實現對敏感字段的脫敏訪問,例如API智能梳理與標注、數據分類分級、敏感數據動態脫敏、精細化權限管理與控制、Web應用防護等。
(四)確保數據庫安全
通過數據庫的網絡層隱藏保護、網絡級到數據庫字段級的訪問鑒權等功能,使非法用戶無法直接看到數據庫,合法用戶無法看到未被授權的數據和執行相關操作。同時通過多維度智能身份識別,不同權限用戶對數據庫操作提供字段級訪問控制、動態脫敏、行級鑒權功能、敏感字段動態加解密等功能,具備敏感數據密文存儲、透明訪問、國密算法及算法擴展、列級隨機密鑰等功能。
(五)確保主機微隔離
將東西向流量進行識別、梳理,結合南北向流量追蹤,通過“網絡-業務-工作負載-進程”四層訪問控制,精細化控制東西向交互流量,規避威脅流量,并對主機服務器的本機訪問控制策略做實時調整和聯動。
(六)確保鏈路安全
基于新一代虛擬隧道技術構筑數據安全傳輸的強健管道,為客戶提供穩定的、安全的、可靠的、吞吐性能和效率更高的安全傳輸通道。
通過超輕量、符合國密最新標準的加解密技術,滿足數據在沒有到達最終目的節點之前不被解密、服務對外部完全隱身的需求,最大限度保障數據傳輸的安全性。
四、建設價值
(一)彌補傳統IT架構“縱深防御、主動防御”能力不足,全面解決用戶身份安全、終端環境安全、權限訪問控制、網絡傳輸隱身、服務微隔離等問題,提升數據安全保護能力。
(二)加速推動信息技術建設模式,重心由服務于“網絡中心戰”的網絡建設轉至服務于“數據中心戰”的數據建設。
(三)打造可擴展、可審計、可防御并具有彈性的信息環境,實現作戰人員從任意地點在授權設備上安全地訪問數據,建設出一支靈活、機動的國防隊伍。
(四)適時推動我軍零信任標準的落地,走“產、學、研、用”共創統建的生態之路,在統一的框架下圍繞不同應用場景打造自身優勢,提高我軍網絡空間作戰能力。
(五)適配多種信創產品,在攻關關鍵核心技術上保障全量數據流轉安全,以創新為驅動,推動我軍數字化轉型,為我軍發展注入新的動力和活力。
五、結束語
數據安全未來的發展趨勢是多元化、綜合化、數智化的,而數據安全流轉是技術深度融合、行業高速穩定發展、數據集成強化和網絡安全防護等能力的基石。在面臨新的發展機遇和挑戰,行業需要不斷創新,積極應對各種挑戰,為行業的數智化作戰提供有力支撐,提升軍隊的作戰能力和應對復雜情況能力,從而更好地維護國家的安全和穩定。
