目前,各級公安機關正在全國開展公安大數據建設,除了需要滿足《關鍵信息基礎設施安全保護條例》、《數據安全法》等法規要求外,也正在積極實踐零信任的安全防護理念,進一步增強公安機關的數據安全能力。
公安業務在數據層面,從數據接入開始,根據分級分類的標準,對數據進行各類標注,包括數據集、數據表、行、列進行一系列的標記,為上層應用和安全訪問控制提供底層支撐。
在應用層面,通過統一訪問主體的身份認證,動態的權限控制以及通過工作流的審批和審計管理,能夠實現對數據“可用可見、可用不可見、不可用不可見”等的安全措施。本文基于銳安科技近年來在公安行業的服務經驗,對零信任思想的實踐及應用進行探討。
一、零信任設計理念
我們認為,零信任設計理念主要有以下方面:
第一、 系統以身份為中心。零信任的思想從一開始就是設計每一個應用、設備、用戶等實體達到唯一的身份,通過研發的認證服務把這些管起來,統一身份化都有唯一的標識。
第二、 環境感知。結合主流安全產品的能力,在用戶登錄系統之后,能對用戶終端的環境,網絡的環境以及用戶自身訪問的行為進行持續的監測,從而實現身份的認證。
第三、 動態的權限控制。用戶登錄系統之后,權限不是一成不變的,可以通過權限服務進行細粒度的權限管理,另外通過環境感知的變化來實現動態權限的管控。
第四、 嚴格的業務安全訪問控制。用戶在安全訪問數據的過程中,有很多安全的執行檢查點。目前有可信接入檢控、可信API/數據檢控來實現相關的功能。
二、零信任設計組成
整個零信任部署的物理邏輯架構:用戶在訪問數據的過程中,有很多安全組件,例如環境感知、認證服務、權限服務、可信接入檢控、可信API/數據檢控。本文重點介紹認證服務、權限服務配合環境服務是如何實現持續身份認證,和動態權限管控這兩方面的實踐經驗。
(一)認證服務
認證服務分以下幾個模塊:
圖1:零信任體系服務架構-以身份為中心
集中身份管理。目前零信任的思想是將系統的人員、設備的利用等統一分配唯一的標識碼進行管理。只有注冊的用戶、合法的用戶才能使用系統,合法的設備才能接入網絡,合法的應用才能部署。
統一門戶。為了方便使用,認證服務也提供了統一的門戶。當用戶登錄系統之后,統一門戶可根據用戶的身份,將權限范圍內應用系統的APP圖標展現在統一門戶上面。例如用戶A,他具有右邊A、B、C三個業務系統的訪問權限,那么用戶在登錄系統之后,統一門戶會查詢這個用戶A的權限,然后將A、B、C三個APP圖標展現在統一門戶上面,提供給用戶A訪問。用戶B,具有A、B、C、D四個業務系統的訪問權限,那么B用戶在登錄系統之后,在統一門戶內可看到A、B、C、D四個APP圖標。
認證因子管理。為了確保用戶登錄的安全,系統提供統一認證因子的管理,目前系統已經對接PKI、人臉、聲紋、指紋等認證因子,用戶可以很方便的組合這些認證因子,來實現用戶登錄到門戶的安全。系統可以很方便的調用人臉或者聲紋對用戶進行二次安全校驗。
(二)權限服務
權限服務主要指能夠實現細粒度的權限管控。
圖2:零信任體系服務架構-細粒度授權
集中權限管理是系統授權的一個核心。通過該模塊,可以很方便實現用戶的授權管理。該模塊有兩個屬性,一個是身份的屬性,一個是角色的屬性。身份的屬性可以是人,也可以是組織機構(相當于給組織機構所有的人授權,實現批量授權);角色在我們系統里面相當于一個權限的集合,權限的粒度可以管理到應用、服務、功能菜單操作、數據等。尤其是在數據的權限管理,粒度可以細化到數據的類別、來源、數據集、表的行或列,把這些組合的權限賦予到某個角色,這個角色給予某個身份,就可以實現授權的效果。這些身份具體的指向某個人,那么這個人就有訪問某個應用的權限,能夠使用這個應用的哪幾個功能項,這個功能項下面能夠使用哪幾個功能子菜單,這些菜單能夠使用那些服務接口,這些服務接口能夠調用查詢哪些數據,這樣就構成了一個完整的業務流程。
另外,大數據平臺提供數據資源目錄、業務系統目錄以及服務資源目錄,方便授權服務進行管理,可以很方便的對這幾大類的資源進行排列組合。
(三)持續的身份認證
圖3:零信任體系服務架構-持續身份認證
如前面所述,零信任一般是與眾多安全廠商合作,用戶在訪問業務系統的過程中,安全廠家提供的環境感知模塊對終端、網絡環境是持續監測的,根據風險會輸出分值提供給認證服務。如果用戶使用的設備中了病毒或木馬,那么環境感知服務傳遞給系統的分值就會比較低。認證服務觸發兩個動作:當用戶訪問的是低敏應用,觸發二次認證,調用人臉,確認是否是本人在訪問應用系統;當用戶訪問的是高敏應用,認證服務會將當前用戶令牌撤銷,該用戶的訪問被攔截并暫時取消應用的訪問權限。待用戶的風險消除后,才能夠正常訪問系統。
(四)動態授權的實現
圖4:零信任體系服務架構-動態授權
目前權限服務提供兩種授權,第一類是靜態的授權,人員根據所屬組織機構、職級等可以預置一些權限。第二類是動態授權,其實現方式如下:
假如用戶A,他目前擁有1、2、3、4四個業務系統的訪問權限,其中業務系統4是一個高敏的應用,環境感知系統在用戶訪問系統過程中持續檢測環境,把風險分值提供給認證服務,如果當前用戶風險分值很低,也就是風險等級很高,那么認證服務通知權限服務,需要做權限變更,調整該用戶的應用訪問權限,實現動態的變更。當這個用戶再次登錄,因為權限已經做了變更,在登錄后,門戶只展示1、2、3業務系統,4業務系統的圖標就看不到了。當用戶的環境恢復到安全狀態的時候,權限服務才會把業務系統4的訪問權限重新賦予給用戶,用戶重新登后,門戶就會再次展現4個APP圖標。通過以上認證服務、權限服務再結合環境感知服務,可以實現一次完整的用戶動態權限的變更。
