新疆地震行业网零信任网络安全模型初步研究.pdfVIP

地震地磁观测与研究

第45卷第1期SEISMOLOGICALANDGEOMAGNETICVol.45No.1

2024年2月OBSERVATIONANDRESEARCHFeb.2024

doi:10.3969/j.issn.1003-3246.2024.01.020

新疆地震行业网零信任网络安全模型初步研究

王范霞朱翔国马睿刘东亚

（中国乌鲁木齐830011新疆维吾尔自治区地震局）

摘要 在了解国际上成熟的零信任构架、相关方案及国内零信任网络安全研究的基

础上，概述零信任网络基本构架，分析新疆地震行业网络构架和网络安全防护现状，

将“零信任”理念引入新疆地震行业网。在尽可能不改变现有网络构架的基础上，建

立新疆地震行业网网络数字身份库，根据业务需求，赋予数字身份最小访问权限；

在业务访问时对身份权限实施持续的权限验证、安全评估，不再根据资源所处的网

络位置决定其安全与否，由此设计出新疆地震行业网零信任网络安全模型。

关键词零信任；网络安全；新疆地震行业网

0引言

随着信息技术的高速发展，计算机网络技术应用到了各个行业，网络的整体安全也日

益重要。我国网络安全法的颁布更是将网络安全防护的重要性提升到了新的高度。面对网

络上各种威胁攻击，传统网络安全防护主要是在区域边界部署防火墙、VPN网关等防护设

备将内网与外网隔离，以构建网络安全防护体系的。在传统网络安全分区里，内网默认安

全可信。但随着移动互联网、5G、云技术的发展，内外网的边界越来越模糊，黑客、木马、

勒索等病毒在网络上可以轻易伪装成“合法身份”，对网络实施攻击，篡改、窃取甚至破坏

数据及网络安全。

新疆地震行业网由中国地震局统一规划，自主建设。自建成以来，其承载着区域内所

有业务运转，以满足各项地震业务需求。随着信息化建设的不断深入，网络结构不断变化、

扩大，网络中信息资产数量基数较大，网络结构复杂。在原有网络分区分域管理模式下的

网络安全防护构架有待优化，防护能力略显薄弱。特别是网络中身份欺骗、访问权滥用等

安全隐患，传统防护方式对其起不到相应的作用。这些安全隐患，一旦在内网传播，传统

防火墙、网关设备无法起到防护作用。为弥补传统安全防护中对身份识别验证的不足，作

者引入零信任网络安全模型，加强网络访问中对访问主体的身份验证、授权。

1新疆地震行业网的安全构架与现状

1.1新疆地震行业网络构架概述

随着网络安全法的颁布，中国地震局下属单位的信息系统均要通过等级保护2.0的测

第一作者简介：王范霞（1985—），女，工程师，主要从事网络安全研究与政务运维工作。

E-mail：279331440@

基金项目：中国地震局信息青年重点任务项目（项目编号：CEAITNS202312）

本文收到日期：2023-07-26

154地震地磁观测与研究45卷

评，在用的信息系统必须满足合规建设方可上线使用。目前，新疆维吾尔自治区地震局整

体网络构架较完整（图1），网络实行分区分域管理，网络中也部署了相应的安全防护设备。

互联网和内网有DMZ缓冲隔离区。互联网与内网边界部署有防火墙、IPS、抗DDOS，在

隔离区部署了IDS、上网行为管理、网络安全分析系统、漏洞扫描系统等安全设备。互联

网远程办公采用VPN加密隧道连接到内网。但是各类安全设备联动不充分，设备基本上

是单兵作战，综合防御能力有待加强。

互联网隔离区（DMZ区）内网信任区

VPN网关

服务器

防火墙

职工远程办公