零信任在等级保护实施中的应用 .pdfVIP

零信任在等级保护实施中的应用

摘要：传统信息系统的安全防护，基于网络边界为策略出发点，采用纵深防

御为基础的防御体系，强调网络边界攻击行为防护，但在部署实施时因具体设备

和系统的自身特性，对防御架构里所要求的单点实施措施实现相对较困难，从而

易引起服务器集群内、虚拟机之间的横向攻击等。为降低内部的横向越权安全问

题，本文提出结合零信任概念的等级保护架构，并讨论其中的相关组件和关键技

术。

关键词：等级保护；访问控制；零信任；SDN

信息系统自诞生以来，注重数据链路的传输连通性，缺少对承载数据的安全

控制及系统业务连续性的保证。为此，业界提出使用信息系统安全保护框架来对

系统重要数据及所承载业务进行保护。从最初的BS7799、ISO/IEC27000系列、

NISTSP800-53，再到CC（通用准则），构建以纵深防御为基准、网络边界防护

为原则的安全防护体系。我国也建立了适合我国国情的网络安全等级保护制度。

基于实施安全体系所要求的一系列控制措施，信息系统的网络攻击防御和数据保

护能力大幅提高，系统安全事件发生的机率有了明显下降。但随着系统内部部署

设备日趋多样化，数量不断增加，操作设备人员的数量和角色的不断增多，设备

间横向越权攻击的问题日益凸显，对系统的安全运行造成了较大的威胁。而互联

网侧的网络攻击行为也随着网络技术的不断发展日趋多样化与复杂化，从原来的

DOS、恶意代码攻击等到现在DDOS、APT。针对日益复杂的系统安全问题，

Forrester分析师JohnKindervag提出了零信任概念，对传统边界安全架构思想

进行了重新评估和审视，其核心思想是默认情况下，企业内外部的任何人、事、

物均不可信，应在授权前对任何试图接入网络和访问网络资源的人、事、物进行

验证。本文将零信任概念融入等级保护架构中，以解决内部横向越权攻击问题。

1、网络安全等级保护制度实施现状

网络安全等级保护制度构建了“一个中心、三重防护”的安全体系，“一个

中心”即安全管理中心，“三重防护”即安全计算环境、安全区域边界、安全通

信网络。安全体系示意图如下：

计算环境包含了系统内所有的设备/应用系统，如服务器、存储设备、数据

库等，区域边界为系统中不同信任等级区域间的交汇处，使用安全接入/隔离设

备进行区域隔离，通信网络提供了系统与专网、互联网的连接接口。安全管理中

心分别对计算环境、区域边界、通信网络进行管理，建立以计算环境安全为基础，

以区域边界安全、通信网络安全为保障，以安全管理中心为核心的网络安全整体

纵深防御体系。

在安全计算环境中，对网络设备、安全设备、服务器、数据库、终端和应用

系统等设施设备进行用户身份鉴别、权限赋予及控制、操作/行为安全审计等。

在安全区域边界中，设置访问控制规则对受控接口通信进行限制，对非法内联、

非法外联行为进行检查限制，并检测、防止或限制从内部及外部发起的网络攻击

行为，在关键网络节点处对恶意代码及垃圾邮件进行检测和清除。在安全通信网

络中对网络区域进行划分、对重要网络区域与其他网络区域进行隔离并保证传输

数据的完整性和保密性。

在大部分信息系统等级保护实施落地的时候，对系统内的设备，如网络设备、

安全设备、服务器等设备的操作系统有“授予管理用户所需的最小权限，实现管

理用户的权限分离”、“由授权主体配置访问控制策略，访问控制策略规定主体

对客体的访问规则”、“对重要主体和客体设置安全标记，并控制主体对有安全

标记信息资源的访问控制策略”等实施要求。“授予管理用户所需的最小权限，

实现管理用户的权限分离”要求设备操作系统划分管理员、操作员、审计员3种

角色，管理员对系统有全部的操作权限，但不能有对系统日志的查看和修改权限；

操作员有对系统安全配置进行修改的权限，但不能有对系统日志的查看和修改权

限以及对系统的其他权限；审计员仅能对系统日志进行查看，不能对系统日志记

录进行修改，无系统的其他操作权限，以此保证单个用户不能对系统所有重要的

操作对象内容有独立实施完成的能力。“由授权主体配置访问控制策略，访问控

制策略规定主体对客体的访问规则”要求系统访问控制策略和访问控制规则由授

权主体来设置。“对重要主体和客体设置安全标记，并控制主体对有安全标记信

息资源的访问控制策略”要求设备操作系统可对系统重要数据主体和客体设置安

全标记，并依据访问控制策略对有安全标记的资源进行访问。但在实际的实施过

程中，网络设备、安全设备、服务器、数据库、终端使用的linux系统和

windows系统中root