基于PKS的零信任动态授权解决方案

方案概要

数字经济时代，以“云大物移智工”等核心的新兴技术快速发展，新技术地广泛应用不仅给企业带来了发展与便利，也使企业网络架构复杂化。伴随数字化深入，传统网络安全边界逐渐消失，用户、设备、业务、平台等多样化趋势不可阻挡，企业资源暴露面增加，内外部威胁与攻击愈演愈烈，攻击目标从网络转向身份、应用和数据。

奇安信“一中心两体系”内生安全框架将“零信任体系”与“实体安全防护体系”有机结合，做到“主体身份可信、行为操作合规、计算环境与数据实体有效防护”。解决方案是“零信任体系”下为解决政企用户各类访问场景中终端安全、身份、权限、业务访问、数据访问、安全合规等问题而构建的零信任动态授权体系。

方案强调以数据为中心，以身份为基石，支持基于PKS体系模块化构建零信任动态授权平台。综合运用分级分域可信访问、动态授权和访问控制、访问上下文监控等技术，围绕企业业务和数据资源，端到端进行身份识别，将访问主体身份化，对访问主体进行持续感知和验证，对访问上下文进行持续评估，最终实现端到端的动态细粒度访问控制。

方案建立了以身份为基础的动态访问行为管控，遵循“内生、主动、安全”原则，形成灵活扩展的身份管理和访问控制架构，实现用户的身份管理、用户终端安全管理、身份鉴别、访问授权、凭证管理与访问控制策略管理，提升整体安全水平，保障政企数字化转型。

目前，方案已在党政、金融、能源、通信等行业开展项目建设与实施，有效应对外部攻击，防范内部泄密，帮助企业提升精准防护能力，支撑数字业务开展。

方案架构

零信任以应用和数据保护为核心，认为对应用和数据的访问，无论是来自于内部还是外部，实体之间的信任关系都不是天然建立的，需要对其可信情况进行持续评估，进而实施端到端的访问控制。

奇安信“基于PKS的零信任动态授权解决方案”运用零信任理念，基于“以身份为基石，业务安全访问，持续信任评估，动态访问控制”的零信任关键点构建零信任安全体系，从发起访问的客户端到各级各类被保护的业务应用和数据，面向访问连接构建严密的动态授权和访问控制机制。解决方案依托信创产品体系化可信支撑能力，建立身份、终端、网络、应用和数据的可信身份管理体系，通过动态授权提供零信任体系核心的动态访问行为管控，应对来自内外部的持续安全威胁和安全攻击，动态阻断非授权访问、越权访问以及主动数据窃取和被动数据泄露等安全挑战。解决方案架构如下图所示：

解决方案依托奇安信完整的安全能力栈，采用模块化结构，面向多种应用场景，包括传统IT网络、移动互联网、云桌面、物联网等多种类型终端、和C/S访问、B/S访问等多类访问通道、以及应用服务和DaaS服务等业务/数据的多种资源服务模式，有机结合已有安全防护体系和零信任体系，由可信访问控制台TAC、可信应用代理系统TAP、可信API代理系统TIP、智能身份分析系统、智能可信身份系统和数据权限卫士系统等关键产品技术组件组成。

应用场景

数据和应用的访问在远程办公、开发测试运维、运行监管、终端接入等应用场景中居于核心地位，在“云大物移智工”等新技术环境下，身份管理复杂化的问题被放大，对安全防护提出主动、智能、动态的要求。在新技术环境不断发展及数字化转型背景下，伴随各行业新技术深入应用、数字化转型加速推进，以及后疫情时代公共卫生紧急状态的推动，远程访问逐步成为新常态。根据发起访问用户所处位置、终端设备、业务敏感程度、基础设施环境，又可分为互联网远程办公、移动端接入、NW办公、敏感业务与数据访问、云化与多数据中心等等不同场景，综合众多企业级访问需求，解决方案应用场景归纳如下:

• 用户访问场景：涵盖不同角色的用户访问业务系统的场景。
• 应用访问场景：涵盖不同类型的业务软件访问数据底座（混合云）的场景。
• 数据访问场景：涵盖跨组织、跨平台、跨系统的数据及敏感数据的访问与使用场景。
  

核心优势

1、技术特色

• 动态授权和访问控制技术，动态授权模型由于其动态、变化特性，需要采用不同的授权模型、过滤等技术手段进行组合。目前业界尚无明确的技术方案进行统一控制，通过RBAC模型确定静态授权规则，可实现权限的便捷、批量管理与授权，适用于作为动态权限的基础权限基线。ABAC模型通过各类将各类属性作为授权条件，进行基于属性、细粒度的授权策略制定。采用ABAC作为安全权限过滤的条件、动态访问控制的策略条件，进而达成动态控制策略控制目的。
• 环境感知技术，环境感知技术主要包括终端身份标识、终端运行环境、软件状态等属性进行捕获、环境上下文等相关信息进行主动采集、上报汇总，为动态访问策略提供属性输入。
• 统一身份管理技术，提供用户身份信息统一管理、统一供给、统一存储、统一认证、集中授权，集中审计管理等功能，满足管理员集中管理和统一运维需要，为用户提供单点登录简化用户使用，并通过智能身份分析等技术发现账号滥用、越权访问等风险，提高身份管理、身份鉴别和访问控制方面的安全性。
• 访问代理技术，为实时发现、及时阻断异常及违规访问行为、防止敏感数据流出等问题，采用访问代理技术，在前后置分离业务架构、数据中台等环境下，通过调度API接口服务、核心业务后端隐藏等方式，构建应用访问代理、API访问代理，搭建可观可控的应用层安全通道。
• 端口隐藏技术，作为零信任最关键的技术之一，其目标之一是克服传输控制协议/ 互联网协议地址（TCP/IP）开放和不安全的基本特性。该特性允许“先连接后认证”，而使用零信任架构的应用从而只有被授权的用户才能可靠地访问，而未授权用户则看不到这些服务。
  

2、亮点

• 基于零信任理念，通过持续环境感知、动态信任评估，授予数据和业务资源的最小访问权限，在业务访问过程中通过先认证后连接机制，并采用基于国密的加密传输建立安全访问通道，实现端到端的安全访问；
• 采用先进体系架构，支持多场景部署、包括HA/集群/分布式，高可用与分布式多中心、多云架构；适配多用户端，支持传统终端、移动端、信创端/服务器硬件/镜像/软件化快速部署；
• 数据驱动策略，在用户访问场景上可叠加API安全场景、数据安全场景，基于身份大数据，驱动身份、策略的持续自动构建与优化，针对零信任身份/访问专项分析，高速策略引擎服务，兼顾通用/复杂场景；
• 降低身份安全风险，打通单点登录，基于信创基础，构建可信身份链，避免应用账号冒用，统一身份管理，避免身份孤岛、权限过大，账号权限开通、撤销流程化管控，避免账号权限遗留；
• 保障安全合规，支持应用、功能、API级的细粒度权限管控；周期巡检确保权限持续合规。
• 提升用户体验，自助注册、访问申请，减少流程等待时间；一次认证即可访问所有授权应用，简化登录体验
• 降低安全运维成本，账号权限申请分级管理、流程自动化，规避人为犯错概率；支持云化、微服务化部署，部署简单、易扩展。
  

3、竞争优势

• 整体安全防护：基于信创底座，有机融合信息网原有安全防护体系，解决设备耦合度低，结构分散，防护规则库无法有效更新，防护设备之间无法协同联动等问题，实现多系统间数据共享、协同防御，支撑建立整体安全防护体系。
• 主动安全防护：弥补静态、被动防御在信息安全实时监测和动态对抗能力不足，有效发现、应对动态发展变化的安全风险，整体协同、统一管理，实现安全事件监测、安全威胁预警、安全风险感知。
• 持续安全防护：改变现有业务系统以静态访问授权为主，在用户身份一次鉴权后，整个访问流程中不再进行用户身份合规性检查的问题，实时动态管控用户在访问过程中发生的违规及异常行为。
• 用户访问持续评估，安全风险联防联控：基于零信任全面身份化原则执行访问控制，打破传统基于网络边界、分区分域的防护理念，让数据流转过程中每一个环节都可查可控，使数据流转更安全更可信。
  

专利授权及获奖情况

1、发明专利

解决方案相关的已授予发明专利26项，申请中且已受理发明专利40项。

2、知识产权等资质

解决方案关键技术组件均获得销售许可证与软件著作权。其中，核心组件通过了国家商用密码产品认证证书、IPv6 Ready Logo认证以及信息技术产品安全检测。解决方案还通过了中国信息通信研究院“Zero Trust Ready”认证，是首批首家获得此项权威认证的企业。同时，方案还获得了中国信息通信研究院“基于零信任架构的安全产品”检验认证。

3、参与标准制定

参与多项零信任相关网络安全标准的制定工作，其中奇安信牵头编制的《信息安全技术 零信任参考体系架构》国家标准正在稳步推进中。

适配兼容

1、适配技术路线

解决方案覆盖从用户端到服务端的整个访问过程，信创适配场景复杂多样，需要适配多种终端应用环境、网络访问信道、服务端资源计算环境，涉及关键组件适配类型包括终端插件、网关、软件系统、数据库、云上SaaS服务，以及相应的PaaS支撑等，同时，零信任体系所需密码算法也应采用国密算法。解决方案依托中国电子PKS体系，以可信芯片飞腾、可信操作系统麒麟为基础，分阶段进行国产化适配。同时，鲲鹏、海光在JD、JG、部委等行业领域占有传统优势地位，存量终端设备数目庞大，在项目需求驱动下，也同步进行适配。并且，零信任体系和存量安全防护体系不是简单对接，适配信创基础底座时，通过融合身份管理服务，为零信任体系提供可信身份管理服务；通过持续环境感知，参与动态信任评估，提升用户可信度和系统的整体安全性。

2、适配兼容效果

• 方案涉及的6个组件均已完成信创适配，功能指标完全达到设计要求，前面部分已列出的功能指标，不再赘述。（根据项目实施情况，考虑用户现场环境和用户需求，软件版本交付的3个组件，要求使用高性能信创服务器，计算能力不足时，采用信创服务器集群。）
• 性能指标受适配情况影响较大，特别是计算能力和网络能力影响大的指标项，包括认证性能、并发连接数、加解密吞吐量等
• 易用性不受影响
• 可移植性与信创平台关系较大，网关硬件涉及到硬件接口，需要进行不同平台之间的适配
• 在信创环境下，安全性和保密性得到增强
  

应用案例

1、某大型央企分支机构多，数字化业务开放，海量数据流转，接入终端设备高达10万台且种类繁多。加之，受疫情影响，VPN安全风险加剧，数字化应用及移动办公安全需求加剧。奇安信结合业务应用实际、IT规划设计，结合移动办公等核心业务及身份认证体系构建以身份为基石的业务动态可信访问控制机制。从业务暴露面的着手，根据人员、终端类型、叠加环境因素、行为评估等，明确分级访问要求，保护核心资产。以权限基线为基础，数据驱动、风险判定，缓解授权不当或失效风险。将零信任安全能力封装在移动办公客户端内，保障全集团12万+移动用户的安全使用，同时实现了办公桌面零信任安全能力封装与集成，完成对关键应用的防护，与SASE联动实现安全业务纵深防御访问。

2、某省电力公司，电网数据规模大（单日产生数据超过2TB）、种类多（实时数据、业务数据等）、价值高。奇安信帮助该电力公司构建零信任数据安全防护体系，针对数据中心业务入口和数据接口进行汇聚、收敛，进行应用层和接口的访问控制，通过使用奇安信零信任安全解决方案，把访问控制能力从原来的网络层，升级到了应用和数据层，实现了数据中台+微应用新形势下的动态可信访问控制。

推广价值

1、网络安全监管合规

全面符合国家、行业及大商所的安全规范要求，达成了国家对新商用密码算法的使用和推广提出了严格的合规要求，实现密码技术的的多样化的应用需求。确保以身份安全保障业务安全稳定运行，提升身份和权限运营响应及处置效率，避免和降低因为网络安全事件带来的经济损失，整体上降低了企业IT服务成本。

2、经济效益

通过建设身份安全与访问控制体系，实现了对数字化身份的全面纳管，并以安全能力服务化的方式向业务系统提供统一服务，实现了能力集中统一、集中建设，大幅提升了身份安全的标准化程度，身份安全运营效率得到显著升高，安全管理的力度明显加强，实现了资源利用最大化，节省了资源和人力浪费，产生巨大的经济效益。

3、社会效益

通过身份安全与访问控制体系建设，为企业数字化转型提供安全的IT基础运行保障，加强企业的社会信任感的收益和口碑。为社会及行业身份安全体系建设提供标杆和指引，进一步顺应国家新基建的建设趋势，给企业带来更大的的社会收益。

4、安全能力提升

实现了全面身份化，为人、设备、应用都赋予数字身份，访问控制策略基于身份制定，建设以身份为基石的细粒度访问控制机制，强化了权限的管控颗粒度，基于持续的风险度量和信任评估，动态调整访问权限，实现动态访问授权。采用大数据分析和人工智能技术对用户、设备、环境属性等访问上下文进行感知和建模，实现风险和信任的持续度量。借助策略分析和工作流引擎等机制，实现策略的自动优化分析和管理流程自动化，提升管理运维效率，规避管理人为犯错。

全站替换性

基于PKS的零信任动态授权解决方案覆盖从用户端到服务端的整个访问过程，信创适配场景复杂多样，关键环节多，需要适配多种计算环境、网络环境，并且解决方案中，信创基础底座有效支撑零信任体系和存量安全防护体系，信创基础底座本身为整体替换增加了难度和复杂性。

考虑到解决方案部署实施过程的复杂程度，根据研制要求和建设周期要求，组织公司优秀资源，组成项目组，项目组实行项目管理委员会为核心的管理方式。同时，根据实施解决方案的业主管理要求，结合项目建设方、监理方、测试验证机构、相关专家，成立设立项目管理办公室，由项目管理委员会、项目经理、专家组、质量管理组、文档管理组组成，日常工作由项目经理主持，协调各组和项目管理委员会的沟通。保证功能实现实施和项目管理外，还要充分保证解决方案的先进性和适用性。

方案涉及整体替换需要面对多种情况，关键组件适配类型包括终端插件、网关、软件系统、数据库、云上SaaS服务，以及相应的PssS支撑等，同时，零信任体系所需密码算法也应采用国密算法。