基于零信任的云收费网络安全架构设计.pdf

1、技术：基于零信任的云收费网络安全架构设计褚庆才（山东高速信息集团有限公司，山东 济南）摘要：随着“云、大、物、移、智”等新一代信 息技术的 创新与应用，高速公路收费站正在由传统的 车道级收费向站级云收费模式转变，网联化、智 慧化程度越来越高，网络安全形 势愈加严峻复杂。为了更有效保障收费站网络安全，需要引入零 信任理念，在收费站智慧化 改造和升级中充 分评估网络安全脆弱性并进行针对性的加固。零 信任架 构是安全思维和业务 发展融合的必然，本文结合高速公路行业特点和业务现状，从基础平面、感知平面、数据平面、管理平面、控制平面五个层面对云收费 网络安全架 构进行了系统设计和论证，以期为行业的发展提

2、供一定借鉴和指导。关键词：高速公路；云收费；收费站；网络安全；零信任；适度安全；架 构设计在智慧 交通发展风口下，高速公路的智慧化改造 和升级成了必然趋势。安徽、浙江、甘肃、山东等省份率先拓展了站级“云收费”的创新应用，力求进一步推动全国高速“一张网”建设。“云收费”突破传统收费站空间 限制，以高效的站级云收费系统替代各车道的工控机，提高了智能化管理水平和整体收费运营能力，实现了站级系统集约化部署、收费车道集中化控制、信息数据互通共享。然而，随着网联化、集约化、智慧化程度 的提高，昔曰被认为安全的收费专网，暴露面日渐扩大。某一收 费 站的网络一旦被不法分子攻破，随之横向移动攻击，威胁和 危害将

3、是灾难性的，可能导致整个收费网络甚至整个交通体系网络 的“失控”。由此，传统的基于边界的网络安全架构存在缺陷，被认为“可信”的高速公路收费专网实则处 处充满威胁，基于零信任的网络安全架构亟待深人研究和广泛应用。一、零信任理念及意义零信任是一种应对新型环境下已知和未知威胁的“内生安全”机制，以“永不信任，始终验证”为原则，定义以身份为基石的 细粒度访问控制。零信任不是技术也不是产品，而是一种全新的安全理念，引导安全体系架 构从“网络中心化”走向“身 份中心化”。其核心思想是，默认情况下不应该信任网络内部和外部的任何人、设备、系统和应用，而是基于认证和授权重构访问控制 的信任基础，并且这种授权和信

4、任不是静态的，它需要 基于对访问主体的风险度量进行动 态调整。零信任安全革新了以物理为边界 的安全架构思想，是对 传统安全架构的重新审视和历史性颠覆，由对网络 南北向流量的纵向防护转为对东西向流量的横向精细管控，进而构筑“纵向到底，横向到边”的网络安全立体防御体系，为现在和未 来的信息化系统建设提供完整性、隐私性和可用性支撑。二、云收费网络安全架构设计（一）设计背景传统的网络安全架构基于网络边 界防 护，其假设或默认了内网比外网更安全，在某种程度上预设了对内网的人、设备、系统和应用的信任，从而忽视了内网安全措施。由于人们往往认为内 网是可信任的，因此攻击者一旦突破行业或企业的网络安全边界进人内

5、 网，就会如人无 人之境。交通作为国家关键信息基础设施，伴随数字化转型和新兴技术的应用，安全风险不断 攀升。国内高速公路收费网目前仍是边界防护 为主的传统内网运行体系，设备线性部署，内部安全重视度不足。技术人员随意操作访问，系统和应用漏洞 暴露，数据库等核心密码复杂度不够且长期不修改，勒索病毒、挖矿病毒等蠕虫类木马类病毒频发，种种高危风险无处不在。由此，传统网络安全防御理念和架构 的调整优化势在必行。自年以来，美国军方、联邦政府不断加强对零信任的研究 和推广，陆续发布了项零信任相关政策及引导性文件，同时安排相关科研机构进行研究、实验，推动零信任进入快速发展期。中国信息通信研究院发 布 的中 国

6、 网络安全产业白皮书（年）中，首次将零信任安全技术和、云安全等并列为我国网络安全重点细分领域技术。零信任成为新时代背景下的种新型的企业网络安全架构。年月日，工业和信息化部官网发布网络安全产业高质量发展三年行动计划（年）（征求意见稿），在 第二章“重点任务”的第五点“发展 年增刊（总第期）丨中 国交通信息化基础甲面（埃础设沲安令）创新安全技 术”中提出“推动网络安全架构向 内生、自适应发展，加快开展基于开发安全运营、主动 免疫、零信任等框架的网络安全体系研发”，明确了零信任作为内生安全框架的定位、方向和作用。（二）设计目标通过基于零信任的 安全架构设计，筑牢基础防线，洞察网内威胁，深化安全管控，

7、更有效地保 障信息化系统的完整 性、隐私性和可用性，进一步提升高速公路收费网的整 体网络 安全防护能力。（三）设计原则基于零信任 的安全架构设计应与业务发展规划和安全现状相适应，兼顾中长期业务发展，技术上应具有一定的前瞻性，并遵从以下设计原则：、最小特权：最 小特权是基于零信任网络安全架构的关键思想之一。安全架构设计不是为了构建一个自认为“安全”的网络环境，而 是假设人、设备、网络、系统和应用是完全不可信的，网络通信、业务访问应该具有最小的特权。、可变信任：传统网络 安 全 基于策略，配置允许哪些系统、哪些、哪些端口以何种方式进行访问，其或太严格导致业务中断，或太宽泛起不到应有的防护作用。可变

8、信任是基于零信任网络安全架构的重要思想，“信任”不可能一成不变，授权根据信任评分动态调整。、精细化管控：精细化管控 的基本思想和管理模式建立在常规管理的基础上，将常规管理引向规范化、精细化、个性化，是网络安全防护的灵魂。、兼容性和 灵活性：充分考虑业务发展和未来网络结构 变化，兼容传统架构，易于移植和扩展。（四）设计思想零 信任安全源于对网络风险无时无处不在的假设和预测，是对网络风险感知、研判、处置、预防的循环过程。有网络风险的地方就存在网络安全，风险一旦演变成威胁，就会导致网络安全事件甚至事故，最终导致信息资产被窃取或破坏。风险演进的过程就是安全设计、构筑、深化、再提升的持续进化的过程，如图

9、所示。（五）设计内容构建零信任网络并不需要太多新的技术，而是以全新的方式使 用现有技术。云收费网络安 全架 构（如图所示）分为基础平面、感知平面、数据平面、管理平面和控制平面。考虑技术落地和运营成本 的平衡，在满足业务需求、适度安全的基础上，应充分利用现有安全防护设施。管理平面和控制平面可以适当上移，由各路段运管中心或运营单位集中建设，分步落地，达到规范化运营、精细化管理、集约化控制的目的。图风险演进过程分析加 密通图云收费网络安全架构、基础平面基础平面以物理环境安全 和基础设施安全为底层依托。收费站的机房建设标准较低甚至有些只是临时办公 改造，普 遍存在 消 防、承重、温 湿度、供配电、门禁

10、、监控、防尘防雷防 害等不达标现象，安全隐患极大。高速公路运营 单位应根据国家数据中心机房建 设规范（至少满足级）对收费 站进行升级改造，统一标准 化建设，为信息化系统运行提供稳定性、可靠性和连续性环境。、感知平面感知平面从基础平面和数据平面釆集设备、网络、日志、资源、威胁情报等信息，为管理平面和控制平面提供支撑服务。部署态势感知系统、高级威胁监测系统、欺骗防御系统、日志审计？人理监控钤现舰代理态 钤感知身份认证策略组件运维符理资产管理收费 网网络服务实系统宕机敗攻病毐爆发抱绝服务揸库拖库账户提权带宽占用病毒植入络径入络洛透理破坏技术系统、资源监测系统等感知平台，实时记录和 监测所有流量、日志

11、和情报，及时发现潜在风险和未知威胁。其中，网络日志、安全日志、服务器日志等日志信息保存时间不少于六个月，既满足网络安全法对网络运营者的强制要求，又可以与态势感知平台形成联动，方便攻击溯源和行为取证。、数据平面数据平面是信息化系统运行所 依赖的网络、计算、存储等实体环境。数据平面直接处理和转发网络流量，是网络攻击的对象。终端安全、云计算安全和通信安全用于防范收费站内网络横向攻击威胁和站外攻击，是确保数据平面中信息化系统不被攻陷的基石。短期内可通 过灵活运用传统网络安全设备，达到基础安全防护的目的，同时尽可能缩小网络的暴露面；长期内逐步完善管理平面和控制平面，真正做到“可防、可管、可控”。（）终

12、端安全：收费 站内的各类终端类型繁 多，协议复杂，有移动终端、工控终端、物联网终端、专用运维终端等，这些处在收费网络边缘 的设最容易被忽视，风险也最大。可部署病毒防护、终端检测 与 响应、终端准入、无线 防护、云桌面等 产品，有效防御挖矿病毒、勒索病毒、非法入侵等恶意攻击。（）云计算安全：无论是超融合部署还是虚拟计算、存储分布式部署，云安全管理平台都是最基础的防护。物理层面，可合理配置载机、电源、磁盘等冗余机制，防止系统意外宕机或数据丢失；虚拟主机层面，可做好纵向访问限制和横向逻辑隔离，合理配置服务器防 火墙及安全策略，部署病毒防护、主机防护、恶意代码检测、虚拟 带 库备份等产品；应用层面，可

13、部署、多因子认证等产品；数据层面，数据作为核心信息资产，其面临的安全风险越来越多元化，来自外部的安全攻击、内部的安全威胁、人为操作错误都在逐步 递增，可部署数据加密、数据脱敏、数据防篡改、数据库防火墙等产品。（）通信安全：可部署新一代防火墙、等产品，用于业务访问控制以及收费站间东西向攻击的监测和 防御，优先使用白名单的方式配置访问规则，确保安全配置精准有效；同时，鉴于当前很多业务应用都是明 文传输，且收费站到路段分中心再到数据中心基本都是光路直接通信，数据包一旦被截获，敏感信息就会暴露，所以级联节点 间可利用、或量子密钥、国密算法、区块链等技术创建安全通道。、管理平面网络安全“三分技术，七分管

14、理”。收费站的网络安全工作普遍存在安全意识薄弱、制度及流程等安全管理机制缺乏、安全保密意识不强、安全管理人员技能有待提高等系列问题。收费网安全长期存在“重技术、轻管理”情况。为了解决以上问题和现状，应在安全管理机构和制度的保障下，抓好资产管理、运维管理、变更管理、配置管理、漏洞管理、监控管理、人员管理，用于防 范、监控和追溯因操作 失 误、恶意攻击 等导致的网络安全事件。（）资产 管理：应建立资 产 清单，至少包括用户清单、设备清单和信 息资源清 单，对组织架构调整、人 员变动、设备 变动、信息资源变更 等情况进行资产全生命周期管理，且动态维护相关联的属性特征。比如，对收费站内的设备资产，尤其

15、是网络安全设备，应摸清家底、建 立台账，定期 复核，以便于管理和及时发现设备故障或非法破坏；对系统、应用、数据、服务、接口等信息资源也应登记备案、定期梳理。（）运维管理：运维管理是管理平面的关键，应制定完善的运维规范和操作流程。例如：日常运维应使用专用终端，通过运维审计产品统一运维登录入口，对运维人员操作全程留痕，录屏影像至少保存三个月；不能 为了操作方便，而在运维终端或服务器上记录或保存设备登录口令、数据库口令等敏感信息，设置浏览器关闭后自动清除；服务器应配置密码 登录失败次数设置，应用部署在非 用户下，禁止安装、向日葵、等远程软件和等内 网穿透工具；数据库应修改默认服务端口；应用接口应加密

16、，严禁明 文传输敏感信息；盘、移动硬盘等移动介质应专人专用、登记造册，使用前全面杀毒或格式化，严禁在互联网交叉使用，严禁将手机连接内 网设备；安全设备用 户应三权分立，操作用 户相互制约、相互监控；网络设备用户应分级管控，合理分配访问级、监控级、系统级、管理级操作权限且由不同人员管理；防 火墙应封禁、等高危端口，最好启用，明细策略配置；应定期排查清理无用测试系统、无效废弃系统等“僵尸 系统”。（）变更管理：应建立严格 的变更流程，严禁随意修改安全策略或网络配置等操作，技术人员的变 更操作应经过技 术主管、业务主管、技术负责人、主管领导等审批后方可执行，且应选择不影响业务运行的时间段，防止可能的

17、业务中断风险。（）配置管理：应建立配置管理系统（）。配置管理不仅适用于软件开发，也适用于运维管理。配置管理可以将网络设备、安全设备、服务器等重要配置进行归档，对变更过程进行有效控制和规范管理，同时可以在灾难发生时快速恢复相关设备运行；可以将各类网络安全系统设备的规则库、特征库、病毒库纳人配置管理，定期升级，版本归档；通过配置管理，还可以对运维升级、变更操作进行留痕，便于事件追溯、责任追究。（）漏洞管理：应使用漏洞扫描产品，定期对站内信息系统进行扫描，及时发现和修复漏洞。为了防 范不法分子利用漏洞进行攻击，漏洞规则库应实时更新，扫描机制应常态化运行。口令不限于设备（网络、安全、服务器）登陆口令、

18、虚拟主机口令、数据库口令、业务用 户口令、服务口令等，所有的口令都应受到重视。弱口令是最常见和危害最大的漏洞，其中业务用禅（雜期化 户弱口令的风险最容易被忽视。禁止使用简单口令、默认口令、通用口令，禁止设置相同口令，口令应定期修改（建议一周，个月，数据库等核心口令三个月修改一次），且复杂度应根据重要程度设置，为八位以上大小写字母、数字、特殊符号组合，最好十二位以上。（）监控管理：应建立动环、网络、安全等 系统运行监控机制，专人实时监控基础平面、数据平面、感知平面的运行情况，系统状态、可疑行为和威胁预警可视化展示，实现“及时发现、快速响应”。（）人员管理：人是网络安全中最危险的因素。内部和第三方

19、人员的管理尤为重要，直接决定安全成效。应通过制度规范、宣传教育、意识培训、技能考核、奖惩机制等加强内部人员管理，明确岗位职责。员工签署保密协议，离岗离职时及时清理所有工作账号。应对核心岗位人员开展背景调査，对第三方人员加强登记、保密、賦权等管理，签署严格的保密协议，尽可能少地分配权限，禁止賦予超级管理员权限，重要操作需复核或在监督下进行。、控制平面控制平面是整个网络的信任授予 者和策略决策者，是基于零信任的网络安全架构的“大脑”，实现网络内信任评分、业务授权、身份识别、访问控制、策略决定和执行等功能。信任组件、策略组件、身份认证和网络代理是控制平面的重要组成部分。这些组件接收和处理来自数据平面

20、的请求，对感知平面提供的信 息进行身份识别和风险判断，并授予主体相应的资源访问权限，信任授权具有临时性。数据平面与控制平面之间 的接口必须非常清晰，确保数据平面中的系统不会因为被攻陷而在网络内横向移动。数据平面和控制平面系统之间的交互请求必须髙度隔离，可使用私有系统进行身份认证和加密，以确保接收方的可信度。（）信任组件：信任管理是网络安全管理中的髙难度工作。信任组件是对特定的网络请求或活动进行风险分析的系统组件，其职责是对网络请求及活动的风险进行数值评估。策略引擎基于此风险评估进行进一步的授权决策，以确定是否允许此次访问请求。信任需要自学习、自适应，可以利用机器学习，通过用户实体行为分析（）识

21、别异常行为？（）策略组件：策略组件是零信任授权模型中的授权决策组件，包括策略决定点和策略执行点两个核心部分。策略决定点在支撑平面的辅助下，依据事先制定好的策略，对访问请求进行比较和决策，并将策略决定实时传递到 策略执行点，策略执行点根据决策结果，对访问请求给予放行或者拒绝的决定。零信任网络安全策略使用信任评分机制，对未知攻击向量进行预估和防护。（）身份认证：公钥基础设施（）是零信任模型身份认证的基石。设备、用户和应用程序都需要进行身份认证。身份认证是先决条件，只有成功通过认证，才能产生网络代理所需的数据信息。对用户和设备的认证往往是单独进行的，口令、证书、生物特征、带外认证等都是良好的认证手段

22、。身份认证可以融合现有技术，比如多因子身份认证（、可信身份认证、身份与访问管理（）、单点登录（等。设备认证可以使用证书，而用户认证往往采用传统的多因子认证。（网络代理：用户和设备的绑定关系称为网络代理，这是零信任网络引入的一个非常重要的概念，有助于针对用户和设备这个有机整体制定访问控制策略。零信任网络模型下，授权的主体必须是网络代理，所有的访问控制策略都是针对网络代理制定的。基于零信任的网络安全架构中，控制平面是核心，业务和系统的身份验证、动态授权访问、精细管控是关键。相关技术领域亟待深人研究与应用。三、结束语数字时代，网络环境是动态的，业务需求是动态的，风险是动态的，网络安全防护必然也是动态

23、的，需要使用动态的安全思维来应对这些新需求、新挑战。高速公路数字化转型和智慧化演进是长期过程，伴生的网络安全体系建设任重而道远，需要结合业务规划和安全现状妥善规划、逐步建设。基于零信任的网络安全架构将是此建设过程的开端。参 考文献吉尔曼，巴斯零信任网络：在不可 信网络中构建安全系统奇安 信 身份安全实验室，译北京：人民邮电出版 社，】亚 信安全零信任才是真信任！亚信安全助力金敲科技安全 ：？明八 零信任安全社区基于零 信 任的数据动 态授权体系 银联云初 探 零 信任模型丨丨丨 ：工业和信 息化 部网络安全产业 高质量 发 屣三年 行动计划（丨 年）（征求意见稿）丨 全国信息安全标准化技术 委员会信息 安全技术零信任参考体系架构（征求意 见稿）轚责任编辑：糊威