零信任是工业企业数据安全建设的突破口

高端制造业的数字化转型正面临新的数据安全建设的有力挑战：一方面是强互联互通的业务数据共享的需要，比如企业的数据需要送到政府监管部门，不同地理位置的分支企业的数据需要送到集团管理层，不同安全区域的生产数据需要送到企业集中管理系统；另一方面，随着企业数字化转型的推进，网络攻击事件层出不穷，如勒索、挖矿等病毒肆虐，企业工程师站、数据库服务器的安全防护问题，以及企业重要数据的泄漏、安全事件的追溯问题等给企业业务部门、运营部门、甚至系统供应商带来不小的挑战，也耗费了大量的运营及恢复成本。

 《中华人民共和国数据安全法》于2021年9月1日起正式施行，其第六条明确指出，各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。

数据所有者的业务体系承担着企业安全生产及企业数据互联互通的数字化转型职责，但是承载着企业重要数据流的网络运维工作，却是IT运维体系所承担的。以往提出的IAM（身份识别与访问管理）、PAM（特权访问管理）等技术已经不能满足数字化转型快速发展的要求，“零信任”正逐渐成为新的安全技术理念。

零信任安全体系覆盖安全技术体系、安全管理体系和安全运营体系三个方面的工作。本方案将从建设步骤角度进行阐述，说明具体要做的工作、应用的技术，以及涉及的成熟产品类型。

1.组建安全组织架构

首先，企业需要组建专门的安全团队或临时虚拟团队。一方面，由于业务部门和IT运维部门通常是平级关系，工作很难推进，经常需要第三方专业团队以及一把手工程才能有效推动；另一方面，企业的用户及权限都是动态的，为了节约管理及运营成本，需要对业务流程及运维流程都有一定了解的企业内部综合性人才专职配合并短期内集中完成，才能最大化确保数据的一致性。

2.用户身份管理体系的建立

用户身份管理指的是对用户进行身份标识、验证、授权以及审计的过程。用户的访问控制措施又可以分为技术性、物理性和行政性的。企业需要综合考虑业务部门、物理区域、人力资源管理组以及公司行政管理政策等，建立用户身份生命周期。用户身份生命周期包括从实习期、正式入职、转正、调岗、升职、假期，到离职、退休等，可自定义进行配置。

单点登录技术、本地认证、第三方认证技术、多因子认证技术的应用，一方面提供单一身份识别及认证入口，另一方面，借助先进的认证技术及资源，实现多因子认证，确保对用户进行强身份认证。

用户身份管理涉及到的国际标准如802.1X，涉及到的成熟产品有IAM、终端准入等。

3.用户权限的管理

用户权限的授予需要遵循“知必所需”原则及“最小特权”原则。对于企业的机密数据，还需要遵循“双人控制”原则，以确保企业数据的安全。

用户权限管理涉及的技术如AD、LDAP、SSO和OAuth等，涉及到的成熟产品有PAM、堡垒机等。

4.访问控制矩阵的建立及访问控制策略配置

访问控制矩阵其实是基于用户身份及权限建立的一个包括用户（主体）和访问目标（客体）的表格，规定了可以进行的操作，如读、写、执行、删除以及不能访问。访问控制矩阵示意图如下表所示。

访问控制矩阵是零信任技术体系建立访问控制策略的基础及依据，并不是一成不变的，而是根据企业用户的管理情况动态调整的，所以要注意访问控制矩阵与访问控制策略的一致性。访问控制策略的配置可以在零信任整体解决方案中，借助联动其他相关安全设备如终端准入、安全网关、IPS和EDR等完成，也可以在零信任平台类产品的的管理组件里完成。

5.零信任安全体系架构及整体解决方案

零信任的产品形态已经经历了身份及权限管理、身份及权限静态分析、身份及权限基于操作与环境条件动态自适应分析，实现了三代的产品升级。不同安全厂商的产品有不同的技术形态，用户还是应该从技术本身进行剖析，避免重复建设。

零信任安全体系架构采用的是SDP技术，主要功能是采用可信代理机制，利用零信任动态评估引擎，结合4A技术及现有的成熟产品持续性的验证访问企业资源的用户、设备或应用的身份标识以及权限，从而实现访问的微隔离，避免不恰当的主体，使用不恰当的权限访问企业资源。零信任的安全体系不是单一产品可以实现的，需要结合整体解决方案。如下图所示。

零信任的动态评估引擎的数据来源于企业的业务数据及安全数据，并且数据越全面，零信任安全制度体系越健全，才越能实现真正的零信任安全理念。

首先，用户对企业资源进行访问时，零信任可信代理模块完成用户身份的识别，并将身份信息送回到零信任动态评估引擎去核对。该引擎可调用本地IAM的身份认证信息，或者利用引擎自身的身份ID库，进行核实。

其次，确保身份可信后，进行多因子认证，同样可以调用本地的CA认证库，或者联动第三方的认证库，对身份进行验证。这是终端准入设备或零信任组件可以完成的内容。

再次，验证好身份后，对访问进行权限进行核查。这里说的权限就是前面提到的访问控制矩阵中设计的访问控制策略，具有相应权限的主体，即可访问相应的企业资源。

最后，对访问行为进行审计。一方面可以调用已有安全设备如态势感知的关联分析数据、安全日志（SIEM）系统的访问日志数据，以及入侵检测系统（IDS）的入侵行为记录等，在零信任动态评估引擎进行实时动态分析，并依据评估结果触发策略执行点。对于不合法的访问，将联动相应的安全设备如IPS、EDR、安全网关和下一代防火墙等进行阻断，并进行记录。

以上也是零信任安全体系的4A技术，即Authentication（认证）、Authorization（授权）、Access Control（访问控制）、Auditing（审计）。

6.安全风险评估与应急预案

要在企业关键业务系统对重要数据进行任何操作，就要遵守业务侧成熟的行业标准及相关操作规范，尤其是数据所有者有对业务数据进行安全监管的职责，IT侧在对业务系统做安全防护的同时，需要做好风险评估与应急预案。

风险评估一般由专业的第三方安全机构配合企业项目管理者共同完成，包括系统性的评估业务系统面临的网络安全风险、业务数据丢失和泄漏的风险，以及进行安全操作时可能带来的业务中断的风险。

应急预案需要同时做业务系统的应急预案以及IT安全系统的应急预案。大部分企业的业务系统已经有完备的应急预案及恢复流程，一般只需要结合业务系统应急预案与业务专家共同完成IT安全系统应急预案，这对安全访问控制策略是个考验。

7.业务侧与IT侧的协同及测试

目前大多数企业的安全设备上线，基本不会与业务系统进行联调测试。这对企业业务系统来讲，风险非常高，可能造成延时甚至业务中断。这也是业务侧不愿意增加安全设备的主要原因。

为此，可以请业务系统负责人选择非关键生产业务系统，进行试点建设。一方面可以节约投资，还可以控制运营成本；另一方面也是将风险降低到最小，在达到预期效果之后，再逐步推广到整个企业。

1.划分安全责任

零信任的实施，对用户及权限细粒度管控的同时，也划分好了安全职责，并实现了事件追溯。

2.推动企业数字化转型进程

企业对于业务人员网络安全意识及安全能力的培养，有利于在充分了解数据安全风险的同时，有效控制风险。同时，IT运维人员需要充分了解到业务系统风险，才能运用先进安全技术的同时，保障业务系统正常运行，从而推动企业的数字化转型进程。

3.为数据安全分级分类奠定基础

前面提到零信任首先要梳理用户身份信息，其次要梳理对业务系统及应用的访问权限，最后又要梳理出访问控制矩阵表。数据安全的工作首先就是要治理数据，零信任一方面已经梳理了企业业务数据资产及权限分级，另一方面也完成了企业数据安全相关的部分管理制度及审批流程，在一定程度上奠定了数据安全建设的基础。

来源：《网络安全和信息化》杂志

作者： 任杰