2023中山市终端零信任实践白皮书

01前言 100+市级单位，近3万个PC端和移动端实现准入管控，确保访问政务应用的终端和人员身份合法，访问应用的行为安全可靠，以及政务外网应用和数据的安全。中山市终系完美兼容，成为全国首个政务外网“一机两用”落地样板点。针对物联终端无法安装终端软件等特点，通过加强对物联终端的流量分析，梳理清晰的台账；结合网络准入，通过持续环境感知评估和动态策略管控，实现物联终端细粒度的访问控制。通过对不同类型终端零信任体系的建设，中山市构建了单位接入网终端台账清晰、身份合法、行为合规的管控体系，并通过网络和安全的协同实现威胁溯源到用户，威胁在交换机端口近源阻断。中山市在终端零信任建设过程中积累了丰富的实践经验，为数字政府新基建探索出了高成熟度的“中山方案”，特形成《中山市终端零信任实践白皮书》供参考。 中山市电子政务外网近年来广泛服务于人民群众的日常生活，显著提升了政务服务的运行效率，改善了群众办事体验，打造了民生工程样板。政务外网向社会提供便利性服务的同时，也面临着通过互联网等进行病毒渗透、违规访问、数据泄露等安全风险。因此，中山市政务外网应用的安全性越来越成为影响全市政务服务正常运转的关键。 中山市政务服务数据管理局联合华为技术有限公司，自2022年初深入研究中山市电子政务外网业务体系及发展瓶颈，探索零信任理论体系在电子政务外网的实践；在国家《政务外网终端一机两用安全管控技术指南》标准正式发布后，第一时间结合零信任技术设计符合国家标准、省要求及中山市业务实际情况的解决方案，实现以准入控制、网络隔离、动态鉴权、数据防护为核心的终端零信任安全接入实践落地。经过一年多的发展，现已建成广覆盖、全融合、高安全的零信任安全架构。全市23个镇街、 著作单位： 中山市政务服务数据管理局华为技术有限公司 参编人员： 中山市政务服务数据管理局：叶永忠、关宝、车杰鸿、黄嘉宏华为技术有限公司：文慧智、康鹏龙、顾滢、何平、王海洋、孙云峰、程龙、万斌候、罗文晋、汪林、张淑敏、吴浩清、柳巧平、魏占宇 02|中山市终端零信任建设背景to 2.1中山政务外网网络架构现状042.2中山政务外网面临的安全挑战2.3中山政务外网安全发展与思考Qnly 03|终端零信任关键技术09 3.1 SDP603.2网络准入控制113.3终端识别与异常检测123.4网安联动14 04丨中山市终端零信任实践16 4.1一机两用安全管控4.1.1方案设计4.1.2实践与效果4.1.2.1分布式部署架构，兼容现有“IPv6+”网络184.1.2.2分级授权管理，提升运维管理效率194.1.2.3场景覆盖全，近3万台终端实现准入管控204.1.2.4精准溯源，威胁溯源到用户214.2物联终端可信接入224.2.1方案设计224.2.2实践与效果234.2.2.1台账清晰，在网终端资产看得见23 02中山市终端零信任建设背景 4.2.2.2行为合规，私接、仿冒、劫持等检得出244.2.2.3网安联动，威胁在交换机近源阻断Only 中山市电子政务外网采取全市统一规划、统一标准、统一建设，统一运维的模式。通过采用全光网、OTN（OpticalTransmissionNetwork，光传输网）、SRv6（SegmentRoutingoverIPv6，基于IPv6的段路由）、网络切片、IFIT（In-situFlowInformationTelemetry，随流检测）、4/5G（4thGeneration/5thGeneration，第四/五代移动通信系统）无线接入等新技术，打造有韧性、全融合、广覆盖的新一代电子政务一张网。通过一网多平面，一网承载，破除数据壁垒，实现了SRv6动态路由，一跳上云、一跳入网，网络传输效率极大提升，助力政府公共服务和社会治理智能化水平快速提升。 05|总结与展望26 中山市电子政务外网在2022年已完成城域网的改造，当前城域骨干网已经部署SRv6、网络切片等“IPv6+（Inter-netProtocolVersion6Plus，IPv6协议增强）”能力，实现重要业务的流量调度和质量保障。中山市电子政务外网架构，如图2-1所示。 06|缩略语27 X2.2中山政务外网面临的安全挑战 当今云，大数据、物联网和移动互联网等新型ICT（Information And Communications Technology，信息和通信技术）的普遍应用，给广大用户带来了前所未有的体验，也引入了新的安全问题。近年来，政府和企业的外部APT（Ad-vanced PersistentThreat，高级持续性威胁）攻击和由内部违规导致的大规模数据泄露等恶性安全事件层出不穷。中山市政府在数字化转型时，同样也面临着非常严峻的安全挑战。 的政策，使得远程办公成为政府和企业的常态。中山政务办公人员通过互联网公共网络接入到政务外网，通过手机端访问政务外网应用。如果仍然以在网络边界部署VPN（VirtualPrivateNetwork，虚拟专用网）设备作为安全管控手段，当办公人员通过VPN接入内网时，十分依赖预配置的访问控制策略，且无法对终端的安全状态和用户的访问行为进行监测。例如，远程办公模式中，一般都允许办公人员使用个人设备进行办公，这些个人设备可能无法保证及时更新安全补丁，或者安装了非法的恶意软件，都可能成为不法分子窃取数据和渗透内网的突破口。同时办公人员进行远程办公时会有大量工作文件的传输与存储，如果办公人员缺乏保护政府数据资产的意识和识别安全威胁、判断高风险行为的能力（例如无法识别钓鱼邮件、截屏拍照转发到互联网、随意拷贝存储公司数据等），也可能导致数据遭受篡改或者泄露，政府的核心数据资产安全将受到侵害。因此，如果开放了远程办公模式，但缺之乏对应的安全防御手段，政府所面临的越权访问、数据泄漏等安全风险会大大增加。 ·业务云化、数据集中，业务边界被打破，管控难度与泄密风险进一步扩大 业务云化已经成为各行业数字化建设趋势，数据资源不断催生出有价值的行业应用，实现数据驱动产业创新发展。数据共享和流通已经成为刚性业务需求，原来相互隔离的业务系统将打破网络边界走向融合，在显著提升资源共享效率的同时，也会加大安全管控难度，扩大泄密风险。因此，传统安全防护手段将不能满足数据在快速流动和高速共享下的安全需求。 ·政务外网终端安全风险，已成为政务外网中占比最高的安全问题 2019年8月份，国家信息中心外网办组织开展政务外网边界安全检查专项工作，从反馈的情况统计来看，有60%的地方政务外网终端“一机两用”，即同时连接政务外网和互联网，边界安全形势十分严峻。2020年国家信息中心发布了政务外网103起网络安全事件通报，经溯源，其中80%的安全事件是由于终端感染木马病毒或被控，导致在政务外网进行横向渗透攻击。中山市安全运维平台发现全市近一年来的网络安全事件中，失陷终端事件占90%以上，失陷终端的威胁事件类型为远程木马、钓鱼邮件、挖矿、恶意下载软件等，其中远程木马占比达50%。另一方面，“一机两用”导致政务外网数据可以轻易的被外泄至互联网中，不断带来数据外泄的风险，其根本原因是政务外网未与互联网隔离。终端安全问题已经成为政务外网中占比最高的安全问题，严重影响政务外网安全，巫需解决。 中山市电子政务外网架构可分为接入层、汇聚层、核心层 物联终端：包括摄像头、评价器、取号机、综合屏、条屏、智慧屏、打印机、门禁等。 接入层：主要为各类委办局、镇街单位提供政务网络接入服务。 ·海量物联终端的泛在接入，接入边界被打破，私接/仿冒/劫持终端接入难以管控 中山市电子政务外网终端接入场景主要包括如下几种类型： 委办局园区接入：办公终端、物联终端等通过委办局园区接入，含23个镇街、100+市级单位，接入层1600+个接入点。访问场景为通过PC端访问政务外网应用，以及通过物联终端采集数据上报政务外网应用。 汇聚层：用于各类接入单位的统一汇聚和转发，目前已建设23个镇街汇聚节点和2个市级汇聚节点。 务外网，还有很多种物联终端接入进来，如摄像头、评价器、取号机、综合屏、条屏、智慧屏、打印机、门禁等，政务外网的终端接入类型多样，接入方式多样，导致政务外网安全暴露面增大，安全风险高。多种类型的接入设备，终端的认证和管控困难，难以进行统一的身份认证和管控，导致易被私接、仿冒。众所周知，由于物联终端自身的特殊性无法安装安全软件，长期未对漏洞安装补丁，导致海量物联终端接入网络时风险暴露面增加。物联终端极易被黑客攻击渗透，并被作为跳板入侵到政务外网中，使黑客能够对政务外网的核心资源如云基础设施进行攻击，对业务系统造成破坏并探寻高价 核心层：城域骨干网的核心枢纽，下联汇聚，上接到政务云、互联网、5G专网。 5G专网接入：办公人员通过新建的5G专网接入到政务外网，并通过PC端或手机端访问政务外网应用。 中山市电子政务外网接入终端包括如下几种类型： PC电脑：操作系统为Windows（如WindowsXP、Windows7、Window10、Window11）和信创系统（如统信、麒麟）。 互联网方式接入：办公人员通过互联网公共网络接入到政务外网，并通过手机端访问政务外网应用。 新冠疫情显著地改变了员工的办公习惯，北京、成都、深圳等全国多个城市均多次执行城市居民居家办公 移动端：包括手机、PAD等，操作系统采用鸿蒙、安卓、ios等。 可信、合规”纵深防御体系的基础。”，将零信任和安全防护作为两个体系构成大数据“安全、可信、合规”纵深防御体系的基础。 期望在越来越多的充满不确定性的新业务场景下，通过各类新型安全体系去构建确定性的安全保障，以满足新形势下的安全需求。 值的应用和数据，获取敏感信息。 的指导意见》指出，2025年网络安全规模超过2000亿，并把零信任列为关键网络安全技术。 针对上述数字化转型趋势下网络安全所面临的挑战，传统的安全防护理念已经不能适应于当今信息化发展趋势，数字化转型对安全保障能力提出了新的要求，用户 2022年信通院发布的《中国网络安全产业白皮书》指出，市场调研发现：最有发展潜力的网络安全新技术/新理念是零信任。 ·国家信息中心《政务外网终端一机两用安全管控技术指网边界建设基于零信任理念的终端控制设施，实现政务外网终端准入控制（包括身份认证、终端安全检查、资源访问控制）”，要求政务外网的终端采用零信任理念进行管控。 从产业看，国家信息中心等部委头部客户开始关注体系化安全建设，将零信任列为关键架构 V2.3中山政务外网安全发展与思考 在数字化转型的大背景下，国际知名咨询机构Gart-ner提出了全球领先的“信任与风险双轮驱动”的CARTA( Continuous Adaptive Risk and Trust Assessment,持续自适应风险与信任评估）模型，该模型包含信任与风险两部分。 ·美国国防部创新委员会（DefenseInnovationBoard，DIB）的零信任之路：“国防部应将零信任实施作为最高优先事项，目前的安全架构是不可持续的”。 为更好地牵引产业发展，构建良好的安全生态，国家各大部委和行业标准组织牵头制定了多个国家标准或行业标准，明确提出零信任的要求： 针对上述国内外业界安全规划，基于零信任理念的安全架构正在逐渐被广大头部客户所接受，成为业界的共识，且已经有相关标准规范指引，因此中山市政务服务数据管理局将零信任作为中山政务外网安全的重点投入方向。 ·美国国防部创新委员会DIB的零信任架构建议：“管理者应制定并阐明国防部网络安全战略，包括零信任原则”。 ·GA部《GADSJ300-2019GA大数据安全总体技术框架》明确指出“零信任体系基于认证和授权动态重构业务访问控制，安全防护体系重点配套并满足“零信任”剩余安全防护需求，两个体系共同构成了GA大数据的“安全 ·信任：指通过零信任理念，形成以身份为基石，以多维环境（终端状态、网络异常、用户行为等）动态感知为抓手，重构业务访问流程，实现持续动态精细化