【摘要】

企业数字化转型战略，采用身份认证及动态风险评估、细粒度安全访问控制机制，通过安全管理与防护技术的内生融合手段，形成“人防”与“技术”相结合的全局、动态、主动的安全防护效应，实现安全与业务“双循环、双促进”动态提升，夯实企业基础设施安全“基石”和“底座”。

企业核心业务系统与数字资产应采用大数据、人工智能、自动化、行为分析、威胁检测、风险建模等技术，结合行业网络与信息系统现状及安全风险， 通过“以身份为中心”的零信任架构思想，持续动态缩小攻击面，在夯实基础设施、应用系统、数据安全的基础之上，围绕“数字身份”建立最小化权限，基于主体身份及行为属性的访问控制、动态细粒度授权等重要安全思想构建安全与业务的双基础设施防护体系。

【关键字】

大数据行为分析 身份识别 风险建模 零信任 访问代理 智能身份识别 风险评估 动态访问控制

【参考文献】

（1）《Top Trends in Cybersecurity 2022》,Gartner；

（2）《Guide to Network Security Concepts》,Gartner；

（3）中国电子工业标准化技术协会,《零信任系统技术规范》(T/CESA 1165-2021)[S]. 2021-07-01；

（4）云安全联盟大中华区. 2021零信任落地案例集[R].2020-06；

【参考架构】

NIST（美国国家标准与技术研究院）给出的架构接近ISO国际标准中经典的访问管理（Access Management，AM）架构，将访问控制分为策略决策点(Policy Decision Point, PDP)和策略执行点(Policy Enforcement Point, PEP)。用户或计算机在访问企业资源时，需要通过策略决策点(PDP)和策略执行点(PEP)授予访问权限。零信任架构下，资源访问控制策略不再仅基于网络位置，而是基于风险。在NIST-NCCoE的零信任架构实现中，给出了一个基于标准实现的零信任架构。美国国防部《零信任参考架构》给出的零信任架构，则明确了零信任架构的运行机制，组成元素及实施阶段。

【参考模型】

（1）访问主体

访问主体是指主动发起资源访问行为的人员、设备、应用、系统。

（2）访问客体

访问客体是指由企业控制并受零信任系统保护的应用程序、数据、文档或工作负载。将所有的数据源和计算服务都视为“资源”。

（3）可信代理

可信代理作为零信任架构的数据平面的组件，是动态访问控制能力的策略执行点。可信代理通过动态访问控制引擎对访问主体进行认证，对访问主体的权限进行动态判定。同时，可信代理需要对所有的访问流量进行加密。

（4）动态访问控制引擎

动态访问控制引擎和可信代理联动，对所有访问请求进行认证和动态授权。动态访问控制引擎的权限判定既可基于简单的静态规则，也可基于上下文属性、信任等级和安全策略进行动态判定。动态访问控制进行权限判定的依据是身份库、权限库和信任库。

（5）信任评估引擎

信任评估引擎是零信任架构中实现持续信任评估能力的核心组件，提供信任等级评估能力。信任评估引擎接收可信代理、动态访问控制引擎的日志信息，结合身份库、权限库数据，及外部安全信息源数据，对主体信任持续评估，为动态访问控制引擎提供决策依据。

（6）身份基础设施

身份基础设施作为实现零信任架构以身份为基石能力的关键支撑组件，至少包含身份管理和权限管理功能组件。它通过身份管理实现各种实体的身份化及身份生命周期管理，而通过权限管理可对授权策略进行细粒度的管理和跟踪分析。

（7）数据平面和控制平面

数据平面完成各场景、不同层次数据流量的统一代理，按照受保护资源的不同，可以是物理化设备、虚拟化设备，也可以以容器、插件等形态存在。

控制平面负责对数据面进行动态访问控制。控制平面的核心组件分为访问控制组件、环境感知组件、身份分析组件等。

1.引言

加快数字化转型是构建企业全新经济体系、实现高质量、高速发展的重要支撑。在国家十四五规划总体方针指引下，企业网络和信息化领域围绕中央网信工作决策部署及行业高质量发展目标任务，积极发挥技术、平台、数据和队伍等优势，将数字化转型所须网络安全保障工作融入行业改革发展大局，全力支撑行业疫情防控和复工复产。以数字化转型为主线，努力在生产经营管理各领域释放两化融合创新潜能，为行业高质量发展注入新动能。

进入后疫情时期各领域、各行业业务终端远程办公已成为一种常态化工作方式，而如何保障远程办公场景下的网络安全、数据安全、业务安全，是关系特殊时期企业数字化转型成功与否的关键因素。远程办公网络与信息安全保障任务是一个复杂性、宏观性、系统性工程，需要全面考虑业务终端主体与被访问业务系统（服务器）客体之间多个维度、多个方面、多个层面的安全及业务“双保障”问题，因此，必须形成“一盘棋”的整体战略思维，强化远程办公场景下网络与信息安全的端到端、全流程设计。确定“数字化转型”的战略目标，系统谋划远程办公场景下身份安全、网络安全、数据安全、业务安全等防护能力，对接行业云计算平台，为接入终端提供边缘智能身份识别、准入、权限控制、动态风险评估及感知服务，形成以远程接入终端身份安全为基石的“云边协同”安全能力，满足行业数字化在敏捷连接、实时业务、数据优化、应用智能、安全与隐私保护等方面的关键需求。

远程办公不仅仅局限在日常工作协同沟通、视频会议等场合，更体现在企业IT服务的远程开发，远程运维，远程客服，远程营销等方方面面。后疫情时代因IT技术迅速迭代而引发的移动终端办公，远程办公不应该被看做特殊时期的一种特殊的办公形式，而应将其作为面向未来工作模式的一种常态，企业必须习惯这种工作模式的“强制转变”，并做好业务系统和数据资产安全防护。

2. 远程办公带来的全新安全挑战

远程办公这种新的工作模式对网络安全带来了全新的挑战，最主要的挑战在于远程办公极大的增加了企业网络安全风险。

首先是网络暴露面的增加。为了支撑远程办公，原本只能在内网访问的高敏感度的业务系统不得不对互联网开放。目前远程办公使用最多的是两种接入方式，一种是通过端口映射将业务系统直接开放公网访问；一种是使用VPN打通远程网络通道。无论哪种方式，都是对原本脆弱的网络边界打上了更多的“洞”，敏锐的攻击者一定不会放过这些暴露面。

其次是接入网络的人员、设备、系统的多样性呈指数型增加。网络安全本来就是一个复杂的系统工程，远程办公模式允许员工、外包人员、合作伙伴等各类人员，使用家用PC、个人移动终端，从任何时间、任何地点远程访问企业内部业务。参差不齐的终端接入设备和系统，具有极大的不确定性，各种接入人员的身份和权限管理混乱，弱密码屡禁不止，这些都会给企业网络带来了极大的风险。

最后是数据流动的复杂性。企业的业务数据在复杂的人员、设备、系统之间频繁流动起来，原本只能存放于企业数据中心的数据不得不面临在员工个人终端的留存，企业数据和个人数据甚至混在一起，企业数据的机密性难以确保，数据泄露和滥用风险大幅增加。

远程办公的复杂性导致企业已经不存在单一的、易识别的、明确的安全边界，或者说，企业的安全边界已经被瓦解，传统解决方案难以应对。

事实上，近年来外部攻击的规模、手段、目标等都在演化，有组织的、攻击武器化、以数据及业务为攻击目标的高级持续攻击屡见不鲜，且总是能找到各种漏洞突破企业的边界并横向移动，可以说企业的网络安全边界原本就已经很脆弱，远程办公可以说是让这种脆弱性雪上加霜。

各组织也都在对自己的安全边界进行“加固”，尽量使用VPN远程接入而非直接开放业务端口，增强威胁检测的能力等，然而，这些手段基本上可以视作是传统的边界安全方案上的单点增强，难以系统性缓解远程办公带来的安全威胁。攻击者可以轻易利用弱密码或破解来的密码通过VPN进入内网，也可能利用VPN漏洞、业务系统漏洞直接进行渗透，突破企业边界，并且由于内网安全控制措施的不足，攻击者可以肆意横向移动，并最终窃取有价值的数据资产。

3. 零信任架构成为企业远程办公安全之“基”

随着用户和资产变得更加分散和远程，企业需要更好的方式来收集、处理和分析数据以进行网络风险管理。如何在人员、设备和业务之间构建一张虚拟的基于身份的逻辑边界，保护业务系统与数据安全防护将变得尤为重要。而安全防护关键点在于，如果仅仅针对远程接入场景构建安全体系，完全忽略内部业务访问、安全域或服务之间的数据交换、数据中心的系统运维等场景，是完全不可取的，仍然是边界安全思维。正确的安全防护思维应该是不区分内外网，针对核心业务和数据资产，梳理访问这些资产的各种访问路径和场景，针对各种场景构建一体化的基于数字化身份为中心的远程用户可信身份认证、安全风险持续评估及动态访问控制体系。

零信任架构通过以身份为“基石”、业务安全访问、持续信任评估和动态访问控制的关键能力，基于对网络所有参与实体的数字身份，对默认不可信的所有访问请求进行加密、认证和强制授权，汇聚关联各种数据源进行持续信任评估，并根据信任的程度动态对权限进行调整，最终在访问主体和访问客体之间建立一种动态的信任关系，针对远程办公场景，基于零信任典型参考架构：

远程办公安全典型参考架构

（1）可信代理

可信代理是零信任架构的数据平面组件，是确保业务安全访问的第一道关口，是动态访问控制能力的策略执行点。可信代理拦截来自PC和移动终端的业务访问请求后，通过动态访问控制引擎对发起请求的用户和设备进行身份认证，并对权限进行动态判定。

（2）动态访问控制引擎

动态访问控制引擎和可信代理联动，对所有访问请求进行认证和动态授权，是零信任架构控制平面的策略判定点。

动态访问控制引擎对所有的访问请求进行权限判定，权限判定的依据基于访问请求上下文属性、信任等级和安全策略进行动态判定。

（3）信任评估引擎

信任评估引擎是零信任架构中实现持续信任评估能力的核心组件，和动态访问控制引擎联动，为其提供信任等级评估作为授权判定依据。

信任评估引擎持续接收可信代理、动态访问控制引擎的日志信息，结合身份库、权限库数据以及可信终端环境感知、可信网络环境感知上报的风险信息，基于大数据和人工智能技术，对信任进行持续评估，最终生成和维护信任库，为动态访问控制引擎提供决策依据。

（4）可信终端环境感知

可信终端环境感知是零信任架构中重要的环境感知组件之一，为信任评估引擎提供终端环境的感知信息和风险评估输入，可以感知和识别终端身份、终端安全属性、终端行为异常等信息。

（5）可信网络环境感知

可信网络环境感知是零信任架构中重要的环境感知组件之一，为信任评估引擎提供网络环境的感知信息和风险评估输入，可以感知和识别网络流量方面的风险和异常，并作为事件通知信任评估引擎。

4. 企业远程办公系统与数据安全之“道”

疫情期间，很多公司都采用了让员工在家办公的方式，但对于很多有内网安全要求的企业来讲，很多需要在办公室访问的业务和应用，在家很难访问。这种时候，企业之前最先想到的方法是重新配置VPN。但是这种方法的弊端在于，开了VPN给远程办公的员工使用的同时，也等于给黑客攻击提供了入口。针对远程办公常态化的趋势和其面临的安全挑战，需要更多的结构化的思考和应对。

远程办公导致网络风险加剧和传统的边界安全体系失效，但这些安全挑战一直就存在，并非远程办公导致了这些安全挑战，而是因为安全架构没有及时跟上节奏，在大规模的远程办公压力下，把这些问题放大了而已。

事实上，企业数字化转型推动着云大物移等新技术的采用，早就已经埋下了边界瓦解的种子，企业应该直面这种趋势，把远程办公看成是现代企业业务的一个有机组成部分，当做一种常态，企业“边界”之外的人、设备、系统接入网络已是不可逆转的趋势，企业的业务和数据走出“边界”上云也是信息技术发展的必然。基于企业业务视角和安全常态化思维，审视现有的安全架构，将远程办公作为企业数字化转型的业务场景之一，而不是将其作为一个单点进行加固。在新形势下面临的新型IT环境和办公环境，建议基于零信任思想，对安全架构进行升级，“端到端”保护核心业务系统及数据。

4.1 远程办公系统与数据安全防护之“术”

企业基于远程办公场景系统数据防护自适应安全框架

基于业务场景自适应的企业安全框架实现基础是所有参与访问的边缘侧人员、设备和物联终端的全面身份化管理，和多对象信任等级评估。目标是基于大数据可信用户深度行为分析和用户身份智能鉴别，构建动态访问控制模型框架，实现边缘侧对象全身份化管理。为实现项目目标，通过如下模块实现：

（1）用户身份化管理

基于现有统一权限平台、一体化平台目录服务建设成果，面向企业数据中心，开展身份凭证、认证与鉴别、授权和访问控制等技术研究，实现边缘侧用户对象的身份化管理和权限管理。

（2）设备身份化管理

泛终端设备大多由泛终端厂商提供的管理平台进行身份管理，方案碎片化严重，泛终端边缘接入技术适配多场景下的泛终端设备管理方案，通过识别HTTP、MQTT协议的关键信息对泛终端设备进行身份识别；另外，也可以和泛终端管理平台联动，基于标准的OAuth2.0等协议建立身份鉴别基础。

基于设备唯一标识，结合基于企业边缘接入网关的接入协议分析和挖掘，开展设备身份化管理。

（3）日志分析

基于接入日志分析，获取业务访问信息，通过对边缘网关访问控制日志、设备接入认证日志、应用访问日志及数据库访问日志等进行关联分析和深度挖掘，进行用户行为深度分析研究，以历史行为为基础，自动构建出初始安全标准行为均线，而后续的使用行为，也将作为安全标准行为均线的计算依据，不断对安全标准行为均线进行修正，辅助创建用户信任等级模型。

（4）访问行为分析模型

在访问行为分析模型中，对用户历史行为数据进行统计分析，建立用户行为基线，形成用户行为基线库。统计分析的维度包括用户操作时间、常用地理位置、操作次数、设备使用分布，用于评估用户日常访问发起的时间段、频次、经常访问的地理位置、经常采用的设备，以及对用户行为的推测分析。同时，基于配置的用户组及用户行为基线情况相加可以构成用户组的行为基线。

访问行为分析模型能够从时间、位置、设备、操作等维度度量风险。基于用户行为基线，访问行为分析模型可以提供基于个人异常时间操作、基于群组异常时间操作、账号在非常用地理位置操作、账号同时在不同的位置上操作、多账号在同一设备操作、同账号在多设备操作、操作次数超过个人均值、操作次数超过群组内均值等异常事件检测，再结合信任评分规则对用户信任等级进行评定。在进行具体的计算时候，首先通过分析用户的某次操作与行为基线的偏离程度来评估用户的异常风险概率，计算规则可配置，如可设置为某次操作与历史行为中相同操作的占比；第二通过比较异常风险概率与异常事件判定阈值判定异常事件，阈值可根据分析结果自适应调整；第三根据为异常事件配置的风险分值，计算信任等级。对于API用户来说，访问行为分析模型同样适用，API的调用时间、频次等都可以做（作）为评估因素。

（5）输入行为分析模型

用户输入行为分析基于动态键盘输入行为对用户进行身份识别，分析是否为非法用户使用合法口令来登录系统，最终作为用户信任等级的构成部分。第一阶段为用户行为特征分析阶段，用户输入行为分析首先进行数据搜集和分析，从键盘获取用户的击键信息，得到原始数据，经过预处理和过滤处理后，再通过数据分析提取输入特征，击键特征通常包括持续时间、转移时间等；同时考虑到准确性，重点对静态文本，即针对一个固定的字符串或者一段特定的文本所对应的击键行为，提取特征为进行身份识别提供依据。第二阶段为模型训练阶段，根据积累的数据及提取的特征建立模型库，对于模型的构建会选用多种算法以提升判断准确率，如K-means、One Class SVM、Isolation Forest等，用户模型库的建立基于每个用户。第三阶段是数据预测阶段，也就是基于搜集的用户击键方式进行身份识别，将击键数据与模型库进行比对，是否存在模型，若不存在，则给出数据不足反馈，若模型存在，则基于模型对用户密码输入模式进行认证。如果比对成功，则表示身份认证通过，信任等级T可判定为最高；反之匹配和身份认证失败，信任等级T可判定为较低或最低，计入用户信任等级计算，以保障口令的合法使用。同时，判断结果可以作为模型调整和更新的依据，保证模型库最新，以进一步提升系统验证过的准确性和稳定性。

（6）用户信任等级评估

基于用户行为的时间、位置、设备、频度、结果等属性定义了多种使用场景下的安全判定规则，创建推理分析模型、多种用户行为模型、构建用户信任等级模型，进行用户信任等级评估研究。

（7）业务信任等级评估

结合企业一体化平台、对内业务、对外业务的业务特性，对业务进行信任等级的划分。按照分阶段、分多次、逐步细化，逐级细化创建业务信任等级模型。

4.2 网络安全与信息化建设应同步之“策” 

网络安全和信息化相辅相成，安全是发展的前提，发展是安全的保障，安全和发展要同步推进，对于迅速崛起的远程办公更是如此。面对已经提前到来的远程办公浪潮，对于每一个企业主，都需要汲取过去信息化和安全相互独立并行的教训，而是在战略规划之初，就将两者同步考虑和部署下去，只有这样策略，才能让企业把握住远程办公的浪潮，实现安全、平稳的数字化转型和升级。

5. 开展企业远程办公员工安全教育与培训

“人的因素”是网络安全绕不开的话题，也是网络安全的根本问题。事实上，任何时候，人永远是安全必不可少的因素，国内某大型安全厂商曾提出过“人是安全的尺度”的思想。远程办公场景下，员工面临的网络风险和现场办公存在较大的差异，员工现有安全意识和远程办公的安全现状之间会出现鸿沟，并且由于办公场所的变更，员工的安全意识会出现一定程度的弱化。因此，需要针对性的加强员工安全教育和培训，帮助员工了解他们可能无意间引入企业的安全风险，并对场景风险的缓解和处置方式进行培训，降低由于缺乏意识或无意之间的意识弱化导致的安全风险。

6. 结语

企业业务系统和数据资产防护建设，以零信任架构为指引和借鉴，以“身份为中心”的安全思想对远程接入终端、设备、系统、应用进行持续验证、风险评估和动态控制，结合安全大数据和人工智能建模技术，通过对零信任架构进行解构，按照模块化、分阶段部署方式落地。零信任架构提供一系列概念、理念、组件及其交互关系，以便消除针对信息系统、业务数据进行精准访问判定所存在的不确定性。企业IT信息化和网络安全防护和信息化管理水平日趋成熟完善，但在后疫情时期远程办公常态化背景下，为了企业核心业务系统和数据可视、可控、可管，需要聚焦远程办公场景的人、设备、流程、访问、环境等多维因素，通过“以身份为基石、业务安全访问、持续信任评估、动态访问控制”等关键能力，缓解企业端到端的业务访问风险，为组织的数字化转型保驾护航。