零信任在某省政务大数据智能项目的落地实践

方案背景

某省公安厅大数据安全整体解决方案，以“一切资源化、资源目录化、目录全局化、全局标准化”为设计理念，以“分层解耦，异构兼容”为设计思路，以“安全、合规、可信”为实现目标，提升科学实用的体系化安全防护能力，规范化安全管理能力，综合化安全运维能力，实现全网安全态势敏锐感知，安全威胁快速检测与处置确保大数据全程可知可控，可管可查，变静态为动态，变被动为主动，为某省公安厅公安大数据智能化建设保驾护航。

方案概述和应用场景

本案以数据安全为中心，以安全基础设施为支撑，以安全大数据智能分析为抓手，从“云、数据、应用、网、边界、端”六维构建纵深，实现统一安全管理，构建“安全、可信、合规 ”的大数据智能化安全立体纵深防御体系，形成科学实用的规范化安全管理能力、体系化安全防护能力、综合化安全运维能力，变静态为动态，变被动为主动，为公安大数据智能化建设提供坚实保障。本次重点建设跨域安全访问与数据交换平台。

本案紧密结合新一代公安信息网网络架构设计和大数据、云平台、智能应用设计开展大数据智能化工程安全体系设计，确保框架先进性；运用国际通用安全架构指导大数据智能化安全体系设计，确保理念先行；深入结合可信技术、大数据技术开展大数据智能化安全系统设计。

本案建设以满足“安全、可信、合规 ”总体建设目标为前提，提出了“统一规划、统一标准、急用先行、分步实施”的总体原则，采用如下核心组件进行建设。

审计中心具有超强的审计洞察和可扩展性，可支持各类信息（日志信息、威胁信息等）的处理与分析，通过采集关键节点服务日志信息，以大数据技术驱动过程行为数据分析，采用机器学习方法进行安全分析，能够检测高级、隐藏和内部威胁的行为分析技术，不需要使用签名或规则。且在杀伤链上能关联数据，进行有针对性的发现。

审批中心
审批中心负责审批工作的信息化、流程化和规范化，实现任务的上传下达、工作督办监督体系、规范数据查询和侦控手段审批流程。审批中心提供业务流程同步，实现接入系统信息管理、权限同步，可通过短信发送申请信息或审批信息，还能实现与安全代理、认证、权限、审计及应用系统的联动。

安全管理中心

安全管理中心基于大数据基础架构平台开发，使用ETL组件进行数据预处理，根据行业数据治理标准规范和行业规范安全数据治理需求，实现数据治理功能，能够提供对各种采集数据进行数据解析、标准化、丰富化、归一化、过滤、补全、清洗等处理，保障数据的完整性、可用性，支持通过编写配置文件实现非编程方式的日志数据解析。
可信接入代理

可信接入代理支持可信接入、访问控制、NAT、应用层检测、流量监控、日志记录、告警等功能，主要用于为不可信任的外网用户提供可信接入，为内网资源提供可信任安全屏障。可信接入代理在为用户提供可信接入时，可轻松适应某些资源具有大量的IP地址信息，且IP地址不固定的应用场景。

可信 API 代理
可信API代理通过流量控制、攻击防御、传输加密等多种API相关安全防护技术，为业务提供API接口的统一代理、访问认证、数据加密、安全防护、应用审计等能力，对AP I 进行全生命周期的权限管理，全面解决企业API接口服务面临的安全问题。

可信代理控制服务

可信代理控制服务可针对业务应用及API服务的访问控制需求，采用了用户认证授权、身份权限管理、风险感知、UEBA等多项技术，集中解决应用访问场景的安全问题等。同时，可信代理控制服务也是零信任体系安全解决方案中的重要组成部分，联动各个平台的控制中心。

数据安全交换系统

数据安全交换系统具体包括前后置、单向光闸三部分。前置代理系统是双网信息交换中面向低安全级别网络的信息采集及推送系统，前置代理系统的作用主要是以各种形式采集外网中需要传输到内网的数据，通过安全处理及分流，传输到内部网络。

优势特点和应用价值：

根据公安大数据“一切资源化、资源目录化、目录全局化、全局标准化”的原则，通过本案的建设，做到全网安全态势敏锐感知，安全威胁快速检测与处置，确保大数据全程可知、可控、可管、可查，为公安大数据智能化建设提供严密安全保障。

方案价值

符合新一代公安信息网标准规范要求通过 “新一代公安信息网项目”成功落地，项目实践证明产品完全满足公安部相关标准规范要求。

以安全管理中心为中枢构建全局化安全防护服务体系通过为公安客户构建事前主动防御、事中持续检测与响应、事后迅速恢复的全局化安全防护体系。

建立起行业建设标准通过本案的实施，树立起新一代公网网的建设标准，打造一个中心（即安全管理中心）、两大体系（即零信任体系和安全防护体系）的安全支撑能力。

方案优势

高性能无瓶颈

本案重点对核心产品(可信API代理)和数据交换通道的性能重点做了优化设计。
由于可信API代理负责对业务应用API接口的访问控制，承载较多的业务并发访问压力，极容易成为整个安全访问平台的瓶颈。通过在可信API代理设备前部署负载均衡，通过轮询、随机等多负载均衡算法将业务访问压力均衡分摊到两台可信AP I 代理设备上，并可在不影响正常业务情况下灵活扩展多台可信API代理设备。
数据交换通道性能设计最大通道带宽可达20GBPS，单个文件可支持30G大小进行无丢包交换。

国产化适配

本案涉及的国产硬件适配能力，充分保护用户已有建设投资，最大化保护IT投资成本。
各产品互兼容性高
本案的产品和方案均以构建强大的扩容能力、广泛的产品技术兼容性为设计原则，不仅新产品建设完美兼容，还与原有业务系统、身份认证充分融合，发挥利旧原则，建设好新一代公安网。

经验总结：

本项目基于公安大数据相关规范对公安应用业务的流程再造与优化，改造过程中势必会对当前业务造成一定的影响，为了尽量减少规避影响范围，建议从业务稳定性、安全性等角度综合考虑：

项目实施期间，如何保证原业务的稳定运行。为了解决这个问题，需要提前做好前期准备，包括原业务系统的备份、安排在非业务办理时间进行业务部署割接；在业务割接过程前设计好应急保证措施，当遇到无法排除的故障时应该及时回退到部署前状态。

新部署的安全访问平台增加了可信接入代理、可信API代理等多个验证功能执行点，如何保障部署后业务访问体验不受影响。通过对新安全访问平台的访问流程进行梳理后发现新通道的瓶颈在可信API代理网关系统上本案选用了业界最高性能的专用硬件平台，将可信API代理的性能提高至40G 左右，同时在两台可信API代理网关之前部署了负载均衡系统来保证该平台的稳定性及连续性。

本项目中设计了多类安全产品的部署联调，如何能够保证在规定时间内完成本工作内容。本项目中设计的核心产品包括可信接入代理、可信API代理和可信代理控制服务，为了保证系统的快速联调部署，通过三大核心部件的快速部署，确保实施周期。

本文在编写过程中参考了 CSA 2021中国零信任全景图再次表示感谢

更多关于零信任材料
NIST 零信任架构中文版
产业互联网联盟零信任实战白皮书 2019
安全牛现代企业零信任安全构建应用指南研究报告 2021