項(xiàng)目背景

溫州市大數(shù)據(jù)發(fā)展管理局一直在以大數(shù)據(jù)賦能智慧城市、智慧國(guó)企、智慧健康等方面走在前列，已建成的一體化智能化公共數(shù)據(jù)平臺(tái)為該市下屬的委辦單位、企業(yè)、公眾提供了良好的大數(shù)據(jù)業(yè)務(wù)支撐服務(wù)，以數(shù)據(jù)智能賦能數(shù)字經(jīng)濟(jì)和民生。十四五規(guī)劃中，數(shù)據(jù)相關(guān)產(chǎn)業(yè)將成為未來(lái)中國(guó)發(fā)展建設(shè)的重點(diǎn)部署領(lǐng)域，相關(guān)的數(shù)據(jù)安全也變得更加重要。隨著數(shù)據(jù)開(kāi)放面逐漸擴(kuò)大、數(shù)據(jù)訪問(wèn)量不斷增加，溫州市大數(shù)據(jù)發(fā)展管理局預(yù)見(jiàn)到了開(kāi)放共享過(guò)程中潛在的數(shù)據(jù)安全防護(hù)及溯源問(wèn)題，例如數(shù)據(jù)訪問(wèn)無(wú)法追溯到最終用戶、API 自身脆弱性帶來(lái)的安全配置錯(cuò)誤及注入風(fēng)險(xiǎn)、API 異常高頻訪問(wèn)帶來(lái)的數(shù)據(jù)暴露風(fēng)險(xiǎn)等，為此溫州市大數(shù)據(jù)局啟動(dòng)了一體化智能化公共數(shù)據(jù)平臺(tái)零 信任安全防護(hù)體系的建設(shè)任務(wù)，并引入安恒信息作為零信任安全供應(yīng)商。

技術(shù)方案

安恒信息基于零信任思想，結(jié)合多年在企業(yè)安全運(yùn)營(yíng)、安全大數(shù)據(jù)分析、數(shù)據(jù)安全等領(lǐng)域的實(shí)踐與技術(shù)積累，推出了基于“以身份為基礎(chǔ)、以資源為核心、持續(xù)信任評(píng)估、動(dòng)態(tài)訪問(wèn)控制”的AiTrust零信任解決方案，在原有物理邊界之上構(gòu)建動(dòng)態(tài)身份邊界，從終端、用戶、系統(tǒng)等資源訪問(wèn)主體的可信身份出發(fā)，向政企提供全新的業(yè)務(wù)安全視角，有效支撐應(yīng)用開(kāi)放、業(yè)務(wù)互通、數(shù)據(jù)共享等場(chǎng)景的安全、高效運(yùn)轉(zhuǎn)，助力政企網(wǎng)絡(luò)安全體系逐步向自適應(yīng)安全演進(jìn)。

溫州市一體化智能化公共數(shù)據(jù)平臺(tái)零信任安全防護(hù)體系由以下幾個(gè)關(guān)鍵組件構(gòu)成：

? 統(tǒng)一控制臺(tái)：作為零信任架構(gòu)中的 PDP，維護(hù)用戶清單、應(yīng)用清單及資源清單，集成 SSO 系統(tǒng)，并負(fù)責(zé)零信任體系內(nèi)訪問(wèn)控制策略的制定和 API 安全代理的控制。其中用戶清單來(lái)源于浙江省數(shù)字政府 IDaaS、浙政釘?shù)榷嘣从脩羯矸菽夸浀暮喜?，追蹤和更新溫州全?2萬(wàn)余用戶信息的變化，所有用戶具有唯一標(biāo)識(shí)，用戶清單為零信任體系中的 UEBA 行為分析引擎提供信息；應(yīng)用清單維護(hù)所有接入零信任體系的應(yīng)用系統(tǒng)的身份信息，通過(guò)與溫州市建設(shè)的目錄系統(tǒng)聯(lián)動(dòng)，實(shí)現(xiàn)全網(wǎng)應(yīng)用身份統(tǒng)一，并為應(yīng)用生成零信任安全接入工具；資源清單維護(hù)所有要保護(hù)的客體對(duì)象信息（在溫州場(chǎng)景下即 API 接口資源），通過(guò)手動(dòng)配置或從流量中分析的方式建立。

? API 安全代理：作為零信任架構(gòu)中的 PEP，以“默認(rèn)拒絕”的模式接管所有面向公共數(shù)據(jù)平臺(tái)的訪問(wèn)請(qǐng)求，針對(duì)每條請(qǐng)求進(jìn)行身份鑒別和權(quán)限鑒別，僅放通通過(guò)統(tǒng)一控制臺(tái)驗(yàn)證的合法請(qǐng)求，同時(shí)輸出其他 API 安全防護(hù)能力。

? UEBA 行為分析引擎：負(fù)責(zé)采集零信任體系中的用戶行為數(shù)據(jù)，并對(duì)用戶行為、應(yīng)用行為進(jìn)行大數(shù)據(jù)建模匹配分析，為統(tǒng)一控制臺(tái)的訪問(wèn)控制策略指定提供輸入依據(jù)。

項(xiàng)目經(jīng)驗(yàn)

在項(xiàng)目實(shí)施準(zhǔn)備階段，交付團(tuán)隊(duì)首先在統(tǒng)一控制臺(tái)上拉通多方身份及認(rèn)證體系、注冊(cè)一體化智能化公共數(shù)據(jù)平臺(tái)服務(wù)，準(zhǔn)備好零信任安全防護(hù)體系的上線和基礎(chǔ)。在該階段，需要注意對(duì)多方身份目錄的梳理，涉及到多方用戶信息整合的，需要提前獲取各方所提供的數(shù)據(jù)同步文檔、接口文檔，確認(rèn)同步方案，以確保用戶信息能夠及時(shí)同步、保持一致。搭建好基礎(chǔ)架構(gòu)后，統(tǒng)一控制臺(tái)即對(duì)應(yīng)用系統(tǒng)開(kāi)放單點(diǎn)登錄及訪問(wèn)工具集成能力，優(yōu)先選擇了開(kāi)發(fā)中的和新上線的業(yè)務(wù)系統(tǒng)進(jìn)行單點(diǎn)登錄對(duì)接，并將 SSO 能力形成標(biāo)準(zhǔn)文檔，作為后續(xù)政務(wù)外網(wǎng)應(yīng)用開(kāi)發(fā)、接入一體化智能化公共數(shù)據(jù)平臺(tái)服務(wù)前的必選項(xiàng)之一。需要尤其注意的是在現(xiàn)有的訪問(wèn)體系下，如何向新的安全訪問(wèn)控制體系遷移。因此項(xiàng)目組在一體化智能化公共數(shù)據(jù)平臺(tái)側(cè)，對(duì)接口的訪問(wèn)遷移也采用分步驟的方式。

在項(xiàng)目實(shí)施前期階段，公共數(shù)據(jù)平臺(tái)上已有接口并沒(méi)有做強(qiáng)制的訪問(wèn)策略切換，只針對(duì)新上線的接口，在公共數(shù)據(jù)平臺(tái)上啟用源 IP 白名單，只接收 API 安全代理轉(zhuǎn)發(fā)來(lái)的請(qǐng)求；同時(shí)，由 API 安全代理兼容公共數(shù)據(jù)平臺(tái)的認(rèn)證能力，不再向新上線的應(yīng)用提供公共數(shù)據(jù)平臺(tái)自身的認(rèn)證憑證，使其必須通過(guò) API 安全管控系統(tǒng)訪問(wèn)，完成遺留的通道切換后，再處理網(wǎng)絡(luò)策略的連通性。另外，在運(yùn)維流程上實(shí)現(xiàn)資源目錄的統(tǒng)一管理運(yùn)維，對(duì)后期維護(hù)來(lái)說(shuō)也非常重要，一次項(xiàng)目組通過(guò)將溫州市用戶統(tǒng)一登錄中心（統(tǒng)一控制臺(tái)）對(duì)接溫州市資源目錄系統(tǒng)，打通新應(yīng)用接入的標(biāo)準(zhǔn)化流程，實(shí)現(xiàn)業(yè)務(wù)資源的統(tǒng)一運(yùn)維。在訪問(wèn)過(guò)程中，統(tǒng)一控制臺(tái)收集 API 安全代理上報(bào)的日志，對(duì) API 的訪問(wèn)頻度、調(diào)用方分布、異常行為、API 敏感數(shù)據(jù)進(jìn)行分析和展示，根據(jù)分析結(jié)果、API 重要程度逐漸進(jìn)行白名單策略的切換。