2023中山市终端零信任实践白皮书

Onlyforpreview 数据管理局 中山市政务服务HUAWEI 中山市终端零信任实践白皮书 Onlyforpreview 11 Onlyforpreview 00011 K 版权所有中山市政务服务数据管理局、华为技术有限公司。保留一切权利。 本报告中所涉及的图片、表格及文字的版权归中山市政务服务数据管理局和华为技术有限公司所有。其中部分数据在标注有来源的情况下，版权归属原数据公司所有。本白皮书取得的数据来源于公开资料，如有涉及版权纠纷问题，请及时联络我们。 任何机构、个人在引用本白皮书的数据或转载白皮书相关内容时，需注明来源。 中山市政务服务数据管理局华为技术有限公司 Onlyforpr lew 01 前言 Onlyforpr 中山市电子政务外网近年来广泛服务于人民群众的日100+市级单位，近3万个PC端和移动端实现准入管控， 常生活，显著提升了政务服务的运行效率，改善了群众办事确保访问政务应用的终端和人员身份合法，访问应用的行 体验，打造了民生工程样板。政务外网向社会提供便利性服为安全可靠，以及政务外网应用和数据的安全。中山市终务的同时，也面临着通过互联网等进行病毒渗透、违规访 问、数据泄露等安全风险。因此，中山市政务外网应用的安系完美兼容，成为全国首个政务外网“一机两用”落地样 全性越来越成为影响全市政务服务正常运转的关键。板点。针对物联终端无法安装终端软件等特点，通过加强 对物联终端的流量分析，梳理清晰的台账；结合网络准 中山市政务服务数据管理局联合华为技术有限公司，入，通过持续环境感知评估和动态策略管控，实现物联终自2022年初深入研究中山市电子政务外网业务体系及发展端细粒度的访问控制。通过对不同类型终端零信任体系的瓶颈，探索零信任理论体系在电子政务外网的实践；在国建设，中山市构建了单位接入网终端台账清晰、身份合家《政务外网终端一机两用安全管控技术指南》标准正式法、行为合规的管控体系，并通过网络和安全的协同实现发布后，第一时间结合零信任技术设计符合国家标准、省威胁溯源到用户，威胁在交换机端口近源阻断。中山市在要求及中山市业务实际情况的解决方案，实现以准入控终端零信任建设过程中积累了丰富的实践经验，为数字政 制、网络隔离、动态鉴权、数据防护为核心的终端零信任府新基建探索出了高成熟度的“中山方案”，特形成《中 安全接入实践落地。经过一年多的发展，现已建成广覆山市终端零信任实践白皮书》供参考。盖、全融合、高安全的零信任安全架构。全市23个镇街、 著作单位： 中山市政务服务数据管理局华为技术有限公司 参编人员： 中山市政务服务数据管理局：叶永忠、关宝、车杰鸿、黄嘉宏 华为技术有限公司：文慧智、康鹏龙、顾滢、何平、王海洋、孙云峰、程龙、万斌候、 罗文晋、汪林、张淑敏、吴浩清、柳巧平、魏占宇 01|前言 02|中山市终端零信任建设背景to 2.1中山政务外网网络架构现状04 录 2.2中山政务外网面临的安全挑战 2.3中山政务外网安全发展与思考 03|终端零信任关键技术 Qnly 09 3.1SDP60 3.2网络准入控制11 3.3终端识别与异常检测12 3.4网安联动14 04丨中山市终端零信任实践16 4.1一机两用安全管控 02 4.1.1方案设计 4.1.2实践与效果 4.1.2.1分布式部署架构，兼容现有“IPv6+”网络18 4.1.2.2分级授权管理，提升运维管理效率19中山市终端零信任建设背景 4.1.2.3场景覆盖全，近3万台终端实现准入管控20 4.1.2.4精准溯源，威胁溯源到用户21 4.2物联终端可信接入22 4.2.1方案设计22 4.2.2实践与效果23中山市电子政务外网采取全市统一规划、统一标准、统一建设，统一运维的模式。通过采用全光网、OTN（Optical 4.2.2.1台账清晰，在网终端资产看得见23 4.2.2.2行为合规，私接、仿冒、劫持等检得出24 TransmissionNetwork，光传输网）、SRv6（SegmentRoutingoverIPv6，基于IPv6的段路由）、网络切片、IFIT （In-situFlowInformationTelemetry，随流检测）、4/5G（4thGeneration/5thGeneration，第四/五代移动通信系 4.2.2.3网安联动，威胁在交换机近源阻断 05|总结与展望 06|缩略语 Only 统）无线接入等新技术，打造有韧性、全融合、广覆盖的新一代电子政务一张网。通过一网多平面，一网承载，破除数据 壁垒，实现了SRv6动态路由，一跳上云、一跳入网，网络传输效率极大提升，助力政府公共服务和社会治理智能化水平 26快速提升。 中山市电子政务外网在2022年已完成城域网的改造，当前城域骨干网已经部署SRv6、网络切片等“IPv6+（Inter-netProtocolVersion6Plus，IPv6协议增强）”能力，实现重要业务的流量调度和质量保障。中山市电子政务外网架 27构，如图2-1所示。 04 中山市终端零信任实践白皮书中山市终端零信任实践白皮书 ③互联网接入X2.2中山政务外网面临的安全挑战 核心层 （核心节点） 互联网政务云 安全运维平台 运营商5G网络 ® forpr 当今云，大数据、物联网和移动互联网等新型ICT（InformationAndCommunicationsTechnology，信息和通信 技术）的普遍应用，给广大用户带来了前所未有的体验，也引入了新的安全问题。近年来，政府和企业的外部APT（Ad- vancedPersistentThreat，高级持续性威胁）攻击和由内部违规导致的大规模数据泄露等恶性安全事件层出不穷。中山 市政府在数字化转型时，同样也面临着非常严峻的安全挑战。 ·业务云化、数据集中，业务边界被打破，管控难度与泄的政策，使得远程办公成为政府和企业的常态。中山政务密风险进一步扩大办公人员通过互联网公共网络接入到政务外网，通过手机 端访问政务外网应用。如果仍然以在网络边界部署VPN 业务云化已经成为各行业数字化建设趋势，数据资源 （VirtualPrivateNetwork，虚拟专用网）设备作为安全 ® 汇聚层 （汇聚节点） 运营商公共网络 人 不断催生出有价值的行业应用，实现数据驱动产业创新发 展。数据共享和流通已经成为刚性业务需求，原来相互隔 离的业务系统将打破网络边界走向融合，在显著提升资源 管控手段，当办公人员通过VPN接入内网时，十分依赖预 配置的访问控制策略，且无法对终端的安全状态和用户的 访问行为进行监测。例如，远程办公模式中，一般都允许 共享效率的同时，也会加大安全管控难度，扩大泄密风办公人员使用个人设备进行办公，这些个人设备可能无法 R险。因此，传统安全防护手段将不能满足数据在快速流动 保证及时更新安全补丁，或者安装了非法的恶意软件，都 和高速共享下的安全需求。可能成为不法分子窃取数据和渗透内网的突破口。同时办 forpr ·政务外网终端安全风险，已成为政务外网中占比最高的 公人员进行远程办公时会有大量工作文件的传输与存储， 安全问题如果办公人员缺乏保护政府数据资产的意识和识别安全威 A、B类接入C、D、E类接入胁、判断高风险行为的能力（例如无法识别钓鱼邮件、截 ①乡镇镇街园区①委办局园区①村居接入②5G专网接入2019年8月份，国家信息中心外网办组织开展政务外屏拍照转发到互联网、随意拷贝存储公司数据等），也可 图2-1中山市电子政务外网架构 网边界安全检查专项工作，从反馈的情况统计来看，有 能导致数据遭受篡改或者泄露，政府的核心数据资产安全 60%的地方政务外网终端“一机两用”，即同时连接政务将受到侵害。因此，如果开放了远程办公模式，但缺之乏对 外网和互联网，边界安全形势十分严峻。2020年国家信应的安全防御手段，政府所面临的越权访问、数据泄漏等 中山市电子政务外网架构可分为接入层、汇聚层、核心层物联终端：包括摄像头、评价器、取号机、综合屏、条息中心发布了政务外网103起网络安全事件通报，经溯安全风险会大大增加。屏、智慧屏、打印机、门禁等。源，其中80%的安全事件是由于终端感染木马病毒或被 接入层：主要为各类委办局、镇街单位提供政务网络接入控，导致在政务外网进行横向渗透攻击。中山市安全运维·海量物联终端的泛在接入，接入边界被打破，私接/仿冒 服务。中山市电子政务外网终端接入场景主要包括如下几种类型：平台发现全市近一年来的网络安全事件中，失陷终端事件/劫持终端接入难以管控 汇聚层：用于各类接入单位的统一汇聚和转发，目前已建委办局园区接入：办公终端、物联终端等通过委办局园区 占90%以上，失陷终端的威胁事件类型为远程木马、钓鱼 设23个镇街汇聚节点和2个市级汇聚节点。接入，含23个镇街、100+市级单位，接入层1600+个接邮件、挖矿、恶意下载软件等，其中远程木马占比达务外网，还有很多种物联终端接入进来，如摄像头、评 入点。访问场景为通过PC端访问政务外网应用，以及通 orr 50%。另一方面，“一机两用”导致政务外网数据可以轻 价器、取号机、综合屏、条屏、智慧屏、打印机、门禁 核心层：城域骨干网的核心枢纽，下联汇聚，上接到政务过物联终端采集数据上报政务外网应用。易的被外泄至互联网中，不断带来数据外泄的风险，其根等，政务外网的终端接入类型多样，接入方式多样，导 云、互联网、5G专网。本原因是政务外网未与互联网隔离。终端安全问题已经成致政务外网安全暴露面增大，安全风险高。多种类型的 中山市电子政务外网接入终端包括如下几种类型： 5G专网接入：办公人员通过新建的5G专网接入到政务外 为政务外网中占比最高的安全问题，严重影响政务外网安 接入设备，终端的认证和管控困难，难以进行统一的身 网，并通过PC端或手机端访问政务外网应用。全，巫需解决。份认证和管控，导致易被私接、仿冒。众所周知，由于PC电脑：操作系统为Windows（如WindowsXP、互联网方式接入：办公人员通过互联网公共网络接入到政·远程办公，访问边界被打破，越权访问和数据泄漏风险物联终端自身的特殊性无法安装安全软件，长期未对漏Windows7、Window10、Window11）和信创系统（如务外网，并通过手机端访问政务外网应用。增大洞安装补丁，导致海量物联终端接入网络时风险暴露面 统信、麒麟）。增加。物联终端极易被黑客攻击渗透，并被作为跳板入 新冠疫情显著地改变了员工的办公习惯，北京、成侵到政务外网中，使黑客能够对政务外网的核心资源如 移动端：包括手机、PAD等，操作系统采用鸿蒙、安卓、都、深圳等全国多个城市均多次执行城市居民居家办公云基础设施进行攻击，对业务系统造成破坏并探寻高价 ios等。 0506 中山市终端零信任实践白皮书中山市终端零信任实践白皮书 值的应用和数据，获取敏感信息。期望在越来越多的充满不确定性的新业务场景下，通过的指导意见》指出，2025年网络安全规模超过2000亿，可信、合规”纵深防御体系的基础。”，将零信任和安全 各类新型安全体系去构建确定性的安全保障，以满足新并把零信任列为关键网络安全技术。防护作为两个体系构成大数据“安全、可信、合规”纵深针对上述数字化转型趋势下网络安全所面临的挑战，形势下的安全需求。防御体系的基础。 传统的安全防护理念已经不能适应于当今信息化发展趋2022年信通院发布的《中国网络安全产业白皮书》指 势，数字化转型对安全保障能力提出了新的要求，用户出，市场调研发现：最有发展潜力的网络安全新技术/新理·国家信息中心《政务外网终端一机两用安全管控技术指 orpr 念是零信任。 网边界建设基于零信任理念的终端控制设施，实现政务 V2.3中山政务外网安全发展与思考从产业看，国家信息中心等部委头部客户开始关注体系化外网终端准入控制（包括身份认证、终端安全检查、资 安全建设，将零信任列为关键架构 源访问控制）”，要求政务外网的终端采用零信任理念 为更好地牵引产业发展，构建良好的安全生态，国家 在数字化转型的大背景下，国际知名咨