李維剛，李 強(qiáng)

(四川省生態(tài)環(huán)境監(jiān)測總站，成都 610091)

1 概 述

早在2005年，習(xí)總書記提出了“綠水青山就是金山銀山”的科學(xué)論斷。2015年我國正式通過《環(huán)境保護(hù)法》，在黨中央的領(lǐng)導(dǎo)下，近幾年我國的總體生態(tài)環(huán)境有了非常大的改善。十三五期間，我國加強(qiáng)了空氣、水資源、土壤的生態(tài)監(jiān)測力度，從今年6月10日公布《第二次全國污染源普查公報(bào)》中我們看到，本次普查形成1 800余張數(shù)據(jù)庫表，1.5萬余個(gè)數(shù)據(jù)字段，1.5億多條數(shù)據(jù)記錄，對我國的環(huán)境治理和執(zhí)法形成了有力的數(shù)據(jù)支撐。在這個(gè)過程中，環(huán)境監(jiān)測的信息化起到了越來越關(guān)鍵的作用。

隨著空氣、水、土壤生態(tài)資源的監(jiān)控粒度越來越細(xì)化，未來對監(jiān)測的智慧化、大數(shù)據(jù)分析的廣度和深度會逐漸加強(qiáng)，監(jiān)測網(wǎng)絡(luò)的復(fù)雜度就會越來越高，數(shù)據(jù)量將急劇擴(kuò)大，信息安全風(fēng)險(xiǎn)導(dǎo)致的數(shù)據(jù)丟失、監(jiān)控網(wǎng)絡(luò)中斷、病毒感染等風(fēng)險(xiǎn)就會逐漸凸顯。

目前環(huán)境監(jiān)測的空氣監(jiān)測、水資源監(jiān)測以及土壤監(jiān)測的手段有比較大的技術(shù)差異，并且由于空氣監(jiān)測是近幾年才開始建設(shè)，所以各信息系統(tǒng)是分別管理的，但信息整合的需要，各系統(tǒng)之間又有數(shù)據(jù)互通和交互。管理運(yùn)維的不統(tǒng)一、數(shù)據(jù)和網(wǎng)絡(luò)的互通導(dǎo)致信息安全漏洞存在管理盲點(diǎn)。

雖然近幾年在公安部和網(wǎng)信辦的指導(dǎo)下，各級環(huán)境監(jiān)測站已經(jīng)加強(qiáng)了信息安全的管理，但大多仍然重點(diǎn)考慮網(wǎng)絡(luò)邊界的安全防護(hù)，注重設(shè)備采購輕視管理和服務(wù)，因此沒有從根本上解決信息安全漏洞的問題。同時(shí)，近年來勒索病毒、礦機(jī)病毒的肆虐，環(huán)境監(jiān)測網(wǎng)絡(luò)里大量自動監(jiān)測子站的工業(yè)控制計(jì)算機(jī)成為全網(wǎng)信息安全最薄弱的環(huán)節(jié)[1]。

針對環(huán)境監(jiān)測多網(wǎng)并存、管理分立的特點(diǎn)，我們提出采用零信任網(wǎng)絡(luò)安全的思路來構(gòu)建生態(tài)環(huán)境監(jiān)測網(wǎng)絡(luò)的整體安全規(guī)劃，以避免出現(xiàn)大規(guī)模的信息安全事件的發(fā)生，保障環(huán)境監(jiān)測網(wǎng)絡(luò)的健康發(fā)展，為我國生態(tài)環(huán)境改善保駕護(hù)航。

2 零信任網(wǎng)絡(luò)安全概念

傳統(tǒng)的網(wǎng)絡(luò)安全構(gòu)架把網(wǎng)絡(luò)劃為不同的區(qū)域(見圖1)，并根據(jù)信息安全的要求賦予其相應(yīng)的安全等級，無論網(wǎng)絡(luò)結(jié)構(gòu)如何復(fù)雜，我們幾乎仍然把網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)、外網(wǎng)、DMZ(非軍事區(qū))，或者基于這個(gè)思路再把內(nèi)網(wǎng)劃分為諸多的內(nèi)網(wǎng)分區(qū)。

圖1 典型的傳統(tǒng)網(wǎng)絡(luò)安全構(gòu)架Fig.1 Typical traditional network security architecture

由于傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)存在這些問題，在當(dāng)今不斷更新變化的攻擊手段中缺點(diǎn)日漸暴露。主要包括以下幾個(gè)方面：

(1)缺乏網(wǎng)絡(luò)內(nèi)部的流量檢查；

(2)主機(jī)部署缺乏物理及邏輯上的靈活性；

(3)存在單點(diǎn)故障；

(4)難以應(yīng)對針對性的APT攻擊。

零信任模型旨在解決“基于網(wǎng)絡(luò)邊界建立信任”這種理念本身固有的問題。顧名思義，它的思路是將網(wǎng)絡(luò)內(nèi)部假定為“一切皆是風(fēng)險(xiǎn)，一切皆不可信”。零信任模型沒有基于網(wǎng)絡(luò)位置建立信任，而是在不依賴網(wǎng)絡(luò)傳輸層物理安全機(jī)制的前提下，有效地保護(hù)網(wǎng)絡(luò)通信和業(yè)務(wù)訪問。

零信任網(wǎng)絡(luò)的概念建立在以下5個(gè)基本假定之上：

B廠日處理規(guī)模為1 800 t/d，設(shè)3臺600 t/d垃圾焚燒爐，設(shè)計(jì)垃圾熱值為7 530 kJ/kg，焚燒爐MCR工況理論煙氣量約82 000 m3/h，煙氣中NOx理論原始值約350 mg/m3。

(1)網(wǎng)絡(luò)無時(shí)無刻不處于危險(xiǎn)的環(huán)境中；

(2)網(wǎng)絡(luò)中自始至終存在外部或內(nèi)部威脅；

(3)網(wǎng)絡(luò)的位置不足以決定網(wǎng)絡(luò)的可信程度；

(4)所有的設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)當(dāng)經(jīng)過認(rèn)證和授權(quán)；

(5)安全策略必須是動態(tài)的，并基于盡可能多的數(shù)據(jù)源計(jì)算而來[3]。

從實(shí)際應(yīng)用來看，零信任網(wǎng)絡(luò)的構(gòu)建需要對現(xiàn)有的網(wǎng)絡(luò)安全體系做顛覆性的改造，2019年12月發(fā)布的“等級保護(hù)2.0”標(biāo)準(zhǔn)中可以看到，相對1.0版本除了對邊界和分區(qū)的安全要求以外，需要對網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)進(jìn)行防護(hù)可監(jiān)測，不能完全基于“特征庫”提供能力，還應(yīng)具備“未知”風(fēng)險(xiǎn)的發(fā)現(xiàn)和防控能力。由于從現(xiàn)有的邊界安全轉(zhuǎn)變到零信任模型的網(wǎng)絡(luò)構(gòu)架，建設(shè)成本是比較高的，因此等級保護(hù)提出了類似于零信任網(wǎng)絡(luò)的要求，但需要根據(jù)實(shí)際情況務(wù)實(shí)的執(zhí)行，根據(jù)投資循序漸進(jìn)。

3 環(huán)境監(jiān)測采用零信任理念的意義

近10年來，國家環(huán)境監(jiān)測總站在全國建立了5 000多個(gè)遠(yuǎn)程自動化空氣監(jiān)測站點(diǎn)，多數(shù)站點(diǎn)采用4G網(wǎng)絡(luò)VPN鏈路連接數(shù)據(jù)中心，空氣監(jiān)測標(biāo)準(zhǔn)統(tǒng)一，運(yùn)維獨(dú)立管理。水資源監(jiān)測網(wǎng)絡(luò)的建成時(shí)間相對較長，修補(bǔ)的情況比較多，因此網(wǎng)絡(luò)的結(jié)構(gòu)也相對比較復(fù)雜和老舊，安全運(yùn)維相對困難。土壤的監(jiān)測手段還沒有實(shí)現(xiàn)自動化，網(wǎng)絡(luò)和應(yīng)用也比較落后，但是土壤監(jiān)測數(shù)據(jù)的保護(hù)要求比較高。

可見，生態(tài)環(huán)境的三大監(jiān)測系統(tǒng)有比較大的差異，對信息安全的要求也有很大的不同。同時(shí)，辦公網(wǎng)絡(luò)側(cè)的用戶也需要對這3大網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)收集和管理，管理職責(zé)的交叉又會導(dǎo)致管理上存在漏洞盲點(diǎn)，網(wǎng)絡(luò)邊界不好定義。

零信任網(wǎng)絡(luò)安全模型，就是針對以上問題的絕佳解決辦法。其應(yīng)用意義在于以下幾點(diǎn)：

(1)對于分散各地的無人值守監(jiān)測站點(diǎn)，為避免末端網(wǎng)絡(luò)的入侵，需要清晰界定末端接入設(shè)備的合法性，以避免從薄弱環(huán)節(jié)對全網(wǎng)造成網(wǎng)絡(luò)安全危害；

(2)對于管理上的交叉，通過用戶身份的嚴(yán)謹(jǐn)認(rèn)證，實(shí)現(xiàn)對重要數(shù)據(jù)、重要應(yīng)用系統(tǒng)的精確訪問控制；

(3)如果全網(wǎng)建設(shè)了零信任信息安全網(wǎng)絡(luò)，那么即使某一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)遭受入侵，攻擊者也很難由點(diǎn)及面的入侵其他的節(jié)點(diǎn)。

環(huán)境監(jiān)測數(shù)據(jù)在未來，將成為我國施政、執(zhí)法的重要依據(jù)。發(fā)展經(jīng)濟(jì)必須能夠跟生態(tài)環(huán)境的改善和諧共進(jìn)，因此監(jiān)測網(wǎng)絡(luò)需要長期平穩(wěn)運(yùn)行，近年來注重監(jiān)測網(wǎng)絡(luò)的基礎(chǔ)設(shè)施的建設(shè)，難免對信息安全有一定的忽視，未來，我們應(yīng)該研究并科學(xué)的布局基于零信任的信息安全規(guī)劃，提高監(jiān)測網(wǎng)絡(luò)的健壯性，為生態(tài)環(huán)境的改善保駕護(hù)航。

4 在環(huán)境監(jiān)測網(wǎng)絡(luò)中構(gòu)建零信任

網(wǎng)絡(luò)安全的核心，是訪問控制。零信任網(wǎng)絡(luò)的核心思想，是訪問控制形式的轉(zhuǎn)變，從傳統(tǒng)的以網(wǎng)絡(luò)區(qū)域?yàn)橹行霓D(zhuǎn)變?yōu)橐陨矸轂橹行牡脑L問控制，用戶、設(shè)備、應(yīng)用、流量都需要設(shè)定信任等級，然后對這些個(gè)體進(jìn)行訪問控制(見圖2)。其構(gòu)建流程大致分為以下幾步。

圖2 零信任構(gòu)架下控制平面中對被保護(hù)對象的訪問控制Fig.2 Access control of protected objects in control plane under zero trust architecture

4.1 篩選保護(hù)范圍，也就是梳理所有的數(shù)據(jù)庫服務(wù)器、關(guān)鍵應(yīng)用、物聯(lián)網(wǎng)設(shè)施(監(jiān)測站)等[4]，定義這些基礎(chǔ)設(shè)施為被保護(hù)目標(biāo)，通常采用軟件定義邊界或者代理的方式，為每個(gè)受保護(hù)單位建立一個(gè)微邊界。

4.2 構(gòu)建控制平面，為每一個(gè)被保護(hù)設(shè)施確定流量訪問的合法流程、用戶權(quán)限、設(shè)備權(quán)限等信息，設(shè)定最小訪問權(quán)限，從而構(gòu)建全網(wǎng)的訪問控制信息地圖。

4.3 設(shè)定訪問控制策略，利用軟件或者硬件的下一代防火墻，為被保護(hù)目標(biāo)設(shè)定訪問控制策略，所有的訪問必須經(jīng)過控制平面對身份的驗(yàn)證、加解密處理。一旦完成訪問，身份憑據(jù)在下一次訪問時(shí)需要重新進(jìn)行交叉核對。

4.4 通過流量的搜集和內(nèi)外部的日志分析，及時(shí)檢測網(wǎng)絡(luò)的身份、可信度的錯誤，修正控制策略。

對于環(huán)境監(jiān)測網(wǎng)絡(luò)，通過零信任網(wǎng)絡(luò)構(gòu)建思路，能夠在龐雜的網(wǎng)絡(luò)中快速定位保護(hù)目標(biāo)和訪問控制策略，從而真正能實(shí)現(xiàn)：可以被信任的人訪問可信的資源。未來，應(yīng)用在云計(jì)算環(huán)境下，采用零信任構(gòu)架更會凸顯出相對傳統(tǒng)邊界安全構(gòu)架的優(yōu)勢。

5 零信任的信息安全運(yùn)維

零信任網(wǎng)絡(luò)安全，很可能會是下一代網(wǎng)絡(luò)安全的基礎(chǔ)架構(gòu)。當(dāng)然，沒有任何一種技術(shù)路線是萬能的。信息安全是一個(gè)動態(tài)的風(fēng)險(xiǎn)防御過程，每天都有數(shù)以百計(jì)的各種信息系統(tǒng)漏洞被發(fā)現(xiàn)，因此，靜態(tài)的訪問策略無疑就給黑客提供了漏洞利用的時(shí)間窗[5]。

管理員構(gòu)建零信任網(wǎng)絡(luò)時(shí)，需要假設(shè)網(wǎng)絡(luò)中的可信設(shè)備存在已經(jīng)被攻陷的風(fēng)險(xiǎn)，因此需要在設(shè)備管理中建立長期防御機(jī)制以減少這種威脅造成的損害。設(shè)備的防御機(jī)制主要包括以下幾個(gè)個(gè)方面：由專業(yè)人員進(jìn)行定期掃描、流量分析、安全測試、安裝補(bǔ)丁和定期輪換，借助于態(tài)勢感知、蜜罐等網(wǎng)絡(luò)安全監(jiān)測分析技術(shù)手段，定期進(jìn)行關(guān)鍵保護(hù)目標(biāo)的滲透測試，以保證控制策略的準(zhǔn)確有效[6]。

加強(qiáng)運(yùn)維管理和定期的安全策略維護(hù)，才能形成動態(tài)的防御能力，應(yīng)對瞬息萬變的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，從而保證全網(wǎng)的平穩(wěn)、健康運(yùn)行。

6 結(jié) 語

綜合來說，傳統(tǒng)的網(wǎng)絡(luò)安全防御思想，應(yīng)對層出不窮的網(wǎng)絡(luò)攻擊，逐漸顯現(xiàn)出“見招拆招、頭疼醫(yī)頭”的疲態(tài)。堆疊設(shè)備也會導(dǎo)致投資與產(chǎn)生的效果不匹配，效能較低。零信任網(wǎng)絡(luò)構(gòu)架為我們的整體信息安全設(shè)計(jì)帶來了新的思路，也必然成為未來環(huán)境監(jiān)測網(wǎng)絡(luò)的指導(dǎo)思想。

我們力爭在理論的引導(dǎo)下，謹(jǐn)慎客觀的參與實(shí)踐，努力建設(shè)安全、可信、可靠的生態(tài)環(huán)境監(jiān)測網(wǎng)絡(luò)，為實(shí)現(xiàn)“中國夢”添磚加瓦。