導語：零信任架構(gòu)在廣電5G云網(wǎng)的應用一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：5G利用NFV、SDN、MEC、云計算等一系列新技術，增加了網(wǎng)絡攻擊暴露面，也給廣電云網(wǎng)安全帶來新的挑戰(zhàn)。本文從零信任架構(gòu)的基本特征、安全架構(gòu)、具體應用等方面加以論述，旨在能夠?qū)?a href="http://www.teari.cn/article/758076.html" target="_blank">廣電5g云網(wǎng)應用防護提供一些參考借鑒。

關鍵詞：5G；零信任架構(gòu)；云計算

1引言

2021年，中國廣電和中國移動正式簽署了“5G戰(zhàn)略”合作協(xié)議，并簽訂了補充協(xié)議，正式開啟廣電700MHz5G網(wǎng)絡共建共享合作。5G從概念走向了落地、部署和實施。物聯(lián)網(wǎng)的萬物互聯(lián)、新的云端基礎架構(gòu)、多樣化的融合服務，5G技術的高速發(fā)展及新業(yè)務需求，都加重了廣電5G創(chuàng)新應用時代的安全考量。省級廣電網(wǎng)絡公司一般擁有多個內(nèi)部網(wǎng)絡，擁有可遠程辦公的基礎設施、BOSS、客服、運維、遠程和移動個人設備，以及提供各種服務云平臺等。這種復雜性已經(jīng)明顯超出基于邊界的傳統(tǒng)的網(wǎng)絡安全方法能力，廣電企業(yè)沒有了單一的、容易識別的安全邊界?；谶吔绲木W(wǎng)絡安全已經(jīng)多次被證明是不夠的，因為一旦“黑客”或“攻擊者”突破了堡壘機或安全邊界，向企業(yè)內(nèi)部網(wǎng)絡進一步地橫向移動就會不受阻礙。這就要求我們必須為企業(yè)基礎設施提供一種網(wǎng)絡安全防護的新模式。

2零信任架構(gòu)

廣電零信任架構(gòu)(NGB-ZTA)是一種基于廣電可管、可控、零信任原則的廣電網(wǎng)絡安全架構(gòu)，主要由用戶、設備、網(wǎng)絡、應用、授權(quán)、審計6個功能部分構(gòu)成，具體可劃分為零信任安全控制中心、零信任安全代理、訪問主體和訪問客體4個區(qū)域，如圖1所示，旨在防止企業(yè)內(nèi)部數(shù)據(jù)泄露和限制內(nèi)部橫向移動。基于“永不信任，始終驗證”的原則，通過綜合用戶身份、位置、狀態(tài)、數(shù)據(jù)、歷史行為等上下文信息，執(zhí)行認證授權(quán)。

2.1零信任架構(gòu)的基本特征

我們始終認為網(wǎng)絡是不安全的；內(nèi)部網(wǎng)絡不足以決定是可被信任的；每一個系統(tǒng)用戶、設備和網(wǎng)絡流量都需要可管、可控，都需要進行認證和授權(quán)；網(wǎng)絡始終存在內(nèi)外部各種安全威脅；安全策略不能是靜態(tài)的，而是需要進行動態(tài)的、利用上下文信息來計算和評估信用度。

2.2零信任架構(gòu)安全

（1）用戶安全在廣播電視網(wǎng)絡中持續(xù)地對可信用戶進行身份驗證至關重要。不僅需使用身份、憑證、訪問控制和多因素身份驗證等技術，還需要重點持續(xù)監(jiān)視和校驗用戶的可信度及管理其訪問和控制特權(quán)。（2）設備安全在網(wǎng)設備的實時網(wǎng)絡安全和可信賴性是零信任的基本要求。系統(tǒng)提供的數(shù)據(jù)不僅需用于在網(wǎng)設備信任評估，還需要對每個訪問請求、狀態(tài)、版本、加密啟用等進行有效評估。（3）網(wǎng)絡安全科學分割、合理隔離和有效控制網(wǎng)絡的能力仍然是零信任架構(gòu)網(wǎng)絡安全的關鍵點。整個網(wǎng)絡規(guī)劃需要充分考慮控制特權(quán)網(wǎng)絡訪問，高效管理網(wǎng)絡內(nèi)部和外部數(shù)據(jù)流，有效防范網(wǎng)絡中的橫向流動，制定具有可預見性的動態(tài)策略并對網(wǎng)絡和數(shù)據(jù)流量進行信任決策。（4）應用安全保護和正確管理應用程序?qū)?、虛擬機和容器對于零信任架構(gòu)安全十分重要。具有識別和控制堆棧的能力有助于更精準地訪問決策。在對應用程序提供適當?shù)脑L問控制時，多因素敏捷身份驗證已成為十分關鍵的環(huán)節(jié)。（5）授權(quán)安全通過利用自動化工具進行安全信息、事件管理以及用戶和實體行為分析。以工作流自動對最終用戶進行監(jiān)測為手段，將安全流程和安全工具綁定在一起，通過合法授權(quán)后，對不同的系統(tǒng)進行安全管理。（6）審計安全通過信息管理、安全分析、行為分析和其他分析系統(tǒng)等工具，使安全管理人員可以實時觀察正在發(fā)生的變化，并結(jié)合大數(shù)據(jù)、云計算、AI等技術確定防御的方向，以助于在危險事件發(fā)生之前主動制定有效的安全策略和應對措施。

3零信任架構(gòu)的具體應用

3.1零信任架構(gòu)之直播管理

零信任架構(gòu)頻道管理就是在不可信的網(wǎng)絡環(huán)境下進行信任重建，直播頻道在不同終端（平臺）可提供不同服務，可設置不同時間段內(nèi)限制播放。比如，頻道在某一個時間段內(nèi)，用戶可在某一終端如STB端觀看，手機端無版權(quán)，則可以單獨限制用戶在手機上觀看。對頻道的指定時間段，若無權(quán)限觀看直播，則可限制直播；同時，可限制用戶時移播放；對一個回看的節(jié)目，如終端沒有版權(quán)，則可對其回看進行限制，用戶在回看限制失效前，無法觀看該回看節(jié)目。頻道播放的碼率配置分為全平臺和分平臺：在全平臺，可以給所有平臺配置相同的碼率；在分平臺，直播服務和回看服務都可按照不同平臺配置不同的碼率，時移服務的碼率同步相應平臺的直播碼率。針對直播、時移和回看服務按平臺（TV、CA、Mobile、Pad、PC）實現(xiàn)一鍵開啟和關閉所有頻道。服務啟停區(qū)分全平臺和分平臺，且直播、時移、回看服務啟停獨立，各平臺服務啟停分離。系統(tǒng)支持針對正常播出節(jié)目情況下的內(nèi)容插播功能，可在后臺配置對指定的相應時間段和頻道進行強制插播，也可選擇是否開啟插播。為防止正在播出的節(jié)目由于內(nèi)容源、服務器等問題出現(xiàn)中斷，未編輯某時間段節(jié)目單時，或者當內(nèi)容源出現(xiàn)問題時，可在系統(tǒng)中添加點播內(nèi)容，可保障播出內(nèi)容的不間斷。

3.2零信任架構(gòu)之監(jiān)控管理

5G萬物互聯(lián)的特點使攻擊更有利可圖，一方面，5G把網(wǎng)絡安全擴大到物理安全、財產(chǎn)安全甚至人身安全，黑客攻擊成功會比之前單純的網(wǎng)絡攻擊更有利可圖，驅(qū)動更多的黑客研究5G網(wǎng)絡攻擊，攻擊發(fā)生的可能性更大；另一方面，5G的應用環(huán)境更開放，互聯(lián)網(wǎng)的設備和環(huán)境更廣泛，這讓黑客攻擊機會更多，俯仰之間都是攻擊目標。而建立嚴密的監(jiān)控系統(tǒng)可以有效地防范和避免安全事故的發(fā)生。監(jiān)控系統(tǒng)外網(wǎng)入口接入攝像頭或者第三方監(jiān)控系統(tǒng)媒體流，對于接入的視頻流可進行馬賽克合成，通過組播方式供系統(tǒng)直播和錄流所需要的數(shù)據(jù)。（1）監(jiān)控流接入可以直接接入視頻監(jiān)控系統(tǒng)；非標準流接入，可以轉(zhuǎn)碼成標準流再接入視頻監(jiān)控系統(tǒng)；對于不需要錄制回看的攝像頭支持按需接入，只有用戶請求了實時直播，系統(tǒng)才會從攝像頭或者第三方監(jiān)控接入，節(jié)約網(wǎng)絡帶寬資源。（2）區(qū)域管理區(qū)域按層級劃分，即將區(qū)域進行多層管理。引入國家統(tǒng)計局的標準區(qū)域及區(qū)域碼（到村級），不需用戶手動添加。（3）攝像頭管理為方便對攝像頭進行管理，準確定位監(jiān)控，應該將整個小區(qū)的攝像頭的信息錄入管理。新增攝像頭時，后臺記錄攝像頭基本信息及其隸屬區(qū)域、具體位置、局域網(wǎng)內(nèi)的IP地址等詳細信息。更換和刪除攝像頭時，該攝像頭信息同步到后臺數(shù)據(jù)庫中。（4）監(jiān)控鑒權(quán)視頻監(jiān)控系統(tǒng)采用層級區(qū)域管理方式，因此針對每個區(qū)域，可采用授權(quán)方式單獨授權(quán)。上級區(qū)域可對下級區(qū)域進行監(jiān)控授權(quán)。終端用戶只能看到家庭地址所在區(qū)域的監(jiān)控，若看其他區(qū)域的監(jiān)控需要后臺管理員為其分配。（5）多終端監(jiān)控視頻監(jiān)控處理系統(tǒng)采用統(tǒng)一后臺管理，即時監(jiān)控和監(jiān)控回看視頻。因此，在統(tǒng)一后臺的支持下，多終端如手機、機頂盒、iPad等登錄視頻監(jiān)控處理系統(tǒng)，可同步查看該用戶授權(quán)的監(jiān)控。

3.3零信任架構(gòu)之SDP安全網(wǎng)關

SDP安全網(wǎng)關是一個基于“零信任”理念的安全接入網(wǎng)關，提供單包授權(quán)、持續(xù)信任評估、最小授權(quán)等技術，將廣電傳統(tǒng)直播和點播業(yè)務應用在互聯(lián)網(wǎng)上“隱身”，避免被掃描和攻擊，保證廣電傳統(tǒng)業(yè)務訪問的安全性。（1）可管、可控、可信認證基于廣電網(wǎng)絡可管、可控的理念，將內(nèi)網(wǎng)用戶身份、設備狀態(tài)、設備信息、網(wǎng)絡環(huán)境、時間等多種因素進行合法綜合統(tǒng)一身份認證。（2）最小化授權(quán)系統(tǒng)驗證通過后，建立細顆粒度用戶權(quán)限，僅為用戶授權(quán)工作所需的最小化資源，避免用戶權(quán)限過大，減少網(wǎng)絡安全隱患。（3）全終端支持支持Android、TVOS、Windows、Linux、MacOS等主流系統(tǒng)終端。（4）更安全的加密傳輸通道通信隧道采用高強度敏捷加密算法，通過不定期地更換通信臨時密鑰，來有效避免重放攻擊或中間人攻擊等行為，確保通信鏈路安全。（5）端口隱身通過采用SPA單包授權(quán)技術，禁用互聯(lián)網(wǎng)上的所有常用TCP端口，避免造成任何被掃描和被攻擊，讓企業(yè)非必要在互聯(lián)網(wǎng)呈現(xiàn)的業(yè)務或服務在互聯(lián)網(wǎng)上“隱身”。（6）持續(xù)的信任評估根據(jù)不同安全等級的要求，對用戶使用行為和終端安全進行持續(xù)的風險評估，機動靈活地調(diào)整訪問策略和權(quán)限。

3.4零信任架構(gòu)之NGB統(tǒng)一身份認證平臺

統(tǒng)一身份認證平臺，基于零信任架構(gòu)設計理念，提供統(tǒng)一身份管理、多重因子認證、統(tǒng)一認證服務、權(quán)限控制、風險控制，以及身份管理與認證審計的全方位安全管理策略。（1）用戶中臺用戶賬號的全流程管理，包括管理、創(chuàng)建、激活、停用、刪除等。建立企業(yè)統(tǒng)一用戶管理中臺，向企業(yè)各業(yè)務系統(tǒng)提供用戶信息的同步和認證服務。（2）認證中心采用單因素認證、雙因素認證、風險認證等自定義認證策略，針對不同的用戶或用戶組進行分發(fā)。（3）動態(tài)認證引擎針對不同等級、不同應用、不同要求，進行可持續(xù)評估；針對風險因素和敏感事件因素觸發(fā)不同的動作。（4）權(quán)限控制可根據(jù)動態(tài)認證引擎，對認證用戶授予不同的訪問和控制權(quán)限。（5）日志審計平臺采集所有與認證、權(quán)限、風險、操作相關的流程日志，利用場景化分析技術，生成多種使用場景的可視化審計日志。（6）多重因子認證提供短信認證、掃碼認證、證書認證等靜態(tài)密碼以外的多重認證。

3.5零信任架構(gòu)之云應用接入

平臺系統(tǒng)可以對接多種接入以豐富云平臺的能力，系統(tǒng)接入過程中使用防火墻在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造保護屏障，對流經(jīng)它的網(wǎng)絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標服務器上被執(zhí)行。防火墻還可以關閉不使用的端口，而且能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止惡意訪問，從而防止來自不明入侵者的所有通信。在項目實際運營時，有些內(nèi)容來源本身安全性較高，為降低人工運維成本，可以在后臺針對內(nèi)容接入商（CP）進行“免審核”設置。數(shù)據(jù)導入后的第一個工作是對所有的數(shù)據(jù)逐條進行敏感詞檢測，自動過濾掉含有敏感字詞的整條新聞。敏感詞條由云平臺敏感詞管理后臺編輯整理，作為敏感新聞決策依據(jù)，含敏感詞的文章被過濾出來后，需保留供管理員查閱。對關鍵字的挖掘采用云平臺分詞技術，為提高關鍵字識別準確度，會從新聞標題中提取關鍵字，如人名、事件名、專有名詞、熱門詞匯等。

4結(jié)語

對于如何安全、高效地開展5G及智慧城市等相關業(yè)務，對廣電企業(yè)意義重大。推動媒體融合發(fā)展，打造智慧廣電媒體，發(fā)展智慧廣電網(wǎng)絡，要求我們必須采用一種自適應的、不斷更新的、自主學習的安全策略。廣電企業(yè)應圍繞“零信任”安全架構(gòu)，展開主動構(gòu)建“零信任”的模型和運維管理方式，并結(jié)合微隔離、持續(xù)性監(jiān)控及策略自適應計算，為廣電企業(yè)云網(wǎng)安全保駕護航。

參考文獻

[1]陳本峰.零信任網(wǎng)絡安全——軟件定義邊界SDP技術架構(gòu)指南[M].北京:電子工業(yè)出版社,2021.

[2]凱文·韋巴赫.區(qū)塊鏈與信任新架構(gòu)[M].楊東,等譯.北京:機械工業(yè)出版社,2020.

[3]埃文·吉爾曼,道格·巴斯.零信任網(wǎng)絡在不可信網(wǎng)絡中構(gòu)建安全系統(tǒng)[M].奇安信身份安全實驗室,譯.北京:人民郵電出版社,2022.

作者：李大明 單位：中國廣電遼寧網(wǎng)絡股份有限公司