零信任如何下沉到地級市 揭秘數字化改革中的“紹興模式”

在這場數字化改革的“下沉”浪潮之中，新的挑戰也不斷出現：如何充分發揮出海量數據的共享和流動價值？如何在確保業務應用不斷豐富的同時，加強個人信息保護，確保數據安全？如何平衡數據開放和安全之間的矛盾？能否解決這些問題，關乎著數字化改革的最終效果甚至成敗。

圖：紹興市“公共數據開放平臺”

作為浙江省知名的地級市，紹興市大數據發展管理局（以下簡稱：紹興市大數據局）在推動“一體化智能化公共數據平臺”（以下簡稱：公共數據平臺）建設中，率先引入了基于“身份”的零信任架構，探索了一條數字化改革“下沉”中兼顧數據開放和安全的“紹興模式。” 

 “公共數據平臺”成為紹興數字化改革基石

紹興市大數據局成立于2018年11月，其核心職責是組織、指導、協調公共數據和電子政務發展管理工作，推進“互聯網+政務”深度融合、政府數字化轉型，尤其是組織協調公共數據資源整合、歸集、應用、共享、開放,推進落實各級各部門信息系統互聯互通，打破信息孤島，實現數據共享。

紹興市大數據局緊緊圍繞“1612”工作體系的要求，全力推進數字化改革，奮力打造一體化智能化公共數據平臺，有效支撐黨政機關整體智治、數字政府、數字經濟、數字社會、數字文化、數字法治全領域改革，積極建設“數字紹興”門戶，迭代升級“浙里辦”、“浙政釘”。

目前，紹興市數字化改革已取得階段性成效，5個項目被列為全省首批省級試點，數量位列全省第三，被市委組織部確定為2021年第一批“爭先進位、率先發展”先鋒單位?？梢哉f，公共數據平臺已經成為助推紹興市經濟和社會發展的數字化基石。

安全升級：從關注邊界防護到聚焦數據安全

安全是發展的前提，發展是安全的保障。隨著紹興市數字化改革的深入,公共數據平臺的安全建設也迫在眉睫。2022年3月1日，《浙江省公共數據條例》正式施行，它確立了公共數據平臺的法律地位，同時，又充分保障了個人隱私和數據安全,為公共數據的依法有序流動奠定了基礎。

在零信任架構實施前，政務外網普遍存在用戶賬號權限濫用、大量應用采用非加密的HTTP協議訪問、違規使用USB等外設存儲設備、終端“ 帶病”訪問導致應用系統感染等問題。API接口應用越來越廣泛，其帶來的數據泄露隱患也在急劇增加。

圖：紹興市“公共數據平臺”安全體系

前幾年，紹興市以安全合規為驅動，并按照等保規范（等保1.0）構建了“一個中心、三重防護”的安全防護體系，但隨著等級保護2.0規范發布，以及到“公共數據平臺”建設中大數據的快速發展，顯然，傳統的安全防護措施已不能滿足“公共數據平臺”新環境、新場景的要求，具體表現在以下幾個方面：

首先是網絡風險隱患增多，敏感數據更容易外泄。

隨著“公共數據平臺”互聯、在線、智能、開放，政務相關的敏感數據容易暴露給使用平臺的各類用戶，數據集中也使平臺更容易成為攻擊目標。同時，復雜多樣的政務大數據存儲在一起，內部惡意用戶出于經濟利益，與外部惡意用戶相互勾結獲取“公共數據平臺”重要資源，容易造成泄密或惡劣社會影響。

其次是業務安全措施匱乏，需引進先進的安全架構。

現有網絡安全措施基于傳統的網絡邊界防御方式，主要解決基礎網絡安全，其軟肋在于假定處于網絡內的設備和用戶都被信任，不再對其行為和訪問進行高安全性的認證和細粒度控制。這種傳統架構缺乏對用戶身份的持續認證和控制，無法有效地應對內部和外部威脅，容易造成業務被非法訪問、數據泄露等問題。

第三是產品堆砌現狀亟待改變，建設體系化安全解決方案勢在必行。

在過去，紹興市電子政務外網相應的安全措施和手段，大多以獨立建設為主，缺乏對安全防護體系的頂層設計，亟需進行全局性和領域性的規劃設計，建設縱深防御的安全體系，提高整體安全防護覆蓋能力。

全面認證、動態授信 落地以身份為基石的零信任架構

為應對上述挑戰，紹興市“公共數據平臺”決心引入以身份為基石的零信任架構：所有設備、用戶和訪問流量都需要被認證和授權，不再僅僅依靠網絡位置建立信任關系，從而面向業務建立全面身份化、持續認證化，實現業務的安全訪問、權限動態化的安全能力。 

圖：零信任安全體系整體能力架構

首先是把好第一道關，通過持續的身份認證，確保每一個接入“公共數據平臺”的人員和設備都是安全可信。

紹興市“公共數據平臺”接入人員、設備和應用多，分布范圍廣，把好第一道安全關口就顯得至關重要。通過“零信任”架構的身份認證，拒絕未通過認證的任何人員或實體設備接入“公共數據平臺”業務體系，實現統一、精細化的身份認證與管理。同時，新平臺可根據數據的敏感程度和重要程度，結合訪問行為分析以及訪問設備環境狀態，給各類人員細粒度的動態授權，在不影響業務效率的前提下，確保數據訪問權限最小化原則。 

圖:零信任動態可信訪問控制界面

其次就是云平臺外（用戶接入區）和云平臺（數據中心）內部部署零信任動態訪問控制安全體系，實現“內外兼防。”

全球數據泄露報告曾顯示，內部威脅正成為數據安全的最大風險之一。因此，在云平臺外，零信任訪問控制平臺會對接入區的人員、設備身份進行驗證，確保每一個接入都是安全可信。在云平臺內，零信任訪問控制平臺將業務行為作為持續監控的對象，通過細粒度以及動態化的授權方式，對異常流量及操作實現阻斷，層層保障數據中心內主機訪問的安全性，從而達到云內、云外環境下人、設備、數據的全面安全。

最后是基于零信任架構，為構建云、網、端縱深安全防護體系奠定基礎。

目前，云平臺廠商和云安全廠商獨立分建，相互制約，共同維護。通過以零信任動態業務安全體系為基礎，建設以大數據分析為驅動的智能化安全運營機制，被動防御與主動防御體系有機運轉結合，形成跨終端、跨網絡、跨平臺的檢測、預警、防護、響應一體的云、網、端縱深安全防護體系。

不過，作為代表國際主流方向的安全理念和策略，零信任在落地實施中，并非一帆風順。由于零信任架構需要與業務緊密聯動，因此該項目是網絡安全和IT、業務和監管等部門結合最深度、配合最緊密的項目，在落地實施中，會遇到業務和安全邏輯重構，甚至打破原有架構、推倒重來的情況，各方面的挑戰很大。最終，在紹興市大數據局、相關合作伙伴與奇安信零信任安全團隊的共同努力之下，將這些困難逐一克服，最終達成了可持續、易聯動的零信任整體解決方案。

穩定運行近2年 真正實現安全和便利兩者兼得

從實施效果來看，紹興市“公共數據平臺”零信任安全體系已經搭建出一個適用的、良性的、有效的、可擴展的安全運營和服務體系。截止目前，紹興市“公共數據平臺”零信任體系已大規模穩定運行近2年時間，覆蓋紹興市公共數據共享平臺、紹興市公共數據交換平臺、紹興市公共數據資源門戶、紹興市一體化智能化公共數據平臺這四大業務平臺。其中，API代理覆蓋紹興市222個應用接口調用，日均處理接口調用量約70萬次，業務高峰期日均處理接口調用量約400-500萬次，并提供接口調用全過程流量加密、內容驗證、流控、熔斷、安全防護等接口安全能力以及API接口調用的全生命周期管理，有效保證了相關數據中心的安全。

值得一提的是，零信任安全體系區別于以往傳統安全體系的一大特點就在于：它真正做到了兼顧業務安全與工作效率。在部署零信任體系前，業務人員每次在使用工作相關的門戶網站或者業務系統時，都需要不斷重復輸入賬號密碼，效率低，體驗不好。通過部署了零信任體系，對接入“公共數據平臺公共數據平臺”的人員、設備等進行了全面梳理，對所有訪問實體，無論是用戶還是所用的終端設備、系統都賦予數字身份，并進行統一管理。運用統一身份管理并使用單點登錄系統后，“公共數據平臺”用戶只要通過了零信任體系的可信身份認證與安全檢查，便可登錄所需業務和應用，僅需經過一次登錄認證，就能訪問所有已授權的應用，工作效率得到了提高，使用體驗也有了很大的改善。

該項目的順利實施，也為零信任行業應用與實踐起到良好示范作用。2021年12月30日，紹興市大數據局零信任體系建設入選了中國信通院“2021守衛者計劃零信任優秀案例”，凸顯項目的創新性和領先性。

后記：

“沒有做零信任的廠商，只有實現了零信任的用戶”，這句話形象地體現了零信任落地的實際情況。目前零信任理念在國內的落地，仍然在不斷探索的階段，紹興市作為國內地級市的典型代表，通過從經營視角出發，和廠商一起來規劃和構建，最終實現了零信任實踐的成功落地，同時也為全省乃至全國市縣數字化改革中的數據安全建設，探索了一條可被廣泛借鑒和復制的“紹興模式”。