零信任架构在广电5G云网的应用

摘要：5G利用NFV、SDN、MEC、云计算等一系列新技术，增加了网络攻击暴露面，也给广电云网安全带来新的挑战。本文从零信任架构的基本特征、安全架构、具体应用等方面加以论述，旨在能够对广电5G云网应用防护提供一些参考借鉴。

关键词：5G；零信任架构；云计算

1引言

2021年，中国广电和中国移动正式签署了“5G战略”合作协议，并签订了补充协议，正式开启广电700MHz5G网络共建共享合作。5G从概念走向了落地、部署和实施。物联网的万物互联、新的云端基础架构、多样化的融合服务，5G技术的高速发展及新业务需求，都加重了广电5G创新应用时代的安全考量。省级广电网络公司一般拥有多个内部网络，拥有可远程办公的基础设施、BOSS、客服、运维、远程和移动个人设备，以及提供各种服务云平台等。这种复杂性已经明显超出基于边界的传统的网络安全方法能力，广电企业没有了单一的、容易识别的安全边界。基于边界的网络安全已经多次被证明是不够的，因为一旦“黑客”或“攻击者”突破了堡垒机或安全边界，向企业内部网络进一步地横向移动就会不受阻碍。这就要求我们必须为企业基础设施提供一种网络安全防护的新模式。

2零信任架构

广电零信任架构(NGB-ZTA)是一种基于广电可管、可控、零信任原则的广电网络安全架构，主要由用户、设备、网络、应用、授权、审计6个功能部分构成，具体可划分为零信任安全控制中心、零信任安全、访问主体和访问客体4个区域，如图1所示，旨在防止企业内部数据泄露和限制内部横向移动。基于“永不信任，始终验证”的原则，通过综合用户身份、位置、状态、数据、历史行为等上下文信息，执行认证授权。

2.1零信任架构的基本特征

我们始终认为网络是不安全的；内部网络不足以决定是可被信任的；每一个系统用户、设备和网络流量都需要可管、可控，都需要进行认证和授权；网络始终存在内外部各种安全威胁；安全策略不能是静态的，而是需要进行动态的、利用上下文信息来计算和评估信用度。

2.2零信任架构安全

（1）用户安全在广播电视网络中持续地对可信用户进行身份验证至关重要。不仅需使用身份、凭证、访问控制和多因素身份验证等技术，还需要重点持续监视和校验用户的可信度及管理其访问和控制特权。（2）设备安全在网设备的实时网络安全和可信赖性是零信任的基本要求。系统提供的数据不仅需用于在网设备信任评估，还需要对每个访问请求、状态、版本、加密启用等进行有效评估。（3）网络安全科学分割、合理隔离和有效控制网络的能力仍然是零信任架构网络安全的关键点。整个网络规划需要充分考虑控制特权网络访问，高效管理网络内部和外部数据流，有效防范网络中的横向流动，制定具有可预见性的动态策略并对网络和数据流量进行信任决策。（4）应用安全保护和正确管理应用程序层、虚拟机和容器对于零信任架构安全十分重要。具有识别和控制堆栈的能力有助于更精准地访问决策。在对应用程序提供适当的访问控制时，多因素敏捷身份验证已成为十分关键的环节。（5）授权安全通过利用自动化工具进行安全信息、事件管理以及用户和实体行为分析。以工作流自动对最终用户进行监测为手段，将安全流程和安全工具绑定在一起，通过合法授权后，对不同的系统进行安全管理。（6）审计安全通过信息管理、安全分析、行为分析和其他分析系统等工具，使安全管理人员可以实时观察正在发生的变化，并结合大数据、云计算、AI等技术确定防御的方向，以助于在危险事件发生之前主动制定有效的安全策略和应对措施。

3零信任架构的具体应用

3.1零信任架构之直播管理

零信任架构频道管理就是在不可信的网络环境下进行信任重建，直播频道在不同终端（平台）可提供不同服务，可设置不同时间段内限制播放。比如，频道在某一个时间段内，用户可在某一终端如STB端观看，手机端无版权，则可以单独限制用户在手机上观看。对频道的指定时间段，若无权限观看直播，则可限制直播；同时，可限制用户时移播放；对一个回看的节目，如终端没有版权，则可对其回看进行限制，用户在回看限制失效前，无法观看该回看节目。频道播放的码率配置分为全平台和分平台：在全平台，可以给所有平台配置相同的码率；在分平台，直播服务和回看服务都可按照不同平台配置不同的码率，时移服务的码率同步相应平台的直播码率。针对直播、时移和回看服务按平台（TV、CA、Mobile、Pad、PC）实现一键开启和关闭所有频道。服务启停区分全平台和分平台，且直播、时移、回看服务启停独立，各平台服务启停分离。系统支持针对正常播出节目情况下的内容插播功能，可在后台配置对指定的相应时间段和频道进行强制插播，也可选择是否开启插播。为防止正在播出的节目由于内容源、服务器等问题出现中断，未编辑某时间段节目单时，或者当内容源出现问题时，可在系统中添加点播内容，可保障播出内容的不间断。

3.2零信任架构之监控管理

5G万物互联的特点使攻击更有利可图，一方面，5G把网络安全扩大到物理安全、财产安全甚至人身安全，黑客攻击成功会比之前单纯的网络攻击更有利可图，驱动更多的黑客研究5G网络攻击，攻击发生的可能性更大；另一方面，5G的应用环境更开放，互联网的设备和环境更广泛，这让黑客攻击机会更多，俯仰之间都是攻击目标。而建立严密的监控系统可以有效地防范和避免安全事故的发生。监控系统外网入口接入摄像头或者第三方监控系统媒体流，对于接入的视频流可进行马赛克合成，通过组播方式供系统直播和录流所需要的数据。（1）监控流接入可以直接接入视频监控系统；非标准流接入，可以转码成标准流再接入视频监控系统；对于不需要录制回看的摄像头支持按需接入，只有用户请求了实时直播，系统才会从摄像头或者第三方监控接入，节约网络带宽资源。（2）区域管理区域按层级划分，即将区域进行多层管理。引入国家统计局的标准区域及区域码（到村级），不需用户手动添加。（3）摄像头管理为方便对摄像头进行管理，准确定位监控，应该将整个小区的摄像头的信息录入管理。新增摄像头时，后台记录摄像头基本信息及其隶属区域、具体位置、局域网内的IP地址等详细信息。更换和删除摄像头时，该摄像头信息同步到后台数据库中。（4）监控鉴权视频监控系统采用层级区域管理方式，因此针对每个区域，可采用授权方式单独授权。上级区域可对下级区域进行监控授权。终端用户只能看到家庭地址所在区域的监控，若看其他区域的监控需要后台管理员为其分配。（5）多终端监控视频监控处理系统采用统一后台管理，即时监控和监控回看视频。因此，在统一后台的支持下，多终端如手机、机顶盒、iPad等登录视频监控处理系统，可同步查看该用户授权的监控。

3.3零信任架构之SDP安全网关

SDP安全网关是一个基于“零信任”理念的安全接入网关，提供单包授权、持续信任评估、最小授权等技术，将广电传统直播和点播业务应用在互联网上“隐身”，避免被扫描和攻击，保证广电传统业务访问的安全性。（1）可管、可控、可信认证基于广电网络可管、可控的理念，将内网用户身份、设备状态、设备信息、网络环境、时间等多种因素进行合法综合统一身份认证。（2）最小化授权系统验证通过后，建立细颗粒度用户权限，仅为用户授权工作所需的最小化资源，避免用户权限过大，减少网络安全隐患。（3）全终端支持支持Android、TVOS、Windows、Linux、MacOS等主流系统终端。（4）更安全的加密传输通道通信隧道采用高强度敏捷加密算法，通过不定期地更换通信临时密钥，来有效避免重放攻击或中间人攻击等行为，确保通信链路安全。（5）端口隐身通过采用SPA单包授权技术，禁用互联网上的所有常用TCP端口，避免造成任何被扫描和被攻击，让企业非必要在互联网呈现的业务或服务在互联网上“隐身”。（6）持续的信任评估根据不同安全等级的要求，对用户使用行为和终端安全进行持续的风险评估，机动灵活地调整访问策略和权限。

3.4零信任架构之NGB统一身份认证平台

统一身份认证平台，基于零信任架构设计理念，提供统一身份管理、多重因子认证、统一认证服务、权限控制、风险控制，以及身份管理与认证审计的全方位安全管理策略。（1）用户中台用户账号的全流程管理，包括管理、创建、激活、停用、删除等。建立企业统一用户管理中台，向企业各业务系统提供用户信息的同步和认证服务。（2）认证中心采用单因素认证、双因素认证、风险认证等自定义认证策略，针对不同的用户或用户组进行分发。（3）动态认证引擎针对不同等级、不同应用、不同要求，进行可持续评估；针对风险因素和敏感事件因素触发不同的动作。（4）权限控制可根据动态认证引擎，对认证用户授予不同的访问和控制权限。（5）日志审计平台采集所有与认证、权限、风险、操作相关的流程日志，利用场景化分析技术，生成多种使用场景的可视化审计日志。（6）多重因子认证提供短信认证、扫码认证、证书认证等静态密码以外的多重认证。

3.5零信任架构之云应用接入

平台系统可以对接多种接入以丰富云平台的能力，系统接入过程中使用防火墙在内部网和外部网之间、专用网与公共网之间的界面上构造保护屏障，对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标服务器上被执行。防火墙还可以关闭不使用的端口，而且能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止恶意访问，从而防止来自不明入侵者的所有通信。在项目实际运营时，有些内容来源本身安全性较高，为降低人工运维成本，可以在后台针对内容接入商（CP）进行“免审核”设置。数据导入后的第一个工作是对所有的数据逐条进行敏感词检测，自动过滤掉含有敏感字词的整条新闻。敏感词条由云平台敏感词管理后台编辑整理，作为敏感新闻决策依据，含敏感词的文章被过滤出来后，需保留供管理员查阅。对关键字的挖掘采用云平台分词技术，为提高关键字识别准确度，会从新闻标题中提取关键字，如人名、事件名、专有名词、热门词汇等。

4结语

对于如何安全、高效地开展5G及智慧城市等相关业务，对广电企业意义重大。推动媒体融合发展，打造智慧广电媒体，发展智慧广电网络，要求我们必须采用一种自适应的、不断更新的、自主学习的安全策略。广电企业应围绕“零信任”安全架构，展开主动构建“零信任”的模型和运维管理方式，并结合微隔离、持续性监控及策略自适应计算，为广电企业云网安全保驾护航。

参考文献

[1]陈本峰.零信任网络安全——软件定义边界SDP技术架构指南[M].北京:电子工业出版社,2021.

[2]凯文·韦巴赫.区块链与信任新架构[M].杨东,等译.北京:机械工业出版社,2020.

[3]埃文·吉尔曼,道格·巴斯.零信任网络在不可信网络中构建安全系统[M].奇安信身份安全实验室,译.北京:人民邮电出版社,2022.

作者：李大明 单位：中国广电辽宁网络股份有限公司