導(dǎo)語：零信任架構(gòu)在廣電5G云網(wǎng)的應(yīng)用一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：5G利用NFV、SDN、MEC、云計(jì)算等一系列新技術(shù)，增加了網(wǎng)絡(luò)攻擊暴露面，也給廣電云網(wǎng)安全帶來新的挑戰(zhàn)。本文從零信任架構(gòu)的基本特征、安全架構(gòu)、具體應(yīng)用等方面加以論述，旨在能夠?qū)?a href="http://828857.com/article/758076.html" target="_blank">廣電5g云網(wǎng)應(yīng)用防護(hù)提供一些參考借鑒。

關(guān)鍵詞：5G；零信任架構(gòu)；云計(jì)算

1引言

2021年，中國廣電和中國移動(dòng)正式簽署了“5G戰(zhàn)略”合作協(xié)議，并簽訂了補(bǔ)充協(xié)議，正式開啟廣電700MHz5G網(wǎng)絡(luò)共建共享合作。5G從概念走向了落地、部署和實(shí)施。物聯(lián)網(wǎng)的萬物互聯(lián)、新的云端基礎(chǔ)架構(gòu)、多樣化的融合服務(wù)，5G技術(shù)的高速發(fā)展及新業(yè)務(wù)需求，都加重了廣電5G創(chuàng)新應(yīng)用時(shí)代的安全考量。省級(jí)廣電網(wǎng)絡(luò)公司一般擁有多個(gè)內(nèi)部網(wǎng)絡(luò)，擁有可遠(yuǎn)程辦公的基礎(chǔ)設(shè)施、BOSS、客服、運(yùn)維、遠(yuǎn)程和移動(dòng)個(gè)人設(shè)備，以及提供各種服務(wù)云平臺(tái)等。這種復(fù)雜性已經(jīng)明顯超出基于邊界的傳統(tǒng)的網(wǎng)絡(luò)安全方法能力，廣電企業(yè)沒有了單一的、容易識(shí)別的安全邊界?；谶吔绲木W(wǎng)絡(luò)安全已經(jīng)多次被證明是不夠的，因?yàn)橐坏昂诳汀被颉肮粽摺蓖黄屏吮緳C(jī)或安全邊界，向企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)一步地橫向移動(dòng)就會(huì)不受阻礙。這就要求我們必須為企業(yè)基礎(chǔ)設(shè)施提供一種網(wǎng)絡(luò)安全防護(hù)的新模式。

2零信任架構(gòu)

廣電零信任架構(gòu)(NGB-ZTA)是一種基于廣電可管、可控、零信任原則的廣電網(wǎng)絡(luò)安全架構(gòu)，主要由用戶、設(shè)備、網(wǎng)絡(luò)、應(yīng)用、授權(quán)、審計(jì)6個(gè)功能部分構(gòu)成，具體可劃分為零信任安全控制中心、零信任安全代理、訪問主體和訪問客體4個(gè)區(qū)域，如圖1所示，旨在防止企業(yè)內(nèi)部數(shù)據(jù)泄露和限制內(nèi)部橫向移動(dòng)?；凇坝啦恍湃危冀K驗(yàn)證”的原則，通過綜合用戶身份、位置、狀態(tài)、數(shù)據(jù)、歷史行為等上下文信息，執(zhí)行認(rèn)證授權(quán)。

2.1零信任架構(gòu)的基本特征

我們始終認(rèn)為網(wǎng)絡(luò)是不安全的；內(nèi)部網(wǎng)絡(luò)不足以決定是可被信任的；每一個(gè)系統(tǒng)用戶、設(shè)備和網(wǎng)絡(luò)流量都需要可管、可控，都需要進(jìn)行認(rèn)證和授權(quán)；網(wǎng)絡(luò)始終存在內(nèi)外部各種安全威脅；安全策略不能是靜態(tài)的，而是需要進(jìn)行動(dòng)態(tài)的、利用上下文信息來計(jì)算和評(píng)估信用度。

2.2零信任架構(gòu)安全

（1）用戶安全在廣播電視網(wǎng)絡(luò)中持續(xù)地對(duì)可信用戶進(jìn)行身份驗(yàn)證至關(guān)重要。不僅需使用身份、憑證、訪問控制和多因素身份驗(yàn)證等技術(shù)，還需要重點(diǎn)持續(xù)監(jiān)視和校驗(yàn)用戶的可信度及管理其訪問和控制特權(quán)。（2）設(shè)備安全在網(wǎng)設(shè)備的實(shí)時(shí)網(wǎng)絡(luò)安全和可信賴性是零信任的基本要求。系統(tǒng)提供的數(shù)據(jù)不僅需用于在網(wǎng)設(shè)備信任評(píng)估，還需要對(duì)每個(gè)訪問請(qǐng)求、狀態(tài)、版本、加密啟用等進(jìn)行有效評(píng)估。（3）網(wǎng)絡(luò)安全科學(xué)分割、合理隔離和有效控制網(wǎng)絡(luò)的能力仍然是零信任架構(gòu)網(wǎng)絡(luò)安全的關(guān)鍵點(diǎn)。整個(gè)網(wǎng)絡(luò)規(guī)劃需要充分考慮控制特權(quán)網(wǎng)絡(luò)訪問，高效管理網(wǎng)絡(luò)內(nèi)部和外部數(shù)據(jù)流，有效防范網(wǎng)絡(luò)中的橫向流動(dòng)，制定具有可預(yù)見性的動(dòng)態(tài)策略并對(duì)網(wǎng)絡(luò)和數(shù)據(jù)流量進(jìn)行信任決策。（4）應(yīng)用安全保護(hù)和正確管理應(yīng)用程序?qū)印⑻摂M機(jī)和容器對(duì)于零信任架構(gòu)安全十分重要。具有識(shí)別和控制堆棧的能力有助于更精準(zhǔn)地訪問決策。在對(duì)應(yīng)用程序提供適當(dāng)?shù)脑L問控制時(shí)，多因素敏捷身份驗(yàn)證已成為十分關(guān)鍵的環(huán)節(jié)。（5）授權(quán)安全通過利用自動(dòng)化工具進(jìn)行安全信息、事件管理以及用戶和實(shí)體行為分析。以工作流自動(dòng)對(duì)最終用戶進(jìn)行監(jiān)測為手段，將安全流程和安全工具綁定在一起，通過合法授權(quán)后，對(duì)不同的系統(tǒng)進(jìn)行安全管理。（6）審計(jì)安全通過信息管理、安全分析、行為分析和其他分析系統(tǒng)等工具，使安全管理人員可以實(shí)時(shí)觀察正在發(fā)生的變化，并結(jié)合大數(shù)據(jù)、云計(jì)算、AI等技術(shù)確定防御的方向，以助于在危險(xiǎn)事件發(fā)生之前主動(dòng)制定有效的安全策略和應(yīng)對(duì)措施。

3零信任架構(gòu)的具體應(yīng)用

3.1零信任架構(gòu)之直播管理

零信任架構(gòu)頻道管理就是在不可信的網(wǎng)絡(luò)環(huán)境下進(jìn)行信任重建，直播頻道在不同終端（平臺(tái)）可提供不同服務(wù)，可設(shè)置不同時(shí)間段內(nèi)限制播放。比如，頻道在某一個(gè)時(shí)間段內(nèi)，用戶可在某一終端如STB端觀看，手機(jī)端無版權(quán)，則可以單獨(dú)限制用戶在手機(jī)上觀看。對(duì)頻道的指定時(shí)間段，若無權(quán)限觀看直播，則可限制直播；同時(shí)，可限制用戶時(shí)移播放；對(duì)一個(gè)回看的節(jié)目，如終端沒有版權(quán)，則可對(duì)其回看進(jìn)行限制，用戶在回看限制失效前，無法觀看該回看節(jié)目。頻道播放的碼率配置分為全平臺(tái)和分平臺(tái)：在全平臺(tái)，可以給所有平臺(tái)配置相同的碼率；在分平臺(tái)，直播服務(wù)和回看服務(wù)都可按照不同平臺(tái)配置不同的碼率，時(shí)移服務(wù)的碼率同步相應(yīng)平臺(tái)的直播碼率。針對(duì)直播、時(shí)移和回看服務(wù)按平臺(tái)（TV、CA、Mobile、Pad、PC）實(shí)現(xiàn)一鍵開啟和關(guān)閉所有頻道。服務(wù)啟停區(qū)分全平臺(tái)和分平臺(tái)，且直播、時(shí)移、回看服務(wù)啟停獨(dú)立，各平臺(tái)服務(wù)啟停分離。系統(tǒng)支持針對(duì)正常播出節(jié)目情況下的內(nèi)容插播功能，可在后臺(tái)配置對(duì)指定的相應(yīng)時(shí)間段和頻道進(jìn)行強(qiáng)制插播，也可選擇是否開啟插播。為防止正在播出的節(jié)目由于內(nèi)容源、服務(wù)器等問題出現(xiàn)中斷，未編輯某時(shí)間段節(jié)目單時(shí)，或者當(dāng)內(nèi)容源出現(xiàn)問題時(shí)，可在系統(tǒng)中添加點(diǎn)播內(nèi)容，可保障播出內(nèi)容的不間斷。

3.2零信任架構(gòu)之監(jiān)控管理

5G萬物互聯(lián)的特點(diǎn)使攻擊更有利可圖，一方面，5G把網(wǎng)絡(luò)安全擴(kuò)大到物理安全、財(cái)產(chǎn)安全甚至人身安全，黑客攻擊成功會(huì)比之前單純的網(wǎng)絡(luò)攻擊更有利可圖，驅(qū)動(dòng)更多的黑客研究5G網(wǎng)絡(luò)攻擊，攻擊發(fā)生的可能性更大；另一方面，5G的應(yīng)用環(huán)境更開放，互聯(lián)網(wǎng)的設(shè)備和環(huán)境更廣泛，這讓黑客攻擊機(jī)會(huì)更多，俯仰之間都是攻擊目標(biāo)。而建立嚴(yán)密的監(jiān)控系統(tǒng)可以有效地防范和避免安全事故的發(fā)生。監(jiān)控系統(tǒng)外網(wǎng)入口接入攝像頭或者第三方監(jiān)控系統(tǒng)媒體流，對(duì)于接入的視頻流可進(jìn)行馬賽克合成，通過組播方式供系統(tǒng)直播和錄流所需要的數(shù)據(jù)。（1）監(jiān)控流接入可以直接接入視頻監(jiān)控系統(tǒng)；非標(biāo)準(zhǔn)流接入，可以轉(zhuǎn)碼成標(biāo)準(zhǔn)流再接入視頻監(jiān)控系統(tǒng)；對(duì)于不需要錄制回看的攝像頭支持按需接入，只有用戶請(qǐng)求了實(shí)時(shí)直播，系統(tǒng)才會(huì)從攝像頭或者第三方監(jiān)控接入，節(jié)約網(wǎng)絡(luò)帶寬資源。（2）區(qū)域管理區(qū)域按層級(jí)劃分，即將區(qū)域進(jìn)行多層管理。引入國家統(tǒng)計(jì)局的標(biāo)準(zhǔn)區(qū)域及區(qū)域碼（到村級(jí)），不需用戶手動(dòng)添加。（3）攝像頭管理為方便對(duì)攝像頭進(jìn)行管理，準(zhǔn)確定位監(jiān)控，應(yīng)該將整個(gè)小區(qū)的攝像頭的信息錄入管理。新增攝像頭時(shí)，后臺(tái)記錄攝像頭基本信息及其隸屬區(qū)域、具體位置、局域網(wǎng)內(nèi)的IP地址等詳細(xì)信息。更換和刪除攝像頭時(shí)，該攝像頭信息同步到后臺(tái)數(shù)據(jù)庫中。（4）監(jiān)控鑒權(quán)視頻監(jiān)控系統(tǒng)采用層級(jí)區(qū)域管理方式，因此針對(duì)每個(gè)區(qū)域，可采用授權(quán)方式單獨(dú)授權(quán)。上級(jí)區(qū)域可對(duì)下級(jí)區(qū)域進(jìn)行監(jiān)控授權(quán)。終端用戶只能看到家庭地址所在區(qū)域的監(jiān)控，若看其他區(qū)域的監(jiān)控需要后臺(tái)管理員為其分配。（5）多終端監(jiān)控視頻監(jiān)控處理系統(tǒng)采用統(tǒng)一后臺(tái)管理，即時(shí)監(jiān)控和監(jiān)控回看視頻。因此，在統(tǒng)一后臺(tái)的支持下，多終端如手機(jī)、機(jī)頂盒、iPad等登錄視頻監(jiān)控處理系統(tǒng)，可同步查看該用戶授權(quán)的監(jiān)控。

3.3零信任架構(gòu)之SDP安全網(wǎng)關(guān)

SDP安全網(wǎng)關(guān)是一個(gè)基于“零信任”理念的安全接入網(wǎng)關(guān)，提供單包授權(quán)、持續(xù)信任評(píng)估、最小授權(quán)等技術(shù)，將廣電傳統(tǒng)直播和點(diǎn)播業(yè)務(wù)應(yīng)用在互聯(lián)網(wǎng)上“隱身”，避免被掃描和攻擊，保證廣電傳統(tǒng)業(yè)務(wù)訪問的安全性。（1）可管、可控、可信認(rèn)證基于廣電網(wǎng)絡(luò)可管、可控的理念，將內(nèi)網(wǎng)用戶身份、設(shè)備狀態(tài)、設(shè)備信息、網(wǎng)絡(luò)環(huán)境、時(shí)間等多種因素進(jìn)行合法綜合統(tǒng)一身份認(rèn)證。（2）最小化授權(quán)系統(tǒng)驗(yàn)證通過后，建立細(xì)顆粒度用戶權(quán)限，僅為用戶授權(quán)工作所需的最小化資源，避免用戶權(quán)限過大，減少網(wǎng)絡(luò)安全隱患。（3）全終端支持支持Android、TVOS、Windows、Linux、MacOS等主流系統(tǒng)終端。（4）更安全的加密傳輸通道通信隧道采用高強(qiáng)度敏捷加密算法，通過不定期地更換通信臨時(shí)密鑰，來有效避免重放攻擊或中間人攻擊等行為，確保通信鏈路安全。（5）端口隱身通過采用SPA單包授權(quán)技術(shù)，禁用互聯(lián)網(wǎng)上的所有常用TCP端口，避免造成任何被掃描和被攻擊，讓企業(yè)非必要在互聯(lián)網(wǎng)呈現(xiàn)的業(yè)務(wù)或服務(wù)在互聯(lián)網(wǎng)上“隱身”。（6）持續(xù)的信任評(píng)估根據(jù)不同安全等級(jí)的要求，對(duì)用戶使用行為和終端安全進(jìn)行持續(xù)的風(fēng)險(xiǎn)評(píng)估，機(jī)動(dòng)靈活地調(diào)整訪問策略和權(quán)限。

3.4零信任架構(gòu)之NGB統(tǒng)一身份認(rèn)證平臺(tái)

統(tǒng)一身份認(rèn)證平臺(tái)，基于零信任架構(gòu)設(shè)計(jì)理念，提供統(tǒng)一身份管理、多重因子認(rèn)證、統(tǒng)一認(rèn)證服務(wù)、權(quán)限控制、風(fēng)險(xiǎn)控制，以及身份管理與認(rèn)證審計(jì)的全方位安全管理策略。（1）用戶中臺(tái)用戶賬號(hào)的全流程管理，包括管理、創(chuàng)建、激活、停用、刪除等。建立企業(yè)統(tǒng)一用戶管理中臺(tái)，向企業(yè)各業(yè)務(wù)系統(tǒng)提供用戶信息的同步和認(rèn)證服務(wù)。（2）認(rèn)證中心采用單因素認(rèn)證、雙因素認(rèn)證、風(fēng)險(xiǎn)認(rèn)證等自定義認(rèn)證策略，針對(duì)不同的用戶或用戶組進(jìn)行分發(fā)。（3）動(dòng)態(tài)認(rèn)證引擎針對(duì)不同等級(jí)、不同應(yīng)用、不同要求，進(jìn)行可持續(xù)評(píng)估；針對(duì)風(fēng)險(xiǎn)因素和敏感事件因素觸發(fā)不同的動(dòng)作。（4）權(quán)限控制可根據(jù)動(dòng)態(tài)認(rèn)證引擎，對(duì)認(rèn)證用戶授予不同的訪問和控制權(quán)限。（5）日志審計(jì)平臺(tái)采集所有與認(rèn)證、權(quán)限、風(fēng)險(xiǎn)、操作相關(guān)的流程日志，利用場景化分析技術(shù)，生成多種使用場景的可視化審計(jì)日志。（6）多重因子認(rèn)證提供短信認(rèn)證、掃碼認(rèn)證、證書認(rèn)證等靜態(tài)密碼以外的多重認(rèn)證。

3.5零信任架構(gòu)之云應(yīng)用接入

平臺(tái)系統(tǒng)可以對(duì)接多種接入以豐富云平臺(tái)的能力，系統(tǒng)接入過程中使用防火墻在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造保護(hù)屏障，對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)服務(wù)器上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口，而且能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止惡意訪問，從而防止來自不明入侵者的所有通信。在項(xiàng)目實(shí)際運(yùn)營時(shí)，有些內(nèi)容來源本身安全性較高，為降低人工運(yùn)維成本，可以在后臺(tái)針對(duì)內(nèi)容接入商（CP）進(jìn)行“免審核”設(shè)置。數(shù)據(jù)導(dǎo)入后的第一個(gè)工作是對(duì)所有的數(shù)據(jù)逐條進(jìn)行敏感詞檢測，自動(dòng)過濾掉含有敏感字詞的整條新聞。敏感詞條由云平臺(tái)敏感詞管理后臺(tái)編輯整理，作為敏感新聞決策依據(jù)，含敏感詞的文章被過濾出來后，需保留供管理員查閱。對(duì)關(guān)鍵字的挖掘采用云平臺(tái)分詞技術(shù)，為提高關(guān)鍵字識(shí)別準(zhǔn)確度，會(huì)從新聞標(biāo)題中提取關(guān)鍵字，如人名、事件名、專有名詞、熱門詞匯等。

4結(jié)語

對(duì)于如何安全、高效地開展5G及智慧城市等相關(guān)業(yè)務(wù)，對(duì)廣電企業(yè)意義重大。推動(dòng)媒體融合發(fā)展，打造智慧廣電媒體，發(fā)展智慧廣電網(wǎng)絡(luò)，要求我們必須采用一種自適應(yīng)的、不斷更新的、自主學(xué)習(xí)的安全策略。廣電企業(yè)應(yīng)圍繞“零信任”安全架構(gòu)，展開主動(dòng)構(gòu)建“零信任”的模型和運(yùn)維管理方式，并結(jié)合微隔離、持續(xù)性監(jiān)控及策略自適應(yīng)計(jì)算，為廣電企業(yè)云網(wǎng)安全保駕護(hù)航。

參考文獻(xiàn)

[1]陳本峰.零信任網(wǎng)絡(luò)安全——軟件定義邊界SDP技術(shù)架構(gòu)指南[M].北京:電子工業(yè)出版社,2021.

[2]凱文·韋巴赫.區(qū)塊鏈與信任新架構(gòu)[M].楊東,等譯.北京:機(jī)械工業(yè)出版社,2020.

[3]埃文·吉爾曼,道格·巴斯.零信任網(wǎng)絡(luò)在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)[M].奇安信身份安全實(shí)驗(yàn)室,譯.北京:人民郵電出版社,2022.

作者：李大明 單位：中國廣電遼寧網(wǎng)絡(luò)股份有限公司