面向零信任架構的訪問安全態(tài)勢評估*

段 煉，張智森，秦益飛，于振偉

（1.江蘇第二師范學院 物理與信息工程學院，江蘇 南京 211200；2.南京郵電大學 管理學院，江蘇 南京 210003；3.江蘇易安聯(lián)網絡技術有限公司，江蘇 南京 210012）

0 引 言

伴隨著“云大物移”等新興IT 技術的快速發(fā)展，企業(yè)數(shù)字化轉型使得IT 業(yè)務的網絡環(huán)境更加復雜多樣，企業(yè)數(shù)字資源的安全防護正面臨著前所未有的壓力與威脅。零信任安全架構放棄了傳統(tǒng)基于“邊界”的安全模型，以訪問上下文的安全態(tài)勢感知為基礎，建立了以身份為中心的安全訪問框架，按照企業(yè)的統(tǒng)一安全策略，對數(shù)據(jù)、應用和服務等數(shù)字資源實施動態(tài)、風險自適應的訪問控制。

態(tài)勢感知（Situation Awareness，SA）是指“在一定的時間和空間范圍內，對目標環(huán)境中各組成成分的感知、理解，以及對它們未來變化的預測”[1]，該領域最初的研究成果來自美軍指揮控制系統(tǒng)的相關項目，Endsley[1]將態(tài)勢感知描述為一個包含3 層模型的信息處理鏈，依次包括對環(huán)境成分的感知、對當前態(tài)勢的理解和對未來態(tài)勢的預測3 個部分。

Bass[2]于1999 年將態(tài)勢感知引入網絡安全研究中，提出了網絡態(tài)勢感知（Cyberspace Situational Awareness，CSA）的概念，并按照應用領域將網絡態(tài)勢分為安全態(tài)勢、拓撲態(tài)勢和傳輸態(tài)勢等。Shen 等人針對云環(huán)境網絡安全態(tài)勢預測在準確率和實時性方面的局限性，提出了基于灰色神經網絡的云環(huán)境網絡安全的態(tài)勢分析方法，并通過分類和融合技術構建了相應的態(tài)勢感知指標[3]。

從應用方式和目的來看，網絡安全態(tài)勢感知通過收集、提煉、融合各種安全信息，對網絡的安全態(tài)勢進行評估，為安全分析員提供面向風險管理的決策依據(jù)[4]。但具體到安全評估的實施方法，由于網絡系統(tǒng)的復雜性，網絡安全度量仍是當前國內外學術界公認的學術難題，包括網絡安全度量模型和方法、安全數(shù)據(jù)的自動化采集、感知度量、量化評估等問題，仍未得到很好的解決[5]。

在零信任安全方面，目前零信任研究在體系架構標準化、解決方案實施落地等方面的發(fā)展相對較快。美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）、美國國防部和云安全聯(lián)盟均從各自的視角給出了相應的零信任架構參考模型[6-8]。文獻[9]通過D-S 證據(jù)理論將訪問主體的各種“不確定”轉化為“確定”的安全狀態(tài)，形成可供零信任安全評估引擎使用的信任數(shù)據(jù)。

為了向零信任解決方案提供可靠、合理的安全態(tài)勢評估方法，本文首先對網絡態(tài)勢感知、持續(xù)監(jiān)控和信任評估等概念進行了分析梳理，研究確定了零信任訪問安全態(tài)勢評估的內涵，然后研究提出了一個零信任安全訪問架構，并結合該架構討論了零信任訪問安全態(tài)勢評估的關鍵技術和功能，最后通過可擴展的安全指標體系、科學的量化評估算法，為用戶訪問提供上下文安全評估，強化零信任的“持續(xù)評估”能力，實現(xiàn)零信任的動態(tài)細粒度訪問控制，為零信任安全領域相關研究人員提供參考。

1 安全態(tài)勢評估的內涵

本節(jié)對風險評估、持續(xù)監(jiān)控等領域的技術理論發(fā)展進行分析，探討它們之間的異同，進而分析零信任態(tài)勢評估的內涵、目標和意義。

1.1 信息安全持續(xù)監(jiān)控

信息安全持續(xù)監(jiān)控（Information Security Continuous Monitoring，ISCM）是NIST 根據(jù)2002年《聯(lián)邦信息安全管理法案》提出的概念，旨在對企業(yè)網絡的信息安全進行持續(xù)監(jiān)控和評估，為安全管理決策提供信息支持。NIST 報告SP 800-37[10]、SP 800-53[11]和SP 800-137[12]對ISCM 從不同層面進行概括和定義。其中，SP 800-137提出了建立、實施和維護持續(xù)監(jiān)控項目的步驟，包括定義策略、建立項目、實施項目、分析/報告、響應處理、審查/更新6 個環(huán)節(jié)，如圖1 所示。

ISCM 從風險管理的范疇，對聯(lián)邦系統(tǒng)的運行進行全過程狀態(tài)監(jiān)測，為企業(yè)網絡安全管理提供了態(tài)勢感知和決策支撐，包括網絡資產管理、安全監(jiān)控反饋分析和緩解措施優(yōu)化等功能。

1.2 持續(xù)自適應風險與信任評估

2017 年6 月，Gartner 提出了持續(xù)自適應風險與信任評估（Continuous Adaptive Risk and Trust Assessment，CARTA）的安全概念[13]，通過集成威脅情報、行為特征分析、大數(shù)據(jù)、人工智能、態(tài)勢評估等技術，構建了一個自適應安全防護框架，提供覆蓋業(yè)務訪問流程的安全評估與控制能力，來應對企業(yè)IT 網絡中日益增長的數(shù)字資產安全風險，如圖2 所示。

圖2 持續(xù)自適應風險與信任評估

CARTA 安全防護框架的核心概念包括風險、信任、自適應、持續(xù)。其中，風險是指對網絡安全風險（如攻擊、漏洞、違規(guī)、異常等）的判斷識別；信任是指以可信身份評估為基礎的訪問控制；自適應是指安全控制對風險變化的動態(tài)適應能力；持續(xù)是指風險和信任評估過程在時間上的連續(xù)性、周期性。

CARTA 的風險和信任評估是一個動態(tài)權衡的過程，能利用各種安全數(shù)據(jù)，對訪問行為、應用程序編程接口（Application Programming Interface，API）調用、網絡活動等進行持續(xù)評估，動態(tài)做出安全決策，包括允許/阻斷訪問，或是介于允許和阻斷之間的某種動作（如繼續(xù)評估、允許但只讀、允許并記錄等）。國際電信聯(lián)盟電信標準分局（ITU Telecommunication Standardization Sector，ITU-T）在文獻[14]中定義了一個針對服務訪問過程的持續(xù)保護框架，也采用了類似的非二值型決策結果形式。

1.3 零信任訪問安全態(tài)勢評估

在NIST的零信任架構中，策略決策點（Policy Decision Point，PDP）和策略執(zhí)行點（Policy Enforcement Point，PEP）等策略組件共同協(xié)作，能夠根據(jù)訪問時間、環(huán)境屬性等上下文屬性，對用戶訪問實施動態(tài)的權限控制，如圖3 所示。

圖3 NIST 的零信任架構參考模型

在零信任安全理念下，企業(yè)所有IT 資產的安全狀態(tài)均被納入監(jiān)測范圍，以便對各種資源提供動態(tài)自適應的安全保護。為了確保零信任體系中動態(tài)安全策略的正確實施，企業(yè)需要盡可能地收集IT 資產（如終端設備、安全部件、網絡服務）的實時狀態(tài)，以便評估網絡的安全態(tài)勢。

ISCM、CARTA 和NIST 零信任架構均認為風險與信任是持續(xù)變化的，企業(yè)安全防護需要對網絡中的安全風險進行持續(xù)監(jiān)控，并能夠通過調整用戶的訪問行為，動態(tài)適應當前的安全上下文環(huán)境，以最大限度地保護企業(yè)資產。另外，CARTA 還體現(xiàn)了基于風險的策略決策的特點，決策結論不再是簡單的“允許/拒絕”，還應該存在介于兩者之間的中間性結論，以適應不同的安全風險。

由此可見，零信任體系架構要實現(xiàn)對應用、服務、數(shù)據(jù)的持續(xù)保護，需要圍繞用戶訪問過程，持續(xù)監(jiān)控和訪問相關的所有實體，分析影響訪問安全的態(tài)勢變化，以便對用戶的訪問行為、系統(tǒng)的安全防護措施做出及時有效的控制和部署。因此，零信任安全態(tài)勢評估需要具備如下能力和特性。

（1）持續(xù)有效的態(tài)勢監(jiān)控。確保在零信任原則下，對所有訪問關聯(lián)實體上的安全數(shù)據(jù)進行周期性數(shù)據(jù)采集、分析，以獲取實時的安全態(tài)勢數(shù)據(jù)。

（2）合理多樣的安全指標。緊貼零信任安全態(tài)勢分析的應用需求，從復雜多樣的多源安全數(shù)據(jù)中梳理、篩選有效的安全指標，為態(tài)勢分析建立科學合理的安全指標體系和量化評估算法。

（3）適時準確的結果報告。應及時、準確地向策略決策中心提交態(tài)勢評估結果，并且應符合決策中心的數(shù)據(jù)處理要求，以簡化其使用。

2 零信任安全訪問架構

本節(jié)基于NIST 提出的零信任安全訪問原則，提出了一個基于零信任態(tài)勢評估的安全訪問架構，持續(xù)收集、分析與訪問請求相關的上下文狀態(tài)信息，驗證訪問請求的合理性，保護訪問會話的全流程安全，如圖4 所示。

圖4 基于零信任態(tài)勢評估的安全訪問架構

安全保護策略由企業(yè)組織根據(jù)業(yè)務需要，按照資產的敏感等級和可容忍風險來制定，包括描述客體資源的保護等級、訪問主體的權限劃分，以及影響策略決策的外部條件（如用戶認證方式、主體訪問位置）等。

PDP 是整個安全訪問架構的控制中心，按照安全策略（如基于屬性的訪問控制[15]規(guī)則）控制用戶訪問，為企業(yè)資源提供持續(xù)的安全保護。決策指令包括訪問授權決策和安全保護決策兩種類型，其主要差別在于：

（1）訪問授權決策是PEP 向PDP 提交用戶訪問請求后，由PDP 實時產生的授權決策。為確保用戶訪問請求能夠被快速處理，一般要求實時生成決策指令，如允許/拒絕等訪問控制指令。

（2）安全保護決策可以在訪問會話過程中異步或適時產生，PEP 不必同步等待保護決策實時到達，只需要確保當收到保護決策時，該指令能夠及時執(zhí)行。典型的保護決策為當用戶信任評分過低時，要求關閉用戶連接，對終端進行補丁修復等。

PEP 負責執(zhí)行策略中心下發(fā)的決策指令，保護所有訪問流量的機密性和真實性。需要注意的是，圖4 中僅給出了訪問控制策略執(zhí)行點的示例。

零信任態(tài)勢評估為策略決策中心提供量化的安全態(tài)勢信息，如信任或風險評分，供PDP在計算授權決策時使用。

3 零信任態(tài)勢評估方法

本節(jié)基于零信任架構中態(tài)勢評估、上下文安全和動態(tài)訪問控制的要求，研究零信任態(tài)勢評估關鍵技術的設計與實現(xiàn)，包括安全數(shù)據(jù)收集與分析、態(tài)勢評估引擎的功能設計、安全指標體系的構建方法和指標量化與融合算法的實現(xiàn)。

3.1 安全數(shù)據(jù)收集與分析

安全數(shù)據(jù)收集與分析（Security Data Collection and Analyze，SDCA）是態(tài)勢評估的數(shù)據(jù)輸入組件，其功能主要包括持續(xù)收集安全數(shù)據(jù)、識別網絡安全狀態(tài)、檢測安全威脅。

安全數(shù)據(jù)收集的來源包括但不限于用戶身份管理、系統(tǒng)活動日志、終端檢測與響應（Endpoint Detection and Response，EDR）、漏洞/補丁管理、入侵檢測（Intrude Detection System，IDS）、用戶行為分析等系統(tǒng)。另外，還包括訪問相關的元數(shù)據(jù)，如用戶位置、訪問時間等環(huán)境因素。

來自不同系統(tǒng)的安全數(shù)據(jù)通常具有不同的報送形式、數(shù)據(jù)格式和周期頻度，SDCA 需要從海量、多源的安全數(shù)據(jù)中梳理篩選出簡單、有效、合理的態(tài)勢信息，以便緩解態(tài)勢評估引擎的功能和性能壓力。

3.2 態(tài)勢評估引擎

態(tài)勢評估引擎（Posture Assessment Engine，PAE）持續(xù)接收SDCA 的分析檢測結果，對來自多源數(shù)據(jù)的安全態(tài)勢信息進行規(guī)范量化和指標融合，將用戶訪問過程中相關實體（包括用戶、終端、網絡、環(huán)境等）的安全態(tài)勢，轉化為訪問主體的“信任等級/訪問風險”（如高、中、低），以供PDP 使用。

PAE 的態(tài)勢評估算法需要體現(xiàn)以主體身份為中心的信任評估，在主體經過首次身份認證后，開始對其訪問上下文（如終端安全配置、系統(tǒng)漏洞、行為特征等）進行持續(xù)評估，以便在PDP 需要時能夠提供實時信息。

在零信任安全訪問中，主體的信任等級越高意味著訪問風險越低，因此信任等級和訪問風險之間存在著某種內在關系，態(tài)勢評估結果的物理意義取決于評估引擎所采用的指標體系和量化算法，本文采用“訪問風險”來表述態(tài)勢評估結果的含義。

3.3 安全指標體系

SDCA 收集的安全數(shù)據(jù)可以按其關聯(lián)實體劃分為5 類，即分別與用戶、設備、應用、服務和流量相關的安全內容。

為了簡化零信任安全態(tài)勢分析的流程，本文基于層次分析法（Analytic Hierarchy Process，AHP）從用戶行為安全、終端（應用）安全、網絡環(huán)境安全3 個維度，對不同實體的安全狀態(tài)進行了指標分解，形成了一個可擴展的零信任安全態(tài)勢評估指標體系，如表1 所示。

表1 零信任安全態(tài)勢評估指標體系

零信任安全態(tài)勢由3 個一級指標組成，包括用戶行為風險、終端系統(tǒng)風險和網絡環(huán)境風險，其中，用戶行為風險又按照典型的違規(guī)行為分解為多人圍觀、違規(guī)訪問等5 個二級指標。

終端系統(tǒng)風險主要評估用戶訪問終端的安全因素，如軟件漏洞、補丁安裝和安全配置項等。以漏洞風險評估為例，企業(yè)按照安全策略制定漏洞檢查清單，對每個終端進行漏洞檢查，清單中的每個待檢漏洞均具有相應的風險評分（如嚴重性）。漏洞掃描器對目標終端掃描完成后，將掃描結果提交至態(tài)勢評估引擎，由其內置的量化評估算法對終端安全風險進行指標融合。

網絡環(huán)境風險主要分析處理網絡安全告警中的態(tài)勢信息。例如，對IDS、EDR 等系統(tǒng)的告警事件與用戶或終端進行關聯(lián)，形成相應的風險評分。因為不同的外部系統(tǒng)可能存在特有的評分機制，因此需要針對具體系統(tǒng)考慮其評分轉換問題。

三級指標為最底層指標，通過不同類型的風險評分（值）來表示。

3.4 指標量化與融合算法

本節(jié)針對表1 提出的層次化評估指標體系，通過基于評分的指標量化評估方法和多維指標融合算法，分別解決安全指標的量化問題和多維多層指標的融合問題。

3.4.1 基于評分的指標量化評估

本文提出的安全指標包括用戶行為風險、終端安全風險和網絡環(huán)境風險3 種類型。其中，終端安全風險主要來自軟件缺陷、軟件安全配置和軟件功能濫用[16]3 類軟件脆弱性問題。目前，這3 類問題均存在標準的脆弱性測量和評分方法。

通用漏洞評分系統(tǒng)（Common Vulnerability Scoring System，CVSS）[17]提供軟件漏洞嚴重性的通用評估方法，主要應用于漏洞管理和評估領域。通用誤用評分系統(tǒng)（Common Misuse Scoring System，CMSS）[18]針對軟件漏洞和誤用問題的差別，對CVSS 評估組件和算法進行調整，以適應軟件功能濫用缺陷的特征。通用配置評分系統(tǒng)（Common Configuration Scoring System，CCSS）[16]主要解決軟件安全配置的脆弱性評估問題。上述3 種算法均采用了相同的理論基礎和評價維度，來評估軟件缺陷的嚴重性，其量化結果具有一致的值域和等級劃分，如表2 所示。

表2 CVSS/CMSS/CCSS 的脆弱性等級劃分

在此基礎上，本文綜合考慮用戶行為風險和網絡環(huán)境風險中各指標因素對機密性、完整性和可用性的影響，將相應的風險度量計算映射到CVSS、CMSS 和CCSS 算法中，以便使整個安全指標體系的量化度量具有統(tǒng)一的評估視角和維度，如表3 所示。

表3 安全指標的量化評估算法

指標量化評估算法主要解決單項指標的風險評分問題，例如，如果用戶終端上存在多人圍觀行為，按CCSS 評分算法，可以給出該“圍觀風險評分”為4.6 分，或者終端存在CVE-2022-30138 漏洞，其嚴重性評分為7.8 分。

3.4.2 多維指標融合算法

對多指標的綜合計算通常需要采用適當?shù)娜诤纤惴?。有時評估系統(tǒng)建立的指標可能來自不同的觀測維度（比如系統(tǒng)漏洞和用戶行為），在針對這些不具備可比性的指標進行融合時，需要考慮融合算法的科學合理性。

本文所使用的量化評估方法中，底層指標的量化評分均來自或參考了CVSS 算法，此類算法采用了相同的視角，并且在最終結果和風險等級的定義上形成了統(tǒng)一，為設計科學合理的指標融合算法奠定了基礎。

下面以終端安全風險的指標融合為例，來說明本文態(tài)勢評估引擎中綜合指標的計算方法。

式中：Riskv為終端上漏洞的整體風險指標；i為漏洞檢查清單中的檢查項目；v(i)為漏洞i的檢查結果（即存在或不存在）。檢查清單上的每個漏洞均存在對應的CVSS 評分（代表漏洞嚴重性），因此從計算方式可知，Riskv本質是終端上存在漏洞（以清單為檢查依據(jù)）的平均嚴重性，因此可以用來表征終端與漏洞相關的安全風險程度。

類似地，Riskp為終端因補丁未按要求安裝，而導致的安全風險程度，Riskc為終端因軟件未按要求進行安全配置，而導致的安全風險程度。Risked為用戶終端的總體安全風險值，由Riskv，Riskp和Riskc3 項指標融合而來，Wv，Wp和Wc分別為這3 類指標的加權融合權重。

該融合算法的特點是計算簡單且易于實現(xiàn)，清單式的檢查方式使安全評估的指標體系更易于擴展。在融合算法的合理性方面，很多方法都將違規(guī)次數(shù)或系統(tǒng)漏洞個數(shù)作為衡量安全風險程度的指標，例如錯誤地認為N次違規(guī)的安全風險比單次違規(guī)要嚴重N倍。本算法通過適當使用二值型指標替代不合理的計數(shù)型指標，并最終通過存在漏洞（即終端上存在的漏洞）的評分占總清單風險總分的比重，將該漏洞對整體評價結果的貢獻反映到總清單的檢查結果上，具有一定的合理性。

不同企業(yè)在實施零信任訪問中對終端安全進行評估時，可以通過調節(jié)Wv，Wp和Wc的權重值，來適應其在漏洞、補丁管理和合規(guī)性配置要求方面的差異。

對更高層次的指標融合也可以采用類似方法，通過對用戶行為指標、終端安全指標和網絡安全指標進行融合，將復雜的評估目標分解到統(tǒng)一的指標度量維度下，用相同的度量尺度對不同維度的安全態(tài)勢進行量化，形成了科學合理的指標體系結構。

4 評估方法分析

零信任作為一種新興的網絡安全理念，在行業(yè)實踐和企業(yè)安全建設中，需要著眼于系統(tǒng)的整體安全狀態(tài)，實時收集關鍵指標和風險因素，并將評估結果應用于動態(tài)安全策略的實施，為訪問控制決策提供依據(jù)。

傳統(tǒng)的態(tài)勢評估主要分為定性分析和定量分析兩種類型。前者主要基于專家的經驗知識，能提供深入的洞察，但評估結果受主觀因素的影響較為明顯；后者利用數(shù)據(jù)和指標來量化系統(tǒng)的安全狀態(tài)，有助于定量比較不同系統(tǒng)的安全狀態(tài)，但需要采集大量的數(shù)據(jù)并進行分析，安全量化也缺乏統(tǒng)一的標準和依據(jù)，可能由數(shù)據(jù)原因導致結果不夠準確。

與傳統(tǒng)的態(tài)勢評估方法相比，本文方案具有以下特點。

4.1 多維分層的指標體系

鑒于安全評估的復雜性，為一個“系統(tǒng)的系統(tǒng)”構建一個有效的綜合性安全指標會非常困難。通常，安全性需要從機密性、完整性和可用性等多個層面進行描述和評估，零信任態(tài)勢評估需要考慮與訪問相關上下文（包括用戶、終端、設備、網絡、應用等）的整體安全性，來確保為動態(tài)訪問授權提供豐富的決策信息。本文提出的指標體系考慮了與訪問安全相關的基本要素，并具有可擴展、易觀測、可解釋等特點，可以作為零信任態(tài)勢評估實踐中的參考性指標體系。

4.2 客觀合理的量化方法

在安全評估過程中，評估者的主觀因素會導致評估結果的嚴重失真。例如，在采用5 分制對某件事物進行評測時，不同的人可能將5分制視為大小間隔相等或不等的5 個等級，甚至基于個人對結果數(shù)學分布的理解而產生曲線式的等級體系。

本文將CVSS 等評估算法映射到零信任安全態(tài)勢評估中，提供了對用戶行為風險和網絡環(huán)境風險中各指標因素的風險度量計算，使整個安全指標體系的量化度量具有統(tǒng)一的評估視角和維度，使得融合計算得到的綜合性指標更具有效性和合理性。

4.3 敏捷高效的評估流程

零信任態(tài)勢評估的目的決定了需要用更加敏捷高效的評估方法，以便在用戶訪問應用的過程中，持續(xù)分析訪問風險，為訪問控制提供決策依據(jù)。因此，需要快速、實時地采集、分析訪問環(huán)境的安全態(tài)勢，以確保良好的用戶體驗。

在這種應用場景下，本文所設計的態(tài)勢評估方法將傳統(tǒng)上由安全專家組織實施的風險評估轉化為自動化的態(tài)勢評估，為零信任訪問控制、自動化的安全運營和安全編排奠定了基礎。

5 結 語

本文對零信任安全態(tài)勢評估技術進行了研究，介紹了網絡安全態(tài)勢評估、持續(xù)監(jiān)控等概念的典型技術框架，梳理分析了零信任架構下態(tài)勢評估的內涵、目的和意義，然后提出了一個零信任安全訪問架構，并通過該架構對態(tài)勢評估的安全內容收集分析、評估引擎功能設計、指標體系的構建、量化評估和融合算法等技術進行了討論。

下面對零信任態(tài)勢評估的發(fā)展趨勢，以及可能面對的問題進行總結：

（1）零信任應用場景已逐漸從傳統(tǒng)的辦公應用向5G、工業(yè)互聯(lián)網、物聯(lián)網等領域不斷拓展。隨著網絡計算的泛在化，如何針對不同的網絡體系架構，建立科學合理的零信任安全態(tài)勢評估指標體系是未來面臨的一個重要課題。

（2）人工智能、機器學習等大數(shù)據(jù)分析技術已成為態(tài)勢感知的重要方法，如何在零信任態(tài)勢評估中應用這些技術提高評估效率和精度，將是零信任態(tài)勢評估技術研究的重點方向之一。

（3）零信任安全態(tài)勢評估的核心目標是為企業(yè)資源安全保護提供決策依據(jù)，如何利用態(tài)勢評估強化安全保護自動化能力，實現(xiàn)訪問控制、用戶認證、密碼技術等安全功能的自動化編排，推進組織內的安全流程，也是未來零信任安全體系要考慮的問題。