文：贺赞贤，宁向宇，张增豹，李晓亮，郑 凯丨北京京港地铁有限公司

京港地铁迅速推进业务的数字化转型，秉承“以风险为核心，以问题为导向”的核心理念，以“软件定义边界（SDP）+身份识别与访问管理（IAM）”为核心，通过采用“持续信任评估”“动态访问控制”等技术手段，提出构建以身份为边界的零信任安全治理理念，营造安全、可信的网络访问环境，实现暴露面收缩、访问权限精细化管理，达到私有程序访问边界的动态控制，统一认证和账号权限管理，全面提升京港地铁信息系统安全管理水平。

京港地铁数字化转型正在快速推进，业务模式也发生了根本性变化。随着云上业务SaaS 化、敏捷化，用户对从互联网端访问业务系统的诉求逐渐迫切，访问方式更加多样化。在业务开放层面，业务多元化让网络边界变得模糊，传统基于边界的安全防护手段无法满足安全合规要求。京港地铁迅速推进业务的数字化转型，通过采用“持续信任评估”“动态访问控制”等技术手段，实现暴露面收缩、访问权限精细化管理，达到私有程序访问边界的动态控制，统一认证和账号权限管理，全面提升京港地铁信息系统安全管理水平。

京港地铁秉承“以风险为核心，以问题为导向”的核心理念，以“软件定义边界（SDP）+身份识别与访问管理（IAM）”为核心，利用多源信任评估、动态访问控制、可信业务访问等安全服务能力，结合可扩展移动认证、单点登录、加密通讯、可视化监管等功能，解决了京港地铁私有应用程序在混合云环境下的安全访问需求。同时也由于传统网络安全边界防护手段不足，提出构建以身份为边界的零信任安全治理理念，营造安全、可信的网络访问环境。

一、项目实现的主要目标

一是基于零信任安全构建动态风险监测，打造全方位的风险管控。建设零信任一体化身份认证体系，实现了以人为中心的应用访问形式，提供动态访问控制、统一接入门户、单点登录(SSO)、统一身份管理、统一身份认证、集中应用授权、审计与分析等功能。让认证更便捷、身份更安全、管理更高效，也达到了安全可控的连接用户和资源，一方面以身份管理为核心，结合终端设备、行为分析对用户进行动态身份认证，验证身份和设备合规可信后建立加密隧道；另一方面，结合用户可访问的资源权限，限制资源可见性，划分执行任务的最小特权可见资源，最终形成一次安全的资源请求，通过借助可信身份管理平台对数字身份进行全面、动态、智能的访问控制，实现企业数字资源访问的可管可控。

二是采用SSO 身份安全鉴别，实现应用的便捷高效访问。用户通过使用SSO 技术实现一次性鉴别登录，即可获得访问单点登录系统中其他关联系统和应用软件的权限，同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的，这意味着在多个应用系统中，用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗，辅助了用户管理。

三是构建全域用户统一身份管理，打造一体化身份认证。统一身份安全管理系统以用户ID 统一、全域用户画像建设、身份治理体系建设等为典型特征，具备身份治理共性能力与服务、支持多前台业务及独立服务组织或部门进行管理。其一，建设公司全面身份治理体系，该体系涵盖内外部全域用户，实现身份集中化管理，通过平台实现自动化全生命周期管理，同时建设内部完整的、标准的、可持续的公司化管理规范体系；其二，提升信息化管理水平，建立公司员工数字身份管理标准体系，实现用户及应用系统的统一身份管控，流程自动化管理；其三，提升员工应用体验，通过身份安全管理平台建设，提供应用门户，解决用户多账户、多密码、多处访问等痛点，提高用户满意度与体验；四是实现信息化增效降本，提供一套完整的持续的用户管理规范及运营规范体系，提升信息化平台建设质量及增效降本。

四是保障信息资产安全，打造数字安全底座。

以保障信息资产安全为宗旨，以数字身份为基石打破应用“孤岛”，采用前沿科技，重塑数据流通、应用访问、业务流程等环节的规范性，防范数据流在灰色地带游走，将每一项业务在阳光下闭环完成。为京港地铁信息化环境提供全面风险管控服务，对用户登录业务系统的认证安全、链路安全等环境风险自动化感知与采集，将发现的风险度量化，对用户的风险访问行为做到事前预警、事中监控和事后追溯，并自适应给业务系统赋予各类身份认证的能力，真正做到对于谁来了、谁走了、做了什么一目了然。

二、技术背景

2019年底，Cybersecurity Insiders 联合Zscaler发布的《2019 零信任安全市场普及行业报告》指出，62%的受访者表示目前最大的应用程序安全挑战是确保对分布在数据中心和云环境中的私有应用程序的访问安全，对此企业所采用的安全措施主要是身份和访问管理（72%）、数据丢失预防（51%）、BYOD/移动安全（50%）等，这些措施均与零信任相关，但上述安全管控措施目前还处于分散管控状态，无法实现对风险的实时监测与动态调整的身份访问的一体策略。

（一）六大关键技术，为安全访问保驾护航

一是软件定义边界。零信任一体化身份认证架构的实时计算访问控制策略的授权决策根据访问主体的身份、权限等信息进行实时计算，形成访问控制策略，一旦授权决策依据发生变化，将重新进行计算，必要时将即时变更授权决策。

二是基于多源数据进行信任等级持续评估。零信任一体化身份认证架构中访问主体的信任等级是根据实时多源数据（如身份、权限、访问日志等）计算得出，人工智能技术提高了信任评估策略的计算效率，实现零信任架构在安全性、可靠性、可用性及成本方面的综合平衡。

三是将身份作为访问控制的基础（IAM）。零信任一体化身份认证架构对网络、设备、应用、用户等所有对象赋予数字身份，基于身份来构建访问控制体系。

四是将单点登录（SSO）融合身份访问控制。凭借一套凭证信息即一次认证，即可通过PC、Pad、手机等各类终端安全访问所有有权访问的应用。

五是最小权限原则。零信任一体化身份认证架构中强调资源按需分配使用，授予的是执行任务所需的最小特权，并限制资源的可见性。

六是资源受控安全访问。零信任一体化身份认证架构对所有业务场景及资源的每一个访问请求都进行强制身份识别和授权判定，符合安全策略才予以放行，实现会话级别的细粒度访问控制，同时所有的访问连接均须加密。

（二）四大技术优势，助力企业数字化进程

一是采用持续信任评估结果，联动各类组件实现增强认证、智能降权、联动阻断等多种手段，实现风险的动态处置。二是实现用户无缝融合企业现有安全环境，通过零信任安全身份架构体系，打通全用户访问场景。三是通过国密认证实现可信鉴别和安全加密通讯。四是通过身份统一管理，实现资源访问的持续认证和动态访问控制。

基于零信任一体化身份认证架构可以很好兼容云计算、大数据、物联网等各类新兴应用场景，支持远程办公、多云环境、多分支机构、跨企业协同等复杂网络架构。如适用于远程办公的零信任安全架构，不再区分内外网，在人员、设备及业务之间构建虚拟的、基于身份的逻辑边界，实现一体化的动态访问控制体系，不仅可以减少攻击暴露面，增强对企业应用和数据的保护，还可通过现有工具的集成大幅降低零信任潜在建设成本。

零信任一体化身份认证架构的本质是以身份为中心进行动态访问控制。零信任对访问主体与访问客体之间的数据访问和认证验证进行处理，其将一般的访问行为分解，一是作用于网络通信控制的控制平面，二是作用于应用程序通信的数据平面。访问主体通过控制平面发起访问请求，经由信任评估引擎、访问控制引擎实施身份认证及授权，获得数据平面系统动态许可后，访问代理接受来自主体的数据，从而建立一次可信的安全访问链接。过程中，信任评估引擎将持续进行信任评估工作，访问控制引擎对评估数据进行零信任策略决策运算，来判断访问控制策略是否需要作出改变，若作出改变时，系统将及时通过访问代理动态调整用户身份的访问权限，从而有效实现对资源的保护。

三、技术规划方案

京港地铁构建基于零信任架构打造一体化身份认证治理体系主要采用两大零信任落地技术能力，分别是软件定义边界（SDP）、身份与访问管理（IAM）。

软件定义边界技术是通过软件的方式，在“移动+云”的背景下构建起加密通道，利用基于身份的访问控制及完备的权限认证机制提供有效的隐身保护。SDP 是由云安全联盟（CSA）开发的一个安全框架，其体系结构主要包括SDP 客户端、SDP 控制器及 SDP网关这三个组件，其中客户端主要负责验证用户身份，将访问请求转发给网关，控制器负责身份认证及配置策略，管控全过程，网关主要保护业务系统，防护各类网络攻击，只允许来自合法客户端的流量通过。SDP 可将所有应用程序隐藏，访问者不知应用的具体位置，同时所有访问流量均通过加密方式传输，并在访问端与被访问端之间点对点传输，其具备的持续认证、细粒度的上下文访问控制、信令分离等防御理念可有效解决企业业务拓展中的安全问题，成为零信任理念的最佳践行之一。

全面身份化是零信任架构的基石，零信任所需的IAM 技术通过围绕身份、权限、环境等信息进行有效管控与治理，从而保证正确的身份在正确的访问环境下，基于正当理由访问正确的资源。随着数字化转型的不断深入，业务的云化、终端的激增均使得企业IT 环境变得更加复杂，传统静态且封闭的身份与访问管理机制已不能适应这种变化，因此零信任中的IAM 将更加敏捷、灵活且智能，需要适应各种新兴的业务场景，能够采用动态的策略实现自主完善，可以不断调整以满足实际的安全需求。

（一）整体架构设计

零信任控制系统是整个平台的大脑，并与其他组件对接，可信接入网关和控制系统两部实现控制面和数据面的分离。基于零信任架构打造的一体化身份认证治理平台的整体架构（图1）。控制系统负责授权、策略管理与下发，是整体的调度与管理中心，对接入的身份、终端、环境、行为进行信任评估，基于策略引擎配置的策略结果，决定允许或拒绝会话并让可信网关进行放通或阻断。可信接入网关支持HTTPS 代理访问和SSL 隧道代理访问。控制系统和可信接入网关均受SPA 单包授权技术对设备本身的服务进行隐身保护。

图1 基于零信任架构打造的一体化身份认证治理平台的整体架构

身份认证中心IAM 作为零信任身份管理与认证组件，提供统一账号管理、统一身份认证与单点登录能力，实现账号生命周期管理，并且用户只需认证一次就可以访问他所需要访问的业务系统，提供账号密码、企业微信、证书、短信、令牌等多种认证方式，并实现自适应身份认证。

（二）技术架构设计

终端侧适配笔记本与移动终端，内网部署可信接入网关与零信任控制中心以及身份认证中心IAM，可信接入网关负责与终端建立安全隧道，进行流量的代理转发。零信任控制中心则与IAM平台对接，实现接入用户的身份校验，访问权限的控制以及策略的下发。

（三）业务架构设计

选取较为常用的人员远程办公场景的架构方案设计，用户终端下载安装零信任客户端，客户端创建虚拟网卡和本地路由表，并通过本地路由表或私有DNS 将访问流量引流至虚拟网卡。同时，客户端与代理网关构建加密隧道，实现数据包代理转发，从而实现有端场景下的业务安全访问。

一是实现用户可信。零信任控制中心与IAM 平台对接，对用户进行身份可信认证，通过多种认证方式、多因子身份认证以及动态调整认证强度的方式，保证用户身份可信的同时也保证了使用体验。

二是实现终端可信。零信任控制中心收集用户终端信息，生成终端硬件特征码（设备指纹），并设置用户授信终端，从而实现用户的授信终端认证及授信终端免二次认证等能力。另外，客户端对系统环境及软件环境进行动态检测，实时发现终端环境风险，并及时阻断。

三是实现进程可信。用户在使用任意进程访问应用时，零信任客户端采集进程的信息及指纹，并形成进程访问报表，根据进程的使用情况、签名信息，给出处置建议给管理员，以此实现应用进程识别。另外，管理员根据采集到的进程信息及零信任控制中心给出的处置建议，将进程标记为可信/不可信，并通过动态 ACL 规则允许或阻止访问。

四是实现数据可信。通过终端侧零信任沙箱构建安全工作空间，实现一台终端同时兼并个人空间及安全工作空间，并在工作空间提供数据隔离、网络隔离、文件加密、外设管控及屏幕水印/审计能力。

五是实现权限可信。通过向用户个人、角色、群组、组织架构授权应用权限的方式，实现权限精细化控制，并在系统环境发生变化且触发ACL 策略规则时，动态收缩用户权限，实现权限可信。

六是实现连接可信。终端客户端与代理网关在构建连接隧道传输业务数据时，实现隧道SSL 加密。同时，因为安装零信任客户端，客户端提供SPA 单包授权网络隐身能力，在接收到合法的SPA 敲门数据包前，服务端不响应来自客户端的任何连接请求。

四、项目实施场景及建设成效

当用户通过企业微信统一入口访问内网应用时会调用SSO 系统认证，系统发现访问来源是SDP 网关时，则由SSO 和SDP 进行OAuth2 对接，从而使得各业务系统(如OA、邮件等)能实现登录。用户通过使用动态风险控制、统一接入门户、单点登录(SSO)、统一身份管理、统一身份认证、集中应用授权、审计与分析等能力访问企业应用的两种场景如下：

场景一互联网访问邮箱系统：用户访问邮箱系统，被拦截到邮箱认证服务。待邮箱认证服务重定向到IAM 认证登录页面，用户通过密码、短信等多种认证方式进行认证。认证完成后返回邮箱认证服务，由邮箱认证服务根据人员信息判断应重定向至云端邮箱系统或是本地邮箱系统。

场景二互联网访问内网应用：用户访问内网应用，被拦截到SDP 网关。SDP 网关重定向至IAM认证服务进行认证，用户通过密码、短信等多种认证方式进行认证。 认证完成后返回SDP 网关，由网关将访问请求转发至内网应用。

项目建设成效如下：

一是提高了系统服务水平和效率。通过零信任架构身份认证服务，对各种应用信息进行整合和利用，用户可以实现内外网一次登录即可访问所有应用，极大地提高了工作效率。二是缩小企业业务资源暴露面。将原本暴露在互联网上的内部业务系统资源有效收缩至企业内网环境。三是实现了部门共享应用信息资源，提升服务水平。通过统一身份安全管理系统，可以对各部门的应用统一管理，并实现统一入口，提高各级各部门的协同工作效率。通过平台的统一和整合，实现信息、知识、人才以及管理理念、管理制度、管理方法等各种资源的共享，提高资源的利用效率。四是建立用户访问管理等规范。通过建立用户统一标识命名、用户身份及访问管理等规范，进一步提高公司信息系统建设与管理的规范性。五是实现大规模远程安全办公。采用大规模远程办公场景的实践，实现企业员工在任何地点可以安全动态地远程访问混合云及公有云上的OA、财务、人力、邮箱、工程等业务系统的使用场景。

京港地铁打造零信任架构一体化身份认证的优点在于“持续验证，永不信任”的安全体系，主要应用领域集中在安全访问混合云和公有云环境中的私有应用程序，项目场景应用效果较好，具备一定的可推广性。