构建基于接入端鉴权的应用安全防护架构
——以5G政务外网应用为例

赵振华，刘玉铮

（1.中国国际中小企业博览会事务局，广东 广州 510000；2.广东省中科产业技术发展有限公司，广东 云浮 527300）

0 引 言

《“十四五”规划纲要》第17章表示，要提高数字政府建设水平；2021年，政府工作报告提出加强数字政府建设，实现更多政务服务事项网上办、掌上办、一次办[1]。2021年，围绕数字政府改革，广东省出台的《广东省数字政府省域治理“一网统管”三年行动计划》提出要在省域范围内实现“一网感知势态、一网纵观全局、一网决策指挥、一网协同共治”[2]。中小企业服务作为政府履职、优化营商环境的重要一环，在保障安全的前提下，用好数字政府工具提升服务水平，将成为推进治理体系和治理能力现代化的重要支撑模块。

1 相关需求分析

由于中小企业数量庞大、个体规模小、对市场及政策敏感度不高以及小微企业占比大，给政府精准、高效服务中小企业带来了挑战。数字政府工具中，针对企业尽管已开发了“粤商通”等全省统一的政务服务客户端，但涉及中小企业服务且需要借助电子政务外网的模块，如何平衡便捷性、安全性、性价比等因素，依旧是各级数字政府建设过程中需要解决的核心问题[3]。

1.1 便捷性需求特性

中小企业服务行业管理部门基本需覆盖省、市、县（市、区）、镇（街）、村（社区）5级政府，尤其在镇（街）、村（社区）2级，财政预算有限，因此中小企业服务业务功能模块需要有足够的轻量化属性。中小企业服务数字政府功能模块的需求之一是可实现移动终端快速接入电子政务网，即中小企业服务部门可通过移动终端实现便捷访问与调用电子政务外网服务功能，现有公职人员的移动终端可不换卡、不换号，无需借助传统虚拟专用网络（Virtual Private Network，VPN），即可实现直接接入。

1.2 优质通道需求特性

因涉及到政务外网相关业务模块的办理，需要在流程上有其连贯性，因此基于电子政务外网加载的中小企业服务功能模块，在可实现便捷接入服务功能界面的同时，需要有快速的网络响应以及连贯且高效的系统功能实现，即移动端接入的电子政务外网的通道需要是稳定、安全的通道，且需要有快速的响应能力，具备大速率、低时延的传输功能。同时，该通道还需支持算力下沉，为政务系统处理能力提供便捷的算力支持。

1.3 严格的安全防护保障

提供快速便捷与高质量接入电子政务外网的前提，是需要有严格的安全防护举措，因此服务于中小企业的业务功能模块与其他电子政务服务业务一致，需要有着严格的数据隔离和安全防护。具体而言，接入政务外网的通道需高安全且与提供传统互联网访问的信道彼此隔离，从接入端接入、数据交互通道、后台系统数据调用与处理等层面形成安全防护的闭环管理。

2 构建接入端分级管理网络安全防护架构

构建基于严格安全防护保障前提下的便捷、高效服务中小企业业务功能模块，围绕安全保障这一前提，首先需要明确安全防护架构的层级与相关边界。总体来说，安全体系包括安全规章制度、安全系统、安全技术以及安全防护4大层级[4,5]。安全规章制度主要包括安全主体责任、安全规范、安全制度等内容；安全系统主要包括安全管理系统、安全监测与分析系统等；安全技术包括身份认证、密码、安全审计等基础技术；安全防护包括终端、应用、数据、网络4个方面的基础安全以及系列场景化应用的安全防护等内容。本文重点侧重于安全防护架构设计，即从终端、应用、数据、网络等模块设计相应的安全防护架构，为面向中小企业服务应用模块提供安全防护。

构建服务于中小企业电子政务外网模块的安全防护架构，需要覆盖接入层、传输层、核心层3级模块[6,7]。接入端分级管理，侧重于对终端用户登录、终端管理系统登录及其他系统级应用登录进行身份鉴别与登录控制；为具备不同安全能力的终端提供统一接入认证，并提供双向认证机制；在应用侧仅有授权的App可获得无线网络管道能力、核心网能力等开放能力调用权限，且消息传输需安全保护，构建起可监控恶意行为并告警，对恶意App采取相应的安全控制。传输层安全管理侧重于数据交互与传输通道的安全区隔，为涉及电子政务外网相关的数据交互和办理提供逻辑隔离的专用信道。核心层安全管理侧重于核心网在逻辑功能上严格隔离，区分政务业务切片，每个切片都有专用的功能并且只能访问本切片的会话数据。

2.1 终端接入控制安全防护思路

在终端侧做好安全机制设计，有效的防护策略是在中小企业服务终端做好分级鉴权并做好接入电子政务外网专用通道的安全控制。主要的策略包括以下2个方面：一是做好双向鉴权和加密，即无线接入网启用终端与网络进行双向鉴权和加密，防止仿冒终端接入网络，；二是做好终端的机卡绑定，终端机绑定用户识别卡（机卡分离自动停止访问权限），防止终端仿冒。基于上述2个方面，终端安全策略设计具有可实施基础的方案，依托电信运营商架设的5G网络，开展基于5G电子政务外网的终端接入安全防护架构设计。

基于双向鉴权和加密的终端接入安全防护架构中（见图1），5G设备侧触发的指令（5G政务一体机、5G手持终端等）触发访问电子政务外网的需求，会在信令触发前进行安全鉴权，在终端设备识别通过的前提下，相关的访问信令则会通过网络传输及核心安全防护2道安全防护模块识别后，传导至电子政务云，并调用相关的系统业务功能模块。

图1 基于双向鉴权和加密的终端接入安全防护架构

2.2 传输侧安全防护思路

传输侧安全防护隶属于网络安全的范畴，有效的防护策略可确保数据交互发生在专用的信道中，且相关专用信道应具有可逻辑隔离、可多通道并行的功能。因此，采用专用数据网络名称（Data Network Name，DNN），建立以终端用户识别卡为唯一身份标识并对专用业务站点采取白名单制管理将是十分有效的安全防护策略。可考虑借助运营商提供的电子政务外网，做好基于专用通道数据流交互的安全防护。使用专用DNN接入运营商广域覆盖的5G无线网络，政务业务数据分流至专用DNN对应的专享用户面功能（User Plane Function，UPF），确保接入电子政务外网的访问诉求数据不出区，经过专线和防火墙进入电子政务外网，访问电子政务云平台，并调用相关的中小企业服务功能界面模块。

2.3 核心层安全防护思路

核心层安全防护的重点在于依据业务属性做好逻辑隔离，确保不同的信令和指令能从逻辑上形成专用的通道，保障数据安全。有效的安全防护策略是借助运营商提供的5G电子政务外网做好基于无线接入侧的逻辑切片隔离，即利用切片技术做好用户质量管理（Quality of Service，QoS），并在核心网层面基于UPF做好不同切片逻辑隔离，确保服务于中小企业的电子政务外网业务诉求能在逻辑隔离的专用通道中实现数据交互，保障数据安全。

3 健全应用安全防护体系的一些思考

前文设计的结合电信运营商5G电子政务外网的安全防护架构主要侧重于应用安全，但构建完备的安全防护体系还涉及终端安全、数据安全以及网络安全。因此，除基于终端侧安全、传输侧安全、核心层安全外，需结合安全管理、安全监测与分析等内容，健全应用安全防护体系。

3.1 健全安全告警、安全日志记录、安全事件可审计的安全防护体系

安全事件防护是安全防护体系不可或缺的环节，因此在防护体系设计上需覆盖安全事件的全流程、全环节，基于安全日志实施记录的安全防护举措，并涵盖在应用安全防护体系设计中。在安全防护体系中，要设计好支持受攻击后自动上报安全告警、记录安全日志的功能模块，具备实时通知客户的功能，以助快速消除安全风险；在功能设计上，需要覆盖文件损坏或丢失告警、本地用户登录失败次数超限告警、数字证书即将过期告警、网元遭受攻击告警、本地用户修改其他操作员密码事件告警以及本地用户登录失败事件记录等[8-10]；在防护体系设计中，要做好集中管理日志机制，支持记录操作日志、系统日志和安全日志，且不可修改或删除，支持快速发现异常。安全事件要可审计，用户不可修改或删除安全事件，相关功能模块需要支持可审计运维用户的相关操作、可审计系统或应用的启动与关闭。

3.2 提升安全监测、安全态势感知的安全防护水平

加强安全管理的长效机制，提升安全防护水平。除做好安全事件的防护机制设计外，还需重点围绕安全态势感知做好前置化的方案设计。对涉及中小企业服务关联的电子政务外网应用模块，要在机制设计过程中内生化的嵌入好资源使用率、通道流量使用情况等日常监测，做好分级分类预警，而对于重要系统和重要节点，要为后续部署入侵检测、优化升级防火墙等内容模块预留好空间。同时，安全管理机制设计中，需针对网络安全漏洞、恶意网络资源、网络安全事件等展开网络安全威胁实时监测，及时发现应用安全风险隐患，并为进一步做好应急处置奠定基础。

3.3 强化安全分析、安全处置等安全防护能力

在安全分析上，设计安全防护架构时应对信令风暴、业务面分布式拒绝服务攻击（Distributed Denial of Service，DDoS）以及运维面攻击检测分析等内容做好资源预留。同时，充分考虑基于安全日志做好安全溯源、安全分析的功能模块，确保安全防护功能可快捷调用日志数据，自动关联防火墙、病毒沙箱等模块，为快速化解风险提供强力支撑。在安全处置反应能力和快速恢复能力提升上，则要设计好攻击事件的安全策略编排及自动响应，为阻断威胁以及快速恢复奠定能力基础。

4 结 论

本文围绕接入层、传输层以及核心层3个层级设计好电子政务外网应用的安全防护架构，覆盖了终端接入鉴权、数据加密、网络传输信道专用、核心层切片隔离等。探索性地提出了终端与信令二次鉴权、配置专用DNN保障数据不出区、基于UPF网络切片逻辑隔离的技术方案构思，形成的相关架构已在电信运营商推动建设的5G电子政务外网中进行了实践，为各地打造安全、便捷、高效的电子政务外网提供了安全架构设计参考。