導語：零信任架構在廣電5G云網的應用一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：5G利用NFV、SDN、MEC、云計算等一系列新技術，增加了網絡攻擊暴露面，也給廣電云網安全帶來新的挑戰。本文從零信任架構的基本特征、安全架構、具體應用等方面加以論述，旨在能夠對廣電5g云網應用防護提供一些參考借鑒。

關鍵詞：5G；零信任架構；云計算

1引言

2021年，中國廣電和中國移動正式簽署了“5G戰略”合作協議，并簽訂了補充協議，正式開啟廣電700MHz5G網絡共建共享合作。5G從概念走向了落地、部署和實施。物聯網的萬物互聯、新的云端基礎架構、多樣化的融合服務，5G技術的高速發展及新業務需求，都加重了廣電5G創新應用時代的安全考量。省級廣電網絡公司一般擁有多個內部網絡，擁有可遠程辦公的基礎設施、BOSS、客服、運維、遠程和移動個人設備，以及提供各種服務云平臺等。這種復雜性已經明顯超出基于邊界的傳統的網絡安全方法能力，廣電企業沒有了單一的、容易識別的安全邊界。基于邊界的網絡安全已經多次被證明是不夠的，因為一旦“黑客”或“攻擊者”突破了堡壘機或安全邊界，向企業內部網絡進一步地橫向移動就會不受阻礙。這就要求我們必須為企業基礎設施提供一種網絡安全防護的新模式。

2零信任架構

廣電零信任架構(NGB-ZTA)是一種基于廣電可管、可控、零信任原則的廣電網絡安全架構，主要由用戶、設備、網絡、應用、授權、審計6個功能部分構成，具體可劃分為零信任安全控制中心、零信任安全代理、訪問主體和訪問客體4個區域，如圖1所示，旨在防止企業內部數據泄露和限制內部橫向移動。基于“永不信任，始終驗證”的原則，通過綜合用戶身份、位置、狀態、數據、歷史行為等上下文信息，執行認證授權。

2.1零信任架構的基本特征

我們始終認為網絡是不安全的；內部網絡不足以決定是可被信任的；每一個系統用戶、設備和網絡流量都需要可管、可控，都需要進行認證和授權；網絡始終存在內外部各種安全威脅；安全策略不能是靜態的，而是需要進行動態的、利用上下文信息來計算和評估信用度。

2.2零信任架構安全

（1）用戶安全在廣播電視網絡中持續地對可信用戶進行身份驗證至關重要。不僅需使用身份、憑證、訪問控制和多因素身份驗證等技術，還需要重點持續監視和校驗用戶的可信度及管理其訪問和控制特權。（2）設備安全在網設備的實時網絡安全和可信賴性是零信任的基本要求。系統提供的數據不僅需用于在網設備信任評估，還需要對每個訪問請求、狀態、版本、加密啟用等進行有效評估。（3）網絡安全科學分割、合理隔離和有效控制網絡的能力仍然是零信任架構網絡安全的關鍵點。整個網絡規劃需要充分考慮控制特權網絡訪問，高效管理網絡內部和外部數據流，有效防范網絡中的橫向流動，制定具有可預見性的動態策略并對網絡和數據流量進行信任決策。（4）應用安全保護和正確管理應用程序層、虛擬機和容器對于零信任架構安全十分重要。具有識別和控制堆棧的能力有助于更精準地訪問決策。在對應用程序提供適當的訪問控制時，多因素敏捷身份驗證已成為十分關鍵的環節。（5）授權安全通過利用自動化工具進行安全信息、事件管理以及用戶和實體行為分析。以工作流自動對最終用戶進行監測為手段，將安全流程和安全工具綁定在一起，通過合法授權后，對不同的系統進行安全管理。（6）審計安全通過信息管理、安全分析、行為分析和其他分析系統等工具，使安全管理人員可以實時觀察正在發生的變化，并結合大數據、云計算、AI等技術確定防御的方向，以助于在危險事件發生之前主動制定有效的安全策略和應對措施。

3零信任架構的具體應用

3.1零信任架構之直播管理

零信任架構頻道管理就是在不可信的網絡環境下進行信任重建，直播頻道在不同終端（平臺）可提供不同服務，可設置不同時間段內限制播放。比如，頻道在某一個時間段內，用戶可在某一終端如STB端觀看，手機端無版權，則可以單獨限制用戶在手機上觀看。對頻道的指定時間段，若無權限觀看直播，則可限制直播；同時，可限制用戶時移播放；對一個回看的節目，如終端沒有版權，則可對其回看進行限制，用戶在回看限制失效前，無法觀看該回看節目。頻道播放的碼率配置分為全平臺和分平臺：在全平臺，可以給所有平臺配置相同的碼率；在分平臺，直播服務和回看服務都可按照不同平臺配置不同的碼率，時移服務的碼率同步相應平臺的直播碼率。針對直播、時移和回看服務按平臺（TV、CA、Mobile、Pad、PC）實現一鍵開啟和關閉所有頻道。服務啟停區分全平臺和分平臺，且直播、時移、回看服務啟停獨立，各平臺服務啟停分離。系統支持針對正常播出節目情況下的內容插播功能，可在后臺配置對指定的相應時間段和頻道進行強制插播，也可選擇是否開啟插播。為防止正在播出的節目由于內容源、服務器等問題出現中斷，未編輯某時間段節目單時，或者當內容源出現問題時，可在系統中添加點播內容，可保障播出內容的不間斷。

3.2零信任架構之監控管理

5G萬物互聯的特點使攻擊更有利可圖，一方面，5G把網絡安全擴大到物理安全、財產安全甚至人身安全，黑客攻擊成功會比之前單純的網絡攻擊更有利可圖，驅動更多的黑客研究5G網絡攻擊，攻擊發生的可能性更大；另一方面，5G的應用環境更開放，互聯網的設備和環境更廣泛，這讓黑客攻擊機會更多，俯仰之間都是攻擊目標。而建立嚴密的監控系統可以有效地防范和避免安全事故的發生。監控系統外網入口接入攝像頭或者第三方監控系統媒體流，對于接入的視頻流可進行馬賽克合成，通過組播方式供系統直播和錄流所需要的數據。（1）監控流接入可以直接接入視頻監控系統；非標準流接入，可以轉碼成標準流再接入視頻監控系統；對于不需要錄制回看的攝像頭支持按需接入，只有用戶請求了實時直播，系統才會從攝像頭或者第三方監控接入，節約網絡帶寬資源。（2）區域管理區域按層級劃分，即將區域進行多層管理。引入國家統計局的標準區域及區域碼（到村級），不需用戶手動添加。（3）攝像頭管理為方便對攝像頭進行管理，準確定位監控，應該將整個小區的攝像頭的信息錄入管理。新增攝像頭時，后臺記錄攝像頭基本信息及其隸屬區域、具體位置、局域網內的IP地址等詳細信息。更換和刪除攝像頭時，該攝像頭信息同步到后臺數據庫中。（4）監控鑒權視頻監控系統采用層級區域管理方式，因此針對每個區域，可采用授權方式單獨授權。上級區域可對下級區域進行監控授權。終端用戶只能看到家庭地址所在區域的監控，若看其他區域的監控需要后臺管理員為其分配。（5）多終端監控視頻監控處理系統采用統一后臺管理，即時監控和監控回看視頻。因此，在統一后臺的支持下，多終端如手機、機頂盒、iPad等登錄視頻監控處理系統，可同步查看該用戶授權的監控。

3.3零信任架構之SDP安全網關

SDP安全網關是一個基于“零信任”理念的安全接入網關，提供單包授權、持續信任評估、最小授權等技術，將廣電傳統直播和點播業務應用在互聯網上“隱身”，避免被掃描和攻擊，保證廣電傳統業務訪問的安全性。（1）可管、可控、可信認證基于廣電網絡可管、可控的理念，將內網用戶身份、設備狀態、設備信息、網絡環境、時間等多種因素進行合法綜合統一身份認證。（2）最小化授權系統驗證通過后，建立細顆粒度用戶權限，僅為用戶授權工作所需的最小化資源，避免用戶權限過大，減少網絡安全隱患。（3）全終端支持支持Android、TVOS、Windows、Linux、MacOS等主流系統終端。（4）更安全的加密傳輸通道通信隧道采用高強度敏捷加密算法，通過不定期地更換通信臨時密鑰，來有效避免重放攻擊或中間人攻擊等行為，確保通信鏈路安全。（5）端口隱身通過采用SPA單包授權技術，禁用互聯網上的所有常用TCP端口，避免造成任何被掃描和被攻擊，讓企業非必要在互聯網呈現的業務或服務在互聯網上“隱身”。（6）持續的信任評估根據不同安全等級的要求，對用戶使用行為和終端安全進行持續的風險評估，機動靈活地調整訪問策略和權限。

3.4零信任架構之NGB統一身份認證平臺

統一身份認證平臺，基于零信任架構設計理念，提供統一身份管理、多重因子認證、統一認證服務、權限控制、風險控制，以及身份管理與認證審計的全方位安全管理策略。（1）用戶中臺用戶賬號的全流程管理，包括管理、創建、激活、停用、刪除等。建立企業統一用戶管理中臺，向企業各業務系統提供用戶信息的同步和認證服務。（2）認證中心采用單因素認證、雙因素認證、風險認證等自定義認證策略，針對不同的用戶或用戶組進行分發。（3）動態認證引擎針對不同等級、不同應用、不同要求，進行可持續評估；針對風險因素和敏感事件因素觸發不同的動作。（4）權限控制可根據動態認證引擎，對認證用戶授予不同的訪問和控制權限。（5）日志審計平臺采集所有與認證、權限、風險、操作相關的流程日志，利用場景化分析技術，生成多種使用場景的可視化審計日志。（6）多重因子認證提供短信認證、掃碼認證、證書認證等靜態密碼以外的多重認證。

3.5零信任架構之云應用接入

平臺系統可以對接多種接入以豐富云平臺的能力，系統接入過程中使用防火墻在內部網和外部網之間、專用網與公共網之間的界面上構造保護屏障，對流經它的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標服務器上被執行。防火墻還可以關閉不使用的端口，而且能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止惡意訪問，從而防止來自不明入侵者的所有通信。在項目實際運營時，有些內容來源本身安全性較高，為降低人工運維成本，可以在后臺針對內容接入商（CP）進行“免審核”設置。數據導入后的第一個工作是對所有的數據逐條進行敏感詞檢測，自動過濾掉含有敏感字詞的整條新聞。敏感詞條由云平臺敏感詞管理后臺編輯整理，作為敏感新聞決策依據，含敏感詞的文章被過濾出來后，需保留供管理員查閱。對關鍵字的挖掘采用云平臺分詞技術，為提高關鍵字識別準確度，會從新聞標題中提取關鍵字，如人名、事件名、專有名詞、熱門詞匯等。

4結語

對于如何安全、高效地開展5G及智慧城市等相關業務，對廣電企業意義重大。推動媒體融合發展，打造智慧廣電媒體，發展智慧廣電網絡，要求我們必須采用一種自適應的、不斷更新的、自主學習的安全策略。廣電企業應圍繞“零信任”安全架構，展開主動構建“零信任”的模型和運維管理方式，并結合微隔離、持續性監控及策略自適應計算，為廣電企業云網安全保駕護航。

參考文獻

[1]陳本峰.零信任網絡安全——軟件定義邊界SDP技術架構指南[M].北京:電子工業出版社,2021.

[2]凱文·韋巴赫.區塊鏈與信任新架構[M].楊東,等譯.北京:機械工業出版社,2020.

[3]埃文·吉爾曼,道格·巴斯.零信任網絡在不可信網絡中構建安全系統[M].奇安信身份安全實驗室,譯.北京:人民郵電出版社,2022.

作者：李大明 單位：中國廣電遼寧網絡股份有限公司