一、案例背景

温州市大数据发展管理局一直来在以大数据赋能智慧城市、智慧国企、智慧健康等方面走在前列，已建成的一体化智能化公共数据平台为该市下属的委办单位、企业、公众提供良好的大数据业务支撑服务，以数据智能赋能数字经济和民生。
 

十四五规划中，数据相关产业将成为未来中国发展建设的重点部署领域，相关的数据安全也变得更加重要。随着数据开放面逐渐扩大、数据访问量不断增加，温州市大数据发展管理局预见到了开放共享过程中潜在的数据安全防护及溯源问题，例如数据访问无法追溯到最终用户、API自身脆弱性带来的安全配置错误及注入风险、API异常高频访问带来的数据暴露风险等，为此温州市大数据局启动了一体化智能化公共数据平台零信任安全防护体系的建设任务，并引入安恒信息作为零信任安全供应商。
 

二、案例概述和应用场景

基于零信任的理念，本次方案强调“永不信任、始终确认”，在业务访问的全流程中引入身份认证的能力，对管控的客体对象“用户”、“应用”的身份进行持续校验，并针对防护对象API资源，实现“先认证、再授权、再访问”的管控逻辑，通过为公共数据平台构建虚拟身份安全边界，最大程度上收窄公共数据平台的暴露面，保障业务安全开展。
 

图1. 温州市一体化智能化公共数据平台零信任安全防护体系逻辑架构
 

温州市一体化智能化公共数据平台零信任安全防护体系由以下几个关键组件构成：

• 统一控制台：作为零信任架构中的PDP，维护用户清单、应用清单及资源清单，集成SSO系统，并负责零信任体系内访问控制策略的制定和API安全代理的控制。其中用户清单来源于浙江省数字政府IDaaS、浙政钉等多源用户身份目录的合并，追踪和更新温州全市12万余用户信息的变化，所有用户具有唯一标识，用户清单为零信任体系中的UEBA行为分析引擎提供信息；应用清单维护所有接入零信任体系的应用系统的身份信息，通过与温州市建设的目录系统联动，实现全网应用身份统一，并为应用生成零信任安全接入工具；资源清单维护所有要保护的客体对象信息（在温州场景下即API接口资源），通过手动配置或从流量中分析的方式建立。

• API安全代理：作为零信任架构中的PEP，以“默认拒绝”的模式接管所有面向公共数据平台的访问请求，针对每条请求进行身份鉴别和权限鉴别，仅放通通过统一控制台验证的合法请求，同时输出其他API安全防护能力。

• UEBA行为分析引擎：负责采集零信任体系中的用户行为数据，并对用户行为、应用行为进行大数据建模匹配分析，为统一控制台的访问控制策略指定提供输入依据。

三、优势特点和应用价值：

1、统一身份、安全认证

统一控制台通过SSO系统为政务外网所有的应用系统提供认证门户，接入应用的用户在通过统一认证的合法性校验后将会生成包含用户、应用身份唯一信息的访问令牌，作为获得后续访问资源的授权凭证之一。

统一控制台在认证过程中，通过对接浙政钉体系、短信体系等，提供多因子认证手段，并通过门户获取登录环境信息，综合判定用户身份，并在发生异常访问事件时对用户登录进行快速处置。 
 

2、收缩资源暴露面

API安全代理逻辑串行在公共数据平台的访问通道上，默认拒绝所有请求。统一控制台为注册应用生成访问工具，实现只有集成了访问工具的应用系统服务器可以建立安全连接，同时在应用层叠加用户身份凭证的验证，实现只有授信用户、通过授信应用服务器才能够访问API资源，极大强化了公共数据平台对抗潜在的扫描攻击等威胁的能力。
 

3、全流量加密

API安全代理为所有访问公共数据平台的请求加载TLS加密通道，保障流量在通道上的安全加密、防篡改。
 

4、 用户及API调用行为分析

API安全管控系统支持对API访问过程中产生的访问日志进行智能分析，并发现潜在的违规调用行为。统一控制台支持按场景扩展异常行为特征匹配规则，根据用户、应用、IP、入参、出参等完整的API请求日志信息，帮助安全团队发现凭证共享、疑似拖库、暴力破解等行为。
 

5、API敏感信息监控及溯源

为调用方发起的所有访问请求形成日志记录，记录包括但不限于调用方（用户、应用）身份、IP、访问接口、时间、返回字段等信息，并向统一管控平台上报。

API安全管控系统将按配置对API返回数据中的字段名、字段值进行自动分析，发现字段中包含的潜在敏感信息并标记，帮助安全团队掌握潜在敏感接口分布情况。
 

四、经验总结：

项目的实施准备阶段，交付团队首先在统一控制台上拉通多方身份及认证体系、注册一体化智能化公共数据平台服务，准备好零信任安全防护体系的上线和基础。在该阶段，需要注意对多方身份目录的梳理，涉及到多方用户信息整合的，需要提前获取各方所提供的数据同步文档、接口文档，确认同步方案，以确保用户信息能够及时同步、保持一致。
 

搭建好基础架构后，统一控制台即对应用系统开放单点登录及访问工具集成能力，优先选择了开发中的和新上线的业务系统进行单点登录对接，并将SSO能力形成标准文档，作为后续政务外网应用开发、接入一体化智能化公共数据平台服务前的必选项之一。
 

需要尤其注意的是在现有的访问体系下，如何向新的安全访问控制体系迁移。因此项目组在一体化智能化公共数据平台侧，对接口的访问迁移也采用分步骤的方式。在项目实施前期阶段，公共数据平台上已有接口并没有做强制的访问策略切换，只针对新上线的接口，在公共数据平台上启用源IP白名单，只接收API安全代理转发来的请求；同时，由API安全代理兼容公共数据平台的认证能力，不再向新上线的应用提供公共数据平台自身的认证凭证，使其必须通过API安全管控系统访问，完成遗留的通道切换后，再处理网络策略的连通性。
 

另外，在运维流程上实现资源目录的统一管理运维，对后期维护来说也非常重要，一次项目组通过将温州市用户统一登录中心（统一控制台）对接温州市资源目录系统，打通新应用接入的标准化流程，实现业务资源的统一运维。
 

在访问过程中，统一控制台收集API安全代理上报的日志，对API的访问频度、调用方分布、异常行为、API敏感数据进行分析和展示，根据分析结果、API重要程度逐渐进行白名单策略的切换。