中国邮政储蓄银行软件研发中心高级信息技术专家 潘华

  在当今数字化时代，随着信息技术的广泛应用和更新迭代，黑客攻击的范围愈发广泛且手段层出不穷，APT攻击、勒索软件、内部越权操作等新型网络攻击手段给金融机构带来前所未有的挑战。同时，随着金融机构业务模式的不断创新和数字化转型的加速，其业务系统面临越来越复杂的访问需求，内部员工、供应商、外部合作伙伴等多样化角色通过多种方式灵活接入系统，使得传统的基于边界的网络安全防护手段显得力不从心。因此，构建一套高效、可靠的移动终端安全接入系统，对于保障金融机构业务安全至关重要。

  在上述背景下，邮储银行系统地评估并分析多种相关前沿技术方案，对比包括基于角色的访问控制(RBAC)、多因素认证(MFA)、微隔离、零信任网络架构等在内的多种技术，从成本效益、安全性能、可扩展性以及对用户体验的影响等多个维度进行全面的评估与对比，最终确定设计一套基于零信任架构、符合邮储银行业务发展需求、能够有效应对当前及未来安全挑战的移动终端接入方案(以下统称“零信任方案”)。零信任方案应用架构如图1所示。

图1 零信任方案应用架构

  一、零信任方案的功能架构

  零信任架构的核心思想是“从不信任，始终验证”，通过强大的身份验证、网络分段、动态访问控制等手段，实现对访问权限的精细控制。在零信任架构下，移动终端的任何访问请求都需要经过严格的身份验证和访问授权，从而消除网络安全中的隐性信任，重塑安全边界。具体而言，零信任方案的功能架构由以下几部分组成(如图2所示)。

图2 零信任方案功能架构

  1.客户端

  客户端安装在Pad、POS等移动终端，包括代理网关SDK和自身防护模块。其中，代理网关SDK提供认证连接、网络代理功能，可将终端的业务请求经过TLS加密后转发到可信代理网关，同时对返回的TLS加密数据进行解密，将数据包恢复后返回给终端App。自身防护模块提供病毒查杀、文件清理、环境感知、风险预警等功能。该模块通过不定期更新病毒库，能够实时检测并清除系统中的病毒、木马、蠕虫等恶意软件，且支持快速扫描、全盘扫描及自定义扫描等多种模式，同时，还能够通过及时清理文件释放磁盘空间、优化系统性能。

  2.可信代理网关

  可信代理网关部署在行内的隔离区(DMZ)，提供HTTPS卸载、业务代理、基于TLS传输加密等功能，可实现网络隐身，以避免对外地址和端口的暴露。客户端SDK发起业务访问请求时，可信代理网关将相关信息发送到可信控制台进行鉴权，认证成功后客户端与网关建立一个连接隧道，然后可信代理网关将鉴权数据进行缓存并设定有效时间，在该段时间内，业务请求在可信代理网关进行本地鉴权。

  3.可信控制台

  可信控制台部署在行内的DMZ，提供参数配置、基于CA证书的身份认证、动态权限配置等功能。根据管理服务器分析出的访问环境结果，可信控制台匹配本地的动态控制策略规则，一旦匹配结果触发某条动态控制策略规则，可信控制台将给可信代理网关下发命令，对访问权限进行实时干预，从而以“最小权限”控制访问范围，同时通过断开访问连接有效降低业务安全风险。

  4.管理服务器

  管理服务器部署在生产区，提供系统管理、证书管理、策略管理、环境评估、终端风险分析等功能。终端通过心跳形式将基础环境、联机、软件安装等信息上传到管理服务器进行综合评估，管理服务器支持按照逻辑与、逻辑或的方式指定评估规则，并支持基于机器学习算法的模型训练，从而使管理员可灵活配置各种评估规则，并基于规则进行终端感知结果计算。

  二、零信任方案主要创新点

  1.单包授权SPA助力零信任网关实现

  当客户端通过指纹和证书等多种方式完成身份验证后，可信控制台会生成一个随机码作为敲门因子，并将本次连接的可信代理网关的敲门地址一起发送给客户端SDK，同时将该随机码同步至对应的可信代理网关。SDK获取敲门因子后，使用UDP协议将敲门因子组装协议包发送至对应的可信代理网关敲门地址，然后进行TCP端口的连通性探测。如果探测失败，间隔3秒再重复一轮，如果尝试3轮之后仍然失败，则提示用户敲门失败，此时可能需要联系管理员介入处理。以上即为SPA单包敲门过程。

  2.服务端实时汇总计算终端风险

  客户端提取终端如ROOT检查、模拟器检查、加密芯片TF卡、外网网址非法访问、异常进程、摄像头访问情况、病毒检测等多种特征信息，并将这些信息实时上传至管理服务器进行健康度检查，管理服务器接收这些信息后，利用基于机器学习算法的风险感知模型进行计算分析。风险感知模型通过不断学习已知的安全威胁和攻击模式，能够识别出潜在的风险行为，并计算出对应的风险值，一旦其计算出某个终端的风险值超过预设的阈值，管理服务器就会将风险终端的信息推送到可信控制台。可信控制台根据获取的风险信息，利用终端的唯一标识精确识别并定位风险终端。随后，可信控制台可以自动或根据管理员的指令，对风险终端的访问进行实时阻断，防止其进一步危害网络环境或数据安全。

  三、零信任方案的价值与成效

  1.通信组件自主可控

  (1)精细化权限控制

  零信任网关提供了更精细的访问控制，可以根据用户、设备、应用程序和上下文信息进行动态授权。可信控制台可以差异化配置不用角色用户可访问的资源列表，从而实现最小特权原则。

  (2)日志可追踪

  通过引入日志链路追踪技术，零信任方案可记录各分布式组件的关键操作，无论是数据的流转、服务的调用还是异常的发生，都能被详细记录下来，形成一条清晰、连贯的日志链路。该设计极大地提升了定位故障点、分析系统性能瓶颈以及追踪安全事件的效率。

  (3)风险可控

  相较于之前VPN架构体系，零信任方案中的自有网关组件可进行实时风险拦截，以及时阻断风险。VPN通常基于静态信任模型，一旦用户通过身份验证，就默认其后续访问行为是可信的，这种模型在复杂多变的网络环境中容易遭受攻击。在VPN架构中，一旦出现故障，整个网络将受到影响。

  (4)安全审计

  用户使用合法的终端设备和用户凭证成功登录客户端以后，可信控制台会生成用户的令牌信息，令牌信息拼接认证类型、用户证书数据库唯一ID、时间戳、随机数等信息可综合计算密钥相关的哈希运算消息认证码(HMAC)，具有防伪造、防篡改，过期失效特性。在将令牌分发到各组件模块后，各组件模块可使用令牌向可信控制台请求身份信息、会话信息、访问控制以及进行会话保活等。同时，令牌能够标识主客体会话，并在整个系统中具有唯一性，因此，可以在各个模块的关键流程日志中对令牌进行记录，用于后续的跟踪和审计。

  2.快速建立安全稳定隧道

  在传统接入方式中，VPN大多采用基于L3层的通信协议，每次建立隧道之前需要创建虚拟网卡。根据以往的实践和反馈，建立虚拟网卡需要2～3秒的时间，网络抖动导致的隧道中断会显著延长重新建立连接的时间，进而严重影响用户的使用体验。

  零信任方案中的隧道通信转发采用自有基于L4层的通信协议，这种设计使得每个客户端与服务器之间都能建立一条独立的、专用的加密隧道，从而实现更细粒度的访问控制和更高的安全性。更为关键的是，零信任方案采用了动态连接管理机制，即每次业务请求都会新建一个TCP连接，而非在隧道层面进行持久的连接保持。这种方式虽然提高了连接管理的复杂性，但却能显著提升资源利用效率和响应速度，因为连接可以按需建立，并在使用完毕后迅速释放。同时，在可信代理网关中，可对TCP连接进行编号并维护其对应内网IP的映射关系，并由客户端的代理SDK将网络数据包拆包重组后发往代理网关，查找映射关系后转发到对应业务服务器。

  未来，邮储银行在持续进行零信任建设的过程中，将时刻关注用户体验和业务连续性的提升，通过优化零信任架构的设计和实施，缩短用户在访问金融系统时的认证和授权流程，提高系统的易用性和便捷性。同时，建立完善的应急响应机制，制定业务连续性计划，确保银行在遭遇安全事件时能够迅速恢复业务运行，以保障服务的连续性和稳定性。在技术创新方面，邮储银行将深入探索应用大模型及AI智能分析技术，并通过深度学习等先进技术，使大模型能够自动学习并识别复杂的数据异常情况，包括但不限于网络流量中的异常行为、日志文件中的潜在威胁等，从而实现对潜在威胁的精准识别和快速响应。

作者：

  中国邮政储蓄银行软件研发中心高级信息技术专家 潘华

  中国邮政储蓄银行软件研发中心 王齐峰 李北川 韩硕 段向欢