［賀景鋒］

1 引言

在各類個人辦公平臺上，瀏覽器是業(yè)務(wù)的最主要訪問入口，近80%的應(yīng)用都需要通過瀏覽器方式進(jìn)行訪問，因此瀏覽器安全顯得尤為重要。近年來國內(nèi)外積極開展瀏覽器安全方向的技術(shù)研究，特別是在RSA 2022 創(chuàng)新沙盒大賽中，面向企業(yè)的安全瀏覽器廠商Talon Cyber Security公司，榮膺“RSAC 2022 最具創(chuàng)新初創(chuàng)企業(yè)”，其主要技術(shù)和解決方案涵蓋了從數(shù)據(jù)加密、惡意軟件檢測、網(wǎng)絡(luò)防火墻到用戶隱私保護(hù)等方面。此外，零信任技術(shù)已經(jīng)成熟落地于不同場景，比如谷歌BeyondCorp[1]項目提供了較好研究基礎(chǔ)。

企業(yè)在面對不斷升級的網(wǎng)絡(luò)威脅，政府、企業(yè)和個人對網(wǎng)絡(luò)安全的需求持續(xù)增長，瀏覽器直接關(guān)系到用戶的信息安全、數(shù)據(jù)安全和隱私保護(hù)。

本論文基于國內(nèi)外安全前沿技術(shù)的跟蹤與分析，結(jié)合瀏覽器辦公過程中面對的問題與挑戰(zhàn)，將國際前沿技術(shù)如零信任、數(shù)據(jù)隔離與加密以及具有中國特色的國家密碼算法技術(shù)等進(jìn)行融合探索，設(shè)計符合當(dāng)前企業(yè)實際的安全辦公場景的、兼顧安全防御的瀏覽器安全防御鏈，并在營業(yè)廳業(yè)務(wù)辦理、辦公應(yīng)用實踐、國密改造等場景進(jìn)行探索，最終形成一套集業(yè)務(wù)門戶、數(shù)據(jù)門戶、管理門戶三大門戶一體化的統(tǒng)一辦公瀏覽器安全解決方案體系。

2 瀏覽器關(guān)鍵角色與安全挑戰(zhàn)

2.1 重要業(yè)務(wù)訪問入口

瀏覽器作為業(yè)務(wù)訪問的最主要入口和工具，扮演以下角色。

（1）信息獲取與分享：它不僅是信息獲取的窗口，瀏覽器為用戶提供了便捷的訪問方式，使其能夠獲取、分享和傳播各類豐富信息資源。

（2）在線交互與服務(wù)利用：用戶通過瀏覽器能夠訪問各種在線服務(wù)，包括但不限于電子郵件、公文處理、業(yè)務(wù)辦理、財務(wù)處理，實現(xiàn)生活和工作的訪問需求。

（3）應(yīng)用程序運(yùn)行與數(shù)據(jù)處理：用戶可以在瀏覽器中運(yùn)行復(fù)雜的應(yīng)用、處理和呈現(xiàn)數(shù)據(jù)，甚至執(zhí)行在線辦公任務(wù)。

2.2 面臨安全挑戰(zhàn)

瀏覽器在給用戶提供便捷訪問的同時，面臨著一系列嚴(yán)重的安全挑戰(zhàn)，嚴(yán)重威脅著用戶隱私、數(shù)據(jù)完整性以及系統(tǒng)穩(wěn)定性。

（1）惡意軟件與病毒威脅：惡意軟件和病毒通過瀏覽器傳播，可能導(dǎo)致病毒感染、數(shù)據(jù)泄露，對用戶設(shè)備和隱私構(gòu)成嚴(yán)重威脅。

（2）網(wǎng)絡(luò)攻擊與惡意網(wǎng)站：惡意網(wǎng)站和網(wǎng)絡(luò)攻擊透過瀏覽器進(jìn)行釣魚、欺詐和惡意代碼注入，企圖竊取用戶敏感信息。

（3）跨站腳本攻擊 (XSS) 與跨站請求偽造 (CSRF)：該類攻擊可能導(dǎo)致惡意腳本執(zhí)行、用戶數(shù)據(jù)泄露，以及對用戶賬戶的未授權(quán)訪問。

（4）瀏覽器插件和漏洞：不安全的瀏覽器插件和未修復(fù)的瀏覽器漏洞為攻擊者提供進(jìn)入用戶系統(tǒng)的途徑，增加了安全威脅。

（5）不安全的網(wǎng)站通信：使用不安全的通信協(xié)議可能導(dǎo)致數(shù)據(jù)泄露和篡改，使用戶的敏感信息處于風(fēng)險之中。

（6）Cookie 竊?。翰话踩腃ookie 管理導(dǎo)致用戶身份信息泄露，被攻擊者盜用。

（7）身份驗證問題：傳統(tǒng)身份驗證存在弱點，單一身份驗證因素可能不足以保護(hù)用戶的身份。

3 總體研究設(shè)計

3.1 總體設(shè)計框架

本次研究總體設(shè)計實現(xiàn)重點圍繞瀏覽器辦公門戶，主要架構(gòu)包括基于零信任的瀏覽器安全接入，數(shù)據(jù)安全隔離、可編排策略管理、國密技術(shù)應(yīng)用等，形成終端接入層、通信層、應(yīng)用服務(wù)層、數(shù)據(jù)層的多維一體化防御體系（如圖1 所示）。

圖1 基于零信任與國密瀏覽器的數(shù)據(jù)安全防御架構(gòu)圖

零信任瀏覽器接入層：以零信任SDP[2]為技術(shù)基礎(chǔ)，將瀏覽器能力與零信任SDP 融合，輸出安全瀏覽器客戶端，以零信任SDP 能力解決安全接入過程邊界接入安全。

數(shù)據(jù)安全隔離控制層：對接入后授權(quán)訪問的業(yè)務(wù)系統(tǒng)，結(jié)合web 數(shù)據(jù)隔離、終端數(shù)據(jù)隔離、數(shù)據(jù)隔離策略等形成云-管-端鏈條式數(shù)據(jù)隔離防御，保障瀏覽器訪問數(shù)據(jù)過程合法、安全。

可編排瀏覽器策略管理層：基于瀏覽器構(gòu)建可編排的策略管理模型，解決普通瀏覽器無法管控問題，借助可編排策略可對每一個瀏覽器客戶端進(jìn)行精細(xì)化安全能力分配以及調(diào)度。

國密安全應(yīng)用層：將國家密碼算法技術(shù)融合進(jìn)認(rèn)證登錄、應(yīng)用訪問過程。同時在瀏覽器訪問過程自適應(yīng)國密算法加解密，可適配訪問已改造國密應(yīng)用。

3.1.1 基于零信任的瀏覽器安全接入

瀏覽器安全機(jī)制[3]可以有效保護(hù)接入安全（如圖2 所示）。通過建立基于零信任安全瀏覽器，打造統(tǒng)一辦公門戶：借助零信任實現(xiàn)接入過程的終端、身份、權(quán)限、通道、應(yīng)用入口的鏈條式安全接入防護(hù)；借助瀏覽器實現(xiàn)日常辦公入口的安全管理，比如移動OA 辦公、營業(yè)廳業(yè)務(wù)安全辦理等。

圖2 零信任瀏覽器接入安全架構(gòu)

結(jié)合零信任建立一個統(tǒng)一辦公入口、形成統(tǒng)一業(yè)務(wù)發(fā)布、統(tǒng)一身份、統(tǒng)一訪問、可調(diào)度編排安全策略的安全瀏覽器訪問服務(wù)入口。建立瀏覽器Portal門戶統(tǒng)一辦公入口，營業(yè)/服務(wù)人員一鍵入網(wǎng)訪問業(yè)務(wù)，在不暴露任何內(nèi)網(wǎng)業(yè)務(wù)的基礎(chǔ)上，實現(xiàn)瀏覽器業(yè)務(wù)訪問安全防護(hù)。

3.1.2 數(shù)據(jù)安全隔離控制

數(shù)據(jù)安全隔離采用三部分管控（如圖3 所示）：web數(shù)據(jù)隔離、終端數(shù)據(jù)隔離、數(shù)據(jù)防泄漏管控：

圖3 數(shù)據(jù)安全隔離

（1）web 數(shù)據(jù)隔離

web 數(shù)據(jù)隔離防護(hù)采用自適應(yīng)映像隔離技術(shù)，可以隱藏web 服務(wù)端的真實代碼，隔離自動化攻擊源，實現(xiàn)對web 應(yīng)用系統(tǒng)的全面安全防護(hù)。

（2）終端數(shù)據(jù)隔離

通過構(gòu)建安全瀏覽器沙箱[3]環(huán)境，把終端數(shù)據(jù)操作過程限制在數(shù)據(jù)沙箱環(huán)境中，防止終端數(shù)據(jù)泄露。

（3）數(shù)據(jù)防泄漏管控

在web 數(shù)據(jù)隔離以及終端數(shù)據(jù)隔離基礎(chǔ)上，可通過多種數(shù)據(jù)防泄漏能力保障數(shù)據(jù)安全隔離的有效性，包括：web 水印和系統(tǒng)水印、禁止打印與右鍵、上傳下載限制、錄屏審計等。

3.1.3 可編排瀏覽器策略管理

可編排瀏覽器策略管理，重點解決普通瀏覽器訪問業(yè)務(wù)時無法管、不受控問題。通過建立可編排策略中心，對每一個接入的終端、每一個用戶身份、每一個業(yè)務(wù)，都可以進(jìn)行定制化策略管理（如圖4 所示）。通過構(gòu)建面向瀏覽器的可編排、可調(diào)度、可調(diào)整的策略機(jī)制，有效控制瀏覽器接入平臺的風(fēng)險。

圖4 可編排的瀏覽器安全管理架構(gòu)

3.1.4 國密技術(shù)應(yīng)用

集成商用密碼算法[4]：引入符合國密標(biāo)準(zhǔn)的認(rèn)證算法，如SM2SM3SM4SM9 等，實現(xiàn)端到端的數(shù)據(jù)加密，確保在數(shù)據(jù)傳輸中的機(jī)密性和完整性，建立全鏈條的數(shù)據(jù)安全保護(hù)通道，防范中間人攻擊和竊聽。

此外，通過國密應(yīng)用兼容，對通過瀏覽器訪問的、經(jīng)過國密化改造的業(yè)務(wù)系統(tǒng)，確保應(yīng)用正確調(diào)用和使用符合國密標(biāo)準(zhǔn)的算法和協(xié)議進(jìn)行加解密，最終實現(xiàn)瀏覽器對國密以及非國密應(yīng)用的兼容并存訪問（如圖5 所示）。

圖5 國密安全架構(gòu)圖

3.2 總體防護(hù)流程設(shè)計（如圖6 所示）

圖6 總體防護(hù)流程

3.3 技術(shù)原理和優(yōu)勢特點

3.3.1 零信任 (Zero Trust)技術(shù)

零信任技術(shù)基于對用戶、設(shè)備和網(wǎng)絡(luò)始終不信任的原則，通過實時的動態(tài)訪問控制、多因素身份驗證、細(xì)粒度授權(quán)和動態(tài)信任評估等技術(shù)手段，確保網(wǎng)絡(luò)安全的高度可控性和靈活性。零信任SDP 架構(gòu)主要包括三大部分（如圖7 所示）：SDP 連接發(fā)起主機(jī)（客戶端）、SDP 控制器、SDP 連接接受主機(jī)（安全網(wǎng)關(guān)）。

圖7 SDP 安全架構(gòu)圖[1]

將零信任的安全特性與瀏覽器框架結(jié)合后，可以有效應(yīng)對瀏覽器跨網(wǎng)絡(luò)邊界訪問業(yè)務(wù)過程的暴露面風(fēng)險問題以及權(quán)限管控問題。該技術(shù)的融合運(yùn)用，具有降低攻擊面、隱藏真實業(yè)務(wù)入口、基于用戶身份按需訪問、實時風(fēng)險評估以及自動授權(quán)等優(yōu)勢。

3.3.2 web 數(shù)據(jù)安全隔離保護(hù)

采用web 映像隔離防護(hù)技術(shù)實現(xiàn)web 數(shù)據(jù)安全隔離保護(hù)，實現(xiàn)應(yīng)用隱身和數(shù)據(jù)防泄漏，屏蔽自動漏洞掃描、網(wǎng)頁爬取、注入攻擊等多種攻擊，無需改動應(yīng)用服務(wù)器代碼即可實現(xiàn)最大限度攻擊源隔離，通過“安全防護(hù)關(guān)口前移”技術(shù)手段，增強(qiáng)網(wǎng)站的安全防護(hù)能力。該技術(shù)防御思路通過主動防御，彌補(bǔ)傳統(tǒng)網(wǎng)站安全產(chǎn)品基于規(guī)則庫的被動式防御思路，提升網(wǎng)站安全性。主要包括以下特點：

隱藏站點：采用網(wǎng)站映像防護(hù)技術(shù)，隔離用戶與網(wǎng)站應(yīng)用服務(wù)器的直接訪問，將網(wǎng)站應(yīng)用服務(wù)器隱藏。

減小暴露面：隱藏網(wǎng)站服務(wù)器源代碼，減小其暴露面，大大減少被攻擊的可能性。

數(shù)據(jù)防泄漏：管控網(wǎng)站文件的上傳、下載，加載頁面動態(tài)水印，頁面禁止截圖和打印、禁止鼠標(biāo)右鍵等，防止數(shù)據(jù)外泄。

隔離自動化攻擊源：自動免疫自動化漏洞掃描工具的漏洞掃描攻擊，阻斷不法分子的網(wǎng)絡(luò)攻擊路徑。

防爬蟲和克?。航^大多數(shù)自動化爬蟲工具爬取不到網(wǎng)站頁面內(nèi)容，加大克隆網(wǎng)站的難度。

3.3.3 數(shù)據(jù)沙箱

通過零信任瀏覽器構(gòu)建數(shù)據(jù)沙箱隔離空間，對于訪問敏感數(shù)據(jù)的應(yīng)用系統(tǒng)時，通過沙箱實現(xiàn)敏感數(shù)據(jù)不落宿主機(jī)，從而實現(xiàn)數(shù)據(jù)隔離。當(dāng)沙箱內(nèi)的應(yīng)用啟動，完成沙箱化的過程中，該應(yīng)用的一切文件操作行為，都會被沙箱管理驅(qū)動和重定向引擎所接管，重定向至這個不可見空間，保證了不可見空間數(shù)據(jù)與個人可見空間數(shù)據(jù)的隔離以及數(shù)據(jù)安全性。

3.3.4 國密技術(shù)融合

國密技術(shù)融合通過采用符合國家密碼標(biāo)準(zhǔn)的SM2、SM3、SM4 等算法，在兩個環(huán)節(jié)體現(xiàn)能力：

（1）通信加密環(huán)節(jié)：通過國密算法融合進(jìn)端到端加密隧道，提升加密通信隧道的安全性。

（2）國密應(yīng)用的兼容訪問：對已經(jīng)進(jìn)行國密改造的應(yīng)用，安全瀏覽器通過算法適配，實現(xiàn)國密應(yīng)用的兼容訪問。

4 落地實踐與應(yīng)用分析

4.1 營業(yè)廳業(yè)務(wù)受理場景

在營業(yè)廳業(yè)務(wù)受理場景下，業(yè)務(wù)辦理人員安全能力水平不一，所訪問和操作的業(yè)務(wù)系統(tǒng)均為企業(yè)重要系統(tǒng)，可通過建立基于零信任的安全瀏覽器辦公門戶，打造專屬于營業(yè)廳業(yè)務(wù)受理場景的安全防御體系，具體如下：

（1）應(yīng)用接入安全

業(yè)務(wù)辦理人員訪問各類業(yè)務(wù)系統(tǒng)之前，首先借助安全瀏覽器進(jìn)行零信任接入驗證：用戶通過多因素認(rèn)證，包括身份證結(jié)合人臉識別或指紋識別，并結(jié)合零信任單包敲門技術(shù)，確保用戶身份的強(qiáng)安全性驗證，有效防范惡意訪問和身份冒用風(fēng)險。

（2）應(yīng)用數(shù)據(jù)傳輸加密

為了保障數(shù)據(jù)安全，電信營業(yè)廳安全瀏覽器采用國密加密傳輸技術(shù)。用戶在提交辦理業(yè)務(wù)的信息時，系統(tǒng)使用符合國密標(biāo)準(zhǔn)的加密算法（如SM4）對數(shù)據(jù)進(jìn)行端到端的加密傳輸，防止數(shù)據(jù)在傳輸過程中被竊聽或篡改。

（3）業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全

成功登錄業(yè)務(wù)系統(tǒng)后，營業(yè)廳人員可能需要查詢或更新客戶的個人信息。這些信息是敏感的，因此在數(shù)據(jù)訪問過程中，通過統(tǒng)一編排與控制每一個終端瀏覽器的安全策略，可以實現(xiàn)瀏覽器屏幕數(shù)據(jù)水印、控制上傳下載、數(shù)據(jù)脫敏、錄屏審計等數(shù)據(jù)安全防御措施。

（4）管理安全

業(yè)務(wù)系統(tǒng)登錄后，營業(yè)廳人員的權(quán)限由系統(tǒng)動態(tài)控制。不同的員工根據(jù)職責(zé)和權(quán)限獲得不同的系統(tǒng)訪問權(quán)限。動態(tài)訪問控制確保了員工只能訪問其工作職責(zé)所需的信息和功能，有效降低內(nèi)部權(quán)限蔓延的風(fēng)險。

4.2 辦公應(yīng)用實踐場景

在企業(yè)內(nèi)部，為了提升安全性和用戶體驗，財務(wù)系統(tǒng)和公文系統(tǒng)等辦公場景通過安全瀏覽器作為統(tǒng)一入口進(jìn)行訪問：

（1）安全瀏覽器作為統(tǒng)一入口

員工通過辦公電腦上的安全瀏覽器訪問財務(wù)系統(tǒng)和公文系統(tǒng)，集成零信任模型，為所有系統(tǒng)提供一致的安全接入標(biāo)準(zhǔn)，確保零信任接入的安全性。同時可結(jié)合網(wǎng)絡(luò)準(zhǔn)入限制等，限制辦公終端的接入。

（2）多因素身份驗證

通過安全瀏覽器登錄時，員工進(jìn)行多因素身份驗證，包括身份證、智能卡、用戶名/密碼、生物特征（人臉識別、指紋識別）等。這一層強(qiáng)化了安全性，只有通過身份驗證的員工能夠使用統(tǒng)一入口進(jìn)入系統(tǒng)。

（3）強(qiáng)加密技術(shù)保障數(shù)據(jù)安全

安全瀏覽器在數(shù)據(jù)傳輸中使用國密加密傳輸技術(shù)和TLS 協(xié)議進(jìn)行加密，與財務(wù)系統(tǒng)和公文系統(tǒng)保持一致的加密標(biāo)準(zhǔn)，確保數(shù)據(jù)在傳輸和存儲中的安全性。

（4）動態(tài)權(quán)限管理與審計

安全瀏覽器通過統(tǒng)一的動態(tài)訪問控制和右鍵操作管控策略為員工分配權(quán)限，集成審計機(jī)制記錄員工在財務(wù)系統(tǒng)和公文系統(tǒng)中的操作，實現(xiàn)對整個訪問過程的可追溯性。

（5）用戶隱私保護(hù)

安全瀏覽器通過隱私保護(hù)策略限制對用戶敏感信息的收集和使用，采用匿名化技術(shù)，確保用戶個人身份的隱私安全，合規(guī)處理個人信息。

（6）惡意軟件防護(hù)

安全瀏覽器內(nèi)置有效的惡意軟件防護(hù)機(jī)制，包括實時監(jiān)測、病毒掃描和惡意軟件防火墻，為統(tǒng)一入口提供全方位的安全保護(hù)。

通過將財務(wù)系統(tǒng)和公文系統(tǒng)統(tǒng)一到安全瀏覽器作為入口，不僅實現(xiàn)了一站式訪問，還提供了一致的安全標(biāo)準(zhǔn)，全面加強(qiáng)了系統(tǒng)的安全性、用戶體驗以及管理可控性。

4.3 國密改造實踐場景

為加強(qiáng)國產(chǎn)化業(yè)務(wù)建設(shè)的安全性，現(xiàn)存應(yīng)用系統(tǒng)將逐步推行國密改造，瀏覽器作為應(yīng)用訪問的入口，普通瀏覽器無法適配國密應(yīng)用，導(dǎo)致應(yīng)用改造后無法使用普通瀏覽器訪問。通過使用可兼容國密算法的零信任瀏覽器，滿足用戶在訪問國密改造后的應(yīng)用系統(tǒng)訪問，可自動對國密應(yīng)用進(jìn)行算法適配、識別、加解密等工作，可促進(jìn)國密改造后的各類業(yè)務(wù)系統(tǒng)的推廣與應(yīng)用。

5 未來思考與演進(jìn)

展望未來，零信任企業(yè)安全瀏覽器將不斷演進(jìn)，以適應(yīng)新的威脅和技術(shù)發(fā)展。隨著人工智能和機(jī)器學(xué)習(xí)的進(jìn)步，預(yù)測性安全分析可能會成為零信任模型的重要組成部分。同時，新型的身份驗證方法和設(shè)備管理技術(shù)也將不斷涌現(xiàn)，為企業(yè)提供更多選擇和可能性。

（1）新興威脅應(yīng)對：隨著網(wǎng)絡(luò)攻擊手法的不斷創(chuàng)新，我們需要不斷加強(qiáng)對新興威脅的監(jiān)測和理解。未來的零信任企業(yè)安全瀏覽器應(yīng)更加智能化，能夠快速適應(yīng)新的攻擊手段，采用先進(jìn)的威脅情報技術(shù)進(jìn)行實時監(jiān)測和防范。

（2）人工智能和機(jī)器學(xué)習(xí)的應(yīng)用：人工智能（AI）和機(jī)器學(xué)習(xí)（ML）在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用將成為未來發(fā)展的關(guān)鍵驅(qū)動力。零信任企業(yè)安全瀏覽器可借助這些技術(shù)，實現(xiàn)更精準(zhǔn)的威脅檢測、行為分析和風(fēng)險評估，從而提高系統(tǒng)的自適應(yīng)性和智能性。

（3）量子安全技術(shù)的整合：隨著量子計算技術(shù)的發(fā)展，網(wǎng)絡(luò)安全領(lǐng)域?qū)⒚媾R新的挑戰(zhàn)。零信任企業(yè)安全瀏覽器需要考慮整合量子安全技術(shù)，以保護(hù)傳輸中的敏感信息免受未來量子計算的威脅。

（4）合規(guī)性與隱私保護(hù)：隨著對個人數(shù)據(jù)隱私的關(guān)注不斷增加，未來的零信任企業(yè)安全瀏覽器需更加注重合規(guī)性和隱私保護(hù)。技術(shù)創(chuàng)新應(yīng)與法規(guī)要求相結(jié)合，確保用戶數(shù)據(jù)的合法使用和隱私權(quán)益的保護(hù)。

6 結(jié)束語

本論文深入研究了零信任企業(yè)安全瀏覽器的設(shè)計、實施和落地實踐，旨在應(yīng)對當(dāng)今網(wǎng)絡(luò)環(huán)境中不斷增長的威脅。通過結(jié)合零信任模型、瀏覽器隔離技術(shù)、數(shù)據(jù)沙箱機(jī)制以及國密等先進(jìn)技術(shù)，構(gòu)建了一套全面的企業(yè)瀏覽器安全防護(hù)方案。

零信任企業(yè)安全瀏覽器在提高網(wǎng)絡(luò)安全性、防范高級威脅方面具有顯著效果。其動態(tài)身份驗證、細(xì)粒度訪問控制和實時監(jiān)測等功能，為企業(yè)提供了更可靠的網(wǎng)絡(luò)安全保障。同時也研究了用戶體驗、合規(guī)性和成本效益等方面的考慮，使企業(yè)能夠在提升安全性的同時保持高效的業(yè)務(wù)運(yùn)營。

然而，隨著網(wǎng)絡(luò)威脅不斷演變，我們意識到未來需要持續(xù)創(chuàng)新和升級以維持對抗性。未來的研究方向可以包括對新興威脅的深入理解、人工智能和機(jī)器學(xué)習(xí)、以及量子安全技術(shù)在零信任環(huán)境中的應(yīng)用。此外，與其他安全解決方案的集成也是一個關(guān)鍵的研究方向，有望進(jìn)一步提高企業(yè)網(wǎng)絡(luò)安全水平，確保用戶和組織的數(shù)字資產(chǎn)得到最佳的保護(hù)。