導(dǎo)語：高校網(wǎng)絡(luò)安全建設(shè)應(yīng)用和研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著移動互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)等新技術(shù)的發(fā)展和應(yīng)用，網(wǎng)絡(luò)安全態(tài)勢趨于嚴(yán)峻，各類安全隱患廣泛存在于高校網(wǎng)絡(luò)的各個方面。如何保障核心設(shè)備及其相關(guān)數(shù)據(jù)的安全，保護流動性較強的個人和團體的隱私信息和其知識產(chǎn)權(quán)，并確保他們的計算資源不被利用，或用于攻擊滲透其他目標(biāo)。本文提出了零信任架構(gòu)，試圖在學(xué)術(shù)交流、教育科研與安全防御之間尋求更全面的安全保障。

關(guān)鍵詞：零信任；網(wǎng)絡(luò)安全；校園網(wǎng)

一、引言

互聯(lián)網(wǎng)建立于大學(xué)校園之上，最初它是為學(xué)者們建造的，沒有任何關(guān)于新型商業(yè)和犯罪活動的概念。隨著時代的發(fā)展，互聯(lián)網(wǎng)已超越純粹的學(xué)術(shù)界，推動了信息革命的到來，成為高校、政府與企業(yè)乃至整個國家的重要基礎(chǔ)設(shè)施。當(dāng)前，木馬病毒和高危漏洞泛濫，網(wǎng)絡(luò)攻擊成多樣化態(tài)勢，安全形勢日益嚴(yán)峻，而一直以來高校在信息化進程中缺乏對網(wǎng)絡(luò)安全建設(shè)的整體考慮，導(dǎo)致目前高校網(wǎng)絡(luò)的信息安全建設(shè)嚴(yán)重滯后，以至于無法有效的應(yīng)用網(wǎng)絡(luò)安全策略和防御設(shè)施。如何在建設(shè)信息化、智能化校園的同時，保障校園網(wǎng)絡(luò)安全，讓我們的“象牙塔”成為一方凈土，成為各高校、科研院所亟待解決的關(guān)鍵問題。

二、高校網(wǎng)絡(luò)安全形勢

隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新技術(shù)的發(fā)展和應(yīng)用，各大高校紛紛加入信息化建設(shè)的大軍。在師生享受高校網(wǎng)絡(luò)信息化帶來的資源共享和教學(xué)模式豐富的同時，各種網(wǎng)絡(luò)安全隱患廣泛存在于高校網(wǎng)絡(luò)的各個方面。（一）網(wǎng)絡(luò)資產(chǎn)形式各異。網(wǎng)絡(luò)資產(chǎn)是指在一個機構(gòu)或組織內(nèi)部用于支撐網(wǎng)絡(luò)信息相關(guān)行為的任何數(shù)據(jù)，設(shè)備及其他組件。網(wǎng)絡(luò)資產(chǎn)通常包括硬件（例如服務(wù)器和交換機），軟件（例如關(guān)鍵任務(wù)應(yīng)用程序和支持系統(tǒng)）和數(shù)據(jù)信息。在政府機構(gòu)或公司組織謹(jǐn)慎地保護其國家戰(zhàn)略和知識產(chǎn)權(quán)的過程中，需要一個高度安全的網(wǎng)絡(luò)來嚴(yán)密監(jiān)測和限制設(shè)備、用戶和實時流量，但在高等教育的校園中，鑒于學(xué)術(shù)研究的開放性，全球各地的學(xué)生、訪問學(xué)者及會議團體定期到來，攜帶自己的設(shè)備，尋求與他人一起學(xué)習(xí)和合作。人們談到校園網(wǎng)絡(luò)，更多讓人聯(lián)想起咖啡店或酒店而非公司組織的內(nèi)部網(wǎng)絡(luò)。因此在網(wǎng)絡(luò)的日常管理中，學(xué)校通常對學(xué)生和教師在校園網(wǎng)絡(luò)中使用的設(shè)備擁有相對較少的控制權(quán)。此外，高校中存在門類眾多的學(xué)院和科研機構(gòu)，這些學(xué)術(shù)機構(gòu)因為領(lǐng)域和專業(yè)差別較大，各類硬件設(shè)備和系統(tǒng)軟件在設(shè)計和部署階段存在較大差異，諸如：超級計算機中心、校園WIFI、專業(yè)競賽平臺、校園卡管理系統(tǒng)、實驗室專用網(wǎng)絡(luò)等都給高校網(wǎng)絡(luò)安全建設(shè)帶來了新的挑戰(zhàn)，傳統(tǒng)的應(yīng)用于企業(yè)和政府的網(wǎng)絡(luò)安全方案無法很好的應(yīng)用于高校的網(wǎng)絡(luò)安全建設(shè)。（二）攻擊行為復(fù)雜多變。據(jù)賽門鐵克統(tǒng)計，近年來數(shù)據(jù)泄露事件嚴(yán)重，被盜憑證超過數(shù)以百億條。泄漏的數(shù)據(jù)被廣泛用于電信詐騙、廣告營銷及釣魚攻擊等多種惡意行為，高校網(wǎng)絡(luò)中用戶群體龐大，學(xué)生安全防范意識薄弱，成為網(wǎng)絡(luò)攻擊的首選目標(biāo)；勒索軟件和挖礦劫持等此類攻擊方式，由于門檻低且開銷小，深受犯罪分子青睞，2018年攻擊活動呈爆發(fā)式增長，事件總量為2017年的4倍，高校網(wǎng)絡(luò)存在大量的個人計算機、服務(wù)器，甚至超級計算機中心，此類設(shè)備為勒索軟件和挖礦劫持的重點對象，一旦被感染，將導(dǎo)致嚴(yán)重的后果。2017年，“WannaCry”勒索病毒席卷全球，數(shù)量眾多的操作系統(tǒng)遭受感染，高校網(wǎng)絡(luò)首當(dāng)其沖，大量教學(xué)系統(tǒng)、科研設(shè)備、實驗數(shù)據(jù)等遭受攻擊，部分高校的應(yīng)用系統(tǒng)、數(shù)據(jù)文件和研究資料被偷竊或加密后，無法正常工作，對學(xué)術(shù)研究和教學(xué)工作均造成了嚴(yán)重影響。（三）防御體系淺顯單一。傳統(tǒng)的網(wǎng)絡(luò)安全建設(shè)中，校園網(wǎng)采用防火墻、流量監(jiān)控、VPN及防病毒軟件等軟硬件設(shè)備來保護網(wǎng)絡(luò)邊界及計算機安全。但是這種安全模型存在較大問題，如2.1節(jié)所述，高校網(wǎng)絡(luò)的邊界防護正變得越來越難以實施，攻擊者能夠輕易的繞過防火墻，突破網(wǎng)絡(luò)邊界，從而訪問高校的內(nèi)部網(wǎng)絡(luò)；大量的文件傳輸和共享行為被用于教學(xué)和科研，為蠕蟲病毒及勒索軟件的傳播提供了天然的媒介，由于高校網(wǎng)絡(luò)中的計算機缺乏有效的聯(lián)動機制，此類威脅難以根除，存在交叉感染、反復(fù)感染的情況；在高校網(wǎng)絡(luò)建設(shè)的過程中，大量信息系統(tǒng)的認證機制相互獨立，憑證的保護、認證及存儲等機制各不相同，難以統(tǒng)一維護，給后期網(wǎng)絡(luò)安全檢測和維護工作帶來的較大困難，是高校網(wǎng)絡(luò)安全防御體系的關(guān)鍵薄弱點。

三、零信任網(wǎng)絡(luò)

基于物理位置的高校網(wǎng)絡(luò)邊界定義不再適合新形勢下的網(wǎng)絡(luò)安全模型，移動互聯(lián)網(wǎng)、云計算給攻擊者提供了新的載體，內(nèi)部網(wǎng)絡(luò)中的應(yīng)用服務(wù)和內(nèi)容媒體是高風(fēng)險且不可信的。在谷歌的BeyondCorp的基礎(chǔ)上，本文提出了零信任架構(gòu)在高校網(wǎng)絡(luò)安全建設(shè)中的應(yīng)用模型，這是一種豁免特權(quán)的新模型。在零信任網(wǎng)絡(luò)中，資源的訪問與用戶的網(wǎng)絡(luò)位置無關(guān)，僅取決于設(shè)備和用戶的憑證。無論是校園內(nèi)部、家庭網(wǎng)絡(luò)還是酒店或咖啡店，所有的訪問都需經(jīng)過完整的身份驗證、授權(quán)和細粒度的訪問控制，并依據(jù)設(shè)備狀態(tài)和用戶憑據(jù)進行加密。（一）零信任網(wǎng)絡(luò)的構(gòu)成組件。1.安全設(shè)備和標(biāo)識。在零信任網(wǎng)絡(luò)中，我們定義了“受信設(shè)備”的概念，這是一個隸屬于高校并由其主動管理的設(shè)備，只有受信設(shè)備才能訪問高校網(wǎng)絡(luò)。針對此類設(shè)備，我們需要一個設(shè)備數(shù)據(jù)庫對其網(wǎng)絡(luò)行為、虛擬地址等進行跟蹤和分析。此外，所有的受信設(shè)備都需要以唯一標(biāo)識的方式引用設(shè)備數(shù)據(jù)庫中的相關(guān)記錄，而此過程需要設(shè)備擁有其特定證書。該證書可以唯一地識別設(shè)備，它被用作獲取該設(shè)備信息的鑰匙，代表了該設(shè)備在設(shè)備數(shù)據(jù)庫中存在且設(shè)備信息完整有效，通常證書存儲在硬件或軟件上可信平臺模塊（TPM）或合格證書存儲區(qū)。設(shè)備的認證過程中需要驗證其擁有證書的有效性，只有被認定為足夠安全的設(shè)備可以歸類為可信設(shè)備，同時需要強制性定期檢查證書的有效性。一旦證書安裝完畢，該證書用于高校網(wǎng)絡(luò)服務(wù)的所有通信行為。2.安全用戶和用戶組高校網(wǎng)絡(luò)的使用者及相關(guān)團體構(gòu)成了零信任網(wǎng)絡(luò)的用戶數(shù)據(jù)庫和組數(shù)據(jù)庫，這些數(shù)據(jù)庫涵蓋了高校教師、學(xué)生、訪問學(xué)者等對象的用戶名、身份、有效期等各種屬性，并與教學(xué)管理等多個流程結(jié)合在一起。通過對數(shù)據(jù)庫的跟蹤和管理，如學(xué)生的入學(xué)畢業(yè)，教師崗位的變化、會議競賽的舉辦，這些數(shù)據(jù)庫將會實時更新，并對相關(guān)的應(yīng)用服務(wù)作出響應(yīng)。3.單點登錄系統(tǒng)。單點登錄（SSO）系統(tǒng)是一種集中式的用戶認證系統(tǒng)，對于許多相互關(guān)聯(lián)，但是又各自獨立的應(yīng)用系統(tǒng)而言，它只需要認證一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)，其主要用于用戶通過身份驗證門戶請求訪問高校網(wǎng)絡(luò)資源，其調(diào)用安全用戶和用戶組信息，生成短期令牌可授權(quán)用戶獲取部分資源，解決了高校網(wǎng)絡(luò)中多種形式各異的身份認證機制互不兼容的問題。4.無特權(quán)網(wǎng)絡(luò)。為了使本地和遠程訪問受到相同安全策略的約束，我們需要在校園網(wǎng)的私有地址空間中定義和部署一個非特權(quán)網(wǎng)絡(luò)。非特權(quán)網(wǎng)絡(luò)僅能連接到互聯(lián)網(wǎng)與基礎(chǔ)設(shè)施服務(wù)（例如：DNS、DHCP和NTP）。針對所有物理位置在高校內(nèi)部的聯(lián)網(wǎng)設(shè)備等同于互聯(lián)網(wǎng)設(shè)備一律分配在該非特權(quán)網(wǎng)絡(luò)中，同時非特權(quán)網(wǎng)絡(luò)的ACL（訪問控制列表）約束此網(wǎng)絡(luò)與高校其他網(wǎng)絡(luò)之間的資源存取。5.面向Internet的訪問。高校網(wǎng)絡(luò)的所有應(yīng)用程序都暴露在外部，內(nèi)外部客戶端使用加密方式通過面向Internet的訪問訪問應(yīng)用服務(wù)器。訪問為每個應(yīng)用程序提供全局可達性、負載平衡、訪問控制、應(yīng)用程序運行狀況檢查和拒絕服務(wù)保護等功能。6.公共DNS服務(wù)。高校網(wǎng)絡(luò)中所有的應(yīng)用服務(wù)程序都是公開的，并在公共DNS中注冊，并通過CNAME指向該應(yīng)用服務(wù)器的訪問。7.訪問控制引擎。訪問中的訪問控制引擎根據(jù)應(yīng)用服務(wù)的等級提供授權(quán)操作，其決策過程依據(jù)用戶、用戶所屬的組，設(shè)備證書對應(yīng)的設(shè)備數(shù)據(jù)庫中記錄，進行推演。如有必要，訪問控制引擎可以強制執(zhí)行基于位置的訪問控制。例如，訪問高校網(wǎng)絡(luò)的某一專業(yè)競賽平臺可以限制其他專業(yè)的可信設(shè)備。訪問控制引擎還可以從不同方式和角度限制應(yīng)用程序的各個部分。例如，圖書館管理系統(tǒng)中的更新書目信息需要比查詢書目信息受到更多的權(quán)限約束。8.設(shè)備和用戶的信任鏈。零信任網(wǎng)絡(luò)中用戶和設(shè)備的訪問級別并非一成不變的。通過分析多個數(shù)據(jù)源，我們能夠動態(tài)地分配用戶需要訪問設(shè)備的相關(guān)權(quán)限。然后，訪問控制引擎可以使用此信息作為其決策過程的一部分。例如，未及時更新操作系統(tǒng)的，未對已知存在漏洞的設(shè)備打補丁的，將會導(dǎo)致其信任級別降低；一個特定類型的設(shè)備，例如手機、智能設(shè)備等，將會被分配一個特定的信任級別。用戶從不同位置訪問應(yīng)用程序可能會被分配不同的信任等級，并使用靜態(tài)規(guī)則和啟發(fā)式算法來確定這些用戶和設(shè)備的信任等級。（二）零信任網(wǎng)絡(luò)的安全模型。基于上述定義的組件，我們定義了基于零信任網(wǎng)絡(luò)的高校網(wǎng)絡(luò)訪問模型，無論用戶及其設(shè)備所在的物理地址或者網(wǎng)絡(luò)地址，訪問校園網(wǎng)絡(luò)中的任何應(yīng)用服務(wù)系統(tǒng)，均需依照該訪問模型，進行完整的權(quán)限校驗（如圖1所示）。該模型避免了傳統(tǒng)的防護體系在應(yīng)用于高校網(wǎng)絡(luò)安全時，邊界防護薄弱，核心系統(tǒng)易被攻擊的弱點。（1）用戶使用計算機請求某一校園網(wǎng)服務(wù)，該訪問請求被重定向到訪問，同時計算機需提供其的設(shè)備證書。（2）訪問無法識別該用戶身份并重定向到單點登錄系統(tǒng)。用戶提供其身份驗證憑據(jù)，由單點登錄系統(tǒng)進行身份驗證，并發(fā)出令牌，并重定向回訪問。（3）訪問現(xiàn)具有設(shè)備證書、單點登錄令牌。（4）訪問控制引擎執(zhí)行對每次訪問請求進行授權(quán)檢查，判斷該用戶及其設(shè)備在相關(guān)應(yīng)用服務(wù)上的權(quán)限。其利用設(shè)備數(shù)據(jù)庫、用戶和組數(shù)據(jù)庫、信任鏈及相關(guān)證書，分析該用戶及其設(shè)備的細粒度權(quán)限。確認用戶擁有足夠的信任級別；確認該設(shè)備為受信設(shè)備；確認該用戶及設(shè)備具有足夠的信任級別。即如果所有這些檢查都通過，則請求將被傳遞給后端服務(wù)；如果上述任何檢查失敗，則拒絕該請求。通過此方法，我們構(gòu)建了完整的服務(wù)級身份驗證和依據(jù)請求響應(yīng)的鑒權(quán)機制。

四、結(jié)束語

作為校園網(wǎng)絡(luò)的管理者，我們期望一個能夠最大程度保障核心人員、設(shè)備及其數(shù)據(jù)安全的計算環(huán)境，并讓他們可能受感染的筆記本電腦和智能手機不受影響；同時，我們?nèi)韵ＭＷo流動性較強的團體和個人的隱私信息和知識產(chǎn)權(quán)，并確保他們的計算資源不被利用，或用于攻擊或滲透其他目標(biāo)。面對日益嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢，本文分析了高校網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)，為未來高校信息化建設(shè)中如何在學(xué)術(shù)交流、教學(xué)科研中打造安全的校園網(wǎng)絡(luò)提供了新的思路和視角。

參考文獻

[1]謝世誠.賽門鐵克新”互聯(lián)網(wǎng)安全威脅報告”[J].微型機與應(yīng)用,2007,26(4):22-22.

[2]阮斌.《2017年中國網(wǎng)絡(luò)安全報告》[J].計算機與網(wǎng)絡(luò),2018(5).

[3]侯亞輝.網(wǎng)絡(luò)安全技術(shù)及其在校園網(wǎng)中的應(yīng)用與研究[D].電子科技大學(xué),2007.

[4]RoryWard,BetsyBeyer,BeyondCorp:ANewApproachtoEn-terpriseSecurity,2014.

作者:林春梅⎕李訓(xùn)耀 單位:福建江夏學(xué)院