導語：高校網絡安全建設應用和研究一文來源于網友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著移動互聯(lián)網、大數(shù)據(jù)、云計算、物聯(lián)網等新技術的發(fā)展和應用，網絡安全態(tài)勢趨于嚴峻，各類安全隱患廣泛存在于高校網絡的各個方面。如何保障核心設備及其相關數(shù)據(jù)的安全，保護流動性較強的個人和團體的隱私信息和其知識產權，并確保他們的計算資源不被利用，或用于攻擊滲透其他目標。本文提出了零信任架構，試圖在學術交流、教育科研與安全防御之間尋求更全面的安全保障。

關鍵詞：零信任；網絡安全；校園網

一、引言

互聯(lián)網建立于大學校園之上，最初它是為學者們建造的，沒有任何關于新型商業(yè)和犯罪活動的概念。隨著時代的發(fā)展，互聯(lián)網已超越純粹的學術界，推動了信息革命的到來，成為高校、政府與企業(yè)乃至整個國家的重要基礎設施。當前，木馬病毒和高危漏洞泛濫，網絡攻擊成多樣化態(tài)勢，安全形勢日益嚴峻，而一直以來高校在信息化進程中缺乏對網絡安全建設的整體考慮，導致目前高校網絡的信息安全建設嚴重滯后，以至于無法有效的應用網絡安全策略和防御設施。如何在建設信息化、智能化校園的同時，保障校園網絡安全，讓我們的“象牙塔”成為一方凈土，成為各高校、科研院所亟待解決的關鍵問題。

二、高校網絡安全形勢

隨著云計算、大數(shù)據(jù)、物聯(lián)網、移動互聯(lián)網等新技術的發(fā)展和應用，各大高校紛紛加入信息化建設的大軍。在師生享受高校網絡信息化帶來的資源共享和教學模式豐富的同時，各種網絡安全隱患廣泛存在于高校網絡的各個方面。（一）網絡資產形式各異。網絡資產是指在一個機構或組織內部用于支撐網絡信息相關行為的任何數(shù)據(jù)，設備及其他組件。網絡資產通常包括硬件（例如服務器和交換機），軟件（例如關鍵任務應用程序和支持系統(tǒng)）和數(shù)據(jù)信息。在政府機構或公司組織謹慎地保護其國家戰(zhàn)略和知識產權的過程中，需要一個高度安全的網絡來嚴密監(jiān)測和限制設備、用戶和實時流量，但在高等教育的校園中，鑒于學術研究的開放性，全球各地的學生、訪問學者及會議團體定期到來，攜帶自己的設備，尋求與他人一起學習和合作。人們談到校園網絡，更多讓人聯(lián)想起咖啡店或酒店而非公司組織的內部網絡。因此在網絡的日常管理中，學校通常對學生和教師在校園網絡中使用的設備擁有相對較少的控制權。此外，高校中存在門類眾多的學院和科研機構，這些學術機構因為領域和專業(yè)差別較大，各類硬件設備和系統(tǒng)軟件在設計和部署階段存在較大差異，諸如：超級計算機中心、校園WIFI、專業(yè)競賽平臺、校園卡管理系統(tǒng)、實驗室專用網絡等都給高校網絡安全建設帶來了新的挑戰(zhàn)，傳統(tǒng)的應用于企業(yè)和政府的網絡安全方案無法很好的應用于高校的網絡安全建設。（二）攻擊行為復雜多變。據(jù)賽門鐵克統(tǒng)計，近年來數(shù)據(jù)泄露事件嚴重，被盜憑證超過數(shù)以百億條。泄漏的數(shù)據(jù)被廣泛用于電信詐騙、廣告營銷及釣魚攻擊等多種惡意行為，高校網絡中用戶群體龐大，學生安全防范意識薄弱，成為網絡攻擊的首選目標；勒索軟件和挖礦劫持等此類攻擊方式，由于門檻低且開銷小，深受犯罪分子青睞，2018年攻擊活動呈爆發(fā)式增長，事件總量為2017年的4倍，高校網絡存在大量的個人計算機、服務器，甚至超級計算機中心，此類設備為勒索軟件和挖礦劫持的重點對象，一旦被感染，將導致嚴重的后果。2017年，“WannaCry”勒索病毒席卷全球，數(shù)量眾多的操作系統(tǒng)遭受感染，高校網絡首當其沖，大量教學系統(tǒng)、科研設備、實驗數(shù)據(jù)等遭受攻擊，部分高校的應用系統(tǒng)、數(shù)據(jù)文件和研究資料被偷竊或加密后，無法正常工作，對學術研究和教學工作均造成了嚴重影響。（三）防御體系淺顯單一。傳統(tǒng)的網絡安全建設中，校園網采用防火墻、流量監(jiān)控、VPN及防病毒軟件等軟硬件設備來保護網絡邊界及計算機安全。但是這種安全模型存在較大問題，如2.1節(jié)所述，高校網絡的邊界防護正變得越來越難以實施，攻擊者能夠輕易的繞過防火墻，突破網絡邊界，從而訪問高校的內部網絡；大量的文件傳輸和共享行為被用于教學和科研，為蠕蟲病毒及勒索軟件的傳播提供了天然的媒介，由于高校網絡中的計算機缺乏有效的聯(lián)動機制，此類威脅難以根除，存在交叉感染、反復感染的情況；在高校網絡建設的過程中，大量信息系統(tǒng)的認證機制相互獨立，憑證的保護、認證及存儲等機制各不相同，難以統(tǒng)一維護，給后期網絡安全檢測和維護工作帶來的較大困難，是高校網絡安全防御體系的關鍵薄弱點。

三、零信任網絡

基于物理位置的高校網絡邊界定義不再適合新形勢下的網絡安全模型，移動互聯(lián)網、云計算給攻擊者提供了新的載體，內部網絡中的應用服務和內容媒體是高風險且不可信的。在谷歌的BeyondCorp的基礎上，本文提出了零信任架構在高校網絡安全建設中的應用模型，這是一種豁免特權的新模型。在零信任網絡中，資源的訪問與用戶的網絡位置無關，僅取決于設備和用戶的憑證。無論是校園內部、家庭網絡還是酒店或咖啡店，所有的訪問都需經過完整的身份驗證、授權和細粒度的訪問控制，并依據(jù)設備狀態(tài)和用戶憑據(jù)進行加密。（一）零信任網絡的構成組件。1.安全設備和標識。在零信任網絡中，我們定義了“受信設備”的概念，這是一個隸屬于高校并由其主動管理的設備，只有受信設備才能訪問高校網絡。針對此類設備，我們需要一個設備數(shù)據(jù)庫對其網絡行為、虛擬地址等進行跟蹤和分析。此外，所有的受信設備都需要以唯一標識的方式引用設備數(shù)據(jù)庫中的相關記錄，而此過程需要設備擁有其特定證書。該證書可以唯一地識別設備，它被用作獲取該設備信息的鑰匙，代表了該設備在設備數(shù)據(jù)庫中存在且設備信息完整有效，通常證書存儲在硬件或軟件上可信平臺模塊（TPM）或合格證書存儲區(qū)。設備的認證過程中需要驗證其擁有證書的有效性，只有被認定為足夠安全的設備可以歸類為可信設備，同時需要強制性定期檢查證書的有效性。一旦證書安裝完畢，該證書用于高校網絡服務的所有通信行為。2.安全用戶和用戶組高校網絡的使用者及相關團體構成了零信任網絡的用戶數(shù)據(jù)庫和組數(shù)據(jù)庫，這些數(shù)據(jù)庫涵蓋了高校教師、學生、訪問學者等對象的用戶名、身份、有效期等各種屬性，并與教學管理等多個流程結合在一起。通過對數(shù)據(jù)庫的跟蹤和管理，如學生的入學畢業(yè)，教師崗位的變化、會議競賽的舉辦，這些數(shù)據(jù)庫將會實時更新，并對相關的應用服務作出響應。3.單點登錄系統(tǒng)。單點登錄（SSO）系統(tǒng)是一種集中式的用戶認證系統(tǒng)，對于許多相互關聯(lián)，但是又各自獨立的應用系統(tǒng)而言，它只需要認證一次就可以訪問所有相互信任的應用系統(tǒng)，其主要用于用戶通過身份驗證門戶請求訪問高校網絡資源，其調用安全用戶和用戶組信息，生成短期令牌可授權用戶獲取部分資源，解決了高校網絡中多種形式各異的身份認證機制互不兼容的問題。4.無特權網絡。為了使本地和遠程訪問受到相同安全策略的約束，我們需要在校園網的私有地址空間中定義和部署一個非特權網絡。非特權網絡僅能連接到互聯(lián)網與基礎設施服務（例如：DNS、DHCP和NTP）。針對所有物理位置在高校內部的聯(lián)網設備等同于互聯(lián)網設備一律分配在該非特權網絡中，同時非特權網絡的ACL（訪問控制列表）約束此網絡與高校其他網絡之間的資源存取。5.面向Internet的訪問。高校網絡的所有應用程序都暴露在外部，內外部客戶端使用加密方式通過面向Internet的訪問訪問應用服務器。訪問為每個應用程序提供全局可達性、負載平衡、訪問控制、應用程序運行狀況檢查和拒絕服務保護等功能。6.公共DNS服務。高校網絡中所有的應用服務程序都是公開的，并在公共DNS中注冊，并通過CNAME指向該應用服務器的訪問。7.訪問控制引擎。訪問中的訪問控制引擎根據(jù)應用服務的等級提供授權操作，其決策過程依據(jù)用戶、用戶所屬的組，設備證書對應的設備數(shù)據(jù)庫中記錄，進行推演。如有必要，訪問控制引擎可以強制執(zhí)行基于位置的訪問控制。例如，訪問高校網絡的某一專業(yè)競賽平臺可以限制其他專業(yè)的可信設備。訪問控制引擎還可以從不同方式和角度限制應用程序的各個部分。例如，圖書館管理系統(tǒng)中的更新書目信息需要比查詢書目信息受到更多的權限約束。8.設備和用戶的信任鏈。零信任網絡中用戶和設備的訪問級別并非一成不變的。通過分析多個數(shù)據(jù)源，我們能夠動態(tài)地分配用戶需要訪問設備的相關權限。然后，訪問控制引擎可以使用此信息作為其決策過程的一部分。例如，未及時更新操作系統(tǒng)的，未對已知存在漏洞的設備打補丁的，將會導致其信任級別降低；一個特定類型的設備，例如手機、智能設備等，將會被分配一個特定的信任級別。用戶從不同位置訪問應用程序可能會被分配不同的信任等級，并使用靜態(tài)規(guī)則和啟發(fā)式算法來確定這些用戶和設備的信任等級。（二）零信任網絡的安全模型?；谏鲜龆x的組件，我們定義了基于零信任網絡的高校網絡訪問模型，無論用戶及其設備所在的物理地址或者網絡地址，訪問校園網絡中的任何應用服務系統(tǒng)，均需依照該訪問模型，進行完整的權限校驗（如圖1所示）。該模型避免了傳統(tǒng)的防護體系在應用于高校網絡安全時，邊界防護薄弱，核心系統(tǒng)易被攻擊的弱點。（1）用戶使用計算機請求某一校園網服務，該訪問請求被重定向到訪問，同時計算機需提供其的設備證書。（2）訪問無法識別該用戶身份并重定向到單點登錄系統(tǒng)。用戶提供其身份驗證憑據(jù)，由單點登錄系統(tǒng)進行身份驗證，并發(fā)出令牌，并重定向回訪問。（3）訪問現(xiàn)具有設備證書、單點登錄令牌。（4）訪問控制引擎執(zhí)行對每次訪問請求進行授權檢查，判斷該用戶及其設備在相關應用服務上的權限。其利用設備數(shù)據(jù)庫、用戶和組數(shù)據(jù)庫、信任鏈及相關證書，分析該用戶及其設備的細粒度權限。確認用戶擁有足夠的信任級別；確認該設備為受信設備；確認該用戶及設備具有足夠的信任級別。即如果所有這些檢查都通過，則請求將被傳遞給后端服務；如果上述任何檢查失敗，則拒絕該請求。通過此方法，我們構建了完整的服務級身份驗證和依據(jù)請求響應的鑒權機制。

四、結束語

作為校園網絡的管理者，我們期望一個能夠最大程度保障核心人員、設備及其數(shù)據(jù)安全的計算環(huán)境，并讓他們可能受感染的筆記本電腦和智能手機不受影響；同時，我們仍希望保護流動性較強的團體和個人的隱私信息和知識產權，并確保他們的計算資源不被利用，或用于攻擊或滲透其他目標。面對日益嚴峻的網絡安全態(tài)勢，本文分析了高校網絡安全的薄弱環(huán)節(jié)，為未來高校信息化建設中如何在學術交流、教學科研中打造安全的校園網絡提供了新的思路和視角。

參考文獻

[1]謝世誠.賽門鐵克新”互聯(lián)網安全威脅報告”[J].微型機與應用,2007,26(4):22-22.

[2]阮斌.《2017年中國網絡安全報告》[J].計算機與網絡,2018(5).

[3]侯亞輝.網絡安全技術及其在校園網中的應用與研究[D].電子科技大學,2007.

[4]RoryWard,BetsyBeyer,BeyondCorp:ANewApproachtoEn-terpriseSecurity,2014.

作者:林春梅⎕李訓耀 單位:福建江夏學院