導(dǎo)語(yǔ)：高校網(wǎng)絡(luò)安全建設(shè)應(yīng)用和研究一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)的發(fā)展和應(yīng)用，網(wǎng)絡(luò)安全態(tài)勢(shì)趨于嚴(yán)峻，各類安全隱患廣泛存在于高校網(wǎng)絡(luò)的各個(gè)方面。如何保障核心設(shè)備及其相關(guān)數(shù)據(jù)的安全，保護(hù)流動(dòng)性較強(qiáng)的個(gè)人和團(tuán)體的隱私信息和其知識(shí)產(chǎn)權(quán)，并確保他們的計(jì)算資源不被利用，或用于攻擊滲透其他目標(biāo)。本文提出了零信任架構(gòu)，試圖在學(xué)術(shù)交流、教育科研與安全防御之間尋求更全面的安全保障。

關(guān)鍵詞：零信任；網(wǎng)絡(luò)安全；校園網(wǎng)

一、引言

互聯(lián)網(wǎng)建立于大學(xué)校園之上，最初它是為學(xué)者們建造的，沒有任何關(guān)于新型商業(yè)和犯罪活動(dòng)的概念。隨著時(shí)代的發(fā)展，互聯(lián)網(wǎng)已超越純粹的學(xué)術(shù)界，推動(dòng)了信息革命的到來(lái)，成為高校、政府與企業(yè)乃至整個(gè)國(guó)家的重要基礎(chǔ)設(shè)施。當(dāng)前，木馬病毒和高危漏洞泛濫，網(wǎng)絡(luò)攻擊成多樣化態(tài)勢(shì)，安全形勢(shì)日益嚴(yán)峻，而一直以來(lái)高校在信息化進(jìn)程中缺乏對(duì)網(wǎng)絡(luò)安全建設(shè)的整體考慮，導(dǎo)致目前高校網(wǎng)絡(luò)的信息安全建設(shè)嚴(yán)重滯后，以至于無(wú)法有效的應(yīng)用網(wǎng)絡(luò)安全策略和防御設(shè)施。如何在建設(shè)信息化、智能化校園的同時(shí)，保障校園網(wǎng)絡(luò)安全，讓我們的“象牙塔”成為一方凈土，成為各高校、科研院所亟待解決的關(guān)鍵問題。

二、高校網(wǎng)絡(luò)安全形勢(shì)

隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)的發(fā)展和應(yīng)用，各大高校紛紛加入信息化建設(shè)的大軍。在師生享受高校網(wǎng)絡(luò)信息化帶來(lái)的資源共享和教學(xué)模式豐富的同時(shí)，各種網(wǎng)絡(luò)安全隱患廣泛存在于高校網(wǎng)絡(luò)的各個(gè)方面。（一）網(wǎng)絡(luò)資產(chǎn)形式各異。網(wǎng)絡(luò)資產(chǎn)是指在一個(gè)機(jī)構(gòu)或組織內(nèi)部用于支撐網(wǎng)絡(luò)信息相關(guān)行為的任何數(shù)據(jù)，設(shè)備及其他組件。網(wǎng)絡(luò)資產(chǎn)通常包括硬件（例如服務(wù)器和交換機(jī)），軟件（例如關(guān)鍵任務(wù)應(yīng)用程序和支持系統(tǒng)）和數(shù)據(jù)信息。在政府機(jī)構(gòu)或公司組織謹(jǐn)慎地保護(hù)其國(guó)家戰(zhàn)略和知識(shí)產(chǎn)權(quán)的過程中，需要一個(gè)高度安全的網(wǎng)絡(luò)來(lái)嚴(yán)密監(jiān)測(cè)和限制設(shè)備、用戶和實(shí)時(shí)流量，但在高等教育的校園中，鑒于學(xué)術(shù)研究的開放性，全球各地的學(xué)生、訪問學(xué)者及會(huì)議團(tuán)體定期到來(lái)，攜帶自己的設(shè)備，尋求與他人一起學(xué)習(xí)和合作。人們談到校園網(wǎng)絡(luò)，更多讓人聯(lián)想起咖啡店或酒店而非公司組織的內(nèi)部網(wǎng)絡(luò)。因此在網(wǎng)絡(luò)的日常管理中，學(xué)校通常對(duì)學(xué)生和教師在校園網(wǎng)絡(luò)中使用的設(shè)備擁有相對(duì)較少的控制權(quán)。此外，高校中存在門類眾多的學(xué)院和科研機(jī)構(gòu)，這些學(xué)術(shù)機(jī)構(gòu)因?yàn)轭I(lǐng)域和專業(yè)差別較大，各類硬件設(shè)備和系統(tǒng)軟件在設(shè)計(jì)和部署階段存在較大差異，諸如：超級(jí)計(jì)算機(jī)中心、校園WIFI、專業(yè)競(jìng)賽平臺(tái)、校園卡管理系統(tǒng)、實(shí)驗(yàn)室專用網(wǎng)絡(luò)等都給高校網(wǎng)絡(luò)安全建設(shè)帶來(lái)了新的挑戰(zhàn)，傳統(tǒng)的應(yīng)用于企業(yè)和政府的網(wǎng)絡(luò)安全方案無(wú)法很好的應(yīng)用于高校的網(wǎng)絡(luò)安全建設(shè)。（二）攻擊行為復(fù)雜多變。據(jù)賽門鐵克統(tǒng)計(jì)，近年來(lái)數(shù)據(jù)泄露事件嚴(yán)重，被盜憑證超過數(shù)以百億條。泄漏的數(shù)據(jù)被廣泛用于電信詐騙、廣告營(yíng)銷及釣魚攻擊等多種惡意行為，高校網(wǎng)絡(luò)中用戶群體龐大，學(xué)生安全防范意識(shí)薄弱，成為網(wǎng)絡(luò)攻擊的首選目標(biāo)；勒索軟件和挖礦劫持等此類攻擊方式，由于門檻低且開銷小，深受犯罪分子青睞，2018年攻擊活動(dòng)呈爆發(fā)式增長(zhǎng)，事件總量為2017年的4倍，高校網(wǎng)絡(luò)存在大量的個(gè)人計(jì)算機(jī)、服務(wù)器，甚至超級(jí)計(jì)算機(jī)中心，此類設(shè)備為勒索軟件和挖礦劫持的重點(diǎn)對(duì)象，一旦被感染，將導(dǎo)致嚴(yán)重的后果。2017年，“WannaCry”勒索病毒席卷全球，數(shù)量眾多的操作系統(tǒng)遭受感染，高校網(wǎng)絡(luò)首當(dāng)其沖，大量教學(xué)系統(tǒng)、科研設(shè)備、實(shí)驗(yàn)數(shù)據(jù)等遭受攻擊，部分高校的應(yīng)用系統(tǒng)、數(shù)據(jù)文件和研究資料被偷竊或加密后，無(wú)法正常工作，對(duì)學(xué)術(shù)研究和教學(xué)工作均造成了嚴(yán)重影響。（三）防御體系淺顯單一。傳統(tǒng)的網(wǎng)絡(luò)安全建設(shè)中，校園網(wǎng)采用防火墻、流量監(jiān)控、VPN及防病毒軟件等軟硬件設(shè)備來(lái)保護(hù)網(wǎng)絡(luò)邊界及計(jì)算機(jī)安全。但是這種安全模型存在較大問題，如2.1節(jié)所述，高校網(wǎng)絡(luò)的邊界防護(hù)正變得越來(lái)越難以實(shí)施，攻擊者能夠輕易的繞過防火墻，突破網(wǎng)絡(luò)邊界，從而訪問高校的內(nèi)部網(wǎng)絡(luò)；大量的文件傳輸和共享行為被用于教學(xué)和科研，為蠕蟲病毒及勒索軟件的傳播提供了天然的媒介，由于高校網(wǎng)絡(luò)中的計(jì)算機(jī)缺乏有效的聯(lián)動(dòng)機(jī)制，此類威脅難以根除，存在交叉感染、反復(fù)感染的情況；在高校網(wǎng)絡(luò)建設(shè)的過程中，大量信息系統(tǒng)的認(rèn)證機(jī)制相互獨(dú)立，憑證的保護(hù)、認(rèn)證及存儲(chǔ)等機(jī)制各不相同，難以統(tǒng)一維護(hù)，給后期網(wǎng)絡(luò)安全檢測(cè)和維護(hù)工作帶來(lái)的較大困難，是高校網(wǎng)絡(luò)安全防御體系的關(guān)鍵薄弱點(diǎn)。

三、零信任網(wǎng)絡(luò)

基于物理位置的高校網(wǎng)絡(luò)邊界定義不再適合新形勢(shì)下的網(wǎng)絡(luò)安全模型，移動(dòng)互聯(lián)網(wǎng)、云計(jì)算給攻擊者提供了新的載體，內(nèi)部網(wǎng)絡(luò)中的應(yīng)用服務(wù)和內(nèi)容媒體是高風(fēng)險(xiǎn)且不可信的。在谷歌的BeyondCorp的基礎(chǔ)上，本文提出了零信任架構(gòu)在高校網(wǎng)絡(luò)安全建設(shè)中的應(yīng)用模型，這是一種豁免特權(quán)的新模型。在零信任網(wǎng)絡(luò)中，資源的訪問與用戶的網(wǎng)絡(luò)位置無(wú)關(guān)，僅取決于設(shè)備和用戶的憑證。無(wú)論是校園內(nèi)部、家庭網(wǎng)絡(luò)還是酒店或咖啡店，所有的訪問都需經(jīng)過完整的身份驗(yàn)證、授權(quán)和細(xì)粒度的訪問控制，并依據(jù)設(shè)備狀態(tài)和用戶憑據(jù)進(jìn)行加密。（一）零信任網(wǎng)絡(luò)的構(gòu)成組件。1.安全設(shè)備和標(biāo)識(shí)。在零信任網(wǎng)絡(luò)中，我們定義了“受信設(shè)備”的概念，這是一個(gè)隸屬于高校并由其主動(dòng)管理的設(shè)備，只有受信設(shè)備才能訪問高校網(wǎng)絡(luò)。針對(duì)此類設(shè)備，我們需要一個(gè)設(shè)備數(shù)據(jù)庫(kù)對(duì)其網(wǎng)絡(luò)行為、虛擬地址等進(jìn)行跟蹤和分析。此外，所有的受信設(shè)備都需要以唯一標(biāo)識(shí)的方式引用設(shè)備數(shù)據(jù)庫(kù)中的相關(guān)記錄，而此過程需要設(shè)備擁有其特定證書。該證書可以唯一地識(shí)別設(shè)備，它被用作獲取該設(shè)備信息的鑰匙，代表了該設(shè)備在設(shè)備數(shù)據(jù)庫(kù)中存在且設(shè)備信息完整有效，通常證書存儲(chǔ)在硬件或軟件上可信平臺(tái)模塊（TPM）或合格證書存儲(chǔ)區(qū)。設(shè)備的認(rèn)證過程中需要驗(yàn)證其擁有證書的有效性，只有被認(rèn)定為足夠安全的設(shè)備可以歸類為可信設(shè)備，同時(shí)需要強(qiáng)制性定期檢查證書的有效性。一旦證書安裝完畢，該證書用于高校網(wǎng)絡(luò)服務(wù)的所有通信行為。2.安全用戶和用戶組高校網(wǎng)絡(luò)的使用者及相關(guān)團(tuán)體構(gòu)成了零信任網(wǎng)絡(luò)的用戶數(shù)據(jù)庫(kù)和組數(shù)據(jù)庫(kù)，這些數(shù)據(jù)庫(kù)涵蓋了高校教師、學(xué)生、訪問學(xué)者等對(duì)象的用戶名、身份、有效期等各種屬性，并與教學(xué)管理等多個(gè)流程結(jié)合在一起。通過對(duì)數(shù)據(jù)庫(kù)的跟蹤和管理，如學(xué)生的入學(xué)畢業(yè)，教師崗位的變化、會(huì)議競(jìng)賽的舉辦，這些數(shù)據(jù)庫(kù)將會(huì)實(shí)時(shí)更新，并對(duì)相關(guān)的應(yīng)用服務(wù)作出響應(yīng)。3.單點(diǎn)登錄系統(tǒng)。單點(diǎn)登錄（SSO）系統(tǒng)是一種集中式的用戶認(rèn)證系統(tǒng)，對(duì)于許多相互關(guān)聯(lián)，但是又各自獨(dú)立的應(yīng)用系統(tǒng)而言，它只需要認(rèn)證一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)，其主要用于用戶通過身份驗(yàn)證門戶請(qǐng)求訪問高校網(wǎng)絡(luò)資源，其調(diào)用安全用戶和用戶組信息，生成短期令牌可授權(quán)用戶獲取部分資源，解決了高校網(wǎng)絡(luò)中多種形式各異的身份認(rèn)證機(jī)制互不兼容的問題。4.無(wú)特權(quán)網(wǎng)絡(luò)。為了使本地和遠(yuǎn)程訪問受到相同安全策略的約束，我們需要在校園網(wǎng)的私有地址空間中定義和部署一個(gè)非特權(quán)網(wǎng)絡(luò)。非特權(quán)網(wǎng)絡(luò)僅能連接到互聯(lián)網(wǎng)與基礎(chǔ)設(shè)施服務(wù)（例如：DNS、DHCP和NTP）。針對(duì)所有物理位置在高校內(nèi)部的聯(lián)網(wǎng)設(shè)備等同于互聯(lián)網(wǎng)設(shè)備一律分配在該非特權(quán)網(wǎng)絡(luò)中，同時(shí)非特權(quán)網(wǎng)絡(luò)的ACL（訪問控制列表）約束此網(wǎng)絡(luò)與高校其他網(wǎng)絡(luò)之間的資源存取。5.面向Internet的訪問。高校網(wǎng)絡(luò)的所有應(yīng)用程序都暴露在外部，內(nèi)外部客戶端使用加密方式通過面向Internet的訪問訪問應(yīng)用服務(wù)器。訪問為每個(gè)應(yīng)用程序提供全局可達(dá)性、負(fù)載平衡、訪問控制、應(yīng)用程序運(yùn)行狀況檢查和拒絕服務(wù)保護(hù)等功能。6.公共DNS服務(wù)。高校網(wǎng)絡(luò)中所有的應(yīng)用服務(wù)程序都是公開的，并在公共DNS中注冊(cè)，并通過CNAME指向該應(yīng)用服務(wù)器的訪問。7.訪問控制引擎。訪問中的訪問控制引擎根據(jù)應(yīng)用服務(wù)的等級(jí)提供授權(quán)操作，其決策過程依據(jù)用戶、用戶所屬的組，設(shè)備證書對(duì)應(yīng)的設(shè)備數(shù)據(jù)庫(kù)中記錄，進(jìn)行推演。如有必要，訪問控制引擎可以強(qiáng)制執(zhí)行基于位置的訪問控制。例如，訪問高校網(wǎng)絡(luò)的某一專業(yè)競(jìng)賽平臺(tái)可以限制其他專業(yè)的可信設(shè)備。訪問控制引擎還可以從不同方式和角度限制應(yīng)用程序的各個(gè)部分。例如，圖書館管理系統(tǒng)中的更新書目信息需要比查詢書目信息受到更多的權(quán)限約束。8.設(shè)備和用戶的信任鏈。零信任網(wǎng)絡(luò)中用戶和設(shè)備的訪問級(jí)別并非一成不變的。通過分析多個(gè)數(shù)據(jù)源，我們能夠動(dòng)態(tài)地分配用戶需要訪問設(shè)備的相關(guān)權(quán)限。然后，訪問控制引擎可以使用此信息作為其決策過程的一部分。例如，未及時(shí)更新操作系統(tǒng)的，未對(duì)已知存在漏洞的設(shè)備打補(bǔ)丁的，將會(huì)導(dǎo)致其信任級(jí)別降低；一個(gè)特定類型的設(shè)備，例如手機(jī)、智能設(shè)備等，將會(huì)被分配一個(gè)特定的信任級(jí)別。用戶從不同位置訪問應(yīng)用程序可能會(huì)被分配不同的信任等級(jí)，并使用靜態(tài)規(guī)則和啟發(fā)式算法來(lái)確定這些用戶和設(shè)備的信任等級(jí)。（二）零信任網(wǎng)絡(luò)的安全模型。基于上述定義的組件，我們定義了基于零信任網(wǎng)絡(luò)的高校網(wǎng)絡(luò)訪問模型，無(wú)論用戶及其設(shè)備所在的物理地址或者網(wǎng)絡(luò)地址，訪問校園網(wǎng)絡(luò)中的任何應(yīng)用服務(wù)系統(tǒng)，均需依照該訪問模型，進(jìn)行完整的權(quán)限校驗(yàn)（如圖1所示）。該模型避免了傳統(tǒng)的防護(hù)體系在應(yīng)用于高校網(wǎng)絡(luò)安全時(shí)，邊界防護(hù)薄弱，核心系統(tǒng)易被攻擊的弱點(diǎn)。（1）用戶使用計(jì)算機(jī)請(qǐng)求某一校園網(wǎng)服務(wù)，該訪問請(qǐng)求被重定向到訪問，同時(shí)計(jì)算機(jī)需提供其的設(shè)備證書。（2）訪問無(wú)法識(shí)別該用戶身份并重定向到單點(diǎn)登錄系統(tǒng)。用戶提供其身份驗(yàn)證憑據(jù)，由單點(diǎn)登錄系統(tǒng)進(jìn)行身份驗(yàn)證，并發(fā)出令牌，并重定向回訪問。（3）訪問現(xiàn)具有設(shè)備證書、單點(diǎn)登錄令牌。（4）訪問控制引擎執(zhí)行對(duì)每次訪問請(qǐng)求進(jìn)行授權(quán)檢查，判斷該用戶及其設(shè)備在相關(guān)應(yīng)用服務(wù)上的權(quán)限。其利用設(shè)備數(shù)據(jù)庫(kù)、用戶和組數(shù)據(jù)庫(kù)、信任鏈及相關(guān)證書，分析該用戶及其設(shè)備的細(xì)粒度權(quán)限。確認(rèn)用戶擁有足夠的信任級(jí)別；確認(rèn)該設(shè)備為受信設(shè)備；確認(rèn)該用戶及設(shè)備具有足夠的信任級(jí)別。即如果所有這些檢查都通過，則請(qǐng)求將被傳遞給后端服務(wù)；如果上述任何檢查失敗，則拒絕該請(qǐng)求。通過此方法，我們構(gòu)建了完整的服務(wù)級(jí)身份驗(yàn)證和依據(jù)請(qǐng)求響應(yīng)的鑒權(quán)機(jī)制。

四、結(jié)束語(yǔ)

作為校園網(wǎng)絡(luò)的管理者，我們期望一個(gè)能夠最大程度保障核心人員、設(shè)備及其數(shù)據(jù)安全的計(jì)算環(huán)境，并讓他們可能受感染的筆記本電腦和智能手機(jī)不受影響；同時(shí)，我們?nèi)韵ＭＷo(hù)流動(dòng)性較強(qiáng)的團(tuán)體和個(gè)人的隱私信息和知識(shí)產(chǎn)權(quán)，并確保他們的計(jì)算資源不被利用，或用于攻擊或滲透其他目標(biāo)。面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢(shì)，本文分析了高校網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)，為未來(lái)高校信息化建設(shè)中如何在學(xué)術(shù)交流、教學(xué)科研中打造安全的校園網(wǎng)絡(luò)提供了新的思路和視角。

參考文獻(xiàn)

[1]謝世誠(chéng).賽門鐵克新”互聯(lián)網(wǎng)安全威脅報(bào)告”[J].微型機(jī)與應(yīng)用,2007,26(4):22-22.

[2]阮斌.《2017年中國(guó)網(wǎng)絡(luò)安全報(bào)告》[J].計(jì)算機(jī)與網(wǎng)絡(luò),2018(5).

[3]侯亞輝.網(wǎng)絡(luò)安全技術(shù)及其在校園網(wǎng)中的應(yīng)用與研究[D].電子科技大學(xué),2007.

[4]RoryWard,BetsyBeyer,BeyondCorp:ANewApproachtoEn-terpriseSecurity,2014.

作者:林春梅⎕李訓(xùn)耀 單位:福建江夏學(xué)院