袁 勇，李 龍，孫小林

（1.遵義師范學(xué)院 信息工程學(xué)院，貴州 遵義 563006；2.遵義市公安局，貴州 遵義 563000）

0 引言

信息化的飛速發(fā)展，各類應(yīng)用應(yīng)運而生，伴隨著移動業(yè)務(wù)的規(guī)?；?，網(wǎng)絡(luò)安全問題也就突顯出來。2021年出現(xiàn)的重大安全事件就包括：美國醫(yī)療連鎖機構(gòu)遭遇勒索軟件攻擊，造成旗下醫(yī)院系統(tǒng)癱瘓；意大利地方疫苗接種預(yù)約系統(tǒng)因網(wǎng)絡(luò)攻擊被迫關(guān)閉等多起威脅國計民生的重大網(wǎng)絡(luò)安全事件。國家的關(guān)鍵信息基礎(chǔ)設(shè)施通常會成為黑客攻擊的重點目標，等保2.0標準以及一系列法律法規(guī)的頒布實施，讓網(wǎng)絡(luò)安全成為一個空前熱門的話題，如何保障網(wǎng)絡(luò)信息系統(tǒng)的安全，也是每個運營者、管理者、使用者非常關(guān)心的課題。正如習(xí)近平總書記不斷強調(diào)的“沒有網(wǎng)絡(luò)安全就沒有國家安全”。每一個信息系統(tǒng)的參與者都是網(wǎng)絡(luò)安全的見證人，不能因為一時的麻痹大意，而讓網(wǎng)絡(luò)安全威脅到國家、社會層面的安全［1］。

1 新技術(shù)對網(wǎng)絡(luò)安全的影響

隨著信息化技術(shù)的不斷發(fā)展，各種攻擊方式層出不窮，給網(wǎng)絡(luò)安全帶來嚴重的挑戰(zhàn)，相應(yīng)的也產(chǎn)生了一系列的防御技術(shù)手段。新技術(shù)、新方法對網(wǎng)絡(luò)安全的影響也是值得重視和研究的。下面主要對APT攻擊和零信任防御措施的思路與要點進行詳細分析和研究。

1.1 APT攻擊

高級持續(xù)性威脅(Advanced Persistent Threat，APT）攻擊通常具有針對性、隱蔽性、復(fù)雜性，具體表現(xiàn)為攻擊手段高，攻擊對象也高端。其持續(xù)性說明攻擊時間長，并且幕后黑客組織分工明確，目的明確，長期盯著要害部門進行情報收集，通過社會工程學(xué)和技術(shù)手段來獲取重要機密信息。APT攻擊常見流程如下。

(1）攻擊準備階段。在開始攻擊之前，與普通攻擊方式相比，從信息搜索深度及廣度上都有明顯不同，APT攻擊的使用者會花費大量時間和精力用于搜索目標系統(tǒng)的相關(guān)信息。

(2）攻擊進入階段。攻擊者會進行間斷性的攻擊嘗試，直到找到突破口，控制目標系統(tǒng)內(nèi)部的某一臺計算機，以作為進一步攻擊行為的跳板。

(3）橫向滲透階段。攻擊者會利用已經(jīng)控制的跳板機，通過遠程控制，對目標系統(tǒng)內(nèi)的其他設(shè)備進行橫向滲透，尋找對攻擊者有價值的數(shù)據(jù)，本階段和攻擊進入階段，都對攻擊者的耐心、技術(shù)、攻擊手段具有較大的考驗。

(4）收獲階段。攻擊者會通過技術(shù)手段，構(gòu)建一條隱蔽的數(shù)據(jù)傳輸通道，將從目標系統(tǒng)獲取的有價值的機密數(shù)據(jù)傳送出來，以達到攻擊的最終目的。

1.2 零信任防御

有攻就有防，攻擊手段、技術(shù)的不斷進步，信息系統(tǒng)的管理維護者則利用新技術(shù)、新方法進一步維護好信息系統(tǒng)?！傲阈湃伟踩北涣腥搿爸ν黄凭W(wǎng)絡(luò)安全關(guān)鍵技術(shù)”之一，本身不是技術(shù)，也不是產(chǎn)品，而是一種安全理念，其三大技術(shù)支柱：軟件定義邊界、增強的身份管理、微隔離［2］。

1.2.1 軟件定義邊界

軟件定義邊界技術(shù)要求在對受保護的服務(wù)器進行網(wǎng)絡(luò)訪問前，先進行身份驗證和授權(quán)。之后，在請求系統(tǒng)與應(yīng)用程序之間實時創(chuàng)建加密連接，對外提供零可見性和零連接，只有在驗證和授權(quán)后，才能建立連接。這是基于策略創(chuàng)建安全邊界，將不安全的網(wǎng)絡(luò)隔離在服務(wù)范圍之外，具有傳統(tǒng)的安全管理中心做不到的優(yōu)勢，具體表現(xiàn)為：(1）傳統(tǒng)的安全管理中心不能深入業(yè)務(wù)和應(yīng)用層面進行安全管理，安全和業(yè)務(wù)相對處于脫節(jié)狀態(tài)；(2）傳統(tǒng)的安全管理中心不能進行業(yè)務(wù)與安全深度結(jié)合，不能提供細粒度的動態(tài)訪問控制；(3）打破傳統(tǒng)網(wǎng)絡(luò)邊界，傳統(tǒng)網(wǎng)絡(luò)只有內(nèi)外網(wǎng)之分，軟件定義邊界代之的是微分段、微邊界。

1.2.2 增強的身份管理

身份管理是零信任安全體系構(gòu)建不變的核心需求，動態(tài)的身份控制需要豐富的身份數(shù)據(jù)作為支撐。身份管理重在對加強安全性并降低風(fēng)險、改善合規(guī)性和審計績效、提供快速有效的業(yè)務(wù)訪問、降低運營成本4個關(guān)鍵目標之間進行平衡。增強身份管理通常要求具有訪問控制統(tǒng)一管理、保障訪問安全、模擬策略、精細的控制粒度、細致的權(quán)限策略涉及、豐富的信任載體等功能與特性。當使用者進行資源訪問時，根據(jù)具體需求配置對應(yīng)的權(quán)限和身份載體，避免權(quán)限過剩帶來安全隱患。

1.2.3 微隔離

微隔離是在2016年Gartner安全與風(fēng)險管理峰會上提出的一種網(wǎng)絡(luò)安全技術(shù)，可以將數(shù)據(jù)中心邏輯劃分為各個工作負載級別的不同安全段。通常認為傳統(tǒng)的網(wǎng)絡(luò)內(nèi)網(wǎng)都是安全的、可信的，但隨著信息技術(shù)的發(fā)展，當內(nèi)部某一終端被攻破后，傳統(tǒng)的內(nèi)網(wǎng)可信就讓其他主機暴露給網(wǎng)絡(luò)攻擊者。微隔離可以阻止這種來自內(nèi)部的橫向攻擊，從微隔離技術(shù)角度看，其目的在于減少攻擊面、改善橫向運動的安全性、提升關(guān)鍵應(yīng)用的安全性等，這正好也符合零信任的永不信任、始終驗證原則［3］。

零信任的三大技術(shù)為一個整體，軟件定義邊界實現(xiàn)南北向的網(wǎng)絡(luò)安全，微隔離技術(shù)實現(xiàn)東西方向的網(wǎng)絡(luò)安全，增強的身份管理則實現(xiàn)資源訪問的授權(quán)，三者合力更全面綜合地保障網(wǎng)絡(luò)信息系統(tǒng)的安全。三者合力更全面綜合地保障網(wǎng)絡(luò)信息系統(tǒng)的安全，零信任安全核心架構(gòu)模塊如圖1所示。

圖1 零信任安全核心架構(gòu)

2 高校網(wǎng)絡(luò)安全對策

近些年，隨著勒索病毒、挖礦木馬的廣泛傳播，網(wǎng)絡(luò)安全形勢極為嚴峻。如何讓網(wǎng)絡(luò)在一個安全的環(huán)境中運行，避免網(wǎng)絡(luò)被黑客攻破，是每個網(wǎng)絡(luò)工作從業(yè)者夜不能寐的事情。只有做好安全防護，才能讓攻擊者無計可施，隨著等保2.0要求的上線，地方高校也相應(yīng)做出了不少網(wǎng)絡(luò)安全規(guī)定性動作。只有配備相應(yīng)的網(wǎng)絡(luò)安全設(shè)備，做好安全防御措施及應(yīng)對辦法，出臺并落實相應(yīng)的管理規(guī)章制度，網(wǎng)絡(luò)安全才能真正落到實處。下面主要從技術(shù)的角度，就網(wǎng)絡(luò)通信設(shè)備安全策略、服務(wù)器及信息系統(tǒng)安全策略、個人終端安全3個層面闡述高校網(wǎng)絡(luò)安全的防范技術(shù)措施及辦法［4］。

2.1 網(wǎng)絡(luò)設(shè)備安全策略

網(wǎng)絡(luò)設(shè)備包括防火墻、路由器、交換機、網(wǎng)絡(luò)安全設(shè)備等。防火墻、路由器、交換機等通信設(shè)備在通信過程中起著至關(guān)重要的作用，決定著網(wǎng)絡(luò)通暢程度，在網(wǎng)絡(luò)通信設(shè)備中配置相應(yīng)的網(wǎng)絡(luò)策略，可以保障網(wǎng)絡(luò)層面的安全性。網(wǎng)絡(luò)安全設(shè)備包括入侵檢測、數(shù)據(jù)庫審計、漏洞掃描等設(shè)備，一般在不影響網(wǎng)絡(luò)性能的前提下，采用旁掛方式進行部署，主要實現(xiàn)對網(wǎng)絡(luò)防御的檢測、攔截、審計等功能，具體策略可以從以下方面入手。

(1）出口邊界網(wǎng)關(guān)進行嚴格的策略設(shè)置，根據(jù)IP地址和端口號針對性地進行映射，確保放到外網(wǎng)的服務(wù)器最小開放權(quán)限，避免更多端口號的暴露，給黑客可乘之機；同時，在邊界網(wǎng)關(guān)上對危險端口號進行關(guān)閉。

(2）在核心交換機上進行策略防控，對于已通告的TCP，UDP危險端口號，如：135，136，138，139，445等均進行策略Deny，禁止訪問。嚴格設(shè)置訪問控制策略，對于只單向訪問的，不做雙向，做到服務(wù)正常使用情況下的最小化權(quán)限分配。

(3）數(shù)據(jù)區(qū)防火墻進行安全隱患排查，做好服務(wù)器區(qū)的訪問控制，需要在內(nèi)部進行遠程訪問的Windows服務(wù)器，做到針對性的開放，即內(nèi)部遠程訪問做到責任人電腦之外的主機均不能進行遠程訪問。并且，遠程訪問必須通過堡壘機中間跳轉(zhuǎn)，防火墻上做好策略防控措施，嚴格控制網(wǎng)絡(luò)進出，嚴防網(wǎng)絡(luò)安全的各類攻擊。

(4）通過態(tài)勢感知平臺查看，在網(wǎng)絡(luò)訪問探測中確實存在攻擊行為的危險IP地址進行封禁，拒絕其訪問。

(5）定期查看Web防火墻和入侵檢測系統(tǒng)，對系統(tǒng)中出現(xiàn)的危險IP地址限制訪問，不定時的通過漏洞掃描對網(wǎng)絡(luò)內(nèi)部的服務(wù)器區(qū)進行掃描，發(fā)現(xiàn)服務(wù)器漏洞及時修復(fù)，不給黑客可乘之機。

2.2 服務(wù)器及信息系統(tǒng)安全對策

除了網(wǎng)絡(luò)設(shè)備對網(wǎng)絡(luò)安全進行防護外，服務(wù)器及信息系統(tǒng)自身的安全策略對于網(wǎng)絡(luò)攻擊也有防護作用。只有在環(huán)境安全的大前提下，配合設(shè)置自身服務(wù)器的安全，再加上信息系統(tǒng)開發(fā)安全，才能提升網(wǎng)絡(luò)及信息系統(tǒng)的綜合安全性，具體的策略措施參考如下。

(1）Windows服務(wù)器開啟防火墻，并安裝安全衛(wèi)士及殺毒軟件。特別是安全衛(wèi)士必須安裝，沒有安裝的服務(wù)器，只要雙方網(wǎng)絡(luò)通信，可以通過Kali Linux平臺，利用系統(tǒng)漏洞，輕松破解超管密碼。

(2）Windows服務(wù)器關(guān)閉來賓賬戶，管理員密碼必須滿足復(fù)雜度需求；Linux服務(wù)器則針對具體權(quán)限開放用戶對目錄文件的權(quán)限；各類信息系統(tǒng)中的賬戶密碼依然要滿足復(fù)雜度要求。

(3）系統(tǒng)必須及時更新各類補丁，避免出現(xiàn)系統(tǒng)漏洞，而被攻擊者利用攻擊。

(4）根據(jù)等保2.0的系統(tǒng)設(shè)置要求，對服務(wù)器的系統(tǒng)進行配置，提升服務(wù)器本身系統(tǒng)抗攻擊能力。

(5）上線運行的信息系統(tǒng)，軟件本身最好通過等保認證，這樣軟件系統(tǒng)層面抗攻擊能力便有一定的保障。高校有的信息系統(tǒng)較老，須進行系統(tǒng)升級，達到安全性要求，信息系統(tǒng)盡量內(nèi)網(wǎng)運行，減少被攻擊的可能性。

(6）一些對外提供服務(wù)的信息系統(tǒng)，如：網(wǎng)站、郵件、云盤系統(tǒng)等含有網(wǎng)頁運行模式的信息系統(tǒng)，架構(gòu)在Web應(yīng)用防火墻下，并對服務(wù)器和信息系統(tǒng)按照相應(yīng)的安全策略進行設(shè)置，綜合提升其抗攻擊能力。

2.3 個人終端安全

由于每個使用者的信息技術(shù)水平參差不齊，對于危險網(wǎng)頁的辨識、不明郵件的認識、危險指令的辨別度、網(wǎng)絡(luò)安全意識程度的不一樣，可以對高校師生員工進行網(wǎng)絡(luò)安全教育培訓(xùn)，并要求在個人終端上安裝安全衛(wèi)士和殺毒軟件，避免沒有網(wǎng)絡(luò)安全防護軟件的網(wǎng)絡(luò)終端設(shè)備接入校園網(wǎng)內(nèi)。沒有安全防護的終端設(shè)備極可能被攻破，進而成為攻擊者的跳板，給校園網(wǎng)絡(luò)帶來安全隱患。

3 結(jié)語

本文對網(wǎng)絡(luò)安全的形勢進行了分析，針對網(wǎng)絡(luò)安全中出現(xiàn)的新技術(shù)、APT攻擊的流程進行了說明性研究。從提高網(wǎng)絡(luò)抗攻擊能力的角度，結(jié)合最新的零信任架構(gòu)，分析了零信任的三大技術(shù)支柱，對網(wǎng)絡(luò)進行優(yōu)化調(diào)整。并結(jié)合高校的實際情況，為做好網(wǎng)絡(luò)安全工作，從網(wǎng)絡(luò)設(shè)備、服務(wù)器與信息系統(tǒng)、個人終端等方面綜合分析，以全面提升網(wǎng)絡(luò)抗攻擊能力。