張平華，程芳

(1 合肥職業(yè)技術(shù)學(xué)院信息工程與傳媒學(xué)院,安徽合肥 230000;2.奇安信科技集團(tuán)股份有限公司,北京 100000)

伴隨著5G 技術(shù)的發(fā)展與應(yīng)用，在以大數(shù)據(jù)、云計(jì)算、邊緣計(jì)算、邊界模糊計(jì)算和人工智能以及聯(lián)網(wǎng)技術(shù)等核心技術(shù)的支持下，高校的校園網(wǎng)中業(yè)務(wù)復(fù)雜多樣[1]，規(guī)模日益增大，智能化集成度越來(lái)越高。在紛繁復(fù)雜的網(wǎng)絡(luò)中，黑客攻擊、木馬、病毒（如勒索病毒等）等各種攻擊手段層出不窮，雖然等保2.0 將被動(dòng)防御審計(jì)式改進(jìn)為主動(dòng)安全監(jiān)測(cè)和動(dòng)態(tài)響應(yīng)，但高校校園網(wǎng)缺乏整體統(tǒng)一的規(guī)劃，建設(shè)周期長(zhǎng)，全面的網(wǎng)絡(luò)安全保障體系缺失，故過(guò)去的網(wǎng)絡(luò)架構(gòu)和防御技術(shù)已經(jīng)不能確保校園網(wǎng)的安全了。研究基于內(nèi)生安全架構(gòu)的智慧校園數(shù)據(jù)中心安全體系，對(duì)于加強(qiáng)智慧校園網(wǎng)絡(luò)安全，確保師生等業(yè)務(wù)數(shù)據(jù)和隱私等[2]信息安全，打造平安校園具有重要的意義。

1 智慧校園安全風(fēng)險(xiǎn)分析

1.1 邊界薄弱，暴露面多

在以大數(shù)據(jù)、云計(jì)算、邊緣計(jì)算[3]、邊界模糊計(jì)算和人工智能為代表的核心產(chǎn)業(yè)與技術(shù)下，網(wǎng)絡(luò)的邊界變得不那么明確。目前，各大高?；旧弦呀?jīng)實(shí)現(xiàn)5G 全覆蓋，隨著移動(dòng)辦公和規(guī)模不斷擴(kuò)大，業(yè)務(wù)流程大量增多，網(wǎng)絡(luò)南北通路上的數(shù)據(jù)流量巨大。在基于邊界思維指導(dǎo)下構(gòu)建的安全架構(gòu)通常是在邊界處部署防火墻、WAF、入侵檢測(cè)等設(shè)備進(jìn)行防御被動(dòng)地監(jiān)測(cè)與防御，業(yè)務(wù)流程的數(shù)據(jù)信息的流量安全一直被忽略。

1.2 滲透攻擊與防御不對(duì)等

在智慧校園網(wǎng)的建設(shè)中，新技術(shù)和新應(yīng)用被廣泛地用于校園網(wǎng)中實(shí)驗(yàn)與創(chuàng)新，業(yè)務(wù)信息數(shù)據(jù)也趨于集中。同時(shí)，在邊界思維的指導(dǎo)下企業(yè)內(nèi)部網(wǎng)絡(luò)中缺乏足夠的安全訪問(wèn)控制[4]。對(duì)于動(dòng)態(tài)的安全來(lái)說(shuō)，在這些新技術(shù)的試驗(yàn)環(huán)境下系統(tǒng)必定存在不安全的設(shè)計(jì)或設(shè)置，攻擊者會(huì)應(yīng)用各種新技術(shù)去挑戰(zhàn)網(wǎng)絡(luò)的安全，在一定程度上智慧的校園網(wǎng)成了黑客們的練手技能場(chǎng)，特別是以APT 為代表的高級(jí)攻擊層出不窮，攻擊者可以利用大量的漏洞“武器”，試圖對(duì)各種重要目標(biāo)進(jìn)行攻擊[5]。

1.3 內(nèi)部威脅加劇

智慧校園網(wǎng)的發(fā)展促使校園業(yè)務(wù)、應(yīng)用功能不斷的增多，并多樣化，網(wǎng)絡(luò)安全隱患也就不斷地增加。在邊界思維主導(dǎo)下，網(wǎng)絡(luò)的設(shè)計(jì)與管理者認(rèn)為校園網(wǎng)（內(nèi)部網(wǎng)）是足夠安全的，而忽略了來(lái)自“安全區(qū)”中的威脅與攻擊，對(duì)安全訪問(wèn)控制策略的設(shè)置不嚴(yán)或者沒(méi)有。往往因?yàn)榉鞘跈?quán)訪問(wèn)、雇員犯錯(cuò)、外包員工犯錯(cuò)等等原因，導(dǎo)致“合法用戶”可以非法訪問(wèn)特定的業(yè)務(wù)和數(shù)據(jù)資源，造成組織內(nèi)部數(shù)據(jù)泄漏。

2 基于內(nèi)生安全架構(gòu)的智慧校園數(shù)據(jù)中心安全體系

目前多數(shù)高校的智慧校園架構(gòu)復(fù)雜和業(yè)務(wù)訪問(wèn)量巨大，這就要求網(wǎng)絡(luò)安全建設(shè)需要從業(yè)務(wù)需求出發(fā)，圍繞智慧校園“內(nèi)生安全”能力應(yīng)該具有自適應(yīng)、自主、自生長(zhǎng)三個(gè)特點(diǎn)對(duì)核心業(yè)務(wù)進(jìn)行安全管制能力[6]。

通過(guò)采用“內(nèi)生安全”建設(shè)思路，通過(guò)經(jīng)營(yíng)安全，幫助學(xué)校智慧校園數(shù)據(jù)中心建立一個(gè)從預(yù)警、防御、檢測(cè)、處置的一個(gè)閉環(huán)運(yùn)營(yíng)體系[7]，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的動(dòng)態(tài)掌控，是數(shù)據(jù)中心安全建設(shè)過(guò)程中必不可少的一環(huán)。智慧校園數(shù)據(jù)中心“內(nèi)生安全”架構(gòu)如圖1 所示。

圖1 智慧校園數(shù)據(jù)中心“內(nèi)生安全”架構(gòu)圖

基于“內(nèi)生安全”架構(gòu)的智慧校園數(shù)據(jù)中心針對(duì)于不同安全級(jí)別的應(yīng)用系統(tǒng)進(jìn)行安全域的劃分，同時(shí)結(jié)合網(wǎng)絡(luò)業(yè)務(wù)的特點(diǎn)，將智慧校園數(shù)據(jù)中心網(wǎng)絡(luò)劃分三個(gè)相對(duì)獨(dú)立的區(qū)域（如圖2 所示），分別為核心業(yè)務(wù)區(qū)、安全邊界、安全運(yùn)營(yíng)管理區(qū)。

圖2 智慧校園數(shù)據(jù)中心安全建設(shè)拓?fù)鋱D

核心業(yè)務(wù)區(qū)：用來(lái)部署數(shù)據(jù)中心服務(wù)器。

安全邊界區(qū)：在出口采用兩臺(tái)下一代防火墻做冗余部署，下一代防火墻配置IPS、AV 等安全模塊。

安全運(yùn)營(yíng)管理區(qū)：用來(lái)部署威脅感知平臺(tái)、數(shù)據(jù)防泄漏、服務(wù)器加固系統(tǒng)、零信任API 網(wǎng)關(guān)等網(wǎng)絡(luò)安全系統(tǒng)。在本地私有云核心交換部署威脅感知探針，在公有云平臺(tái)中部署軟件版威脅感知探針，將整個(gè)混合云的安全感知信息匯總至安全運(yùn)營(yíng)管理區(qū)的APT 威脅感知平臺(tái)。

通過(guò)基于“內(nèi)生安全”架構(gòu)方案，構(gòu)建一種扁平化的網(wǎng)絡(luò)架構(gòu)，面對(duì)威脅能防得住、面對(duì)殘余攻擊能測(cè)的出、面對(duì)安全事件能處置響應(yīng)；面對(duì)更新快、變種多的攻擊，充分發(fā)揮安全運(yùn)營(yíng)保障服務(wù)和人工智能技術(shù)的自動(dòng)化能力，使防御、檢測(cè)、響應(yīng)能力能夠不斷更新和升級(jí)，有效應(yīng)對(duì)未知威脅。

3 零信任技術(shù)測(cè)試方法

為實(shí)現(xiàn)方案目標(biāo)，本方案采用零信任技術(shù)[8]對(duì)于某?；凇皟?nèi)生安全”架構(gòu)的智慧校園數(shù)據(jù)中心安全體系進(jìn)行實(shí)測(cè)，在校智慧校園的安全測(cè)試及應(yīng)用上組織開展了基于零信任產(chǎn)品的POC 測(cè)試工作，確保達(dá)到建設(shè)的預(yù)期目標(biāo)。見圖3：

圖3 零信任動(dòng)態(tài)可信訪問(wèn)控制流程

主要完成以下安全方面的驗(yàn)證：

（1）零信任身份安全在主體（設(shè)備、用戶、應(yīng)用）和客體（業(yè)務(wù)應(yīng)用和運(yùn)維系統(tǒng)）之間的訪問(wèn)路徑上是否建立完整信任鏈？

（2）能否實(shí)現(xiàn)訪問(wèn)過(guò)程的安全可控？

（3）是否可采取更嚴(yán)格的訪問(wèn)控制和安全檢測(cè)方式，僅通過(guò)認(rèn)證的主體（合法設(shè)備、合法用戶、合法應(yīng)用），才能夠進(jìn)行客體訪問(wèn)？

（4）能否提升安全風(fēng)險(xiǎn)感知能力，實(shí)現(xiàn)通過(guò)持續(xù)認(rèn)證進(jìn)行風(fēng)險(xiǎn)管控，并發(fā)現(xiàn)疏漏并及時(shí)自動(dòng)調(diào)整訪問(wèn)控制及權(quán)限？

（5）能否建立以“動(dòng)態(tài)身份”為邊界的安全防護(hù)體系，構(gòu)建出敏捷、智能、安全的“零信任”安全環(huán)境？

3.1 測(cè)試方法及流程

在數(shù)字化環(huán)境下，身份認(rèn)證與訪問(wèn)控制面臨巨大的挑戰(zhàn)，新型身份安全應(yīng)能夠減少對(duì)人工的依賴，取而代之是更加廣泛、安全、靈活的新型身份管理與訪問(wèn)控制機(jī)制，在增加信任、改善用戶體驗(yàn)的同時(shí)更大的提升安全性。

下面通過(guò)在校園網(wǎng)中構(gòu)建零信任身份服務(wù)系統(tǒng)（TAC：Trust Access Console）與云計(jì)算、大數(shù)據(jù)、應(yīng)用系統(tǒng)等進(jìn)行集成，通過(guò)部署到IT 的各層次的“零信任”訪問(wèn)控制組件，執(zhí)行動(dòng)態(tài)、精細(xì)化的訪問(wèn)控制。零信任測(cè)試拓?fù)浜蜏y(cè)試邏輯分別如圖4 和圖5 所示。

圖4 零信任測(cè)試拓?fù)?/p>

圖5 零信任測(cè)試邏輯

零信任安全平臺(tái)必須依照零信任（Zero-Trust）安全訪問(wèn)模型進(jìn)行建設(shè)，能夠?qū)r(shí)間策略、IP 限制、終端限制等訪問(wèn)策略進(jìn)行控制，同時(shí)要求規(guī)定哪個(gè)用戶或用戶組可以訪問(wèn)哪個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行用戶最小化授權(quán)。同時(shí)，零信任安全平臺(tái)要求對(duì)終端安裝狀態(tài)進(jìn)行綜合評(píng)估，至少包括設(shè)備、身份、應(yīng)用、行為幾個(gè)維度來(lái)持續(xù)信任評(píng)估。零信任安全平臺(tái)要求能夠識(shí)別用戶的異常行為，如異地、新設(shè)備登錄、異常時(shí)間、操作次數(shù)過(guò)高等威脅，觸發(fā)二次認(rèn)證。

零信任認(rèn)證交互流程如圖6：

圖6 零信任認(rèn)證交互流程

首先，以身份為基石，保障用戶和設(shè)備的合法性；為網(wǎng)絡(luò)中的人、設(shè)備、應(yīng)用都賦予邏輯身份，并基于身份進(jìn)行細(xì)粒度的權(quán)限設(shè)置和判定。

然后，進(jìn)行業(yè)務(wù)隱藏，訪問(wèn)加密；在零信任安全體系中，所有的訪問(wèn)請(qǐng)求（應(yīng)用、接口等）都應(yīng)該被認(rèn)證、授權(quán)和加密。

持續(xù)信任評(píng)估，保障訪問(wèn)安全；對(duì)終端、用戶等訪問(wèn)主體進(jìn)行持續(xù)風(fēng)險(xiǎn)感知和信任評(píng)估，根據(jù)信任評(píng)估對(duì)訪問(wèn)權(quán)限進(jìn)行動(dòng)態(tài)調(diào)整。當(dāng)終端的信任分值低于某個(gè)數(shù)值時(shí)，零信任安全平臺(tái)服務(wù)器后臺(tái)會(huì)將該終端下線，禁止訪問(wèn)業(yè)務(wù)系統(tǒng)，有效避免病從“口”入。

最后，實(shí)現(xiàn)動(dòng)態(tài)訪問(wèn)控制，緩解業(yè)務(wù)風(fēng)險(xiǎn)。

3.2 測(cè)試用例

為體現(xiàn)測(cè)試效果，本案添加了一個(gè)7 層WEB應(yīng)用和4 層代理應(yīng)用（可以選擇同一個(gè)應(yīng)用創(chuàng)建不同類型應(yīng)用，也可以選擇兩個(gè)及以上應(yīng)用分別創(chuàng)建為7 層WEB應(yīng)用和4 層代理應(yīng)）。由于篇幅限制，以自適應(yīng)認(rèn)證為例進(jìn)行介紹。

3.2.1 測(cè)試過(guò)程

（1）在可信訪問(wèn)控制臺(tái)TAC【身份訪問(wèn)管理】-【認(rèn)證服務(wù)】的【認(rèn)證模塊】中添加“XXXID”認(rèn)證模塊，添加頁(yè)面只需要添一個(gè)名字“XXXID”然后保存即可。

（2）在可信訪問(wèn)控制臺(tái)TAC【身份訪問(wèn)管理】-【認(rèn)證服務(wù)】的【認(rèn)證策略】中修改默認(rèn)策略，打開多因子認(rèn)證選項(xiàng)，多因子認(rèn)證服務(wù)選擇“XXX ID”，然后在【設(shè)置多因子認(rèn)證規(guī)則】中添加一項(xiàng)【設(shè)備信任分規(guī)則】，設(shè)定可信分不屬于“90-100”時(shí)登錄認(rèn)證需要做多因子認(rèn)證。

（3）確保安裝可信環(huán)境感知客戶端；登錄可信環(huán)境感知客戶端管理頁(yè)面：https://IP:8443 配置感知模板，進(jìn)入【感知管理】-【感知模板】，點(diǎn)擊【新建模板】，名字輸入：“遠(yuǎn)控軟件開啟感知”，在【應(yīng)用軟件合規(guī)感知配置項(xiàng)】中只勾選“遠(yuǎn)控軟件開啟感知”，其余感知項(xiàng)都不勾選（注意基礎(chǔ)安全感知、系統(tǒng)安全感知、健康狀態(tài)感知、物理環(huán)境感知，都不勾選“啟動(dòng)評(píng)估項(xiàng)”），配置好后點(diǎn)擊【保存并啟用此策略】；

（4）配置感知策略，進(jìn)入【感知管理】-【模板分發(fā)】，【感知策略名稱】：“遠(yuǎn)控軟件開啟感知”，【選擇感知模板】選擇上一步的應(yīng)用合規(guī)感知模板，【策略執(zhí)行方式】為間隔執(zhí)行，【最長(zhǎng)間隔】輸入1小時(shí)，選中【執(zhí)行前通知用戶】，并在【客戶端提示消息】中輸入“終端感知測(cè)試”，【風(fēng)險(xiǎn)預(yù)警方式】選中【有風(fēng)險(xiǎn)時(shí)提示用戶】，點(diǎn)擊【策略下發(fā)】，彈窗頁(yè)面選中默認(rèn)分組，點(diǎn)擊【確定下發(fā)】；

（5）終端通過(guò)瀏覽器訪問(wèn)「demo7 層演示業(yè)務(wù)」應(yīng)用有預(yù)期結(jié)果1；

（6）終端打開mstsc，通過(guò)瀏覽器訪問(wèn)「demo7層演示業(yè)務(wù)」應(yīng)用有預(yù)期結(jié)果2；

（7）終端關(guān)閉mstsc，通過(guò)瀏覽器訪問(wèn)「demo7層演示業(yè)務(wù)」應(yīng)用有預(yù)期結(jié)果3；

3.2.2 預(yù)期結(jié)果

（1）終端收到感知策略后，在右下角彈窗提示“終端感知測(cè)試”，并彈出感知結(jié)果界面，分?jǐn)?shù)為100，可以訪問(wèn)「demo7 層演示業(yè)務(wù)」并且登錄認(rèn)證沒(méi)有多因子認(rèn)證；

（2）終端上點(diǎn)擊感結(jié)果界面【重新感知】或等待1 分鐘，終端感知到不通過(guò)項(xiàng)，分?jǐn)?shù)扣為0，訪問(wèn)「demo7 層演示業(yè)務(wù)」，認(rèn)證完成后需要輸入多因子認(rèn)證才能登錄。

（3）終端上點(diǎn)擊感結(jié)果界面【重新感知】或等待1分鐘，終端感知分?jǐn)?shù)變?yōu)?00 分，可以訪問(wèn)「demo7層演示業(yè)務(wù)」，重新登錄不需要輸入多因子認(rèn)證。自適應(yīng)認(rèn)證用例見表1：

表1 自適應(yīng)認(rèn)證用例

4 測(cè)試結(jié)果分析

在體系中通過(guò)零信任技術(shù)可消除對(duì)數(shù)據(jù)和服務(wù)的未授權(quán)訪問(wèn)，對(duì)于業(yè)務(wù)復(fù)雜的智慧校園通過(guò)零信任技術(shù)解決了過(guò)去困擾數(shù)據(jù)中心業(yè)務(wù)發(fā)展過(guò)程中面對(duì)的安全運(yùn)營(yíng)困擾，實(shí)現(xiàn)了對(duì)人、設(shè)備、系統(tǒng)的全面、動(dòng)態(tài)、智能的訪問(wèn)控制。借助安全能力服務(wù)化，集約化的安全運(yùn)營(yíng)中心建設(shè)，體系化的安全能力設(shè)計(jì)，服務(wù)于并保障網(wǎng)絡(luò)數(shù)據(jù)中心的快速發(fā)展。

5 結(jié)語(yǔ)

在新技術(shù)加持下，傳統(tǒng)架構(gòu)的校園網(wǎng)慢慢地由新型的智慧校園網(wǎng)所取代，海量數(shù)據(jù)被不斷地聚集，給師生來(lái)帶了前所未有的便利。但如何確保海量數(shù)據(jù)的安全以及師生的隱私、網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)安全問(wèn)題，卻成了網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)安全研究者心頭痛。尤其是如何在現(xiàn)有的技術(shù)條件下，在智慧校園中保護(hù)用戶隱私權(quán)的前提下，提供有效的、安全的數(shù)據(jù)傳輸仍需進(jìn)一步研究。