亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于內(nèi)生安全架構(gòu)的智慧校園數(shù)據(jù)中心安全體系的研究

        2022-12-03 11:48:32張平華程芳
        鄂州大學(xué)學(xué)報(bào) 2022年4期
        關(guān)鍵詞:校園智慧

        張平華,程芳

        (1 合肥職業(yè)技術(shù)學(xué)院信息工程與傳媒學(xué)院,安徽合肥 230000;2.奇安信科技集團(tuán)股份有限公司,北京 100000)

        伴隨著5G 技術(shù)的發(fā)展與應(yīng)用,在以大數(shù)據(jù)、云計(jì)算、邊緣計(jì)算、邊界模糊計(jì)算和人工智能以及聯(lián)網(wǎng)技術(shù)等核心技術(shù)的支持下,高校的校園網(wǎng)中業(yè)務(wù)復(fù)雜多樣[1],規(guī)模日益增大,智能化集成度越來(lái)越高。在紛繁復(fù)雜的網(wǎng)絡(luò)中,黑客攻擊、木馬、病毒(如勒索病毒等)等各種攻擊手段層出不窮,雖然等保2.0 將被動(dòng)防御審計(jì)式改進(jìn)為主動(dòng)安全監(jiān)測(cè)和動(dòng)態(tài)響應(yīng),但高校校園網(wǎng)缺乏整體統(tǒng)一的規(guī)劃,建設(shè)周期長(zhǎng),全面的網(wǎng)絡(luò)安全保障體系缺失,故過(guò)去的網(wǎng)絡(luò)架構(gòu)和防御技術(shù)已經(jīng)不能確保校園網(wǎng)的安全了。研究基于內(nèi)生安全架構(gòu)的智慧校園數(shù)據(jù)中心安全體系,對(duì)于加強(qiáng)智慧校園網(wǎng)絡(luò)安全,確保師生等業(yè)務(wù)數(shù)據(jù)和隱私等[2]信息安全,打造平安校園具有重要的意義。

        1 智慧校園安全風(fēng)險(xiǎn)分析

        1.1 邊界薄弱,暴露面多

        在以大數(shù)據(jù)、云計(jì)算、邊緣計(jì)算[3]、邊界模糊計(jì)算和人工智能為代表的核心產(chǎn)業(yè)與技術(shù)下,網(wǎng)絡(luò)的邊界變得不那么明確。目前,各大高?;旧弦呀?jīng)實(shí)現(xiàn)5G 全覆蓋,隨著移動(dòng)辦公和規(guī)模不斷擴(kuò)大,業(yè)務(wù)流程大量增多,網(wǎng)絡(luò)南北通路上的數(shù)據(jù)流量巨大。在基于邊界思維指導(dǎo)下構(gòu)建的安全架構(gòu)通常是在邊界處部署防火墻、WAF、入侵檢測(cè)等設(shè)備進(jìn)行防御被動(dòng)地監(jiān)測(cè)與防御,業(yè)務(wù)流程的數(shù)據(jù)信息的流量安全一直被忽略。

        1.2 滲透攻擊與防御不對(duì)等

        在智慧校園網(wǎng)的建設(shè)中,新技術(shù)和新應(yīng)用被廣泛地用于校園網(wǎng)中實(shí)驗(yàn)與創(chuàng)新,業(yè)務(wù)信息數(shù)據(jù)也趨于集中。同時(shí),在邊界思維的指導(dǎo)下企業(yè)內(nèi)部網(wǎng)絡(luò)中缺乏足夠的安全訪問(wèn)控制[4]。對(duì)于動(dòng)態(tài)的安全來(lái)說(shuō),在這些新技術(shù)的試驗(yàn)環(huán)境下系統(tǒng)必定存在不安全的設(shè)計(jì)或設(shè)置,攻擊者會(huì)應(yīng)用各種新技術(shù)去挑戰(zhàn)網(wǎng)絡(luò)的安全,在一定程度上智慧的校園網(wǎng)成了黑客們的練手技能場(chǎng),特別是以APT 為代表的高級(jí)攻擊層出不窮,攻擊者可以利用大量的漏洞“武器”,試圖對(duì)各種重要目標(biāo)進(jìn)行攻擊[5]。

        1.3 內(nèi)部威脅加劇

        智慧校園網(wǎng)的發(fā)展促使校園業(yè)務(wù)、應(yīng)用功能不斷的增多,并多樣化,網(wǎng)絡(luò)安全隱患也就不斷地增加。在邊界思維主導(dǎo)下,網(wǎng)絡(luò)的設(shè)計(jì)與管理者認(rèn)為校園網(wǎng)(內(nèi)部網(wǎng))是足夠安全的,而忽略了來(lái)自“安全區(qū)”中的威脅與攻擊,對(duì)安全訪問(wèn)控制策略的設(shè)置不嚴(yán)或者沒(méi)有。往往因?yàn)榉鞘跈?quán)訪問(wèn)、雇員犯錯(cuò)、外包員工犯錯(cuò)等等原因,導(dǎo)致“合法用戶”可以非法訪問(wèn)特定的業(yè)務(wù)和數(shù)據(jù)資源,造成組織內(nèi)部數(shù)據(jù)泄漏。

        2 基于內(nèi)生安全架構(gòu)的智慧校園數(shù)據(jù)中心安全體系

        目前多數(shù)高校的智慧校園架構(gòu)復(fù)雜和業(yè)務(wù)訪問(wèn)量巨大,這就要求網(wǎng)絡(luò)安全建設(shè)需要從業(yè)務(wù)需求出發(fā),圍繞智慧校園“內(nèi)生安全”能力應(yīng)該具有自適應(yīng)、自主、自生長(zhǎng)三個(gè)特點(diǎn)對(duì)核心業(yè)務(wù)進(jìn)行安全管制能力[6]。

        通過(guò)采用“內(nèi)生安全”建設(shè)思路,通過(guò)經(jīng)營(yíng)安全,幫助學(xué)校智慧校園數(shù)據(jù)中心建立一個(gè)從預(yù)警、防御、檢測(cè)、處置的一個(gè)閉環(huán)運(yùn)營(yíng)體系[7],實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的動(dòng)態(tài)掌控,是數(shù)據(jù)中心安全建設(shè)過(guò)程中必不可少的一環(huán)。智慧校園數(shù)據(jù)中心“內(nèi)生安全”架構(gòu)如圖1 所示。

        圖1 智慧校園數(shù)據(jù)中心“內(nèi)生安全”架構(gòu)圖

        基于“內(nèi)生安全”架構(gòu)的智慧校園數(shù)據(jù)中心針對(duì)于不同安全級(jí)別的應(yīng)用系統(tǒng)進(jìn)行安全域的劃分,同時(shí)結(jié)合網(wǎng)絡(luò)業(yè)務(wù)的特點(diǎn),將智慧校園數(shù)據(jù)中心網(wǎng)絡(luò)劃分三個(gè)相對(duì)獨(dú)立的區(qū)域(如圖2 所示),分別為核心業(yè)務(wù)區(qū)、安全邊界、安全運(yùn)營(yíng)管理區(qū)。

        圖2 智慧校園數(shù)據(jù)中心安全建設(shè)拓?fù)鋱D

        核心業(yè)務(wù)區(qū):用來(lái)部署數(shù)據(jù)中心服務(wù)器。

        安全邊界區(qū):在出口采用兩臺(tái)下一代防火墻做冗余部署,下一代防火墻配置IPS、AV 等安全模塊。

        安全運(yùn)營(yíng)管理區(qū):用來(lái)部署威脅感知平臺(tái)、數(shù)據(jù)防泄漏、服務(wù)器加固系統(tǒng)、零信任API 網(wǎng)關(guān)等網(wǎng)絡(luò)安全系統(tǒng)。在本地私有云核心交換部署威脅感知探針,在公有云平臺(tái)中部署軟件版威脅感知探針,將整個(gè)混合云的安全感知信息匯總至安全運(yùn)營(yíng)管理區(qū)的APT 威脅感知平臺(tái)。

        通過(guò)基于“內(nèi)生安全”架構(gòu)方案,構(gòu)建一種扁平化的網(wǎng)絡(luò)架構(gòu),面對(duì)威脅能防得住、面對(duì)殘余攻擊能測(cè)的出、面對(duì)安全事件能處置響應(yīng);面對(duì)更新快、變種多的攻擊,充分發(fā)揮安全運(yùn)營(yíng)保障服務(wù)和人工智能技術(shù)的自動(dòng)化能力,使防御、檢測(cè)、響應(yīng)能力能夠不斷更新和升級(jí),有效應(yīng)對(duì)未知威脅。

        3 零信任技術(shù)測(cè)試方法

        為實(shí)現(xiàn)方案目標(biāo),本方案采用零信任技術(shù)[8]對(duì)于某?;凇皟?nèi)生安全”架構(gòu)的智慧校園數(shù)據(jù)中心安全體系進(jìn)行實(shí)測(cè),在校智慧校園的安全測(cè)試及應(yīng)用上組織開展了基于零信任產(chǎn)品的POC 測(cè)試工作,確保達(dá)到建設(shè)的預(yù)期目標(biāo)。見圖3:

        圖3 零信任動(dòng)態(tài)可信訪問(wèn)控制流程

        主要完成以下安全方面的驗(yàn)證:

        (1)零信任身份安全在主體(設(shè)備、用戶、應(yīng)用)和客體(業(yè)務(wù)應(yīng)用和運(yùn)維系統(tǒng))之間的訪問(wèn)路徑上是否建立完整信任鏈?

        (2)能否實(shí)現(xiàn)訪問(wèn)過(guò)程的安全可控?

        (3)是否可采取更嚴(yán)格的訪問(wèn)控制和安全檢測(cè)方式,僅通過(guò)認(rèn)證的主體(合法設(shè)備、合法用戶、合法應(yīng)用),才能夠進(jìn)行客體訪問(wèn)?

        (4)能否提升安全風(fēng)險(xiǎn)感知能力,實(shí)現(xiàn)通過(guò)持續(xù)認(rèn)證進(jìn)行風(fēng)險(xiǎn)管控,并發(fā)現(xiàn)疏漏并及時(shí)自動(dòng)調(diào)整訪問(wèn)控制及權(quán)限?

        (5)能否建立以“動(dòng)態(tài)身份”為邊界的安全防護(hù)體系,構(gòu)建出敏捷、智能、安全的“零信任”安全環(huán)境?

        3.1 測(cè)試方法及流程

        在數(shù)字化環(huán)境下,身份認(rèn)證與訪問(wèn)控制面臨巨大的挑戰(zhàn),新型身份安全應(yīng)能夠減少對(duì)人工的依賴,取而代之是更加廣泛、安全、靈活的新型身份管理與訪問(wèn)控制機(jī)制,在增加信任、改善用戶體驗(yàn)的同時(shí)更大的提升安全性。

        下面通過(guò)在校園網(wǎng)中構(gòu)建零信任身份服務(wù)系統(tǒng)(TAC:Trust Access Console)與云計(jì)算、大數(shù)據(jù)、應(yīng)用系統(tǒng)等進(jìn)行集成,通過(guò)部署到IT 的各層次的“零信任”訪問(wèn)控制組件,執(zhí)行動(dòng)態(tài)、精細(xì)化的訪問(wèn)控制。零信任測(cè)試拓?fù)浜蜏y(cè)試邏輯分別如圖4 和圖5 所示。

        圖4 零信任測(cè)試拓?fù)?/p>

        圖5 零信任測(cè)試邏輯

        零信任安全平臺(tái)必須依照零信任(Zero-Trust)安全訪問(wèn)模型進(jìn)行建設(shè),能夠?qū)r(shí)間策略、IP 限制、終端限制等訪問(wèn)策略進(jìn)行控制,同時(shí)要求規(guī)定哪個(gè)用戶或用戶組可以訪問(wèn)哪個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行用戶最小化授權(quán)。同時(shí),零信任安全平臺(tái)要求對(duì)終端安裝狀態(tài)進(jìn)行綜合評(píng)估,至少包括設(shè)備、身份、應(yīng)用、行為幾個(gè)維度來(lái)持續(xù)信任評(píng)估。零信任安全平臺(tái)要求能夠識(shí)別用戶的異常行為,如異地、新設(shè)備登錄、異常時(shí)間、操作次數(shù)過(guò)高等威脅,觸發(fā)二次認(rèn)證。

        零信任認(rèn)證交互流程如圖6:

        圖6 零信任認(rèn)證交互流程

        首先,以身份為基石,保障用戶和設(shè)備的合法性;為網(wǎng)絡(luò)中的人、設(shè)備、應(yīng)用都賦予邏輯身份,并基于身份進(jìn)行細(xì)粒度的權(quán)限設(shè)置和判定。

        然后,進(jìn)行業(yè)務(wù)隱藏,訪問(wèn)加密;在零信任安全體系中,所有的訪問(wèn)請(qǐng)求(應(yīng)用、接口等)都應(yīng)該被認(rèn)證、授權(quán)和加密。

        持續(xù)信任評(píng)估,保障訪問(wèn)安全;對(duì)終端、用戶等訪問(wèn)主體進(jìn)行持續(xù)風(fēng)險(xiǎn)感知和信任評(píng)估,根據(jù)信任評(píng)估對(duì)訪問(wèn)權(quán)限進(jìn)行動(dòng)態(tài)調(diào)整。當(dāng)終端的信任分值低于某個(gè)數(shù)值時(shí),零信任安全平臺(tái)服務(wù)器后臺(tái)會(huì)將該終端下線,禁止訪問(wèn)業(yè)務(wù)系統(tǒng),有效避免病從“口”入。

        最后,實(shí)現(xiàn)動(dòng)態(tài)訪問(wèn)控制,緩解業(yè)務(wù)風(fēng)險(xiǎn)。

        3.2 測(cè)試用例

        為體現(xiàn)測(cè)試效果,本案添加了一個(gè)7 層WEB應(yīng)用和4 層代理應(yīng)用(可以選擇同一個(gè)應(yīng)用創(chuàng)建不同類型應(yīng)用,也可以選擇兩個(gè)及以上應(yīng)用分別創(chuàng)建為7 層WEB應(yīng)用和4 層代理應(yīng))。由于篇幅限制,以自適應(yīng)認(rèn)證為例進(jìn)行介紹。

        3.2.1 測(cè)試過(guò)程

        (1)在可信訪問(wèn)控制臺(tái)TAC【身份訪問(wèn)管理】-【認(rèn)證服務(wù)】的【認(rèn)證模塊】中添加“XXXID”認(rèn)證模塊,添加頁(yè)面只需要添一個(gè)名字“XXXID”然后保存即可。

        (2)在可信訪問(wèn)控制臺(tái)TAC【身份訪問(wèn)管理】-【認(rèn)證服務(wù)】的【認(rèn)證策略】中修改默認(rèn)策略,打開多因子認(rèn)證選項(xiàng),多因子認(rèn)證服務(wù)選擇“XXX ID”,然后在【設(shè)置多因子認(rèn)證規(guī)則】中添加一項(xiàng)【設(shè)備信任分規(guī)則】,設(shè)定可信分不屬于“90-100”時(shí)登錄認(rèn)證需要做多因子認(rèn)證。

        (3)確保安裝可信環(huán)境感知客戶端;登錄可信環(huán)境感知客戶端管理頁(yè)面:https://IP:8443 配置感知模板,進(jìn)入【感知管理】-【感知模板】,點(diǎn)擊【新建模板】,名字輸入:“遠(yuǎn)控軟件開啟感知”,在【應(yīng)用軟件合規(guī)感知配置項(xiàng)】中只勾選“遠(yuǎn)控軟件開啟感知”,其余感知項(xiàng)都不勾選(注意基礎(chǔ)安全感知、系統(tǒng)安全感知、健康狀態(tài)感知、物理環(huán)境感知,都不勾選“啟動(dòng)評(píng)估項(xiàng)”),配置好后點(diǎn)擊【保存并啟用此策略】;

        (4)配置感知策略,進(jìn)入【感知管理】-【模板分發(fā)】,【感知策略名稱】:“遠(yuǎn)控軟件開啟感知”,【選擇感知模板】選擇上一步的應(yīng)用合規(guī)感知模板,【策略執(zhí)行方式】為間隔執(zhí)行,【最長(zhǎng)間隔】輸入1小時(shí),選中【執(zhí)行前通知用戶】,并在【客戶端提示消息】中輸入“終端感知測(cè)試”,【風(fēng)險(xiǎn)預(yù)警方式】選中【有風(fēng)險(xiǎn)時(shí)提示用戶】,點(diǎn)擊【策略下發(fā)】,彈窗頁(yè)面選中默認(rèn)分組,點(diǎn)擊【確定下發(fā)】;

        (5)終端通過(guò)瀏覽器訪問(wèn)「demo7 層演示業(yè)務(wù)」應(yīng)用有預(yù)期結(jié)果1;

        (6)終端打開mstsc,通過(guò)瀏覽器訪問(wèn)「demo7層演示業(yè)務(wù)」應(yīng)用有預(yù)期結(jié)果2;

        (7)終端關(guān)閉mstsc,通過(guò)瀏覽器訪問(wèn)「demo7層演示業(yè)務(wù)」應(yīng)用有預(yù)期結(jié)果3;

        3.2.2 預(yù)期結(jié)果

        (1)終端收到感知策略后,在右下角彈窗提示“終端感知測(cè)試”,并彈出感知結(jié)果界面,分?jǐn)?shù)為100,可以訪問(wèn)「demo7 層演示業(yè)務(wù)」并且登錄認(rèn)證沒(méi)有多因子認(rèn)證;

        (2)終端上點(diǎn)擊感結(jié)果界面【重新感知】或等待1 分鐘,終端感知到不通過(guò)項(xiàng),分?jǐn)?shù)扣為0,訪問(wèn)「demo7 層演示業(yè)務(wù)」,認(rèn)證完成后需要輸入多因子認(rèn)證才能登錄。

        (3)終端上點(diǎn)擊感結(jié)果界面【重新感知】或等待1分鐘,終端感知分?jǐn)?shù)變?yōu)?00 分,可以訪問(wèn)「demo7層演示業(yè)務(wù)」,重新登錄不需要輸入多因子認(rèn)證。自適應(yīng)認(rèn)證用例見表1:

        表1 自適應(yīng)認(rèn)證用例

        4 測(cè)試結(jié)果分析

        在體系中通過(guò)零信任技術(shù)可消除對(duì)數(shù)據(jù)和服務(wù)的未授權(quán)訪問(wèn),對(duì)于業(yè)務(wù)復(fù)雜的智慧校園通過(guò)零信任技術(shù)解決了過(guò)去困擾數(shù)據(jù)中心業(yè)務(wù)發(fā)展過(guò)程中面對(duì)的安全運(yùn)營(yíng)困擾,實(shí)現(xiàn)了對(duì)人、設(shè)備、系統(tǒng)的全面、動(dòng)態(tài)、智能的訪問(wèn)控制。借助安全能力服務(wù)化,集約化的安全運(yùn)營(yíng)中心建設(shè),體系化的安全能力設(shè)計(jì),服務(wù)于并保障網(wǎng)絡(luò)數(shù)據(jù)中心的快速發(fā)展。

        5 結(jié)語(yǔ)

        在新技術(shù)加持下,傳統(tǒng)架構(gòu)的校園網(wǎng)慢慢地由新型的智慧校園網(wǎng)所取代,海量數(shù)據(jù)被不斷地聚集,給師生來(lái)帶了前所未有的便利。但如何確保海量數(shù)據(jù)的安全以及師生的隱私、網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)安全問(wèn)題,卻成了網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)安全研究者心頭痛。尤其是如何在現(xiàn)有的技術(shù)條件下,在智慧校園中保護(hù)用戶隱私權(quán)的前提下,提供有效的、安全的數(shù)據(jù)傳輸仍需進(jìn)一步研究。

        猜你喜歡
        校園智慧
        Q爆校園
        再見,我的校園
        南方周末(2018-06-28)2018-06-28 08:11:04
        校園的早晨
        琴童(2017年3期)2017-04-05 14:49:04
        春滿校園
        開心校園
        爆笑校園
        有智慧的羊
        智慧派
        智慧決定成敗
        国内最真实的xxxx人伦| 就去吻亚洲精品欧美日韩在线| 日韩人妻无码一区二区三区久久99 | 亚洲欧美日韩精品久久| 久久国产精品二国产精品| 久久99久久99精品免观看不卡 | 99成人精品| 热门精品一区二区三区| 91自拍视频国产精品| 看黄a大片日本真人视频直播| 亚洲自偷自拍另类图片小说| 日韩精品成人一区二区三区久久久 | 亚洲精品aⅴ无码精品丝袜足 | 亚洲成人福利在线视频| 久久不见久久见中文字幕免费 | 国产一区二区免费在线视频| 亚洲成av人在线播放无码| а中文在线天堂| 91精品人妻一区二区三区蜜臀| av网站大全免费在线观看| 国产喷水1区2区3区咪咪爱av| 亚洲欧美国产日韩字幕| 偷拍一区二区三区在线观看| 操风骚人妻沉沦中文字幕| 亚洲精品无码不卡在线播放he| 午夜无码一区二区三区在线| 日本精品av中文字幕| 国产亚洲综合一区二区三区| 曰本女人与公拘交酡免费视频| 国产一级做a爱视频在线| 亚洲熟女一区二区三区250p | 无码一区二区三区久久精品| 国模91九色精品二三四| 中文字幕乱偷无码av先锋蜜桃| 无码 制服 丝袜 国产 另类| 日本一区二区三区在线观看视频| 人妻中文字幕乱人伦在线| 人人妻人人爽人人做夜欢视频九色 | 麻豆国产一区二区三区四区| 国产成人vr精品a视频| 少妇特殊按摩高潮惨叫无码|