摘要：該文提出了零信任網(wǎng)絡(luò)安全架構(gòu)在校園網(wǎng)中的應(yīng)用方案，基于無(wú)邊界網(wǎng)絡(luò)的思想，具有身份流量化、多源信任評(píng)估、動(dòng)態(tài)訪問(wèn)控制等零信任特性，探討在新的挑戰(zhàn)之下，零信任是如何解決網(wǎng)絡(luò)安全防護(hù)問(wèn)題的，希望能為高校數(shù)字化建設(shè)提供支持。

關(guān)鍵詞：零信任；安全防護(hù)；無(wú)邊界網(wǎng)絡(luò)

doi：10.3969/J.ISSN.1672-7274.2024.11.017

中圖分類號(hào)：TP 393.08" " " " " " " " "文獻(xiàn)標(biāo)志碼：A" " " " " " 文章編碼：1672-7274（2024）11-00-03

Research on the Application of Zero Trust in University Network Security Protection

AI Xiao

（Changsha Civil Affairs Vocational and Technical College， Changsha 410000， China）

Abstract： The article proposes the application of zero trust network security architecture in campus networks. Based on the idea of borderless networks， this paper explores how zero trust can solve network security protection problems under new challenges， using zero trust characteristics such as identity traffic， multi-source trust evaluation， and dynamic access control. It is hoped that this can provide support for the digital construction of universities.

Keywords： zero trust; security protection; boundaryless network

隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等技術(shù)的快速發(fā)展，高校也步入了數(shù)字化建設(shè)時(shí)代。一方面，混合辦公、移動(dòng)辦公等新場(chǎng)景興起，帶來(lái)網(wǎng)絡(luò)邊界模糊、終端安全難以把控等問(wèn)題；另一方面，面對(duì)攻擊手段與工具的發(fā)展，高校需要對(duì)內(nèi)部數(shù)字資源做更精細(xì)化的權(quán)限管控，又帶來(lái)網(wǎng)絡(luò)管控粒度不夠精細(xì)等問(wèn)題。高校數(shù)字化建設(shè)正面臨新的安全挑戰(zhàn)，而傳統(tǒng)的以邊界安全為中心的網(wǎng)絡(luò)架構(gòu)已不足以滿足當(dāng)前的網(wǎng)絡(luò)安全需求。

零信任概念最早由John Kindervag（約翰·金德維格）于2010年提出，它打破了傳統(tǒng)的邊界安全思想，提出新的網(wǎng)絡(luò)安全理念“Nerver Trust， Always Verify”，即“從不信任，持續(xù)驗(yàn)證”[1]。零信任網(wǎng)絡(luò)架構(gòu)不再以邊界為分界面，轉(zhuǎn)而以身份、資源為中心構(gòu)建網(wǎng)絡(luò)的安全體系架構(gòu)，實(shí)現(xiàn)動(dòng)態(tài)的、細(xì)粒度的訪問(wèn)控制。

本文旨在從零信任的理念、架構(gòu)出發(fā)，研究零信任網(wǎng)絡(luò)安全的核心技術(shù)和手段，探討在高校數(shù)字化建設(shè)過(guò)程中如何進(jìn)行零信任網(wǎng)絡(luò)安全架構(gòu)建設(shè)，以解決高校網(wǎng)絡(luò)安全防護(hù)問(wèn)題。

1" "高校數(shù)字化建設(shè)面臨的挑戰(zhàn)

校園網(wǎng)的網(wǎng)絡(luò)架構(gòu)多數(shù)還停留在傳統(tǒng)的以邊界安全為中心的網(wǎng)絡(luò)安全架構(gòu)，將網(wǎng)絡(luò)中不同安全等級(jí)的信息系統(tǒng)劃分到不同的網(wǎng)絡(luò)區(qū)域，區(qū)域之間通過(guò)防火墻或網(wǎng)閘進(jìn)行隔離。這種分區(qū)分域的方式，將網(wǎng)絡(luò)安全防護(hù)聚焦在網(wǎng)絡(luò)邊界出入口，在網(wǎng)絡(luò)邊界處部署安全設(shè)備，以防御來(lái)自網(wǎng)絡(luò)邊界外部的各種攻擊。然而，這種基于邊界的網(wǎng)絡(luò)安全架構(gòu)是建立在內(nèi)網(wǎng)可信的假設(shè)上的。一旦攻擊者突破邊界，他們?cè)趦?nèi)網(wǎng)或信任區(qū)域內(nèi)的橫向移動(dòng)將變得暢通無(wú)阻[2]。另外，隨著高校數(shù)字化建設(shè)的推進(jìn)，高校的網(wǎng)絡(luò)安全防護(hù)也面臨新的挑戰(zhàn)。

（1）網(wǎng)絡(luò)邊界模糊。隨著互聯(lián)網(wǎng)和通信技術(shù)的發(fā)展，固定地點(diǎn)辦公和遠(yuǎn)程辦公并存的混合辦公場(chǎng)景越來(lái)越廣泛，在高校的應(yīng)用場(chǎng)景中尤為明顯。一是高校師生會(huì)在校內(nèi)外等多個(gè)網(wǎng)絡(luò)環(huán)境訪問(wèn)校內(nèi)資源；二是在校企合作的政策推動(dòng)下，校外合作企業(yè)、實(shí)訓(xùn)基地等外部人員也可能會(huì)在任何地點(diǎn)、任意網(wǎng)絡(luò)環(huán)境中遠(yuǎn)程訪問(wèn)校內(nèi)資源。大量的遠(yuǎn)程接入需求導(dǎo)致高校的網(wǎng)絡(luò)邊界徹底走向模糊化，校內(nèi)資源的互聯(lián)網(wǎng)暴露面越來(lái)越大。

（2）移動(dòng)終端存在安全隱患。在高校數(shù)字化建設(shè)中，移動(dòng)辦公的場(chǎng)景也得以推廣，例如，高校師生可以在企業(yè)微信、今日校園等移動(dòng)端應(yīng)用中方便地進(jìn)行辦公、選課、學(xué)習(xí)等活動(dòng)。多類型的移動(dòng)終端豐富了高校數(shù)字化建設(shè)的應(yīng)用場(chǎng)景，但同時(shí)也導(dǎo)致了安全管理邊界的無(wú)限延伸，移動(dòng)終端安全成為一個(gè)不可忽略的問(wèn)題。

（3）網(wǎng)絡(luò)管控粒度不夠精細(xì)。在傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)下，網(wǎng)絡(luò)安全防護(hù)聚焦在網(wǎng)絡(luò)邊界出入口，在內(nèi)網(wǎng)區(qū)域基本沒(méi)有進(jìn)一步的細(xì)化隔離。一旦有設(shè)備被攻擊淪陷，通過(guò)這臺(tái)設(shè)備就可以獲取其所在網(wǎng)絡(luò)區(qū)域內(nèi)的所有設(shè)備或服務(wù)資源的訪問(wèn)權(quán)限?；诖?，需要對(duì)訪問(wèn)者本身、訪問(wèn)設(shè)備的環(huán)境進(jìn)行持續(xù)的檢測(cè)，對(duì)訪問(wèn)者及其訪問(wèn)資源進(jìn)行更精細(xì)化的權(quán)限控制。

高校的網(wǎng)絡(luò)安全防護(hù)面臨著以上新的挑戰(zhàn)，傳統(tǒng)的以邊界為中心的網(wǎng)絡(luò)安全架構(gòu)已不足以應(yīng)對(duì)。零信任理念的提出，打破了以邊界為中心的理念，將傳統(tǒng)的基于邊界的低效的網(wǎng)絡(luò)安全模型，提升為以資源和身份為中心的高效的網(wǎng)絡(luò)安全模型。

2" "零信任安全架構(gòu)

零信任概念最早由John Kindervag（約翰·金德維格）于2010年提出。他在報(bào)告中提出“Never Trust， Always Verify”，即“從不信任，持續(xù)驗(yàn)證”，成為零信任安全理念。網(wǎng)絡(luò)安全領(lǐng)域隨之定義了相應(yīng)的標(biāo)準(zhǔn)化文件，國(guó)內(nèi)外大型互聯(lián)網(wǎng)公司紛紛在自身業(yè)務(wù)和安全產(chǎn)品中融入零信任能力，零信任網(wǎng)絡(luò)、零信任體系架構(gòu)等概念也隨之興起。

2.1 零信任網(wǎng)絡(luò)

零信任網(wǎng)絡(luò)訪問(wèn)（ZeroTrust Network Access，ZTNA）將零信任理念應(yīng)用于組織內(nèi)部網(wǎng)絡(luò)建設(shè)，通過(guò)在用戶訪問(wèn)服務(wù)器資源時(shí)持續(xù)進(jìn)行身份認(rèn)證、多源信任評(píng)估及訪問(wèn)控制等手段，確保訪問(wèn)過(guò)程的安全性。ZTNA這一概念來(lái)源于Gartner公司，它包含了多種不同的網(wǎng)絡(luò)接入模型，其中，Google公司于2011年啟動(dòng)的BeyondCorp零信任項(xiàng)目就是最早、最典型的網(wǎng)絡(luò)接入模型[3]。零信任對(duì)網(wǎng)絡(luò)有如下假設(shè)：

⊙ 企業(yè)私有網(wǎng)絡(luò)都不被視為隱式信任區(qū)，即默認(rèn)不信任內(nèi)網(wǎng)。

⊙ 網(wǎng)絡(luò)上的設(shè)備可能并非企業(yè)所有，即設(shè)備多樣化。

⊙ 并非所有的企業(yè)資源都部署在企業(yè)擁有的基礎(chǔ)設(shè)施上，即資源不可控。

⊙ 所有連接均應(yīng)被認(rèn)證、加密、保護(hù)。

2.2 零信任體系架構(gòu)

零信任體系架構(gòu)（Zero Trust Architecture，ZTA），即基于零信任理念構(gòu)建的網(wǎng)絡(luò)安全架構(gòu)。國(guó)際上對(duì)零信任的標(biāo)準(zhǔn)化定義提出了多種零信任體系架構(gòu)，并定義了零信任的技術(shù)架構(gòu)、核心組件、部署場(chǎng)景等。其中，最典型的包括美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院NIST于2020年發(fā)布《零信任架構(gòu)》（Zero Trust Architecture NIST SP 800-207）[4]，與加拿大標(biāo)準(zhǔn)協(xié)會(huì)CSA在2022年發(fā)布的SDP Specification 2.0[5]。

SDP 2.0的基本架構(gòu)包括SDP控制器、SDP連接發(fā)起主機(jī)（IH）、SDP接受主機(jī)（AH），如圖1所示。SDP控制器負(fù)責(zé)定義訪問(wèn)控制策略，SDP接受主機(jī)通常位于應(yīng)用程序和服務(wù)的前面，用于實(shí)現(xiàn)SDP控制器定義的訪問(wèn)策略。其中，SDP控制器與發(fā)起主機(jī)（IH）、接受主機(jī)（AH）之間的認(rèn)證、通知、授權(quán)等通訊消息都屬于控制平面，而發(fā)起主機(jī)（IH）與接受主機(jī)（AH）之間的連接屬于數(shù)據(jù)平面。

美國(guó)網(wǎng)絡(luò)安全廠商Cyxtera提出了AppGateSDP方案，實(shí)現(xiàn)了CSA的SDP架構(gòu)。國(guó)內(nèi)網(wǎng)絡(luò)安全廠商，如深信服、奇安信等，也都基于SDP架構(gòu)實(shí)現(xiàn)了零信任方案，在國(guó)內(nèi)市場(chǎng)展開(kāi)激勵(lì)競(jìng)爭(zhēng)，為零信任在企業(yè)網(wǎng)絡(luò)中的應(yīng)用積累了眾多實(shí)踐經(jīng)驗(yàn)。

3" "高校零信任架構(gòu)的建設(shè)

本文主要探討如何利用SDP架構(gòu)來(lái)實(shí)施高校校園網(wǎng)的零信任建設(shè)方案。

3.1 高校零信任架構(gòu)訪問(wèn)模型

基于高校的訪問(wèn)需求，零信任架構(gòu)的訪問(wèn)模型如圖2所示。

在以上模型中包含兩個(gè)核心組件：SDP控制器與SDP網(wǎng)關(guān)。SDP控制器負(fù)責(zé)對(duì)訪問(wèn)者進(jìn)行身份認(rèn)證、權(quán)限管理及信任評(píng)估，最終決定是否授權(quán)。SDP網(wǎng)關(guān)負(fù)責(zé)執(zhí)行控制器下發(fā)的策略，與訪問(wèn)者建立連接，代理訪問(wèn)校內(nèi)資源?；谝陨显L問(wèn)模型，可實(shí)現(xiàn)以下零信任特性。

（1）流量身份化。校內(nèi)外訪問(wèn)者通過(guò)SDP控制器進(jìn)行身份認(rèn)證，以獲取訪問(wèn)權(quán)限。在后續(xù)的訪問(wèn)過(guò)程中，對(duì)于該身份的校驗(yàn)、鑒權(quán)將持續(xù)進(jìn)行、貫徹始終。此外，SDP控制器的身份認(rèn)證模塊可以與校園網(wǎng)已有的統(tǒng)一身份認(rèn)證平臺(tái)進(jìn)行對(duì)接，實(shí)現(xiàn)零信任與校內(nèi)其他資源的單點(diǎn)登錄。

（2）多源信任評(píng)估。訪問(wèn)者在獲取身份之后，SDP控制器可基于靜態(tài)權(quán)限、終端環(huán)境、訪問(wèn)行為、訪問(wèn)資源等多源數(shù)據(jù)進(jìn)行信任評(píng)估，最終決策是否授予該訪問(wèn)者訪問(wèn)某些資源的權(quán)限。

（3）動(dòng)態(tài)訪問(wèn)控制。多源信任評(píng)估的結(jié)果將作為動(dòng)態(tài)訪問(wèn)控制的依據(jù)。在訪問(wèn)過(guò)程中，SDP控制器將對(duì)訪問(wèn)者、訪問(wèn)環(huán)境、訪問(wèn)資源等主客體進(jìn)行多源信任評(píng)估，根據(jù)其評(píng)估結(jié)果對(duì)訪問(wèn)者進(jìn)行權(quán)限調(diào)整和安全處置。訪問(wèn)者獲取到權(quán)限之后，在訪問(wèn)端與SDP網(wǎng)關(guān)建立連接，由SDP網(wǎng)關(guān)代理訪問(wèn)校內(nèi)資源。同時(shí)，SDP控制器將對(duì)訪問(wèn)過(guò)程進(jìn)行持續(xù)檢測(cè)，若訪問(wèn)者權(quán)限發(fā)生變化，將重新驗(yàn)證身份或直接阻斷連接。

通過(guò)以上零信任特性，可實(shí)現(xiàn)對(duì)訪問(wèn)過(guò)程的持續(xù)信任評(píng)估、最小訪問(wèn)權(quán)限控制[6]。

3.2 高校零信任安全訪問(wèn)場(chǎng)景

基于零信任架構(gòu)的校園網(wǎng)不局限于訪問(wèn)者接入IP地址或物理位置，不局限于訪問(wèn)終端，都能保障安全訪問(wèn)。校內(nèi)或校外的師生，在用PC端或移動(dòng)端遠(yuǎn)程訪問(wèn)校內(nèi)教務(wù)系統(tǒng)、OA辦公系統(tǒng)、知網(wǎng)、圖書館資源等校內(nèi)資源時(shí)，校園網(wǎng)都可以實(shí)現(xiàn)有效的安全防護(hù)。結(jié)合高校數(shù)字化建設(shè)，零信任架構(gòu)還可以與企業(yè)微信、今日校園等門戶應(yīng)用以及統(tǒng)一身份認(rèn)證平臺(tái)等系統(tǒng)集成，實(shí)現(xiàn)對(duì)校內(nèi)資源的無(wú)感知訪問(wèn)。

本文以企業(yè)微信作為門戶應(yīng)用及身份認(rèn)證平臺(tái)為例，訪問(wèn)者在企業(yè)微信工作臺(tái)訪問(wèn)校內(nèi)資源（如教務(wù)系統(tǒng)），零信任系統(tǒng)認(rèn)證、教務(wù)系統(tǒng)認(rèn)證都與企業(yè)微信認(rèn)證模塊進(jìn)行對(duì)接，實(shí)現(xiàn)單點(diǎn)登錄，訪問(wèn)流程如圖3所示。訪問(wèn)流程如下：

① 訪問(wèn)者在企業(yè)微信工作臺(tái)點(diǎn)擊教務(wù)系統(tǒng)。

② 教務(wù)系統(tǒng)需要在零信任安全防護(hù)下訪問(wèn)，因此需要先進(jìn)行零信任身份認(rèn)證。

③ 零信任認(rèn)證與企業(yè)微信進(jìn)行對(duì)接，向企業(yè)微信請(qǐng)求認(rèn)證。

④ 企業(yè)微信通過(guò)oAuth 2.0協(xié)議上線零信任，完成零信任身份認(rèn)證。

⑤ 返回教務(wù)系統(tǒng)鏈接，通過(guò)零信任安全訪問(wèn)。

⑥ 教務(wù)系統(tǒng)需要完成身份認(rèn)證，向企業(yè)微信請(qǐng)求認(rèn)證。

⑦ 企業(yè)微信通過(guò)oAuth 2.0協(xié)議上線教務(wù)系統(tǒng)，完成教務(wù)系統(tǒng)身份認(rèn)證。

⑧ 訪問(wèn)者通過(guò)零信任安全訪問(wèn)教務(wù)系統(tǒng)。

4" "結(jié)束語(yǔ)

本文提出將零信任網(wǎng)絡(luò)安全架構(gòu)應(yīng)用于校園網(wǎng)，依托無(wú)邊界網(wǎng)絡(luò)思想，實(shí)現(xiàn)流量身份化、多源信任評(píng)估和動(dòng)態(tài)訪問(wèn)控制等功能，有效應(yīng)對(duì)高校網(wǎng)絡(luò)邊界模糊、移動(dòng)終端安全隱患、網(wǎng)絡(luò)權(quán)限精細(xì)化管理等挑戰(zhàn)。通過(guò)零信任方式對(duì)訪問(wèn)過(guò)程進(jìn)行持續(xù)信任評(píng)估，實(shí)施最小訪問(wèn)權(quán)限控制，對(duì)高校師生、企業(yè)合作方訪問(wèn)校內(nèi)資源進(jìn)行持續(xù)、有效的安全防護(hù)。同時(shí)，基于零信任的擴(kuò)展性強(qiáng)等特性，實(shí)現(xiàn)與企業(yè)微信、今日校園等門戶應(yīng)用，以及統(tǒng)一身份認(rèn)證平臺(tái)等系統(tǒng)應(yīng)用的對(duì)接，最終實(shí)現(xiàn)校內(nèi)資源的無(wú)感知訪問(wèn)。以上零信任安全訪問(wèn)過(guò)程，不僅實(shí)現(xiàn)了校園網(wǎng)網(wǎng)絡(luò)安全防護(hù)，同時(shí)也考慮了在校師生的用戶體驗(yàn)，希望能為高校數(shù)字化建設(shè)提供支持。

參考文獻(xiàn)

[1] [美]埃文·吉爾曼，道格·巴斯 著．零信任網(wǎng)絡(luò)在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)[M]．奇文信息身份安全實(shí)驗(yàn)室 譯．北京：人民郵電出版社，2019．

[2] 魏小強(qiáng)．基于零信任的遠(yuǎn)程辦公系統(tǒng)安全模型研究與實(shí)現(xiàn)[J]．信息安全研究，2020，6（4）：289-295．

[3] Ward R， Beyer B. BeyondCorp： A New Approach to Enterprise Security[OL]. [2014-12] [2024-07-03]. https：//storage.googleapis.com/pub-tools-publicpublication-data/pdf/43231.pdf

[4] ROSE S， BORCHERT O， MITCHELL S， et al. NIST SP 800-207draft2 Zero Trust Architecture[S]. Gaithersburg： National Institute of Standards and Technology Special Publication， Maryland，United States，2020.

[5] BILGER B， BOEHME A， FLORES B， et al. Software-Defined Perimeter （SDP） Specification v2.0[R/OL]. [2022-03] [2024-07-03]. https：//cloudsecurityalliance.org/artifacts/software-defined-perimeter-zero-trust-specification-v2

[6] 曾玲，劉星江．基于零信任的安全架構(gòu)[J]．通信技術(shù)，2020，53（7）：1750-1754．