高校网络安全建设应用和研究

摘要：随着移动互联网、大数据、云计算、物联网等新技术的发展和应用，网络安全态势趋于严峻，各类安全隐患广泛存在于高校网络的各个方面。如何保障核心设备及其相关数据的安全，保护流动性较强的个人和团体的隐私信息和其知识产权，并确保他们的计算资源不被利用，或用于攻击渗透其他目标。本文提出了零信任架构，试图在学术交流、教育科研与安全防御之间寻求更全面的安全保障。

关键词：零信任；网络安全；校园网

一、引言

互联网建立于大学校园之上，最初它是为学者们建造的，没有任何关于新型商业和犯罪活动的概念。随着时代的发展，互联网已超越纯粹的学术界，推动了信息革命的到来，成为高校、政府与企业乃至整个国家的重要基础设施。当前，木马病毒和高危漏洞泛滥，网络攻击成多样化态势，安全形势日益严峻，而一直以来高校在信息化进程中缺乏对网络安全建设的整体考虑，导致目前高校网络的信息安全建设严重滞后，以至于无法有效的应用网络安全策略和防御设施。如何在建设信息化、智能化校园的同时，保障校园网络安全，让我们的“象牙塔”成为一方净土，成为各高校、科研院所亟待解决的关键问题。

二、高校网络安全形势

随着云计算、大数据、物联网、移动互联网等新技术的发展和应用，各大高校纷纷加入信息化建设的大军。在师生享受高校网络信息化带来的资源共享和教学模式丰富的同时，各种网络安全隐患广泛存在于高校网络的各个方面。（一）网络资产形式各异。网络资产是指在一个机构或组织内部用于支撑网络信息相关行为的任何数据，设备及其他组件。网络资产通常包括硬件（例如服务器和交换机），软件（例如关键任务应用程序和支持系统）和数据信息。在政府机构或公司组织谨慎地保护其国家战略和知识产权的过程中，需要一个高度安全的网络来严密监测和限制设备、用户和实时流量，但在高等教育的校园中，鉴于学术研究的开放性，全球各地的学生、访问学者及会议团体定期到来，携带自己的设备，寻求与他人一起学习和合作。人们谈到校园网络，更多让人联想起咖啡店或酒店而非公司组织的内部网络。因此在网络的日常管理中，学校通常对学生和教师在校园网络中使用的设备拥有相对较少的控制权。此外，高校中存在门类众多的学院和科研机构，这些学术机构因为领域和专业差别较大，各类硬件设备和系统软件在设计和部署阶段存在较大差异，诸如：超级计算机中心、校园WIFI、专业竞赛平台、校园卡管理系统、实验室专用网络等都给高校网络安全建设带来了新的挑战，传统的应用于企业和政府的网络安全方案无法很好的应用于高校的网络安全建设。（二）攻击行为复杂多变。据赛门铁克统计，近年来数据泄露事件严重，被盗凭证超过数以百亿条。泄漏的数据被广泛用于电信诈骗、广告营销及钓鱼攻击等多种恶意行为，高校网络中用户群体庞大，学生安全防范意识薄弱，成为网络攻击的首选目标；勒索软件和挖矿劫持等此类攻击方式，由于门槛低且开销小，深受犯罪分子青睐，2018年攻击活动呈爆发式增长，事件总量为2017年的4倍，高校网络存在大量的个人计算机、服务器，甚至超级计算机中心，此类设备为勒索软件和挖矿劫持的重点对象，一旦被感染，将导致严重的后果。2017年，“WannaCry”勒索病毒席卷全球，数量众多的操作系统遭受感染，高校网络首当其冲，大量教学系统、科研设备、实验数据等遭受攻击，部分高校的应用系统、数据文件和研究资料被偷窃或加密后，无法正常工作，对学术研究和教学工作均造成了严重影响。（三）防御体系浅显单一。传统的网络安全建设中，校园网采用防火墙、流量监控、VPN及防病毒软件等软硬件设备来保护网络边界及计算机安全。但是这种安全模型存在较大问题，如2.1节所述，高校网络的边界防护正变得越来越难以实施，攻击者能够轻易的绕过防火墙，突破网络边界，从而访问高校的内部网络；大量的文件传输和共享行为被用于教学和科研，为蠕虫病毒及勒索软件的传播提供了天然的媒介，由于高校网络中的计算机缺乏有效的联动机制，此类威胁难以根除，存在交叉感染、反复感染的情况；在高校网络建设的过程中，大量信息系统的认证机制相互独立，凭证的保护、认证及存储等机制各不相同，难以统一维护，给后期网络安全检测和维护工作带来的较大困难，是高校网络安全防御体系的关键薄弱点。

三、零信任网络

基于物理位置的高校网络边界定义不再适合新形势下的网络安全模型，移动互联网、云计算给攻击者提供了新的载体，内部网络中的应用服务和内容媒体是高风险且不可信的。在谷歌的BeyondCorp的基础上，本文提出了零信任架构在高校网络安全建设中的应用模型，这是一种豁免特权的新模型。在零信任网络中，资源的访问与用户的网络位置无关，仅取决于设备和用户的凭证。无论是校园内部、家庭网络还是酒店或咖啡店，所有的访问都需经过完整的身份验证、授权和细粒度的访问控制，并依据设备状态和用户凭据进行加密。（一）零信任网络的构成组件。1.安全设备和标识。在零信任网络中，我们定义了“受信设备”的概念，这是一个隶属于高校并由其主动管理的设备，只有受信设备才能访问高校网络。针对此类设备，我们需要一个设备数据库对其网络行为、虚拟地址等进行跟踪和分析。此外，所有的受信设备都需要以唯一标识的方式引用设备数据库中的相关记录，而此过程需要设备拥有其特定证书。该证书可以唯一地识别设备，它被用作获取该设备信息的钥匙，代表了该设备在设备数据库中存在且设备信息完整有效，通常证书存储在硬件或软件上可信平台模块（TPM）或合格证书存储区。设备的认证过程中需要验证其拥有证书的有效性，只有被认定为足够安全的设备可以归类为可信设备，同时需要强制性定期检查证书的有效性。一旦证书安装完毕，该证书用于高校网络服务的所有通信行为。2.安全用户和用户组高校网络的使用者及相关团体构成了零信任网络的用户数据库和组数据库，这些数据库涵盖了高校教师、学生、访问学者等对象的用户名、身份、有效期等各种属性，并与教学管理等多个流程结合在一起。通过对数据库的跟踪和管理，如学生的入学毕业，教师岗位的变化、会议竞赛的举办，这些数据库将会实时更新，并对相关的应用服务作出响应。3.单点登录系统。单点登录（SSO）系统是一种集中式的用户认证系统，对于许多相互关联，但是又各自独立的应用系统而言，它只需要认证一次就可以访问所有相互信任的应用系统，其主要用于用户通过身份验证门户请求访问高校网络资源，其调用安全用户和用户组信息，生成短期令牌可授权用户获取部分资源，解决了高校网络中多种形式各异的身份认证机制互不兼容的问题。4.无特权网络。为了使本地和远程访问受到相同安全策略的约束，我们需要在校园网的私有地址空间中定义和部署一个非特权网络。非特权网络仅能连接到互联网与基础设施服务（例如：DNS、DHCP和NTP）。针对所有物理位置在高校内部的联网设备等同于互联网设备一律分配在该非特权网络中，同时非特权网络的ACL（访问控制列表）约束此网络与高校其他网络之间的资源存取。5.面向Internet的访问。高校网络的所有应用程序都暴露在外部，内外部客户端使用加密方式通过面向Internet的访问访问应用服务器。访问为每个应用程序提供全局可达性、负载平衡、访问控制、应用程序运行状况检查和拒绝服务保护等功能。6.公共DNS服务。高校网络中所有的应用服务程序都是公开的，并在公共DNS中注册，并通过CNAME指向该应用服务器的访问。7.访问控制引擎。访问中的访问控制引擎根据应用服务的等级提供授权操作，其决策过程依据用户、用户所属的组，设备证书对应的设备数据库中记录，进行推演。如有必要，访问控制引擎可以强制执行基于位置的访问控制。例如，访问高校网络的某一专业竞赛平台可以限制其他专业的可信设备。访问控制引擎还可以从不同方式和角度限制应用程序的各个部分。例如，图书馆管理系统中的更新书目信息需要比查询书目信息受到更多的权限约束。8.设备和用户的信任链。零信任网络中用户和设备的访问级别并非一成不变的。通过分析多个数据源，我们能够动态地分配用户需要访问设备的相关权限。然后，访问控制引擎可以使用此信息作为其决策过程的一部分。例如，未及时更新操作系统的，未对已知存在漏洞的设备打补丁的，将会导致其信任级别降低；一个特定类型的设备，例如手机、智能设备等，将会被分配一个特定的信任级别。用户从不同位置访问应用程序可能会被分配不同的信任等级，并使用静态规则和启发式算法来确定这些用户和设备的信任等级。（二）零信任网络的安全模型。基于上述定义的组件，我们定义了基于零信任网络的高校网络访问模型，无论用户及其设备所在的物理地址或者网络地址，访问校园网络中的任何应用服务系统，均需依照该访问模型，进行完整的权限校验（如图1所示）。该模型避免了传统的防护体系在应用于高校网络安全时，边界防护薄弱，核心系统易被攻击的弱点。（1）用户使用计算机请求某一校园网服务，该访问请求被重定向到访问，同时计算机需提供其的设备证书。（2）访问无法识别该用户身份并重定向到单点登录系统。用户提供其身份验证凭据，由单点登录系统进行身份验证，并发出令牌，并重定向回访问。（3）访问现具有设备证书、单点登录令牌。（4）访问控制引擎执行对每次访问请求进行授权检查，判断该用户及其设备在相关应用服务上的权限。其利用设备数据库、用户和组数据库、信任链及相关证书，分析该用户及其设备的细粒度权限。确认用户拥有足够的信任级别；确认该设备为受信设备；确认该用户及设备具有足够的信任级别。即如果所有这些检查都通过，则请求将被传递给后端服务；如果上述任何检查失败，则拒绝该请求。通过此方法，我们构建了完整的服务级身份验证和依据请求响应的鉴权机制。

四、结束语

作为校园网络的管理者，我们期望一个能够最大程度保障核心人员、设备及其数据安全的计算环境，并让他们可能受感染的笔记本电脑和智能手机不受影响；同时，我们仍希望保护流动性较强的团体和个人的隐私信息和知识产权，并确保他们的计算资源不被利用，或用于攻击或渗透其他目标。面对日益严峻的网络安全态势，本文分析了高校网络安全的薄弱环节，为未来高校信息化建设中如何在学术交流、教学科研中打造安全的校园网络提供了新的思路和视角。

参考文献

[1]谢世诚.赛门铁克新”互联网安全威胁报告”[J].微型机与应用,2007,26(4):22-22.

[2]阮斌.《2017年中国网络安全报告》[J].计算机与网络,2018(5).

[3]侯亚辉.网络安全技术及其在校园网中的应用与研究[D].电子科技大学,2007.

[4]RoryWard,BetsyBeyer,BeyondCorp:ANewApproachtoEn-terpriseSecurity,2014.

作者:林春梅⎕李训耀 单位:福建江夏学院