新形勢下高校網(wǎng)絡(luò)安全研究與分析

袁 勇，李 龍，孫小林

（1.遵義師范學(xué)院 信息工程學(xué)院，貴州 遵義 563006；2.遵義市公安局，貴州 遵義 563000）

0 引言

信息化的飛速發(fā)展，各類應(yīng)用應(yīng)運(yùn)而生，伴隨著移動業(yè)務(wù)的規(guī)?；W(wǎng)絡(luò)安全問題也就突顯出來。2021年出現(xiàn)的重大安全事件就包括：美國醫(yī)療連鎖機(jī)構(gòu)遭遇勒索軟件攻擊，造成旗下醫(yī)院系統(tǒng)癱瘓；意大利地方疫苗接種預(yù)約系統(tǒng)因網(wǎng)絡(luò)攻擊被迫關(guān)閉等多起威脅國計(jì)民生的重大網(wǎng)絡(luò)安全事件。國家的關(guān)鍵信息基礎(chǔ)設(shè)施通常會成為黑客攻擊的重點(diǎn)目標(biāo)，等保2.0標(biāo)準(zhǔn)以及一系列法律法規(guī)的頒布實(shí)施，讓網(wǎng)絡(luò)安全成為一個(gè)空前熱門的話題，如何保障網(wǎng)絡(luò)信息系統(tǒng)的安全，也是每個(gè)運(yùn)營者、管理者、使用者非常關(guān)心的課題。正如習(xí)近平總書記不斷強(qiáng)調(diào)的“沒有網(wǎng)絡(luò)安全就沒有國家安全”。每一個(gè)信息系統(tǒng)的參與者都是網(wǎng)絡(luò)安全的見證人，不能因?yàn)橐粫r(shí)的麻痹大意，而讓網(wǎng)絡(luò)安全威脅到國家、社會層面的安全［1］。

1 新技術(shù)對網(wǎng)絡(luò)安全的影響

隨著信息化技術(shù)的不斷發(fā)展，各種攻擊方式層出不窮，給網(wǎng)絡(luò)安全帶來嚴(yán)重的挑戰(zhàn)，相應(yīng)的也產(chǎn)生了一系列的防御技術(shù)手段。新技術(shù)、新方法對網(wǎng)絡(luò)安全的影響也是值得重視和研究的。下面主要對APT攻擊和零信任防御措施的思路與要點(diǎn)進(jìn)行詳細(xì)分析和研究。

1.1 APT攻擊

高級持續(xù)性威脅(Advanced Persistent Threat，APT）攻擊通常具有針對性、隱蔽性、復(fù)雜性，具體表現(xiàn)為攻擊手段高，攻擊對象也高端。其持續(xù)性說明攻擊時(shí)間長，并且幕后黑客組織分工明確，目的明確，長期盯著要害部門進(jìn)行情報(bào)收集，通過社會工程學(xué)和技術(shù)手段來獲取重要機(jī)密信息。APT攻擊常見流程如下。

(1）攻擊準(zhǔn)備階段。在開始攻擊之前，與普通攻擊方式相比，從信息搜索深度及廣度上都有明顯不同，APT攻擊的使用者會花費(fèi)大量時(shí)間和精力用于搜索目標(biāo)系統(tǒng)的相關(guān)信息。

(2）攻擊進(jìn)入階段。攻擊者會進(jìn)行間斷性的攻擊嘗試，直到找到突破口，控制目標(biāo)系統(tǒng)內(nèi)部的某一臺計(jì)算機(jī)，以作為進(jìn)一步攻擊行為的跳板。

(3）橫向滲透階段。攻擊者會利用已經(jīng)控制的跳板機(jī)，通過遠(yuǎn)程控制，對目標(biāo)系統(tǒng)內(nèi)的其他設(shè)備進(jìn)行橫向滲透，尋找對攻擊者有價(jià)值的數(shù)據(jù)，本階段和攻擊進(jìn)入階段，都對攻擊者的耐心、技術(shù)、攻擊手段具有較大的考驗(yàn)。

(4）收獲階段。攻擊者會通過技術(shù)手段，構(gòu)建一條隱蔽的數(shù)據(jù)傳輸通道，將從目標(biāo)系統(tǒng)獲取的有價(jià)值的機(jī)密數(shù)據(jù)傳送出來，以達(dá)到攻擊的最終目的。

1.2 零信任防御

有攻就有防，攻擊手段、技術(shù)的不斷進(jìn)步，信息系統(tǒng)的管理維護(hù)者則利用新技術(shù)、新方法進(jìn)一步維護(hù)好信息系統(tǒng)?！傲阈湃伟踩北涣腥搿爸ν黄凭W(wǎng)絡(luò)安全關(guān)鍵技術(shù)”之一，本身不是技術(shù)，也不是產(chǎn)品，而是一種安全理念，其三大技術(shù)支柱：軟件定義邊界、增強(qiáng)的身份管理、微隔離［2］。

1.2.1 軟件定義邊界

軟件定義邊界技術(shù)要求在對受保護(hù)的服務(wù)器進(jìn)行網(wǎng)絡(luò)訪問前，先進(jìn)行身份驗(yàn)證和授權(quán)。之后，在請求系統(tǒng)與應(yīng)用程序之間實(shí)時(shí)創(chuàng)建加密連接，對外提供零可見性和零連接，只有在驗(yàn)證和授權(quán)后，才能建立連接。這是基于策略創(chuàng)建安全邊界，將不安全的網(wǎng)絡(luò)隔離在服務(wù)范圍之外，具有傳統(tǒng)的安全管理中心做不到的優(yōu)勢，具體表現(xiàn)為：(1）傳統(tǒng)的安全管理中心不能深入業(yè)務(wù)和應(yīng)用層面進(jìn)行安全管理，安全和業(yè)務(wù)相對處于脫節(jié)狀態(tài)；(2）傳統(tǒng)的安全管理中心不能進(jìn)行業(yè)務(wù)與安全深度結(jié)合，不能提供細(xì)粒度的動態(tài)訪問控制；(3）打破傳統(tǒng)網(wǎng)絡(luò)邊界，傳統(tǒng)網(wǎng)絡(luò)只有內(nèi)外網(wǎng)之分，軟件定義邊界代之的是微分段、微邊界。

1.2.2 增強(qiáng)的身份管理

身份管理是零信任安全體系構(gòu)建不變的核心需求，動態(tài)的身份控制需要豐富的身份數(shù)據(jù)作為支撐。身份管理重在對加強(qiáng)安全性并降低風(fēng)險(xiǎn)、改善合規(guī)性和審計(jì)績效、提供快速有效的業(yè)務(wù)訪問、降低運(yùn)營成本4個(gè)關(guān)鍵目標(biāo)之間進(jìn)行平衡。增強(qiáng)身份管理通常要求具有訪問控制統(tǒng)一管理、保障訪問安全、模擬策略、精細(xì)的控制粒度、細(xì)致的權(quán)限策略涉及、豐富的信任載體等功能與特性。當(dāng)使用者進(jìn)行資源訪問時(shí)，根據(jù)具體需求配置對應(yīng)的權(quán)限和身份載體，避免權(quán)限過剩帶來安全隱患。

1.2.3 微隔離

微隔離是在2016年Gartner安全與風(fēng)險(xiǎn)管理峰會上提出的一種網(wǎng)絡(luò)安全技術(shù)，可以將數(shù)據(jù)中心邏輯劃分為各個(gè)工作負(fù)載級別的不同安全段。通常認(rèn)為傳統(tǒng)的網(wǎng)絡(luò)內(nèi)網(wǎng)都是安全的、可信的，但隨著信息技術(shù)的發(fā)展，當(dāng)內(nèi)部某一終端被攻破后，傳統(tǒng)的內(nèi)網(wǎng)可信就讓其他主機(jī)暴露給網(wǎng)絡(luò)攻擊者。微隔離可以阻止這種來自內(nèi)部的橫向攻擊，從微隔離技術(shù)角度看，其目的在于減少攻擊面、改善橫向運(yùn)動的安全性、提升關(guān)鍵應(yīng)用的安全性等，這正好也符合零信任的永不信任、始終驗(yàn)證原則［3］。

零信任的三大技術(shù)為一個(gè)整體，軟件定義邊界實(shí)現(xiàn)南北向的網(wǎng)絡(luò)安全，微隔離技術(shù)實(shí)現(xiàn)東西方向的網(wǎng)絡(luò)安全，增強(qiáng)的身份管理則實(shí)現(xiàn)資源訪問的授權(quán)，三者合力更全面綜合地保障網(wǎng)絡(luò)信息系統(tǒng)的安全。三者合力更全面綜合地保障網(wǎng)絡(luò)信息系統(tǒng)的安全，零信任安全核心架構(gòu)模塊如圖1所示。

圖1 零信任安全核心架構(gòu)

2 高校網(wǎng)絡(luò)安全對策

近些年，隨著勒索病毒、挖礦木馬的廣泛傳播，網(wǎng)絡(luò)安全形勢極為嚴(yán)峻。如何讓網(wǎng)絡(luò)在一個(gè)安全的環(huán)境中運(yùn)行，避免網(wǎng)絡(luò)被黑客攻破，是每個(gè)網(wǎng)絡(luò)工作從業(yè)者夜不能寐的事情。只有做好安全防護(hù)，才能讓攻擊者無計(jì)可施，隨著等保2.0要求的上線，地方高校也相應(yīng)做出了不少網(wǎng)絡(luò)安全規(guī)定性動作。只有配備相應(yīng)的網(wǎng)絡(luò)安全設(shè)備，做好安全防御措施及應(yīng)對辦法，出臺并落實(shí)相應(yīng)的管理規(guī)章制度，網(wǎng)絡(luò)安全才能真正落到實(shí)處。下面主要從技術(shù)的角度，就網(wǎng)絡(luò)通信設(shè)備安全策略、服務(wù)器及信息系統(tǒng)安全策略、個(gè)人終端安全3個(gè)層面闡述高校網(wǎng)絡(luò)安全的防范技術(shù)措施及辦法［4］。

2.1 網(wǎng)絡(luò)設(shè)備安全策略

網(wǎng)絡(luò)設(shè)備包括防火墻、路由器、交換機(jī)、網(wǎng)絡(luò)安全設(shè)備等。防火墻、路由器、交換機(jī)等通信設(shè)備在通信過程中起著至關(guān)重要的作用，決定著網(wǎng)絡(luò)通暢程度，在網(wǎng)絡(luò)通信設(shè)備中配置相應(yīng)的網(wǎng)絡(luò)策略，可以保障網(wǎng)絡(luò)層面的安全性。網(wǎng)絡(luò)安全設(shè)備包括入侵檢測、數(shù)據(jù)庫審計(jì)、漏洞掃描等設(shè)備，一般在不影響網(wǎng)絡(luò)性能的前提下，采用旁掛方式進(jìn)行部署，主要實(shí)現(xiàn)對網(wǎng)絡(luò)防御的檢測、攔截、審計(jì)等功能，具體策略可以從以下方面入手。

(1）出口邊界網(wǎng)關(guān)進(jìn)行嚴(yán)格的策略設(shè)置，根據(jù)IP地址和端口號針對性地進(jìn)行映射，確保放到外網(wǎng)的服務(wù)器最小開放權(quán)限，避免更多端口號的暴露，給黑客可乘之機(jī)；同時(shí)，在邊界網(wǎng)關(guān)上對危險(xiǎn)端口號進(jìn)行關(guān)閉。

(2）在核心交換機(jī)上進(jìn)行策略防控，對于已通告的TCP，UDP危險(xiǎn)端口號，如：135，136，138，139，445等均進(jìn)行策略Deny，禁止訪問。嚴(yán)格設(shè)置訪問控制策略，對于只單向訪問的，不做雙向，做到服務(wù)正常使用情況下的最小化權(quán)限分配。

(3）數(shù)據(jù)區(qū)防火墻進(jìn)行安全隱患排查，做好服務(wù)器區(qū)的訪問控制，需要在內(nèi)部進(jìn)行遠(yuǎn)程訪問的Windows服務(wù)器，做到針對性的開放，即內(nèi)部遠(yuǎn)程訪問做到責(zé)任人電腦之外的主機(jī)均不能進(jìn)行遠(yuǎn)程訪問。并且，遠(yuǎn)程訪問必須通過堡壘機(jī)中間跳轉(zhuǎn)，防火墻上做好策略防控措施，嚴(yán)格控制網(wǎng)絡(luò)進(jìn)出，嚴(yán)防網(wǎng)絡(luò)安全的各類攻擊。

(4）通過態(tài)勢感知平臺查看，在網(wǎng)絡(luò)訪問探測中確實(shí)存在攻擊行為的危險(xiǎn)IP地址進(jìn)行封禁，拒絕其訪問。

(5）定期查看Web防火墻和入侵檢測系統(tǒng)，對系統(tǒng)中出現(xiàn)的危險(xiǎn)IP地址限制訪問，不定時(shí)的通過漏洞掃描對網(wǎng)絡(luò)內(nèi)部的服務(wù)器區(qū)進(jìn)行掃描，發(fā)現(xiàn)服務(wù)器漏洞及時(shí)修復(fù)，不給黑客可乘之機(jī)。

2.2 服務(wù)器及信息系統(tǒng)安全對策

除了網(wǎng)絡(luò)設(shè)備對網(wǎng)絡(luò)安全進(jìn)行防護(hù)外，服務(wù)器及信息系統(tǒng)自身的安全策略對于網(wǎng)絡(luò)攻擊也有防護(hù)作用。只有在環(huán)境安全的大前提下，配合設(shè)置自身服務(wù)器的安全，再加上信息系統(tǒng)開發(fā)安全，才能提升網(wǎng)絡(luò)及信息系統(tǒng)的綜合安全性，具體的策略措施參考如下。

(1）Windows服務(wù)器開啟防火墻，并安裝安全衛(wèi)士及殺毒軟件。特別是安全衛(wèi)士必須安裝，沒有安裝的服務(wù)器，只要雙方網(wǎng)絡(luò)通信，可以通過Kali Linux平臺，利用系統(tǒng)漏洞，輕松破解超管密碼。

(2）Windows服務(wù)器關(guān)閉來賓賬戶，管理員密碼必須滿足復(fù)雜度需求；Linux服務(wù)器則針對具體權(quán)限開放用戶對目錄文件的權(quán)限；各類信息系統(tǒng)中的賬戶密碼依然要滿足復(fù)雜度要求。

(3）系統(tǒng)必須及時(shí)更新各類補(bǔ)丁，避免出現(xiàn)系統(tǒng)漏洞，而被攻擊者利用攻擊。

(4）根據(jù)等保2.0的系統(tǒng)設(shè)置要求，對服務(wù)器的系統(tǒng)進(jìn)行配置，提升服務(wù)器本身系統(tǒng)抗攻擊能力。

(5）上線運(yùn)行的信息系統(tǒng)，軟件本身最好通過等保認(rèn)證，這樣軟件系統(tǒng)層面抗攻擊能力便有一定的保障。高校有的信息系統(tǒng)較老，須進(jìn)行系統(tǒng)升級，達(dá)到安全性要求，信息系統(tǒng)盡量內(nèi)網(wǎng)運(yùn)行，減少被攻擊的可能性。

(6）一些對外提供服務(wù)的信息系統(tǒng)，如：網(wǎng)站、郵件、云盤系統(tǒng)等含有網(wǎng)頁運(yùn)行模式的信息系統(tǒng)，架構(gòu)在Web應(yīng)用防火墻下，并對服務(wù)器和信息系統(tǒng)按照相應(yīng)的安全策略進(jìn)行設(shè)置，綜合提升其抗攻擊能力。

2.3 個(gè)人終端安全

由于每個(gè)使用者的信息技術(shù)水平參差不齊，對于危險(xiǎn)網(wǎng)頁的辨識、不明郵件的認(rèn)識、危險(xiǎn)指令的辨別度、網(wǎng)絡(luò)安全意識程度的不一樣，可以對高校師生員工進(jìn)行網(wǎng)絡(luò)安全教育培訓(xùn)，并要求在個(gè)人終端上安裝安全衛(wèi)士和殺毒軟件，避免沒有網(wǎng)絡(luò)安全防護(hù)軟件的網(wǎng)絡(luò)終端設(shè)備接入校園網(wǎng)內(nèi)。沒有安全防護(hù)的終端設(shè)備極可能被攻破，進(jìn)而成為攻擊者的跳板，給校園網(wǎng)絡(luò)帶來安全隱患。

3 結(jié)語

本文對網(wǎng)絡(luò)安全的形勢進(jìn)行了分析，針對網(wǎng)絡(luò)安全中出現(xiàn)的新技術(shù)、APT攻擊的流程進(jìn)行了說明性研究。從提高網(wǎng)絡(luò)抗攻擊能力的角度，結(jié)合最新的零信任架構(gòu)，分析了零信任的三大技術(shù)支柱，對網(wǎng)絡(luò)進(jìn)行優(yōu)化調(diào)整。并結(jié)合高校的實(shí)際情況，為做好網(wǎng)絡(luò)安全工作，從網(wǎng)絡(luò)設(shè)備、服務(wù)器與信息系統(tǒng)、個(gè)人終端等方面綜合分析，以全面提升網(wǎng)絡(luò)抗攻擊能力。