基于零信任SDP的高校網(wǎng)絡(luò)安全體系架構(gòu)

◆林思一

（福建江夏學(xué)院 福建 350001）

隨著經(jīng)濟(jì)的發(fā)展與科技的進(jìn)步，我國信息化建設(shè)水平也已經(jīng)來到了一個(gè)全新的發(fā)展高度。先進(jìn)的云計(jì)算、LOT等信息化技術(shù)已經(jīng)能夠幫助網(wǎng)絡(luò)數(shù)據(jù)打破墻內(nèi)的限制，網(wǎng)絡(luò)用戶能夠從多元化的設(shè)備上來對多樣化的網(wǎng)絡(luò)應(yīng)用程序進(jìn)行訪問，網(wǎng)絡(luò)軟件定義邊界與網(wǎng)絡(luò)架構(gòu)邊界開始變得不再清晰。隨著我國高校網(wǎng)絡(luò)信息建設(shè)的快速發(fā)展，網(wǎng)絡(luò)訪問量的急劇上升，加之高校師生的網(wǎng)絡(luò)安全防范意識不足等問題的出現(xiàn)，為了更好解決這些問題，我國高校要盡快構(gòu)建起一套完善的網(wǎng)絡(luò)安全體系架構(gòu)。

1 零信任SDP的簡述

（1）SDP

SDP（Software Defined Perimeter）是指在2013年由國際云安全聯(lián)盟CSA所提出的基于零信任（Zero Trust）觀念的全新網(wǎng)絡(luò)安全技術(shù)架構(gòu)，被人們統(tǒng)稱為“軟件定義邊界”傳統(tǒng)的網(wǎng)絡(luò)安全是網(wǎng)絡(luò)防火墻中的邊界防御，也就是所謂的內(nèi)網(wǎng)。但是隨著新型計(jì)算機(jī)技術(shù)的不斷崛起，傳統(tǒng)的網(wǎng)絡(luò)安全邊界已經(jīng)變得不再清晰，一些企業(yè)的物聯(lián)網(wǎng)架構(gòu)也已經(jīng)開始從有邊界向無邊界進(jìn)行轉(zhuǎn)變。因此，傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)已經(jīng)不能滿足當(dāng)前企業(yè)或是高校數(shù)字化建設(shè)轉(zhuǎn)型的具體要求，所以SDP架構(gòu)應(yīng)運(yùn)而生。SDP架構(gòu)的模板主要有以下三個(gè)部分組成，分別為IH、AH、控制器構(gòu)造，而這三部分同時(shí)也構(gòu)成了SDP的數(shù)據(jù)平臺與控制平臺。AH與IH會與控制器進(jìn)行連接，IH與AH之間也是要利用控制器與SDP控制信道的交叉管理來進(jìn)行連接。此聯(lián)系結(jié)構(gòu)可以使SDP架構(gòu)的數(shù)據(jù)平臺與控制平臺得以分離，以便能夠完成SDP安全系統(tǒng)的全面拓展。同時(shí)，以上所有的組件幾乎都是集群式的，這便于提升SDP架構(gòu)在運(yùn)作時(shí)的穩(wěn)定性[1]。

（2）零信任

“零信任”的理念是指如果網(wǎng)絡(luò)當(dāng)前隨時(shí)都在危險(xiǎn)的環(huán)境下，同時(shí)面臨著內(nèi)外部的雙重威脅，網(wǎng)絡(luò)的信任度不能依靠網(wǎng)絡(luò)的位置，所有的計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)用戶以及網(wǎng)絡(luò)流量都要通過認(rèn)證與授權(quán)，網(wǎng)絡(luò)安全對策開始由靜態(tài)向動態(tài)轉(zhuǎn)變。“零信任”安全的基礎(chǔ)是不被隱秘式授權(quán)，一定要利用持續(xù)評判。零信任作為一種安全觀念，一般都是通過“信任認(rèn)證”向“永不信任并且始終認(rèn)證”的轉(zhuǎn)變來體現(xiàn)出來。在“零信任”安全觀念的基礎(chǔ)上零信任架構(gòu)的是通過業(yè)務(wù)安全訪問、試錯(cuò)信任評估以及動態(tài)訪問控制來發(fā)揮作用的。第一，所有的網(wǎng)絡(luò)訪問都要通過可信代理，利用動態(tài)訪問的網(wǎng)絡(luò)引擎控制來對網(wǎng)絡(luò)訪問主體進(jìn)行加密；第二，訪問權(quán)限要在網(wǎng)絡(luò)策略有屬性的基礎(chǔ)上進(jìn)行動態(tài)的評判，網(wǎng)絡(luò)訪問控制由靜態(tài)訪問控制來進(jìn)行動態(tài)權(quán)限認(rèn)定；第三，動態(tài)訪問身份資料庫、權(quán)限庫以及信任庫都要持續(xù)評估，進(jìn)而對風(fēng)險(xiǎn)進(jìn)行識別；第四，對身份管理要構(gòu)筑起專業(yè)的身份管理體系。

2 基于零信任SDP的高校網(wǎng)絡(luò)安全體系框架現(xiàn)狀

（1）外部網(wǎng)絡(luò)威脅行為日益激烈

隨著經(jīng)濟(jì)的發(fā)展與社會的進(jìn)步，網(wǎng)絡(luò)與信息技術(shù)的發(fā)展水平也得到了飛快的提升，但是隨著而來的計(jì)算機(jī)病毒與黑客技術(shù)也日漸暴露，使得當(dāng)前的網(wǎng)絡(luò)安全防御體系難以招架。在當(dāng)前云計(jì)算與大數(shù)據(jù)的背景下，計(jì)算機(jī)上的攻擊者所發(fā)起的網(wǎng)絡(luò)攻擊也開始變得多樣化，網(wǎng)絡(luò)安全邊界開始變得不再清晰，網(wǎng)絡(luò)軟件應(yīng)用程序頻頻出現(xiàn)漏洞與BUG，網(wǎng)絡(luò)管理人員不能做到及時(shí)的修復(fù)。同時(shí)，計(jì)算機(jī)病毒的種類和數(shù)量也是不計(jì)其數(shù)，使得計(jì)算機(jī)遭遇病毒侵襲時(shí)網(wǎng)絡(luò)系統(tǒng)的傳統(tǒng)安全邊界防御體系越來越容易被擊破。同時(shí)，計(jì)算機(jī)傳播的道具也開始使非專業(yè)的網(wǎng)絡(luò)安全邊界攻擊者所發(fā)起的攻擊越來越簡便，在網(wǎng)絡(luò)安全邊界的攻防戰(zhàn)中，攻防與守方的力量嚴(yán)重失去平衡，我國高校在進(jìn)行信息化建設(shè)的開始階段本身對高校內(nèi)部的網(wǎng)絡(luò)安全建設(shè)問題就沒有給予充分的重視，再加之我國高校師生人數(shù)眾多，導(dǎo)致高校內(nèi)部的校園網(wǎng)絡(luò)的訪問量急劇上升，同時(shí)高校內(nèi)部的師生的網(wǎng)絡(luò)安全防范意識通常都比較薄弱。久而久之高校網(wǎng)絡(luò)安全邊界便慢慢成為網(wǎng)絡(luò)安全攻擊者的主要攻擊對象。此外，伴隨著智慧校園建設(shè)工作中的網(wǎng)絡(luò)承載業(yè)務(wù)的增加，我國高校內(nèi)部校園網(wǎng)絡(luò)的覆蓋范圍，以及高校內(nèi)部網(wǎng)絡(luò)整體結(jié)構(gòu)也在逐漸變得復(fù)雜且煩瑣。亟須保護(hù)的高校網(wǎng)絡(luò)安全資源也是逐步的增加，倘若網(wǎng)絡(luò)安全攻擊者的網(wǎng)絡(luò)攻擊成功的話，大量的計(jì)算機(jī)病毒例如“木馬”會在高校內(nèi)部的校園網(wǎng)中肆意傳播，后果難以想象，會打亂高校的網(wǎng)絡(luò)安全秩序，影響高校的教學(xué)質(zhì)量與水平，對高校整體的精神文明建設(shè)起著極大的阻礙作用。因此需要高校管理者盡快構(gòu)建起SDP架構(gòu)與網(wǎng)絡(luò)安全管理體系，加強(qiáng)網(wǎng)絡(luò)安全管理專業(yè)人才隊(duì)伍建設(shè)，提高校園內(nèi)部師生的網(wǎng)絡(luò)安全防范意識。

（2）高校內(nèi)外網(wǎng)絡(luò)安全訪問機(jī)制不完整

目前，我國絕大部分的高校仍在沿用傳統(tǒng)的網(wǎng)絡(luò)安全邊界防御架構(gòu)，傳統(tǒng)的網(wǎng)絡(luò)安全防御架構(gòu)主要是由計(jì)算機(jī)防火墻、IDS/IPS、VPN等組件構(gòu)成的，一般作用于高校內(nèi)外網(wǎng)絡(luò)訪問的隔離。但是隨著移動式辦公與高校對外組織協(xié)作的具體要求，高校的業(yè)務(wù)也在進(jìn)行著逐漸的轉(zhuǎn)移，高校網(wǎng)絡(luò)安全邊界的防御體系也開始遭受到全面的挑戰(zhàn)，網(wǎng)絡(luò)安全攻擊者只需要繞過網(wǎng)絡(luò)安全邊界的防御，就可以在高校內(nèi)部的校園網(wǎng)中隨意瀏覽。VPN是目前高校最為重要的連接內(nèi)網(wǎng)資源的虛擬網(wǎng)絡(luò)，VPN對網(wǎng)絡(luò)安全的信任范圍比較廣。倘若網(wǎng)絡(luò)安全攻擊者利用VPN連接上高校內(nèi)部的校園網(wǎng)絡(luò)，那么高校內(nèi)部的網(wǎng)絡(luò)安全防御弱點(diǎn)都會一覽無余地暴露在網(wǎng)絡(luò)安全攻擊者的面前。隨著高校業(yè)務(wù)的轉(zhuǎn)移，VPN等網(wǎng)絡(luò)安全設(shè)備的管理工作也會相應(yīng)變得更為煩瑣復(fù)雜，因此高校網(wǎng)絡(luò)安全管理人員要及時(shí)對VPN進(jìn)行優(yōu)化與升級，分析與研究網(wǎng)絡(luò)安全攻擊者想要攻擊的方向，在對高校網(wǎng)絡(luò)安全防御進(jìn)行部署的時(shí)候，要進(jìn)行合理的計(jì)劃，盡快地構(gòu)筑起高校網(wǎng)絡(luò)安全管理體系[2]。

3 加強(qiáng)高校網(wǎng)絡(luò)安全體系結(jié)構(gòu)水平的有效措施

（1）強(qiáng)化高校SDP軟件邊界

定義邊界SDP架構(gòu)主要是由SDP客戶端、SDP管理控制平臺、SDP應(yīng)用網(wǎng)關(guān)軟件而構(gòu)成的，其中SDP客戶端擁有SPA的單向授權(quán)能力，來對多種訪問身份進(jìn)行驗(yàn)證，也是高校內(nèi)部校園網(wǎng)絡(luò)的統(tǒng)一門戶，SDP管理與控制平臺主要是用來對高校內(nèi)部SDP客戶端和與之相對應(yīng)的SDP網(wǎng)關(guān)軟件進(jìn)行管理與控制，以及對高校內(nèi)部網(wǎng)絡(luò)訪問用戶和設(shè)備進(jìn)行身份識別。高校SDP應(yīng)用網(wǎng)關(guān)主要負(fù)責(zé)對整體的高校業(yè)務(wù)體系的網(wǎng)絡(luò)訪問進(jìn)行核實(shí)與篩選，對安全策略進(jìn)行公布。在高校SDP方案計(jì)劃中，可以通過SPA技術(shù)以及DOH技術(shù)把SDP業(yè)務(wù)系統(tǒng)中的DNS以及網(wǎng)絡(luò)端口等信息進(jìn)行網(wǎng)絡(luò)隱藏。高校SDP客戶端作為多種接入情境提供集中體驗(yàn)的門戶，也是高校內(nèi)部校園網(wǎng)絡(luò)的統(tǒng)一入口，可以完成網(wǎng)絡(luò)跨設(shè)備的集中管理。因此高校要不斷強(qiáng)化高校SDP邊界建設(shè)，確保高校SDP客戶端能夠更為直接呈現(xiàn)出網(wǎng)絡(luò)安全策略的執(zhí)行能力以及SDP架構(gòu)中的安全成效。同時(shí)也可以加強(qiáng)SDP管理控制平臺對網(wǎng)絡(luò)訪問用戶身份的核算與管理工作。并且對高校SDP軟件邊界進(jìn)行強(qiáng)化，并且要嚴(yán)格遵守網(wǎng)絡(luò)安全最小權(quán)限原則，還能確保對用戶身份和設(shè)備驗(yàn)證的合法性，同時(shí)SDP客戶端以及SDP認(rèn)證服務(wù)器和SFDP應(yīng)用網(wǎng)關(guān)之間的信息數(shù)據(jù)要使用具有交互身份核實(shí)的TLS以及計(jì)算機(jī)密鑰IKE進(jìn)行連接，確保高校網(wǎng)絡(luò)通信數(shù)據(jù)的傳輸安全與傳輸質(zhì)量。

（2）構(gòu)筑高校SDP安全模型

當(dāng)前，在我國的高校內(nèi)部應(yīng)構(gòu)筑起基于零信任SDP的安全模板。在構(gòu)筑的零信任SDP模板中，SDP的管理控制平臺要與數(shù)據(jù)傳輸平臺要保持分離，以此來保證 SDP安全系統(tǒng)的整體拓展。具體的SDP模板工作流程如下：第一SDP管理控制平臺上線高校內(nèi)部校園網(wǎng)，SDP網(wǎng)關(guān)上線并且與SDP管理控制平臺搭建起TLS進(jìn)行連接，同時(shí)在SDP管理控制平臺進(jìn)行注冊；第二，高校內(nèi)部的SDP統(tǒng)一門戶在通過SDA敲門向?qū)W校的SDP管理與控制平臺發(fā)送認(rèn)證請求，隨之高校內(nèi)部的SDP管理與控制統(tǒng)一平臺，對高校內(nèi)部SDP統(tǒng)一門戶所發(fā)送的認(rèn)證請求進(jìn)行核實(shí)，包括用戶、計(jì)算機(jī)設(shè)備信息、搭建TLS連接，返回授權(quán)依據(jù)以及網(wǎng)關(guān)信息；第三，高校內(nèi)部SDP管理控制平臺將發(fā)送請求的用戶的信息以及策略統(tǒng)一發(fā)給高校SDP應(yīng)用網(wǎng)關(guān)，在得到高校SDP統(tǒng)一門戶的授權(quán)后，再用SDA技術(shù)對高校內(nèi)部SDP網(wǎng)關(guān)推送訪問請求；第四，高校內(nèi)部SDP應(yīng)用網(wǎng)關(guān)核實(shí)高校內(nèi)部SDP管理與控制平臺所發(fā)送來的安全策略核實(shí)高校SDP統(tǒng)一門戶所推送的訪問請求構(gòu)建起雙向的加密網(wǎng)絡(luò)安全鏈接。高校SDP管理與控制平臺會對搭建起來的TLS連接進(jìn)行實(shí)時(shí)的監(jiān)督，一旦在訪問過程中出現(xiàn)了違反安全策略的行為，就會對用戶進(jìn)行及時(shí)動態(tài)管理與控制[3]。

綜上所述，用高校SDP統(tǒng)一門戶作為高校網(wǎng)絡(luò)安全邊界，綜合高校SDP網(wǎng)關(guān)，利用SPA的敲門技術(shù)對得到授權(quán)訪問的網(wǎng)絡(luò)用戶開放特定的網(wǎng)絡(luò)端口，在網(wǎng)絡(luò)安全上進(jìn)行網(wǎng)絡(luò)隱身，進(jìn)而避免絕大多數(shù)的網(wǎng)絡(luò)安全攻擊，構(gòu)造起一道無形的互聯(lián)網(wǎng)。在高校內(nèi)部構(gòu)建起如此形式的SDP架構(gòu)模型，不僅對高校師生的訪問起到驗(yàn)證作用，還可以在進(jìn)行計(jì)算機(jī)設(shè)備登錄時(shí)起到驗(yàn)證作用，在雙重驗(yàn)證作用的保護(hù)下，對高校內(nèi)部校園網(wǎng)的訪問起到了嚴(yán)格的管理與控制，最大限度達(dá)到了加強(qiáng)高校網(wǎng)絡(luò)安全體系架構(gòu)水平的具體要求，進(jìn)而推進(jìn)我國高校整體的校園網(wǎng)絡(luò)建設(shè)，促進(jìn)我國整體網(wǎng)絡(luò)安全水平的提高。

（3）加強(qiáng)高校師生的網(wǎng)絡(luò)安全防范意識并建立管理機(jī)制

當(dāng)前，高校內(nèi)部的校園網(wǎng)絡(luò)的建立實(shí)質(zhì)目的主要是為了高校內(nèi)部師生的學(xué)習(xí)與教學(xué)。因此，高校內(nèi)部校園網(wǎng)的訪問數(shù)量非常之多，這也就不難說明，高校的網(wǎng)絡(luò)安全問題同樣也離不開人為因素的影響。對此，高校管理人員要積極主動地加強(qiáng)高校內(nèi)部師生的網(wǎng)絡(luò)安全防范意識，要定期開展網(wǎng)絡(luò)安全培訓(xùn)與講座，要求全體師生參加，以此來不斷提高高校師生的網(wǎng)絡(luò)安全防范意識，同時(shí)這也是對高校網(wǎng)絡(luò)安全體系架構(gòu)構(gòu)建的重要途徑。高校管理人員也可以定期邀請高校外一些專業(yè)的網(wǎng)絡(luò)安全管理人才來到高校內(nèi)部，對高校內(nèi)部的廣大師生進(jìn)行網(wǎng)絡(luò)安全有關(guān)知識的培訓(xùn)與指導(dǎo)，從而加強(qiáng)高校師生對網(wǎng)絡(luò)安全防范有關(guān)知識的了解與掌握，確保高校內(nèi)部的廣大師生在日后在教學(xué)與學(xué)習(xí)過程中可以合理使用高校內(nèi)部校園網(wǎng)絡(luò)，能夠正確看待高校內(nèi)部校園網(wǎng)的安全問題，樹立高校網(wǎng)絡(luò)安全防范意識，在心中養(yǎng)成正確的高校網(wǎng)絡(luò)安全使用標(biāo)準(zhǔn)，堅(jiān)決抵制在高校網(wǎng)絡(luò)中出現(xiàn)的違法亂紀(jì)的行為。

此外，高校管理人員為了師生能夠更好使用高校網(wǎng)絡(luò)，保證高校網(wǎng)絡(luò)的安全。要在高校內(nèi)部加強(qiáng)網(wǎng)絡(luò)安全管理機(jī)制的構(gòu)建工作，對高校內(nèi)部網(wǎng)絡(luò)管理有關(guān)工作人員進(jìn)行專業(yè)的安全防范意識培訓(xùn)，并且要對高校內(nèi)部的計(jì)算機(jī)進(jìn)行定期的檢查與維護(hù)，要確保高校內(nèi)部的計(jì)算機(jī)可以始終處于良好的運(yùn)行狀態(tài)，進(jìn)而為高校學(xué)生的學(xué)習(xí)提供基礎(chǔ)的設(shè)備支持。同時(shí)要建立健全高校網(wǎng)絡(luò)管理規(guī)章制度，要用規(guī)章制度去對高校學(xué)生進(jìn)行約束與規(guī)范，要潛移默化地對學(xué)生產(chǎn)生影響，為學(xué)生樹立起維護(hù)高校網(wǎng)絡(luò)安全的正確意識。并且高校的網(wǎng)絡(luò)安全管理人員也可以在校園網(wǎng)使用過程中建立驗(yàn)證制度，學(xué)生上網(wǎng)訪問必須使用學(xué)號與密碼，以此更好的避免高校內(nèi)部校園網(wǎng)絡(luò)被不法分子惡意入侵，進(jìn)而提升我國高校網(wǎng)絡(luò)安全體系架構(gòu)水平[4]。

（4）加強(qiáng)對高校網(wǎng)絡(luò)安全管理建設(shè)的資金投入

針對當(dāng)前高校網(wǎng)絡(luò)安全體系架構(gòu)中所存在問題，高校管理人員要調(diào)整校園建設(shè)資金的投入比例，加強(qiáng)對高校網(wǎng)絡(luò)安全管理建設(shè)的資金投入。對高校內(nèi)部的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行實(shí)時(shí)的更新?lián)Q代，借此來不斷提升高校內(nèi)部計(jì)算機(jī)的自我安全防御能力，尤其是在高校計(jì)算機(jī)系統(tǒng)中的教學(xué)軟件，高校要確保教學(xué)軟件的實(shí)時(shí)更新，并且購買渠道必須合法且正規(guī)，堅(jiān)決杜絕因節(jié)約成本而采購盜版教學(xué)軟件的行為，一經(jīng)發(fā)現(xiàn)需嚴(yán)肅處理，要最大限度提升我國高校網(wǎng)絡(luò)安全體系的水平與質(zhì)量。

綜上所述。在當(dāng)前復(fù)雜多變的互聯(lián)網(wǎng)時(shí)代下，基于零信任的SDP為我國高校的網(wǎng)絡(luò)安全體系提供了全新的網(wǎng)絡(luò)安全訪問體系架構(gòu)，最大限度保證了高校網(wǎng)絡(luò)安全，為高校內(nèi)部師生的網(wǎng)絡(luò)學(xué)習(xí)提供了強(qiáng)有力的技術(shù)支持與幫助，進(jìn)而推動了我國整體網(wǎng)絡(luò)安全體系全面發(fā)展。