基于零信任SDP的高校网络安全体系架构
时间:2022-12-04 17:05:04 来源:柠檬阅读网 本文已影响 人 
◆林思一
(福建江夏学院 福建 350001)
随着经济的发展与科技的进步,我国信息化建设水平也已经来到了一个全新的发展高度。先进的云计算、LOT等信息化技术已经能够帮助网络数据打破墙内的限制,网络用户能够从多元化的设备上来对多样化的网络应用程序进行访问,网络软件定义边界与网络架构边界开始变得不再清晰。随着我国高校网络信息建设的快速发展,网络访问量的急剧上升,加之高校师生的网络安全防范意识不足等问题的出现,为了更好解决这些问题,我国高校要尽快构建起一套完善的网络安全体系架构。
(1)SDP
SDP(Software Defined Perimeter)是指在2013年由国际云安全联盟CSA所提出的基于零信任(Zero Trust)观念的全新网络安全技术架构,被人们统称为“软件定义边界”传统的网络安全是网络防火墙中的边界防御,也就是所谓的内网。但是随着新型计算机技术的不断崛起,传统的网络安全边界已经变得不再清晰,一些企业的物联网架构也已经开始从有边界向无边界进行转变。因此,传统的网络安全架构已经不能满足当前企业或是高校数字化建设转型的具体要求,所以SDP架构应运而生。SDP架构的模板主要有以下三个部分组成,分别为IH、AH、控制器构造,而这三部分同时也构成了SDP的数据平台与控制平台。AH与IH会与控制器进行连接,IH与AH之间也是要利用控制器与SDP控制信道的交叉管理来进行连接。此联系结构可以使SDP架构的数据平台与控制平台得以分离,以便能够完成SDP安全系统的全面拓展。同时,以上所有的组件几乎都是集群式的,这便于提升SDP架构在运作时的稳定性[1]。
(2)零信任
“零信任”的理念是指如果网络当前随时都在危险的环境下,同时面临着内外部的双重威胁,网络的信任度不能依靠网络的位置,所有的计算机设备、网络用户以及网络流量都要通过认证与授权,网络安全对策开始由静态向动态转变。“零信任”安全的基础是不被隐秘式授权,一定要利用持续评判。零信任作为一种安全观念,一般都是通过“信任认证”向“永不信任并且始终认证”的转变来体现出来。在“零信任”安全观念的基础上零信任架构的是通过业务安全访问、试错信任评估以及动态访问控制来发挥作用的。第一,所有的网络访问都要通过可信代理,利用动态访问的网络引擎控制来对网络访问主体进行加密;
第二,访问权限要在网络策略有属性的基础上进行动态的评判,网络访问控制由静态访问控制来进行动态权限认定;
第三,动态访问身份资料库、权限库以及信任库都要持续评估,进而对风险进行识别;
第四,对身份管理要构筑起专业的身份管理体系。
(1)外部网络威胁行为日益激烈
随着经济的发展与社会的进步,网络与信息技术的发展水平也得到了飞快的提升,但是随着而来的计算机病毒与黑客技术也日渐暴露,使得当前的网络安全防御体系难以招架。在当前云计算与大数据的背景下,计算机上的攻击者所发起的网络攻击也开始变得多样化,网络安全边界开始变得不再清晰,网络软件应用程序频频出现漏洞与BUG,网络管理人员不能做到及时的修复。同时,计算机病毒的种类和数量也是不计其数,使得计算机遭遇病毒侵袭时网络系统的传统安全边界防御体系越来越容易被击破。同时,计算机传播的道具也开始使非专业的网络安全边界攻击者所发起的攻击越来越简便,在网络安全边界的攻防战中,攻防与守方的力量严重失去平衡,我国高校在进行信息化建设的开始阶段本身对高校内部的网络安全建设问题就没有给予充分的重视,再加之我国高校师生人数众多,导致高校内部的校园网络的访问量急剧上升,同时高校内部的师生的网络安全防范意识通常都比较薄弱。久而久之高校网络安全边界便慢慢成为网络安全攻击者的主要攻击对象。此外,伴随着智慧校园建设工作中的网络承载业务的增加,我国高校内部校园网络的覆盖范围,以及高校内部网络整体结构也在逐渐变得复杂且烦琐。亟须保护的高校网络安全资源也是逐步的增加,倘若网络安全攻击者的网络攻击成功的话,大量的计算机病毒例如“木马”会在高校内部的校园网中肆意传播,后果难以想象,会打乱高校的网络安全秩序,影响高校的教学质量与水平,对高校整体的精神文明建设起着极大的阻碍作用。因此需要高校管理者尽快构建起SDP架构与网络安全管理体系,加强网络安全管理专业人才队伍建设,提高校园内部师生的网络安全防范意识。
(2)高校内外网络安全访问机制不完整
目前,我国绝大部分的高校仍在沿用传统的网络安全边界防御架构,传统的网络安全防御架构主要是由计算机防火墙、IDS/IPS、VPN等组件构成的,一般作用于高校内外网络访问的隔离。但是随着移动式办公与高校对外组织协作的具体要求,高校的业务也在进行着逐渐的转移,高校网络安全边界的防御体系也开始遭受到全面的挑战,网络安全攻击者只需要绕过网络安全边界的防御,就可以在高校内部的校园网中随意浏览。VPN是目前高校最为重要的连接内网资源的虚拟网络,VPN对网络安全的信任范围比较广。倘若网络安全攻击者利用VPN连接上高校内部的校园网络,那么高校内部的网络安全防御弱点都会一览无余地暴露在网络安全攻击者的面前。随着高校业务的转移,VPN等网络安全设备的管理工作也会相应变得更为烦琐复杂,因此高校网络安全管理人员要及时对VPN进行优化与升级,分析与研究网络安全攻击者想要攻击的方向,在对高校网络安全防御进行部署的时候,要进行合理的计划,尽快地构筑起高校网络安全管理体系[2]。
(1)强化高校SDP软件边界
定义边界SDP架构主要是由SDP客户端、SDP管理控制平台、SDP应用网关软件而构成的,其中SDP客户端拥有SPA的单向授权能力,来对多种访问身份进行验证,也是高校内部校园网络的统一门户,SDP管理与控制平台主要是用来对高校内部SDP客户端和与之相对应的SDP网关软件进行管理与控制,以及对高校内部网络访问用户和设备进行身份识别。高校SDP应用网关主要负责对整体的高校业务体系的网络访问进行核实与筛选,对安全策略进行公布。在高校SDP方案计划中,可以通过SPA技术以及DOH技术把SDP业务系统中的DNS以及网络端口等信息进行网络隐藏。高校SDP客户端作为多种接入情境提供集中体验的门户,也是高校内部校园网络的统一入口,可以完成网络跨设备的集中管理。因此高校要不断强化高校SDP边界建设,确保高校SDP客户端能够更为直接呈现出网络安全策略的执行能力以及SDP架构中的安全成效。同时也可以加强SDP管理控制平台对网络访问用户身份的核算与管理工作。并且对高校SDP软件边界进行强化,并且要严格遵守网络安全最小权限原则,还能确保对用户身份和设备验证的合法性,同时SDP客户端以及SDP认证服务器和SFDP应用网关之间的信息数据要使用具有交互身份核实的TLS以及计算机密钥IKE进行连接,确保高校网络通信数据的传输安全与传输质量。
(2)构筑高校SDP安全模型
当前,在我国的高校内部应构筑起基于零信任SDP的安全模板。在构筑的零信任SDP模板中,SDP的管理控制平台要与数据传输平台要保持分离,以此来保证 SDP安全系统的整体拓展。具体的SDP模板工作流程如下:第一SDP管理控制平台上线高校内部校园网,SDP网关上线并且与SDP管理控制平台搭建起TLS进行连接,同时在SDP管理控制平台进行注册;
第二,高校内部的SDP统一门户在通过SDA敲门向学校的SDP管理与控制平台发送认证请求,随之高校内部的SDP管理与控制统一平台,对高校内部SDP统一门户所发送的认证请求进行核实,包括用户、计算机设备信息、搭建TLS连接,返回授权依据以及网关信息;
第三,高校内部SDP管理控制平台将发送请求的用户的信息以及策略统一发给高校SDP应用网关,在得到高校SDP统一门户的授权后,再用SDA技术对高校内部SDP网关推送访问请求;
第四,高校内部SDP应用网关核实高校内部SDP管理与控制平台所发送来的安全策略核实高校SDP统一门户所推送的访问请求构建起双向的加密网络安全链接。高校SDP管理与控制平台会对搭建起来的TLS连接进行实时的监督,一旦在访问过程中出现了违反安全策略的行为,就会对用户进行及时动态管理与控制[3]。
综上所述,用高校SDP统一门户作为高校网络安全边界,综合高校SDP网关,利用SPA的敲门技术对得到授权访问的网络用户开放特定的网络端口,在网络安全上进行网络隐身,进而避免绝大多数的网络安全攻击,构造起一道无形的互联网。在高校内部构建起如此形式的SDP架构模型,不仅对高校师生的访问起到验证作用,还可以在进行计算机设备登录时起到验证作用,在双重验证作用的保护下,对高校内部校园网的访问起到了严格的管理与控制,最大限度达到了加强高校网络安全体系架构水平的具体要求,进而推进我国高校整体的校园网络建设,促进我国整体网络安全水平的提高。
(3)加强高校师生的网络安全防范意识并建立管理机制
当前,高校内部的校园网络的建立实质目的主要是为了高校内部师生的学习与教学。因此,高校内部校园网的访问数量非常之多,这也就不难说明,高校的网络安全问题同样也离不开人为因素的影响。对此,高校管理人员要积极主动地加强高校内部师生的网络安全防范意识,要定期开展网络安全培训与讲座,要求全体师生参加,以此来不断提高高校师生的网络安全防范意识,同时这也是对高校网络安全体系架构构建的重要途径。高校管理人员也可以定期邀请高校外一些专业的网络安全管理人才来到高校内部,对高校内部的广大师生进行网络安全有关知识的培训与指导,从而加强高校师生对网络安全防范有关知识的了解与掌握,确保高校内部的广大师生在日后在教学与学习过程中可以合理使用高校内部校园网络,能够正确看待高校内部校园网的安全问题,树立高校网络安全防范意识,在心中养成正确的高校网络安全使用标准,坚决抵制在高校网络中出现的违法乱纪的行为。
此外,高校管理人员为了师生能够更好使用高校网络,保证高校网络的安全。要在高校内部加强网络安全管理机制的构建工作,对高校内部网络管理有关工作人员进行专业的安全防范意识培训,并且要对高校内部的计算机进行定期的检查与维护,要确保高校内部的计算机可以始终处于良好的运行状态,进而为高校学生的学习提供基础的设备支持。同时要建立健全高校网络管理规章制度,要用规章制度去对高校学生进行约束与规范,要潜移默化地对学生产生影响,为学生树立起维护高校网络安全的正确意识。并且高校的网络安全管理人员也可以在校园网使用过程中建立验证制度,学生上网访问必须使用学号与密码,以此更好的避免高校内部校园网络被不法分子恶意入侵,进而提升我国高校网络安全体系架构水平[4]。
(4)加强对高校网络安全管理建设的资金投入
针对当前高校网络安全体系架构中所存在问题,高校管理人员要调整校园建设资金的投入比例,加强对高校网络安全管理建设的资金投入。对高校内部的计算机网络系统进行实时的更新换代,借此来不断提升高校内部计算机的自我安全防御能力,尤其是在高校计算机系统中的教学软件,高校要确保教学软件的实时更新,并且购买渠道必须合法且正规,坚决杜绝因节约成本而采购盗版教学软件的行为,一经发现需严肃处理,要最大限度提升我国高校网络安全体系的水平与质量。
综上所述。在当前复杂多变的互联网时代下,基于零信任的SDP为我国高校的网络安全体系提供了全新的网络安全访问体系架构,最大限度保证了高校网络安全,为高校内部师生的网络学习提供了强有力的技术支持与帮助,进而推动了我国整体网络安全体系全面发展。
猜你喜欢 网关边界架构 智能燃气表物联网运行体系网关技术研究煤气与热力(2022年4期)2022-05-23基于FPGA的工业TSN融合网关设计计算机应用文摘·触控(2022年6期)2022-04-15基于ARM架构的工业物联网网关研究与实现中国信息化(2022年3期)2022-04-06守住你的边界故事作文·高年级(2022年2期)2022-02-24基于云控平台雾计算架构的网联汽车路径控制内燃机与配件(2022年2期)2022-01-17构建富有活力和效率的社会治理架构当代陕西(2019年16期)2019-09-25有边界和无边界读者·校园版(2019年18期)2019-09-09OF MALLS AND MUSEUMS汉语世界(The World of Chinese)(2018年5期)2018-11-24人蚁边界防护网小猕猴智力画刊(2017年6期)2017-07-03VIE:从何而来,去向何方中国总会计师(2015年5期)2015-06-16
