基于內生安全架構的智慧校園數據中心安全體系的研究

張平華，程芳

(1 合肥職業技術學院信息工程與傳媒學院,安徽合肥 230000;2.奇安信科技集團股份有限公司,北京 100000)

伴隨著5G 技術的發展與應用，在以大數據、云計算、邊緣計算、邊界模糊計算和人工智能以及聯網技術等核心技術的支持下，高校的校園網中業務復雜多樣[1]，規模日益增大，智能化集成度越來越高。在紛繁復雜的網絡中，黑客攻擊、木馬、病毒（如勒索病毒等）等各種攻擊手段層出不窮，雖然等保2.0 將被動防御審計式改進為主動安全監測和動態響應，但高校校園網缺乏整體統一的規劃，建設周期長，全面的網絡安全保障體系缺失，故過去的網絡架構和防御技術已經不能確保校園網的安全了。研究基于內生安全架構的智慧校園數據中心安全體系，對于加強智慧校園網絡安全，確保師生等業務數據和隱私等[2]信息安全，打造平安校園具有重要的意義。

1 智慧校園安全風險分析

1.1 邊界薄弱，暴露面多

在以大數據、云計算、邊緣計算[3]、邊界模糊計算和人工智能為代表的核心產業與技術下，網絡的邊界變得不那么明確。目前，各大高校基本上已經實現5G 全覆蓋，隨著移動辦公和規模不斷擴大，業務流程大量增多，網絡南北通路上的數據流量巨大。在基于邊界思維指導下構建的安全架構通常是在邊界處部署防火墻、WAF、入侵檢測等設備進行防御被動地監測與防御，業務流程的數據信息的流量安全一直被忽略。

1.2 滲透攻擊與防御不對等

在智慧校園網的建設中，新技術和新應用被廣泛地用于校園網中實驗與創新，業務信息數據也趨于集中。同時，在邊界思維的指導下企業內部網絡中缺乏足夠的安全訪問控制[4]。對于動態的安全來說，在這些新技術的試驗環境下系統必定存在不安全的設計或設置，攻擊者會應用各種新技術去挑戰網絡的安全，在一定程度上智慧的校園網成了黑客們的練手技能場，特別是以APT 為代表的高級攻擊層出不窮，攻擊者可以利用大量的漏洞“武器”，試圖對各種重要目標進行攻擊[5]。

1.3 內部威脅加劇

智慧校園網的發展促使校園業務、應用功能不斷的增多，并多樣化，網絡安全隱患也就不斷地增加。在邊界思維主導下，網絡的設計與管理者認為校園網（內部網）是足夠安全的，而忽略了來自“安全區”中的威脅與攻擊，對安全訪問控制策略的設置不嚴或者沒有。往往因為非授權訪問、雇員犯錯、外包員工犯錯等等原因，導致“合法用戶”可以非法訪問特定的業務和數據資源，造成組織內部數據泄漏。

2 基于內生安全架構的智慧校園數據中心安全體系

目前多數高校的智慧校園架構復雜和業務訪問量巨大，這就要求網絡安全建設需要從業務需求出發，圍繞智慧校園“內生安全”能力應該具有自適應、自主、自生長三個特點對核心業務進行安全管制能力[6]。

通過采用“內生安全”建設思路，通過經營安全，幫助學校智慧校園數據中心建立一個從預警、防御、檢測、處置的一個閉環運營體系[7]，實現對網絡安全的動態掌控，是數據中心安全建設過程中必不可少的一環。智慧校園數據中心“內生安全”架構如圖1 所示。

圖1 智慧校園數據中心“內生安全”架構圖

基于“內生安全”架構的智慧校園數據中心針對于不同安全級別的應用系統進行安全域的劃分，同時結合網絡業務的特點，將智慧校園數據中心網絡劃分三個相對獨立的區域（如圖2 所示），分別為核心業務區、安全邊界、安全運營管理區。

圖2 智慧校園數據中心安全建設拓撲圖

核心業務區：用來部署數據中心服務器。

安全邊界區：在出口采用兩臺下一代防火墻做冗余部署，下一代防火墻配置IPS、AV 等安全模塊。

安全運營管理區：用來部署威脅感知平臺、數據防泄漏、服務器加固系統、零信任API 網關等網絡安全系統。在本地私有云核心交換部署威脅感知探針，在公有云平臺中部署軟件版威脅感知探針，將整個混合云的安全感知信息匯總至安全運營管理區的APT 威脅感知平臺。

通過基于“內生安全”架構方案，構建一種扁平化的網絡架構，面對威脅能防得住、面對殘余攻擊能測的出、面對安全事件能處置響應；面對更新快、變種多的攻擊，充分發揮安全運營保障服務和人工智能技術的自動化能力，使防御、檢測、響應能力能夠不斷更新和升級，有效應對未知威脅。

3 零信任技術測試方法

為實現方案目標，本方案采用零信任技術[8]對于某校基于“內生安全”架構的智慧校園數據中心安全體系進行實測，在校智慧校園的安全測試及應用上組織開展了基于零信任產品的POC 測試工作，確保達到建設的預期目標。見圖3：

圖3 零信任動態可信訪問控制流程

主要完成以下安全方面的驗證：

（1）零信任身份安全在主體（設備、用戶、應用）和客體（業務應用和運維系統）之間的訪問路徑上是否建立完整信任鏈？

（2）能否實現訪問過程的安全可控？

（3）是否可采取更嚴格的訪問控制和安全檢測方式，僅通過認證的主體（合法設備、合法用戶、合法應用），才能夠進行客體訪問？

（4）能否提升安全風險感知能力，實現通過持續認證進行風險管控，并發現疏漏并及時自動調整訪問控制及權限？

（5）能否建立以“動態身份”為邊界的安全防護體系，構建出敏捷、智能、安全的“零信任”安全環境？

3.1 測試方法及流程

在數字化環境下，身份認證與訪問控制面臨巨大的挑戰，新型身份安全應能夠減少對人工的依賴，取而代之是更加廣泛、安全、靈活的新型身份管理與訪問控制機制，在增加信任、改善用戶體驗的同時更大的提升安全性。

下面通過在校園網中構建零信任身份服務系統（TAC：Trust Access Console）與云計算、大數據、應用系統等進行集成，通過部署到IT 的各層次的“零信任”訪問控制組件，執行動態、精細化的訪問控制。零信任測試拓撲和測試邏輯分別如圖4 和圖5 所示。

圖4 零信任測試拓撲

圖5 零信任測試邏輯

零信任安全平臺必須依照零信任（Zero-Trust）安全訪問模型進行建設，能夠對時間策略、IP 限制、終端限制等訪問策略進行控制，同時要求規定哪個用戶或用戶組可以訪問哪個業務系統進行用戶最小化授權。同時，零信任安全平臺要求對終端安裝狀態進行綜合評估，至少包括設備、身份、應用、行為幾個維度來持續信任評估。零信任安全平臺要求能夠識別用戶的異常行為，如異地、新設備登錄、異常時間、操作次數過高等威脅，觸發二次認證。

零信任認證交互流程如圖6：

圖6 零信任認證交互流程

首先，以身份為基石，保障用戶和設備的合法性；為網絡中的人、設備、應用都賦予邏輯身份，并基于身份進行細粒度的權限設置和判定。

然后，進行業務隱藏，訪問加密；在零信任安全體系中，所有的訪問請求（應用、接口等）都應該被認證、授權和加密。

持續信任評估，保障訪問安全；對終端、用戶等訪問主體進行持續風險感知和信任評估，根據信任評估對訪問權限進行動態調整。當終端的信任分值低于某個數值時，零信任安全平臺服務器后臺會將該終端下線，禁止訪問業務系統，有效避免病從“口”入。

最后，實現動態訪問控制，緩解業務風險。

3.2 測試用例

為體現測試效果，本案添加了一個7 層WEB應用和4 層代理應用（可以選擇同一個應用創建不同類型應用，也可以選擇兩個及以上應用分別創建為7 層WEB應用和4 層代理應）。由于篇幅限制，以自適應認證為例進行介紹。

3.2.1 測試過程

（1）在可信訪問控制臺TAC【身份訪問管理】-【認證服務】的【認證模塊】中添加“XXXID”認證模塊，添加頁面只需要添一個名字“XXXID”然后保存即可。

（2）在可信訪問控制臺TAC【身份訪問管理】-【認證服務】的【認證策略】中修改默認策略，打開多因子認證選項，多因子認證服務選擇“XXX ID”，然后在【設置多因子認證規則】中添加一項【設備信任分規則】，設定可信分不屬于“90-100”時登錄認證需要做多因子認證。

（3）確保安裝可信環境感知客戶端；登錄可信環境感知客戶端管理頁面：https://IP:8443 配置感知模板，進入【感知管理】-【感知模板】，點擊【新建模板】，名字輸入：“遠控軟件開啟感知”，在【應用軟件合規感知配置項】中只勾選“遠控軟件開啟感知”，其余感知項都不勾選（注意基礎安全感知、系統安全感知、健康狀態感知、物理環境感知，都不勾選“啟動評估項”），配置好后點擊【保存并啟用此策略】；

（4）配置感知策略，進入【感知管理】-【模板分發】，【感知策略名稱】：“遠控軟件開啟感知”，【選擇感知模板】選擇上一步的應用合規感知模板，【策略執行方式】為間隔執行，【最長間隔】輸入1小時，選中【執行前通知用戶】，并在【客戶端提示消息】中輸入“終端感知測試”，【風險預警方式】選中【有風險時提示用戶】，點擊【策略下發】，彈窗頁面選中默認分組，點擊【確定下發】；

（5）終端通過瀏覽器訪問「demo7 層演示業務」應用有預期結果1；

（6）終端打開mstsc，通過瀏覽器訪問「demo7層演示業務」應用有預期結果2；

（7）終端關閉mstsc，通過瀏覽器訪問「demo7層演示業務」應用有預期結果3；

3.2.2 預期結果

（1）終端收到感知策略后，在右下角彈窗提示“終端感知測試”，并彈出感知結果界面，分數為100，可以訪問「demo7 層演示業務」并且登錄認證沒有多因子認證；

（2）終端上點擊感結果界面【重新感知】或等待1 分鐘，終端感知到不通過項，分數扣為0，訪問「demo7 層演示業務」，認證完成后需要輸入多因子認證才能登錄。

（3）終端上點擊感結果界面【重新感知】或等待1分鐘，終端感知分數變為100 分，可以訪問「demo7層演示業務」，重新登錄不需要輸入多因子認證。自適應認證用例見表1：

表1 自適應認證用例

4 測試結果分析

在體系中通過零信任技術可消除對數據和服務的未授權訪問，對于業務復雜的智慧校園通過零信任技術解決了過去困擾數據中心業務發展過程中面對的安全運營困擾，實現了對人、設備、系統的全面、動態、智能的訪問控制。借助安全能力服務化，集約化的安全運營中心建設，體系化的安全能力設計，服務于并保障網絡數據中心的快速發展。

5 結語

在新技術加持下，傳統架構的校園網慢慢地由新型的智慧校園網所取代，海量數據被不斷地聚集，給師生來帶了前所未有的便利。但如何確保海量數據的安全以及師生的隱私、網絡攻擊等網絡安全問題，卻成了網絡管理員和網絡安全研究者心頭痛。尤其是如何在現有的技術條件下，在智慧校園中保護用戶隱私權的前提下，提供有效的、安全的數據傳輸仍需進一步研究。