零信任在高校網絡安全防護中的應用研究

摘要：該文提出了零信任網絡安全架構在校園網中的應用方案，基于無邊界網絡的思想，具有身份流量化、多源信任評估、動態訪問控制等零信任特性，探討在新的挑戰之下，零信任是如何解決網絡安全防護問題的，希望能為高校數字化建設提供支持。

關鍵詞：零信任；安全防護；無邊界網絡

doi：10.3969/J.ISSN.1672-7274.2024.11.017

中圖分類號：TP 393.08" " " " " " " " "文獻標志碼：A" " " " " " 文章編碼：1672-7274（2024）11-00-03

Research on the Application of Zero Trust in University Network Security Protection

AI Xiao

（Changsha Civil Affairs Vocational and Technical College， Changsha 410000， China）

Abstract： The article proposes the application of zero trust network security architecture in campus networks. Based on the idea of borderless networks， this paper explores how zero trust can solve network security protection problems under new challenges， using zero trust characteristics such as identity traffic， multi-source trust evaluation， and dynamic access control. It is hoped that this can provide support for the digital construction of universities.

Keywords： zero trust; security protection; boundaryless network

隨著云計算、大數據、物聯網等技術的快速發展，高校也步入了數字化建設時代。一方面，混合辦公、移動辦公等新場景興起，帶來網絡邊界模糊、終端安全難以把控等問題；另一方面，面對攻擊手段與工具的發展，高校需要對內部數字資源做更精細化的權限管控，又帶來網絡管控粒度不夠精細等問題。高校數字化建設正面臨新的安全挑戰，而傳統的以邊界安全為中心的網絡架構已不足以滿足當前的網絡安全需求。

零信任概念最早由John Kindervag（約翰·金德維格）于2010年提出，它打破了傳統的邊界安全思想，提出新的網絡安全理念“Nerver Trust， Always Verify”，即“從不信任，持續驗證”[1]。零信任網絡架構不再以邊界為分界面，轉而以身份、資源為中心構建網絡的安全體系架構，實現動態的、細粒度的訪問控制。

本文旨在從零信任的理念、架構出發，研究零信任網絡安全的核心技術和手段，探討在高校數字化建設過程中如何進行零信任網絡安全架構建設，以解決高校網絡安全防護問題。

1" "高校數字化建設面臨的挑戰

校園網的網絡架構多數還停留在傳統的以邊界安全為中心的網絡安全架構，將網絡中不同安全等級的信息系統劃分到不同的網絡區域，區域之間通過防火墻或網閘進行隔離。這種分區分域的方式，將網絡安全防護聚焦在網絡邊界出入口，在網絡邊界處部署安全設備，以防御來自網絡邊界外部的各種攻擊。然而，這種基于邊界的網絡安全架構是建立在內網可信的假設上的。一旦攻擊者突破邊界，他們在內網或信任區域內的橫向移動將變得暢通無阻[2]。另外，隨著高校數字化建設的推進，高校的網絡安全防護也面臨新的挑戰。

（1）網絡邊界模糊。隨著互聯網和通信技術的發展，固定地點辦公和遠程辦公并存的混合辦公場景越來越廣泛，在高校的應用場景中尤為明顯。一是高校師生會在校內外等多個網絡環境訪問校內資源；二是在校企合作的政策推動下，校外合作企業、實訓基地等外部人員也可能會在任何地點、任意網絡環境中遠程訪問校內資源。大量的遠程接入需求導致高校的網絡邊界徹底走向模糊化，校內資源的互聯網暴露面越來越大。

（2）移動終端存在安全隱患。在高校數字化建設中，移動辦公的場景也得以推廣，例如，高校師生可以在企業微信、今日校園等移動端應用中方便地進行辦公、選課、學習等活動。多類型的移動終端豐富了高校數字化建設的應用場景，但同時也導致了安全管理邊界的無限延伸，移動終端安全成為一個不可忽略的問題。

（3）網絡管控粒度不夠精細。在傳統的網絡安全架構下，網絡安全防護聚焦在網絡邊界出入口，在內網區域基本沒有進一步的細化隔離。一旦有設備被攻擊淪陷，通過這臺設備就可以獲取其所在網絡區域內的所有設備或服務資源的訪問權限?；诖?，需要對訪問者本身、訪問設備的環境進行持續的檢測，對訪問者及其訪問資源進行更精細化的權限控制。

高校的網絡安全防護面臨著以上新的挑戰，傳統的以邊界為中心的網絡安全架構已不足以應對。零信任理念的提出，打破了以邊界為中心的理念，將傳統的基于邊界的低效的網絡安全模型，提升為以資源和身份為中心的高效的網絡安全模型。

2" "零信任安全架構

零信任概念最早由John Kindervag（約翰·金德維格）于2010年提出。他在報告中提出“Never Trust， Always Verify”，即“從不信任，持續驗證”，成為零信任安全理念。網絡安全領域隨之定義了相應的標準化文件，國內外大型互聯網公司紛紛在自身業務和安全產品中融入零信任能力，零信任網絡、零信任體系架構等概念也隨之興起。

2.1 零信任網絡

零信任網絡訪問（ZeroTrust Network Access，ZTNA）將零信任理念應用于組織內部網絡建設，通過在用戶訪問服務器資源時持續進行身份認證、多源信任評估及訪問控制等手段，確保訪問過程的安全性。ZTNA這一概念來源于Gartner公司，它包含了多種不同的網絡接入模型，其中，Google公司于2011年啟動的BeyondCorp零信任項目就是最早、最典型的網絡接入模型[3]。零信任對網絡有如下假設：

⊙ 企業私有網絡都不被視為隱式信任區，即默認不信任內網。

⊙ 網絡上的設備可能并非企業所有，即設備多樣化。

⊙ 并非所有的企業資源都部署在企業擁有的基礎設施上，即資源不可控。

⊙ 所有連接均應被認證、加密、保護。

2.2 零信任體系架構

零信任體系架構（Zero Trust Architecture，ZTA），即基于零信任理念構建的網絡安全架構。國際上對零信任的標準化定義提出了多種零信任體系架構，并定義了零信任的技術架構、核心組件、部署場景等。其中，最典型的包括美國國家標準與技術研究院NIST于2020年發布《零信任架構》（Zero Trust Architecture NIST SP 800-207）[4]，與加拿大標準協會CSA在2022年發布的SDP Specification 2.0[5]。

SDP 2.0的基本架構包括SDP控制器、SDP連接發起主機（IH）、SDP接受主機（AH），如圖1所示。SDP控制器負責定義訪問控制策略，SDP接受主機通常位于應用程序和服務的前面，用于實現SDP控制器定義的訪問策略。其中，SDP控制器與發起主機（IH）、接受主機（AH）之間的認證、通知、授權等通訊消息都屬于控制平面，而發起主機（IH）與接受主機（AH）之間的連接屬于數據平面。

美國網絡安全廠商Cyxtera提出了AppGateSDP方案，實現了CSA的SDP架構。國內網絡安全廠商，如深信服、奇安信等，也都基于SDP架構實現了零信任方案，在國內市場展開激勵競爭，為零信任在企業網絡中的應用積累了眾多實踐經驗。

3" "高校零信任架構的建設

本文主要探討如何利用SDP架構來實施高校校園網的零信任建設方案。

3.1 高校零信任架構訪問模型

基于高校的訪問需求，零信任架構的訪問模型如圖2所示。

在以上模型中包含兩個核心組件：SDP控制器與SDP網關。SDP控制器負責對訪問者進行身份認證、權限管理及信任評估，最終決定是否授權。SDP網關負責執行控制器下發的策略，與訪問者建立連接，代理訪問校內資源?；谝陨显L問模型，可實現以下零信任特性。

（1）流量身份化。校內外訪問者通過SDP控制器進行身份認證，以獲取訪問權限。在后續的訪問過程中，對于該身份的校驗、鑒權將持續進行、貫徹始終。此外，SDP控制器的身份認證模塊可以與校園網已有的統一身份認證平臺進行對接，實現零信任與校內其他資源的單點登錄。

（2）多源信任評估。訪問者在獲取身份之后，SDP控制器可基于靜態權限、終端環境、訪問行為、訪問資源等多源數據進行信任評估，最終決策是否授予該訪問者訪問某些資源的權限。

（3）動態訪問控制。多源信任評估的結果將作為動態訪問控制的依據。在訪問過程中，SDP控制器將對訪問者、訪問環境、訪問資源等主客體進行多源信任評估，根據其評估結果對訪問者進行權限調整和安全處置。訪問者獲取到權限之后，在訪問端與SDP網關建立連接，由SDP網關代理訪問校內資源。同時，SDP控制器將對訪問過程進行持續檢測，若訪問者權限發生變化，將重新驗證身份或直接阻斷連接。

通過以上零信任特性，可實現對訪問過程的持續信任評估、最小訪問權限控制[6]。

3.2 高校零信任安全訪問場景

基于零信任架構的校園網不局限于訪問者接入IP地址或物理位置，不局限于訪問終端，都能保障安全訪問。校內或校外的師生，在用PC端或移動端遠程訪問校內教務系統、OA辦公系統、知網、圖書館資源等校內資源時，校園網都可以實現有效的安全防護。結合高校數字化建設，零信任架構還可以與企業微信、今日校園等門戶應用以及統一身份認證平臺等系統集成，實現對校內資源的無感知訪問。

本文以企業微信作為門戶應用及身份認證平臺為例，訪問者在企業微信工作臺訪問校內資源（如教務系統），零信任系統認證、教務系統認證都與企業微信認證模塊進行對接，實現單點登錄，訪問流程如圖3所示。訪問流程如下：

① 訪問者在企業微信工作臺點擊教務系統。

② 教務系統需要在零信任安全防護下訪問，因此需要先進行零信任身份認證。

③ 零信任認證與企業微信進行對接，向企業微信請求認證。

④ 企業微信通過oAuth 2.0協議上線零信任，完成零信任身份認證。

⑤ 返回教務系統鏈接，通過零信任安全訪問。

⑥ 教務系統需要完成身份認證，向企業微信請求認證。

⑦ 企業微信通過oAuth 2.0協議上線教務系統，完成教務系統身份認證。

⑧ 訪問者通過零信任安全訪問教務系統。

4" "結束語

本文提出將零信任網絡安全架構應用于校園網，依托無邊界網絡思想，實現流量身份化、多源信任評估和動態訪問控制等功能，有效應對高校網絡邊界模糊、移動終端安全隱患、網絡權限精細化管理等挑戰。通過零信任方式對訪問過程進行持續信任評估，實施最小訪問權限控制，對高校師生、企業合作方訪問校內資源進行持續、有效的安全防護。同時，基于零信任的擴展性強等特性，實現與企業微信、今日校園等門戶應用，以及統一身份認證平臺等系統應用的對接，最終實現校內資源的無感知訪問。以上零信任安全訪問過程，不僅實現了校園網網絡安全防護，同時也考慮了在校師生的用戶體驗，希望能為高校數字化建設提供支持。

參考文獻

[1] [美]埃文·吉爾曼，道格·巴斯 著．零信任網絡在不可信網絡中構建安全系統[M]．奇文信息身份安全實驗室 譯．北京：人民郵電出版社，2019．

[2] 魏小強．基于零信任的遠程辦公系統安全模型研究與實現[J]．信息安全研究，2020，6（4）：289-295．

[3] Ward R， Beyer B. BeyondCorp： A New Approach to Enterprise Security[OL]. [2014-12] [2024-07-03]. https：//storage.googleapis.com/pub-tools-publicpublication-data/pdf/43231.pdf

[4] ROSE S， BORCHERT O， MITCHELL S， et al. NIST SP 800-207draft2 Zero Trust Architecture[S]. Gaithersburg： National Institute of Standards and Technology Special Publication， Maryland，United States，2020.

[5] BILGER B， BOEHME A， FLORES B， et al. Software-Defined Perimeter （SDP） Specification v2.0[R/OL]. [2022-03] [2024-07-03]. https：//cloudsecurityalliance.org/artifacts/software-defined-perimeter-zero-trust-specification-v2

[6] 曾玲，劉星江．基于零信任的安全架構[J]．通信技術，2020，53（7）：1750-1754．