新形勢下高校網絡安全研究與分析

袁 勇，李 龍，孫小林

（1.遵義師范學院 信息工程學院，貴州 遵義 563006；2.遵義市公安局，貴州 遵義 563000）

0 引言

信息化的飛速發展，各類應用應運而生，伴隨著移動業務的規模化，網絡安全問題也就突顯出來。2021年出現的重大安全事件就包括：美國醫療連鎖機構遭遇勒索軟件攻擊，造成旗下醫院系統癱瘓；意大利地方疫苗接種預約系統因網絡攻擊被迫關閉等多起威脅國計民生的重大網絡安全事件。國家的關鍵信息基礎設施通常會成為黑客攻擊的重點目標，等保2.0標準以及一系列法律法規的頒布實施，讓網絡安全成為一個空前熱門的話題，如何保障網絡信息系統的安全，也是每個運營者、管理者、使用者非常關心的課題。正如習近平總書記不斷強調的“沒有網絡安全就沒有國家安全”。每一個信息系統的參與者都是網絡安全的見證人，不能因為一時的麻痹大意，而讓網絡安全威脅到國家、社會層面的安全［1］。

1 新技術對網絡安全的影響

隨著信息化技術的不斷發展，各種攻擊方式層出不窮，給網絡安全帶來嚴重的挑戰，相應的也產生了一系列的防御技術手段。新技術、新方法對網絡安全的影響也是值得重視和研究的。下面主要對APT攻擊和零信任防御措施的思路與要點進行詳細分析和研究。

1.1 APT攻擊

高級持續性威脅(Advanced Persistent Threat，APT）攻擊通常具有針對性、隱蔽性、復雜性，具體表現為攻擊手段高，攻擊對象也高端。其持續性說明攻擊時間長，并且幕后黑客組織分工明確，目的明確，長期盯著要害部門進行情報收集，通過社會工程學和技術手段來獲取重要機密信息。APT攻擊常見流程如下。

(1）攻擊準備階段。在開始攻擊之前，與普通攻擊方式相比，從信息搜索深度及廣度上都有明顯不同，APT攻擊的使用者會花費大量時間和精力用于搜索目標系統的相關信息。

(2）攻擊進入階段。攻擊者會進行間斷性的攻擊嘗試，直到找到突破口，控制目標系統內部的某一臺計算機，以作為進一步攻擊行為的跳板。

(3）橫向滲透階段。攻擊者會利用已經控制的跳板機，通過遠程控制，對目標系統內的其他設備進行橫向滲透，尋找對攻擊者有價值的數據，本階段和攻擊進入階段，都對攻擊者的耐心、技術、攻擊手段具有較大的考驗。

(4）收獲階段。攻擊者會通過技術手段，構建一條隱蔽的數據傳輸通道，將從目標系統獲取的有價值的機密數據傳送出來，以達到攻擊的最終目的。

1.2 零信任防御

有攻就有防，攻擊手段、技術的不斷進步，信息系統的管理維護者則利用新技術、新方法進一步維護好信息系統。“零信任安全”被列入“著力突破網絡安全關鍵技術”之一，本身不是技術，也不是產品，而是一種安全理念，其三大技術支柱：軟件定義邊界、增強的身份管理、微隔離［2］。

1.2.1 軟件定義邊界

軟件定義邊界技術要求在對受保護的服務器進行網絡訪問前，先進行身份驗證和授權。之后，在請求系統與應用程序之間實時創建加密連接，對外提供零可見性和零連接，只有在驗證和授權后，才能建立連接。這是基于策略創建安全邊界，將不安全的網絡隔離在服務范圍之外，具有傳統的安全管理中心做不到的優勢，具體表現為：(1）傳統的安全管理中心不能深入業務和應用層面進行安全管理，安全和業務相對處于脫節狀態；(2）傳統的安全管理中心不能進行業務與安全深度結合，不能提供細粒度的動態訪問控制；(3）打破傳統網絡邊界，傳統網絡只有內外網之分，軟件定義邊界代之的是微分段、微邊界。

1.2.2 增強的身份管理

身份管理是零信任安全體系構建不變的核心需求，動態的身份控制需要豐富的身份數據作為支撐。身份管理重在對加強安全性并降低風險、改善合規性和審計績效、提供快速有效的業務訪問、降低運營成本4個關鍵目標之間進行平衡。增強身份管理通常要求具有訪問控制統一管理、保障訪問安全、模擬策略、精細的控制粒度、細致的權限策略涉及、豐富的信任載體等功能與特性。當使用者進行資源訪問時，根據具體需求配置對應的權限和身份載體，避免權限過剩帶來安全隱患。

1.2.3 微隔離

微隔離是在2016年Gartner安全與風險管理峰會上提出的一種網絡安全技術，可以將數據中心邏輯劃分為各個工作負載級別的不同安全段。通常認為傳統的網絡內網都是安全的、可信的，但隨著信息技術的發展，當內部某一終端被攻破后，傳統的內網可信就讓其他主機暴露給網絡攻擊者。微隔離可以阻止這種來自內部的橫向攻擊，從微隔離技術角度看，其目的在于減少攻擊面、改善橫向運動的安全性、提升關鍵應用的安全性等，這正好也符合零信任的永不信任、始終驗證原則［3］。

零信任的三大技術為一個整體，軟件定義邊界實現南北向的網絡安全，微隔離技術實現東西方向的網絡安全，增強的身份管理則實現資源訪問的授權，三者合力更全面綜合地保障網絡信息系統的安全。三者合力更全面綜合地保障網絡信息系統的安全，零信任安全核心架構模塊如圖1所示。

圖1 零信任安全核心架構

2 高校網絡安全對策

近些年，隨著勒索病毒、挖礦木馬的廣泛傳播，網絡安全形勢極為嚴峻。如何讓網絡在一個安全的環境中運行，避免網絡被黑客攻破，是每個網絡工作從業者夜不能寐的事情。只有做好安全防護，才能讓攻擊者無計可施，隨著等保2.0要求的上線，地方高校也相應做出了不少網絡安全規定性動作。只有配備相應的網絡安全設備，做好安全防御措施及應對辦法，出臺并落實相應的管理規章制度，網絡安全才能真正落到實處。下面主要從技術的角度，就網絡通信設備安全策略、服務器及信息系統安全策略、個人終端安全3個層面闡述高校網絡安全的防范技術措施及辦法［4］。

2.1 網絡設備安全策略

網絡設備包括防火墻、路由器、交換機、網絡安全設備等。防火墻、路由器、交換機等通信設備在通信過程中起著至關重要的作用，決定著網絡通暢程度，在網絡通信設備中配置相應的網絡策略，可以保障網絡層面的安全性。網絡安全設備包括入侵檢測、數據庫審計、漏洞掃描等設備，一般在不影響網絡性能的前提下，采用旁掛方式進行部署，主要實現對網絡防御的檢測、攔截、審計等功能，具體策略可以從以下方面入手。

(1）出口邊界網關進行嚴格的策略設置，根據IP地址和端口號針對性地進行映射，確保放到外網的服務器最小開放權限，避免更多端口號的暴露，給黑客可乘之機；同時，在邊界網關上對危險端口號進行關閉。

(2）在核心交換機上進行策略防控，對于已通告的TCP，UDP危險端口號，如：135，136，138，139，445等均進行策略Deny，禁止訪問。嚴格設置訪問控制策略，對于只單向訪問的，不做雙向，做到服務正常使用情況下的最小化權限分配。

(3）數據區防火墻進行安全隱患排查，做好服務器區的訪問控制，需要在內部進行遠程訪問的Windows服務器，做到針對性的開放，即內部遠程訪問做到責任人電腦之外的主機均不能進行遠程訪問。并且，遠程訪問必須通過堡壘機中間跳轉，防火墻上做好策略防控措施，嚴格控制網絡進出，嚴防網絡安全的各類攻擊。

(4）通過態勢感知平臺查看，在網絡訪問探測中確實存在攻擊行為的危險IP地址進行封禁，拒絕其訪問。

(5）定期查看Web防火墻和入侵檢測系統，對系統中出現的危險IP地址限制訪問，不定時的通過漏洞掃描對網絡內部的服務器區進行掃描，發現服務器漏洞及時修復，不給黑客可乘之機。

2.2 服務器及信息系統安全對策

除了網絡設備對網絡安全進行防護外，服務器及信息系統自身的安全策略對于網絡攻擊也有防護作用。只有在環境安全的大前提下，配合設置自身服務器的安全，再加上信息系統開發安全，才能提升網絡及信息系統的綜合安全性，具體的策略措施參考如下。

(1）Windows服務器開啟防火墻，并安裝安全衛士及殺毒軟件。特別是安全衛士必須安裝，沒有安裝的服務器，只要雙方網絡通信，可以通過Kali Linux平臺，利用系統漏洞，輕松破解超管密碼。

(2）Windows服務器關閉來賓賬戶，管理員密碼必須滿足復雜度需求；Linux服務器則針對具體權限開放用戶對目錄文件的權限；各類信息系統中的賬戶密碼依然要滿足復雜度要求。

(3）系統必須及時更新各類補丁，避免出現系統漏洞，而被攻擊者利用攻擊。

(4）根據等保2.0的系統設置要求，對服務器的系統進行配置，提升服務器本身系統抗攻擊能力。

(5）上線運行的信息系統，軟件本身最好通過等保認證，這樣軟件系統層面抗攻擊能力便有一定的保障。高校有的信息系統較老，須進行系統升級，達到安全性要求，信息系統盡量內網運行，減少被攻擊的可能性。

(6）一些對外提供服務的信息系統，如：網站、郵件、云盤系統等含有網頁運行模式的信息系統，架構在Web應用防火墻下，并對服務器和信息系統按照相應的安全策略進行設置，綜合提升其抗攻擊能力。

2.3 個人終端安全

由于每個使用者的信息技術水平參差不齊，對于危險網頁的辨識、不明郵件的認識、危險指令的辨別度、網絡安全意識程度的不一樣，可以對高校師生員工進行網絡安全教育培訓，并要求在個人終端上安裝安全衛士和殺毒軟件，避免沒有網絡安全防護軟件的網絡終端設備接入校園網內。沒有安全防護的終端設備極可能被攻破，進而成為攻擊者的跳板，給校園網絡帶來安全隱患。

3 結語

本文對網絡安全的形勢進行了分析，針對網絡安全中出現的新技術、APT攻擊的流程進行了說明性研究。從提高網絡抗攻擊能力的角度，結合最新的零信任架構，分析了零信任的三大技術支柱，對網絡進行優化調整。并結合高校的實際情況，為做好網絡安全工作，從網絡設備、服務器與信息系統、個人終端等方面綜合分析，以全面提升網絡抗攻擊能力。