新形势下高校网络安全研究与分析

袁 勇，李 龙，孙小林

（1.遵义师范学院 信息工程学院，贵州 遵义 563006；2.遵义市公安局，贵州 遵义 563000）

0 引言

信息化的飞速发展，各类应用应运而生，伴随着移动业务的规模化，网络安全问题也就突显出来。2021年出现的重大安全事件就包括：美国医疗连锁机构遭遇勒索软件攻击，造成旗下医院系统瘫痪；意大利地方疫苗接种预约系统因网络攻击被迫关闭等多起威胁国计民生的重大网络安全事件。国家的关键信息基础设施通常会成为黑客攻击的重点目标，等保2.0标准以及一系列法律法规的颁布实施，让网络安全成为一个空前热门的话题，如何保障网络信息系统的安全，也是每个运营者、管理者、使用者非常关心的课题。正如习近平总书记不断强调的“没有网络安全就没有国家安全”。每一个信息系统的参与者都是网络安全的见证人，不能因为一时的麻痹大意，而让网络安全威胁到国家、社会层面的安全［1］。

1 新技术对网络安全的影响

随着信息化技术的不断发展，各种攻击方式层出不穷，给网络安全带来严重的挑战，相应的也产生了一系列的防御技术手段。新技术、新方法对网络安全的影响也是值得重视和研究的。下面主要对APT攻击和零信任防御措施的思路与要点进行详细分析和研究。

1.1 APT攻击

高级持续性威胁(Advanced Persistent Threat，APT）攻击通常具有针对性、隐蔽性、复杂性，具体表现为攻击手段高，攻击对象也高端。其持续性说明攻击时间长，并且幕后黑客组织分工明确，目的明确，长期盯着要害部门进行情报收集，通过社会工程学和技术手段来获取重要机密信息。APT攻击常见流程如下。

(1）攻击准备阶段。在开始攻击之前，与普通攻击方式相比，从信息搜索深度及广度上都有明显不同，APT攻击的使用者会花费大量时间和精力用于搜索目标系统的相关信息。

(2）攻击进入阶段。攻击者会进行间断性的攻击尝试，直到找到突破口，控制目标系统内部的某一台计算机，以作为进一步攻击行为的跳板。

(3）横向渗透阶段。攻击者会利用已经控制的跳板机，通过远程控制，对目标系统内的其他设备进行横向渗透，寻找对攻击者有价值的数据，本阶段和攻击进入阶段，都对攻击者的耐心、技术、攻击手段具有较大的考验。

(4）收获阶段。攻击者会通过技术手段，构建一条隐蔽的数据传输通道，将从目标系统获取的有价值的机密数据传送出来，以达到攻击的最终目的。

1.2 零信任防御

有攻就有防，攻击手段、技术的不断进步，信息系统的管理维护者则利用新技术、新方法进一步维护好信息系统。“零信任安全”被列入“着力突破网络安全关键技术”之一，本身不是技术，也不是产品，而是一种安全理念，其三大技术支柱：软件定义边界、增强的身份管理、微隔离［2］。

1.2.1 软件定义边界

软件定义边界技术要求在对受保护的服务器进行网络访问前，先进行身份验证和授权。之后，在请求系统与应用程序之间实时创建加密连接，对外提供零可见性和零连接，只有在验证和授权后，才能建立连接。这是基于策略创建安全边界，将不安全的网络隔离在服务范围之外，具有传统的安全管理中心做不到的优势，具体表现为：(1）传统的安全管理中心不能深入业务和应用层面进行安全管理，安全和业务相对处于脱节状态；(2）传统的安全管理中心不能进行业务与安全深度结合，不能提供细粒度的动态访问控制；(3）打破传统网络边界，传统网络只有内外网之分，软件定义边界代之的是微分段、微边界。

1.2.2 增强的身份管理

身份管理是零信任安全体系构建不变的核心需求，动态的身份控制需要丰富的身份数据作为支撑。身份管理重在对加强安全性并降低风险、改善合规性和审计绩效、提供快速有效的业务访问、降低运营成本4个关键目标之间进行平衡。增强身份管理通常要求具有访问控制统一管理、保障访问安全、模拟策略、精细的控制粒度、细致的权限策略涉及、丰富的信任载体等功能与特性。当使用者进行资源访问时，根据具体需求配置对应的权限和身份载体，避免权限过剩带来安全隐患。

1.2.3 微隔离

微隔离是在2016年Gartner安全与风险管理峰会上提出的一种网络安全技术，可以将数据中心逻辑划分为各个工作负载级别的不同安全段。通常认为传统的网络内网都是安全的、可信的，但随着信息技术的发展，当内部某一终端被攻破后，传统的内网可信就让其他主机暴露给网络攻击者。微隔离可以阻止这种来自内部的横向攻击，从微隔离技术角度看，其目的在于减少攻击面、改善横向运动的安全性、提升关键应用的安全性等，这正好也符合零信任的永不信任、始终验证原则［3］。

零信任的三大技术为一个整体，软件定义边界实现南北向的网络安全，微隔离技术实现东西方向的网络安全，增强的身份管理则实现资源访问的授权，三者合力更全面综合地保障网络信息系统的安全。三者合力更全面综合地保障网络信息系统的安全，零信任安全核心架构模块如图1所示。

图1 零信任安全核心架构

2 高校网络安全对策

近些年，随着勒索病毒、挖矿木马的广泛传播，网络安全形势极为严峻。如何让网络在一个安全的环境中运行，避免网络被黑客攻破，是每个网络工作从业者夜不能寐的事情。只有做好安全防护，才能让攻击者无计可施，随着等保2.0要求的上线，地方高校也相应做出了不少网络安全规定性动作。只有配备相应的网络安全设备，做好安全防御措施及应对办法，出台并落实相应的管理规章制度，网络安全才能真正落到实处。下面主要从技术的角度，就网络通信设备安全策略、服务器及信息系统安全策略、个人终端安全3个层面阐述高校网络安全的防范技术措施及办法［4］。

2.1 网络设备安全策略

网络设备包括防火墙、路由器、交换机、网络安全设备等。防火墙、路由器、交换机等通信设备在通信过程中起着至关重要的作用，决定着网络通畅程度，在网络通信设备中配置相应的网络策略，可以保障网络层面的安全性。网络安全设备包括入侵检测、数据库审计、漏洞扫描等设备，一般在不影响网络性能的前提下，采用旁挂方式进行部署，主要实现对网络防御的检测、拦截、审计等功能，具体策略可以从以下方面入手。

(1）出口边界网关进行严格的策略设置，根据IP地址和端口号针对性地进行映射，确保放到外网的服务器最小开放权限，避免更多端口号的暴露，给黑客可乘之机；同时，在边界网关上对危险端口号进行关闭。

(2）在核心交换机上进行策略防控，对于已通告的TCP，UDP危险端口号，如：135，136，138，139，445等均进行策略Deny，禁止访问。严格设置访问控制策略，对于只单向访问的，不做双向，做到服务正常使用情况下的最小化权限分配。

(3）数据区防火墙进行安全隐患排查，做好服务器区的访问控制，需要在内部进行远程访问的Windows服务器，做到针对性的开放，即内部远程访问做到责任人电脑之外的主机均不能进行远程访问。并且，远程访问必须通过堡垒机中间跳转，防火墙上做好策略防控措施，严格控制网络进出，严防网络安全的各类攻击。

(4）通过态势感知平台查看，在网络访问探测中确实存在攻击行为的危险IP地址进行封禁，拒绝其访问。

(5）定期查看Web防火墙和入侵检测系统，对系统中出现的危险IP地址限制访问，不定时的通过漏洞扫描对网络内部的服务器区进行扫描，发现服务器漏洞及时修复，不给黑客可乘之机。

2.2 服务器及信息系统安全对策

除了网络设备对网络安全进行防护外，服务器及信息系统自身的安全策略对于网络攻击也有防护作用。只有在环境安全的大前提下，配合设置自身服务器的安全，再加上信息系统开发安全，才能提升网络及信息系统的综合安全性，具体的策略措施参考如下。

(1）Windows服务器开启防火墙，并安装安全卫士及杀毒软件。特别是安全卫士必须安装，没有安装的服务器，只要双方网络通信，可以通过Kali Linux平台，利用系统漏洞，轻松破解超管密码。

(2）Windows服务器关闭来宾账户，管理员密码必须满足复杂度需求；Linux服务器则针对具体权限开放用户对目录文件的权限；各类信息系统中的账户密码依然要满足复杂度要求。

(3）系统必须及时更新各类补丁，避免出现系统漏洞，而被攻击者利用攻击。

(4）根据等保2.0的系统设置要求，对服务器的系统进行配置，提升服务器本身系统抗攻击能力。

(5）上线运行的信息系统，软件本身最好通过等保认证，这样软件系统层面抗攻击能力便有一定的保障。高校有的信息系统较老，须进行系统升级，达到安全性要求，信息系统尽量内网运行，减少被攻击的可能性。

(6）一些对外提供服务的信息系统，如：网站、邮件、云盘系统等含有网页运行模式的信息系统，架构在Web应用防火墙下，并对服务器和信息系统按照相应的安全策略进行设置，综合提升其抗攻击能力。

2.3 个人终端安全

由于每个使用者的信息技术水平参差不齐，对于危险网页的辨识、不明邮件的认识、危险指令的辨别度、网络安全意识程度的不一样，可以对高校师生员工进行网络安全教育培训，并要求在个人终端上安装安全卫士和杀毒软件，避免没有网络安全防护软件的网络终端设备接入校园网内。没有安全防护的终端设备极可能被攻破，进而成为攻击者的跳板，给校园网络带来安全隐患。

3 结语

本文对网络安全的形势进行了分析，针对网络安全中出现的新技术、APT攻击的流程进行了说明性研究。从提高网络抗攻击能力的角度，结合最新的零信任架构，分析了零信任的三大技术支柱，对网络进行优化调整。并结合高校的实际情况，为做好网络安全工作，从网络设备、服务器与信息系统、个人终端等方面综合分析，以全面提升网络抗攻击能力。