前言:想要寫出一篇引人入勝的文章?我們特意為您整理了網(wǎng)絡(luò)安全在計(jì)算機(jī)維護(hù)中運(yùn)用范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)日趨綜合化、復(fù)雜化,計(jì)算機(jī)網(wǎng)絡(luò)安全邊界日趨模糊。當(dāng)前,數(shù)字化發(fā)展已呈時(shí)展和推動(dòng)技術(shù)更新的必要階段,諸多新興技術(shù)如云平臺、物聯(lián)網(wǎng)(InternetofThings)、大數(shù)據(jù)和移動(dòng)互聯(lián)的技術(shù)成長也為各大企業(yè)提供了新鮮和活力。云平臺和物聯(lián)網(wǎng)(InternetofThings)為企業(yè)的經(jīng)濟(jì)數(shù)據(jù)提供了走出“邊界”的可能,而大數(shù)據(jù)和移動(dòng)互聯(lián)又為企業(yè)外部服務(wù)與內(nèi)部串聯(lián)形成良好的協(xié)同聯(lián)系。顯然,當(dāng)下的企業(yè)網(wǎng)絡(luò)安全技術(shù)已然不再是單純的和易于被識別的,它的“安全邊界”逐步被瓦解,以往傳統(tǒng)的網(wǎng)絡(luò)技術(shù)和系統(tǒng)方案顯然不再適用于當(dāng)代企業(yè)網(wǎng)絡(luò)基礎(chǔ)。那么,在該文中將主要探討建立網(wǎng)絡(luò)安全新范式加強(qiáng)計(jì)算機(jī)維護(hù)。
關(guān)鍵詞:網(wǎng)絡(luò)安全技術(shù);網(wǎng)絡(luò)安全新范式;零信任安全架構(gòu)(ZTA);計(jì)算機(jī)維護(hù)
1計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀與網(wǎng)絡(luò)安全新范式建立的必要性
數(shù)字化時(shí)代經(jīng)濟(jì)創(chuàng)新的業(yè)務(wù)絕大多數(shù)始于云平臺和大數(shù)據(jù)搭建,此類IT架構(gòu)實(shí)現(xiàn)業(yè)務(wù)與數(shù)據(jù)集中化,而系統(tǒng)風(fēng)險(xiǎn)也隨之集中化。我們知道,系統(tǒng)數(shù)據(jù)風(fēng)險(xiǎn)一直以來都是經(jīng)濟(jì)創(chuàng)新業(yè)務(wù)最被關(guān)注的問題之一。尤其是近些年來,諸多企業(yè)出現(xiàn)數(shù)據(jù)外泄的事件,不得不為計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的發(fā)展擔(dān)憂[1]。依據(jù)相關(guān)調(diào)查數(shù)據(jù)剖析,計(jì)算機(jī)數(shù)據(jù)外泄由企業(yè)內(nèi)部人員導(dǎo)致是其主要原因之一。企業(yè)內(nèi)部人員一般在特定范圍內(nèi)可以擁有一定合法的訪問權(quán)限,如果存在憑證丟失或權(quán)限濫用的情況,企業(yè)網(wǎng)絡(luò)數(shù)據(jù)外泄的可能性即極大的提升。另外,企業(yè)網(wǎng)絡(luò)數(shù)據(jù)泄漏還有另外一個(gè)主要原因,那就是外部攻擊,從相關(guān)數(shù)據(jù)分析來看,黑客攻擊企業(yè)內(nèi)網(wǎng)的手段不一定多先進(jìn),絕大部分黑客攻擊僅僅是竊取憑證或“爆破”弱口令,以此破壞企業(yè)內(nèi)網(wǎng),或盜取企業(yè)數(shù)據(jù)訪問權(quán)限。綜合以上論述,導(dǎo)致企業(yè)網(wǎng)絡(luò)數(shù)據(jù)外泄的原因主要有兩方面。企業(yè)在網(wǎng)絡(luò)方面的意識逐步提升,隨之帶來的是加大網(wǎng)絡(luò)安全維護(hù)成本投入。但是,從近些年來的成效來看,加大網(wǎng)絡(luò)安全維護(hù)成本投入并沒有保障網(wǎng)絡(luò)數(shù)據(jù)外泄事件的概率下降。究其原因,企業(yè)在進(jìn)行基礎(chǔ)構(gòu)架搭建時(shí)有所疏忽,隨著時(shí)代進(jìn)步,IT技術(shù)架構(gòu)也在不斷優(yōu)化,數(shù)字化技術(shù)的發(fā)展也在很大程度上推動(dòng)了IT技術(shù)構(gòu)架演變。顯然,新型IT技術(shù)架構(gòu)已經(jīng)不能從傳統(tǒng)架構(gòu)理念出發(fā),我們僅僅改變“基礎(chǔ)”以上的結(jié)構(gòu)而忽視了“基礎(chǔ)”改造,那么這個(gè)“基礎(chǔ)”就成了木桶拼板中“最短”的那一塊[2]。傳統(tǒng)網(wǎng)絡(luò)安全維護(hù)是依存于邊界的架構(gòu)體系。它首先要求的是找到安全邊界,然后將系統(tǒng)網(wǎng)絡(luò)分為幾個(gè)不同的區(qū)塊,包括外網(wǎng)、DMZ和內(nèi)網(wǎng)。然后,邊界部署防火墻、WAF、IPS等網(wǎng)絡(luò)安全維護(hù)產(chǎn)品,從而為企業(yè)網(wǎng)絡(luò)構(gòu)造防護(hù)墻。通過分析,傳統(tǒng)網(wǎng)絡(luò)安全維護(hù)架構(gòu)體系顯然已經(jīng)默許了內(nèi)網(wǎng)安全重要于外網(wǎng)安全,很大程度上已經(jīng)預(yù)設(shè)了內(nèi)網(wǎng)用戶的信任。另外,云平臺技術(shù)發(fā)展模糊了內(nèi)網(wǎng)與外網(wǎng)之間的界限,也導(dǎo)致了物理安全邊界難以識別。顯然,企業(yè)根本不能實(shí)現(xiàn)依存于傳統(tǒng)安全架構(gòu)設(shè)施搭建,而僅能依托于更加更為先進(jìn)且靈活的技術(shù)措施來識別或認(rèn)證一直處于動(dòng)態(tài)且變化的用戶、設(shè)備及網(wǎng)絡(luò)系統(tǒng),零信任安全架構(gòu)(ZTA)(ZTA)正是因此原理成為時(shí)展的必需,也是計(jì)算網(wǎng)絡(luò)安全架構(gòu)與維護(hù)系統(tǒng)安全與穩(wěn)定并重的必然。
2零信任安全架構(gòu)(ZTA)在計(jì)算機(jī)維護(hù)中的運(yùn)用
零信任安全是由福雷斯特公司的首席分析師約翰·約翰開創(chuàng)的。自2014年12月以來,谷歌已經(jīng)發(fā)表了六篇beyondcorp相關(guān)文章,全面概述了beyondcorp的架構(gòu)及其自2011年以來的執(zhí)行情況。2017年,這個(gè)行業(yè),包括思科、微軟、亞馬遜、cyx⁃tera等等。自2018年以來,我國中央部委、國家機(jī)關(guān)、大中型企業(yè)開始探索零信任身份安全框架的實(shí)踐。零信任安全的本質(zhì)是訪問控制范式從傳統(tǒng)的以網(wǎng)絡(luò)為中心向以身份為中心的轉(zhuǎn)變。零信任身份安全體系結(jié)構(gòu)一般由三個(gè)子系統(tǒng)組成:設(shè)備與用戶認(rèn)證、可信訪問網(wǎng)關(guān)和智能身份平臺。例如,很久以前,我們可能不得不輸入密碼,隨機(jī)數(shù)字驗(yàn)證碼,短信驗(yàn)證碼,還有安全密鑰?,F(xiàn)在,如果你的手機(jī)上安裝了電子郵件App,你只需掃描二維碼,這種認(rèn)證既方便又高效。零信任身份安全體系結(jié)構(gòu)以“身份”作為新的邊界思想,將訪問控制從邊界轉(zhuǎn)移到個(gè)人設(shè)備和用戶。打破傳統(tǒng)的邊界保護(hù)思想,建立基于身份的信任機(jī)制,遵循對設(shè)備和用戶進(jìn)行身份認(rèn)證然后訪問業(yè)務(wù)的原則,然后自動(dòng)信任任何內(nèi)部或外部的人/設(shè)備/應(yīng)用程序,對任何試圖訪問網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用程序的人/設(shè)備/應(yīng)用程序進(jìn)行身份認(rèn)證之后再授權(quán),并提供一種動(dòng)態(tài)的細(xì)粒度訪問控制策略,以滿足最小特權(quán)原則。通過提供用戶和企業(yè)之間的安全訪問來保護(hù)政府?dāng)?shù)據(jù)的安全技術(shù)。
2.1零信任身份安全架構(gòu)的技術(shù)方案
零信任身份安全體系結(jié)構(gòu)對傳統(tǒng)的邊界安全體系結(jié)構(gòu)進(jìn)行了重新評估和檢驗(yàn),提出了一種新的啟示:網(wǎng)絡(luò)始終處于各種威脅之中,包括內(nèi)部外界,也包括外部威脅,并且信任評估不僅只通過網(wǎng)絡(luò)位置進(jìn)行,缺省情況下,網(wǎng)絡(luò)內(nèi)外的任何設(shè)備或系統(tǒng)都不能被信任。認(rèn)證和授權(quán)應(yīng)該作為訪問控制信任基礎(chǔ),要將設(shè)備、用戶多元數(shù)據(jù)作為依據(jù),零信任能夠扭轉(zhuǎn)訪問控制模式,推動(dòng)了網(wǎng)絡(luò)安全構(gòu)架轉(zhuǎn)變,即:“網(wǎng)絡(luò)為中心”轉(zhuǎn)變?yōu)椤耙陨矸轂橹行摹保诩夹g(shù)視角,零信任身份安全體系結(jié)構(gòu)依托先進(jìn)的身份管理技術(shù),對人、設(shè)備、系統(tǒng)進(jìn)行智能化、動(dòng)態(tài)化智能訪問控制[3]。零信任身份安全架構(gòu)的技術(shù)方案,包括三個(gè)部分,即:業(yè)務(wù)訪問主體、業(yè)務(wù)訪問、智能身份安全平臺,如上圖1。業(yè)務(wù)請求發(fā)起人就是業(yè)務(wù)訪問主體,請求包括諸多內(nèi)容,如網(wǎng)絡(luò)用戶、系統(tǒng)設(shè)備和程序應(yīng)用。傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用機(jī)制通常是通過認(rèn)證與授權(quán)分離作業(yè),而零信任身份安全體系構(gòu)架則將業(yè)務(wù)訪問主體、業(yè)務(wù)訪問和智能身份安全平臺三部分視為一個(gè)整體,如此一來即可降低系統(tǒng)數(shù)據(jù)被竊取或外泄的風(fēng)險(xiǎn)。零信任身份安全架構(gòu)的實(shí)操過程往往是將系統(tǒng)設(shè)備與企業(yè)用戶進(jìn)行綁定。訪問數(shù)據(jù)平臺的實(shí)際控制要點(diǎn)為業(yè)務(wù)訪問,業(yè)務(wù)訪問的關(guān)鍵在于對能夠?qū)?shí)際執(zhí)行者訪問進(jìn)行控制。一般來說,訪問會(huì)將業(yè)務(wù)隱藏,只能夠通過系統(tǒng)設(shè)備、企業(yè)用戶進(jìn)行驗(yàn)證,并且其訪問主體的訪問權(quán)限充足,業(yè)務(wù)訪問數(shù)據(jù)通道必須進(jìn)行加密,只有加密之后,才能夠?qū)①Y源開放,實(shí)現(xiàn)共享。零信任身份安全體系架構(gòu)的控制平臺就是智能身份平臺,在這個(gè)平臺上,訪問主體與業(yè)務(wù)訪問,能夠進(jìn)行信息交互,在具有一定安全保護(hù)的范圍下進(jìn)行信任評估與授權(quán)認(rèn)證,并將平臺安全配置的參數(shù)予以協(xié)商完成。當(dāng)前,企業(yè)網(wǎng)絡(luò)安全技術(shù)管理平臺對零信任安全架構(gòu)非常適用,可便捷實(shí)現(xiàn)用戶身份認(rèn)證、治理及動(dòng)態(tài)化授權(quán)與分析等功能[4]。
2.2零信任身份安全架構(gòu)的基本原則
業(yè)務(wù)訪問、業(yè)務(wù)訪問和智能身份安全平臺需要各種技術(shù)支持,包括架構(gòu)組件、交互邏輯等,體系結(jié)構(gòu)按照一定的結(jié)構(gòu)原則,借由映射的安全能力,對零信任身份進(jìn)行驗(yàn)證,以此滿足IT環(huán)境的各種安全需求,具體如下:1)整體標(biāo)識原則。所有訪問對象都需要確認(rèn),包括人員,設(shè)備等等。不僅需要管理者的身份,還需要網(wǎng)絡(luò)人,且網(wǎng)絡(luò)人并不是孤立的個(gè)體。2)應(yīng)用級控制原則。業(yè)務(wù)訪問需求并非在網(wǎng)絡(luò)層工作,而是在應(yīng)用程序?qū)?,并且,網(wǎng)絡(luò)層一般都是通過應(yīng)用程序?qū)崿F(xiàn)的。應(yīng)用的全過程都需要加密,并且要執(zhí)行全流程。3)閉環(huán)安全原則。進(jìn)行信任級別評估需要多方支持,如:訪問屬性、行為以及上下文等,并根據(jù)信任級別動(dòng)態(tài)、要對訪問權(quán)限要實(shí)時(shí)調(diào)控,以保障網(wǎng)絡(luò)內(nèi)部可以形成一個(gè)閉環(huán)的安全系統(tǒng)。4)強(qiáng)有力的業(yè)務(wù)聚合原則。零信任體系架構(gòu)自身具備極高的安全屬性,在執(zhí)行安全防護(hù)時(shí),要以實(shí)際業(yè)務(wù)場景與安全情況為依據(jù),進(jìn)行構(gòu)架設(shè)計(jì)。零信任架構(gòu)要具備靈活的環(huán)境適應(yīng)性,因此,要根據(jù)實(shí)際需求進(jìn)行拓展。5)多場景覆蓋原則?,F(xiàn)代IT環(huán)境有多種業(yè)務(wù)接入場景,包括數(shù)據(jù)中心服務(wù)互訪場景、接入終端以及用戶接入業(yè)務(wù)等。為了能夠保障零信任體系架構(gòu)功能性,必須要嚴(yán)格遵循多場景覆蓋原則,綜合對各種場景進(jìn)行分析,以此保障系統(tǒng)的可伸縮性與擴(kuò)展性。6)高連桿元件原則。零信任體系架構(gòu)的另一主要特性就是高度的連接性,每個(gè)組件之間要具備互調(diào)性,以此構(gòu)建一個(gè)完整的體系,以此緩解來自外部的各種威脅,形成一個(gè)安全閉環(huán)。在實(shí)際操作中,產(chǎn)品組件不能堆放,產(chǎn)品之間的連接是實(shí)現(xiàn)零信任效果的重要基礎(chǔ)。
2.3零信任身份安全架構(gòu)的技術(shù)實(shí)踐
究其本質(zhì),零信任是建立在訪問主體、訪問對象之間的一個(gè)控制系統(tǒng),并具有動(dòng)態(tài)可信訪問功能,其核心能力可以概括為業(yè)務(wù)安全訪問、動(dòng)態(tài)訪問、密鑰等各種功能,建立在各種數(shù)字身份的基礎(chǔ)上,網(wǎng)絡(luò)會(huì)對默認(rèn)不可行的訪問請求進(jìn)行認(rèn)證、加密,對各種相關(guān)數(shù)據(jù)進(jìn)行持續(xù)的信任評估,根據(jù)信任級別動(dòng)態(tài)對訪問權(quán)限進(jìn)行調(diào)整,最后,進(jìn)行各種信息關(guān)系的建立。在零信任體系架構(gòu)中,訪問對象是受保護(hù)的核心資源,被保護(hù)的資源有很多種,如:操作功能、資產(chǎn)數(shù)據(jù)等。人、設(shè)備、應(yīng)用程序等都可作為訪問主體,在一定的訪問權(quán)限內(nèi),對相關(guān)實(shí)體進(jìn)行綁定,從而實(shí)現(xiàn)定義與限定主題[5]。以身份為中心。本文所研究的安全構(gòu)架是將身份作為中心,具有動(dòng)態(tài)方法與自動(dòng)化控制功能,身份認(rèn)證則是零信任安全架構(gòu)實(shí)現(xiàn)的前提條件。在已認(rèn)證總體身份的前提下,網(wǎng)絡(luò)用戶、系統(tǒng)設(shè)備、程序應(yīng)用以及其他業(yè)務(wù)構(gòu)建一個(gè)統(tǒng)一整體,同時(shí),還具備數(shù)字化的身份識別功能,對導(dǎo)尿管太訪問機(jī)制與控制系統(tǒng)進(jìn)行深入搭建,系統(tǒng)安全管理范圍可以延伸到整個(gè)身體實(shí)體之中。持續(xù)認(rèn)證。零信任安全架構(gòu)無法一次性對身份有效性進(jìn)行認(rèn)證,即便使用較高強(qiáng)度的雙重身份認(rèn)證也必須利用持續(xù)認(rèn)證予以評估信任度。比如,不斷剖析和識別訪問用戶的操作行為才能完全實(shí)現(xiàn)動(dòng)態(tài)化評估用戶信任度。動(dòng)態(tài)訪問控制。以往的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)平臺使用的訪問控制機(jī)制為宏二進(jìn)制邏輯,其核心依托靜態(tài)授權(quán)規(guī)則、黑白列表技術(shù)等,這些技術(shù)可實(shí)現(xiàn)一次性評估,本文所研究的安全平臺訪問機(jī)制則是一種持續(xù)評估的系統(tǒng)概念,使用微觀決策的邏輯,經(jīng)持續(xù)評估業(yè)務(wù)訪問主體的信任度和外部環(huán)境風(fēng)險(xiǎn),是否授權(quán)是以動(dòng)態(tài)化評估結(jié)果所決定的??蛻糁黧w的信任度評估過程可依據(jù)認(rèn)證方法和系統(tǒng)設(shè)備運(yùn)行狀態(tài)、程序應(yīng)用等多方面因素實(shí)現(xiàn)。值得一提的是,外部環(huán)境風(fēng)險(xiǎn)的評估一般涉及介入時(shí)間、源IP地址、源位置、接入頻率和系統(tǒng)設(shè)備相似度等時(shí)空因素。智能身份分析。本文研究的安全系統(tǒng)將持續(xù)認(rèn)證、動(dòng)態(tài)訪問作為核心,因此大大提升了管理開銷,更好地實(shí)現(xiàn)零信任身份安全體系登錄。系統(tǒng)還具備智能分析功能,能夠幫助人們實(shí)現(xiàn)適應(yīng)性訪問控制,同時(shí)還能夠?qū)Ω鞣N策略違規(guī)進(jìn)行分析、檢測,從而觸發(fā)引擎自動(dòng)或者手動(dòng)干預(yù),進(jìn)而實(shí)現(xiàn)系統(tǒng)內(nèi)部的閉環(huán)治理。智能身份分析有助于零信任安全架構(gòu)平臺能夠根據(jù)實(shí)際需求實(shí)現(xiàn)訪問與控制,且這項(xiàng)功能還能夠使用用戶的權(quán)限、扮演角色和使用策略予以分析,也可以對潛在策略違規(guī)行為予以檢測,同時(shí)也可以自動(dòng)方式或手動(dòng)方式觸發(fā)工作流,進(jìn)而對閉環(huán)質(zhì)量進(jìn)行調(diào)整和干預(yù)。本文研究的安全體系采用了灰度理論,在保證安全性和連續(xù)認(rèn)證易用性的前提下,提高固化的一次性強(qiáng)認(rèn)證的安全性,采用基于風(fēng)險(xiǎn)的動(dòng)態(tài)授權(quán)和信任持久性措施取代基于二進(jìn)制決策的靜態(tài)授權(quán)。使用開放和智能的身份治理來優(yōu)化封閉和剛性的身份管理。
3結(jié)束語
伴隨著計(jì)算機(jī)技術(shù)發(fā)展,基于傳統(tǒng)的維護(hù)計(jì)算機(jī)系統(tǒng)穩(wěn)定需求,保證計(jì)算機(jī)網(wǎng)絡(luò)安全成為必要性。傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)理念是基于邊界的安全架構(gòu)。當(dāng)前,計(jì)算機(jī)網(wǎng)絡(luò)即便已經(jīng)逐步實(shí)現(xiàn)全網(wǎng)信息化,計(jì)算機(jī)用戶獲取網(wǎng)絡(luò)信息十分便捷。然而,計(jì)算機(jī)網(wǎng)絡(luò)是否安全一直都是大眾用戶所共同關(guān)心的問題。我們知道,用戶信息、系統(tǒng)漏洞和病毒入侵都可能危害計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的安全,計(jì)算機(jī)用戶的網(wǎng)絡(luò)體驗(yàn)受到了極大的影響。那么,基于計(jì)算機(jī)網(wǎng)絡(luò)安全我們不再完全依仗傳統(tǒng)的計(jì)算手段,應(yīng)該建立網(wǎng)絡(luò)安全新范式。零信任安全架構(gòu)(ZTA)(ZTA)應(yīng)運(yùn)而生。本文通過剖析計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)在,并闡述網(wǎng)絡(luò)安全新范式建立的必要性,重點(diǎn)探討零信任安全架構(gòu)(ZTA)在計(jì)算機(jī)維護(hù)中的運(yùn)用,以期為行業(yè)朋友提供借鑒。
參考文獻(xiàn):
[1]劉斌.數(shù)據(jù)加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)通信安全中的應(yīng)用初探[J].中國新通信,2018,20(7):28.
[2]劉馨澤.數(shù)據(jù)加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用價(jià)值[J].電子技術(shù)與軟件工程,2018(9):197.
[3]王秀波.零信任架構(gòu)網(wǎng)絡(luò)安全解決方案[J].智能建筑,2019(3):63-67.
[4]曾玲,劉星江.基于零信任的安全架構(gòu)[J].通信技術(shù),2020,53(7):1750-1754.
[5]何鈺龍.網(wǎng)絡(luò)安全技術(shù)在計(jì)算機(jī)維護(hù)中的應(yīng)用研究[J].信息記錄材料,2020,21(3):109-111.
作者:王堅(jiān) 單位:黑龍江省大慶市中國石油集團(tuán)電能有限公司熱電一公司綜合維修部計(jì)算機(jī)站
級別:部級期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級別:部級期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級別:部級期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級別:北大期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級別:部級期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫