網(wǎng)絡(luò)安全技術(shù)在計算機維護中運用

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了網(wǎng)絡(luò)安全技術(shù)在計算機維護中運用范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)日趨綜合化、復雜化，計算機網(wǎng)絡(luò)安全邊界日趨模糊。當前，數(shù)字化發(fā)展已呈時代發(fā)展和推動技術(shù)更新的必要階段，諸多新興技術(shù)如云平臺、物聯(lián)網(wǎng)（InternetofThings）、大數(shù)據(jù)和移動互聯(lián)的技術(shù)成長也為各大企業(yè)提供了新鮮和活力。云平臺和物聯(lián)網(wǎng)（InternetofThings）為企業(yè)的經(jīng)濟數(shù)據(jù)提供了走出“邊界”的可能，而大數(shù)據(jù)和移動互聯(lián)又為企業(yè)外部服務(wù)與內(nèi)部串聯(lián)形成良好的協(xié)同聯(lián)系。顯然，當下的企業(yè)網(wǎng)絡(luò)安全技術(shù)已然不再是單純的和易于被識別的，它的“安全邊界”逐步被瓦解，以往傳統(tǒng)的網(wǎng)絡(luò)技術(shù)和系統(tǒng)方案顯然不再適用于當代企業(yè)網(wǎng)絡(luò)基礎(chǔ)。那么，在該文中將主要探討建立網(wǎng)絡(luò)安全新范式加強計算機維護。

關(guān)鍵詞：網(wǎng)絡(luò)安全技術(shù)；網(wǎng)絡(luò)安全新范式；零信任安全架構(gòu)（ZTA）；計算機維護

1計算機網(wǎng)絡(luò)安全現(xiàn)狀與網(wǎng)絡(luò)安全新范式建立的必要性

數(shù)字化時代經(jīng)濟創(chuàng)新的業(yè)務(wù)絕大多數(shù)始于云平臺和大數(shù)據(jù)搭建，此類IT架構(gòu)實現(xiàn)業(yè)務(wù)與數(shù)據(jù)集中化，而系統(tǒng)風險也隨之集中化。我們知道，系統(tǒng)數(shù)據(jù)風險一直以來都是經(jīng)濟創(chuàng)新業(yè)務(wù)最被關(guān)注的問題之一。尤其是近些年來，諸多企業(yè)出現(xiàn)數(shù)據(jù)外泄的事件，不得不為計算機網(wǎng)絡(luò)安全實現(xiàn)數(shù)字化轉(zhuǎn)型的發(fā)展擔憂[1]。依據(jù)相關(guān)調(diào)查數(shù)據(jù)剖析，計算機數(shù)據(jù)外泄由企業(yè)內(nèi)部人員導致是其主要原因之一。企業(yè)內(nèi)部人員一般在特定范圍內(nèi)可以擁有一定合法的訪問權(quán)限，如果存在憑證丟失或權(quán)限濫用的情況，企業(yè)網(wǎng)絡(luò)數(shù)據(jù)外泄的可能性即極大的提升。另外，企業(yè)網(wǎng)絡(luò)數(shù)據(jù)泄漏還有另外一個主要原因，那就是外部攻擊，從相關(guān)數(shù)據(jù)分析來看，黑客攻擊企業(yè)內(nèi)網(wǎng)的手段不一定多先進，絕大部分黑客攻擊僅僅是竊取憑證或“爆破”弱口令，以此破壞企業(yè)內(nèi)網(wǎng)，或盜取企業(yè)數(shù)據(jù)訪問權(quán)限。綜合以上論述，導致企業(yè)網(wǎng)絡(luò)數(shù)據(jù)外泄的原因主要有兩方面。企業(yè)在網(wǎng)絡(luò)方面的意識逐步提升，隨之帶來的是加大網(wǎng)絡(luò)安全維護成本投入。但是，從近些年來的成效來看，加大網(wǎng)絡(luò)安全維護成本投入并沒有保障網(wǎng)絡(luò)數(shù)據(jù)外泄事件的概率下降。究其原因，企業(yè)在進行基礎(chǔ)構(gòu)架搭建時有所疏忽，隨著時代進步，IT技術(shù)架構(gòu)也在不斷優(yōu)化，數(shù)字化技術(shù)的發(fā)展也在很大程度上推動了IT技術(shù)構(gòu)架演變。顯然，新型IT技術(shù)架構(gòu)已經(jīng)不能從傳統(tǒng)架構(gòu)理念出發(fā)，我們僅僅改變“基礎(chǔ)”以上的結(jié)構(gòu)而忽視了“基礎(chǔ)”改造，那么這個“基礎(chǔ)”就成了木桶拼板中“最短”的那一塊[2]。傳統(tǒng)網(wǎng)絡(luò)安全維護是依存于邊界的架構(gòu)體系。它首先要求的是找到安全邊界，然后將系統(tǒng)網(wǎng)絡(luò)分為幾個不同的區(qū)塊，包括外網(wǎng)、DMZ和內(nèi)網(wǎng)。然后，邊界部署防火墻、WAF、IPS等網(wǎng)絡(luò)安全維護產(chǎn)品，從而為企業(yè)網(wǎng)絡(luò)構(gòu)造防護墻。通過分析，傳統(tǒng)網(wǎng)絡(luò)安全維護架構(gòu)體系顯然已經(jīng)默許了內(nèi)網(wǎng)安全重要于外網(wǎng)安全，很大程度上已經(jīng)預設(shè)了內(nèi)網(wǎng)用戶的信任。另外，云平臺技術(shù)發(fā)展模糊了內(nèi)網(wǎng)與外網(wǎng)之間的界限，也導致了物理安全邊界難以識別。顯然，企業(yè)根本不能實現(xiàn)依存于傳統(tǒng)安全架構(gòu)設(shè)施搭建，而僅能依托于更加更為先進且靈活的技術(shù)措施來識別或認證一直處于動態(tài)且變化的用戶、設(shè)備及網(wǎng)絡(luò)系統(tǒng)，零信任安全架構(gòu)（ZTA）（ZTA）正是因此原理成為時代發(fā)展的必需，也是計算網(wǎng)絡(luò)安全架構(gòu)與維護系統(tǒng)安全與穩(wěn)定并重的必然。

2零信任安全架構(gòu)（ZTA）在計算機維護中的運用

零信任安全是由福雷斯特公司的首席分析師約翰·約翰開創(chuàng)的。自2014年12月以來，谷歌已經(jīng)發(fā)表了六篇beyondcorp相關(guān)文章，全面概述了beyondcorp的架構(gòu)及其自2011年以來的執(zhí)行情況。2017年，這個行業(yè)，包括思科、微軟、亞馬遜、cyx⁃tera等等。自2018年以來，我國中央部委、國家機關(guān)、大中型企業(yè)開始探索零信任身份安全框架的實踐。零信任安全的本質(zhì)是訪問控制范式從傳統(tǒng)的以網(wǎng)絡(luò)為中心向以身份為中心的轉(zhuǎn)變。零信任身份安全體系結(jié)構(gòu)一般由三個子系統(tǒng)組成：設(shè)備與用戶認證代理、可信訪問網(wǎng)關(guān)和智能身份平臺。例如，很久以前，我們可能不得不輸入密碼，隨機數(shù)字驗證碼，短信驗證碼，還有安全密鑰?，F(xiàn)在，如果你的手機上安裝了電子郵件App，你只需掃描二維碼，這種認證既方便又高效。零信任身份安全體系結(jié)構(gòu)以“身份”作為新的邊界思想，將訪問控制從邊界轉(zhuǎn)移到個人設(shè)備和用戶。打破傳統(tǒng)的邊界保護思想，建立基于身份的信任機制，遵循對設(shè)備和用戶進行身份認證然后訪問業(yè)務(wù)的原則，然后自動信任任何內(nèi)部或外部的人/設(shè)備/應用程序，對任何試圖訪問網(wǎng)絡(luò)和業(yè)務(wù)應用程序的人/設(shè)備/應用程序進行身份認證之后再授權(quán)，并提供一種動態(tài)的細粒度訪問控制策略，以滿足最小特權(quán)原則。通過提供用戶和企業(yè)之間的安全訪問來保護政府數(shù)據(jù)的安全技術(shù)。

2.1零信任身份安全架構(gòu)的技術(shù)方案

零信任身份安全體系結(jié)構(gòu)對傳統(tǒng)的邊界安全體系結(jié)構(gòu)進行了重新評估和檢驗，提出了一種新的啟示：網(wǎng)絡(luò)始終處于各種威脅之中，包括內(nèi)部外界，也包括外部威脅，并且信任評估不僅只通過網(wǎng)絡(luò)位置進行，缺省情況下，網(wǎng)絡(luò)內(nèi)外的任何設(shè)備或系統(tǒng)都不能被信任。認證和授權(quán)應該作為訪問控制信任基礎(chǔ)，要將設(shè)備、用戶多元數(shù)據(jù)作為依據(jù)，零信任能夠扭轉(zhuǎn)訪問控制模式，推動了網(wǎng)絡(luò)安全構(gòu)架轉(zhuǎn)變，即：“網(wǎng)絡(luò)為中心”轉(zhuǎn)變?yōu)椤耙陨矸轂橹行摹?，基于技術(shù)視角，零信任身份安全體系結(jié)構(gòu)依托先進的身份管理技術(shù)，對人、設(shè)備、系統(tǒng)進行智能化、動態(tài)化智能訪問控制[3]。零信任身份安全架構(gòu)的技術(shù)方案，包括三個部分，即：業(yè)務(wù)訪問主體、業(yè)務(wù)訪問代理、智能身份安全平臺，如上圖1。業(yè)務(wù)請求發(fā)起人就是業(yè)務(wù)訪問主體，請求包括諸多內(nèi)容，如網(wǎng)絡(luò)用戶、系統(tǒng)設(shè)備和程序應用。傳統(tǒng)的計算機網(wǎng)絡(luò)安全應用機制通常是通過認證與授權(quán)分離作業(yè)，而零信任身份安全體系構(gòu)架則將業(yè)務(wù)訪問主體、業(yè)務(wù)訪問代理和智能身份安全平臺三部分視為一個整體，如此一來即可降低系統(tǒng)數(shù)據(jù)被竊取或外泄的風險。零信任身份安全架構(gòu)的實操過程往往是將系統(tǒng)設(shè)備與企業(yè)用戶進行綁定。訪問數(shù)據(jù)平臺的實際控制要點為業(yè)務(wù)訪問代理，業(yè)務(wù)訪問代理的關(guān)鍵在于對能夠?qū)嶋H執(zhí)行者訪問進行控制。一般來說，訪問代理會將業(yè)務(wù)隱藏，只能夠通過系統(tǒng)設(shè)備、企業(yè)用戶進行驗證，并且其訪問主體的訪問權(quán)限充足，業(yè)務(wù)訪問數(shù)據(jù)通道必須進行加密，只有加密之后，才能夠?qū)①Y源開放，實現(xiàn)共享。零信任身份安全體系架構(gòu)的控制平臺就是智能身份平臺，在這個平臺上，訪問主體與業(yè)務(wù)訪問代理，能夠進行信息交互，在具有一定安全保護的范圍下進行信任評估與授權(quán)認證，并將平臺安全配置的參數(shù)予以協(xié)商完成。當前，企業(yè)網(wǎng)絡(luò)安全技術(shù)管理平臺對零信任安全架構(gòu)非常適用，可便捷實現(xiàn)用戶身份認證、治理及動態(tài)化授權(quán)與分析等功能[4]。

2.2零信任身份安全架構(gòu)的基本原則

業(yè)務(wù)訪問代理、業(yè)務(wù)訪問代理和智能身份安全平臺需要各種技術(shù)支持，包括架構(gòu)組件、交互邏輯等，體系結(jié)構(gòu)按照一定的結(jié)構(gòu)原則，借由映射的安全能力，對零信任身份進行驗證，以此滿足IT環(huán)境的各種安全需求，具體如下：1）整體標識原則。所有訪問對象都需要確認，包括人員，設(shè)備等等。不僅需要管理者的身份，還需要網(wǎng)絡(luò)代理人，且網(wǎng)絡(luò)代理人并不是孤立的個體。2）應用級控制原則。業(yè)務(wù)訪問需求并非在網(wǎng)絡(luò)層工作，而是在應用程序?qū)?，并且，網(wǎng)絡(luò)層一般都是通過應用程序代理實現(xiàn)的。應用代理的全過程都需要加密，并且要執(zhí)行全流程代理。3）閉環(huán)安全原則。進行信任級別評估需要多方支持，如：訪問代理屬性、行為以及上下文等，并根據(jù)信任級別動態(tài)、要對訪問權(quán)限要實時調(diào)控，以保障網(wǎng)絡(luò)內(nèi)部可以形成一個閉環(huán)的安全系統(tǒng)。4）強有力的業(yè)務(wù)聚合原則。零信任體系架構(gòu)自身具備極高的安全屬性，在執(zhí)行安全防護時，要以實際業(yè)務(wù)場景與安全情況為依據(jù)，進行構(gòu)架設(shè)計。零信任架構(gòu)要具備靈活的環(huán)境適應性，因此，要根據(jù)實際需求進行拓展。5）多場景覆蓋原則?，F(xiàn)代IT環(huán)境有多種業(yè)務(wù)接入場景，包括數(shù)據(jù)中心服務(wù)互訪場景、接入終端以及用戶接入業(yè)務(wù)等。為了能夠保障零信任體系架構(gòu)功能性，必須要嚴格遵循多場景覆蓋原則，綜合對各種場景進行分析，以此保障系統(tǒng)的可伸縮性與擴展性。6）高連桿元件原則。零信任體系架構(gòu)的另一主要特性就是高度的連接性，每個組件之間要具備互調(diào)性，以此構(gòu)建一個完整的體系，以此緩解來自外部的各種威脅，形成一個安全閉環(huán)。在實際操作中，產(chǎn)品組件不能堆放，產(chǎn)品之間的連接是實現(xiàn)零信任效果的重要基礎(chǔ)。

2.3零信任身份安全架構(gòu)的技術(shù)實踐

究其本質(zhì)，零信任是建立在訪問主體、訪問對象之間的一個控制系統(tǒng)，并具有動態(tài)可信訪問功能，其核心能力可以概括為業(yè)務(wù)安全訪問、動態(tài)訪問、密鑰等各種功能，建立在各種數(shù)字身份的基礎(chǔ)上，網(wǎng)絡(luò)會對默認不可行的訪問請求進行認證、加密，對各種相關(guān)數(shù)據(jù)進行持續(xù)的信任評估，根據(jù)信任級別動態(tài)對訪問權(quán)限進行調(diào)整，最后，進行各種信息關(guān)系的建立。在零信任體系架構(gòu)中，訪問對象是受保護的核心資源，被保護的資源有很多種，如：操作功能、資產(chǎn)數(shù)據(jù)等。人、設(shè)備、應用程序等都可作為訪問主體，在一定的訪問權(quán)限內(nèi)，對相關(guān)實體進行綁定，從而實現(xiàn)定義與限定主題[5]。以身份為中心。本文所研究的安全構(gòu)架是將身份作為中心，具有動態(tài)方法與自動化控制功能，身份認證則是零信任安全架構(gòu)實現(xiàn)的前提條件。在已認證總體身份的前提下，網(wǎng)絡(luò)用戶、系統(tǒng)設(shè)備、程序應用以及其他業(yè)務(wù)構(gòu)建一個統(tǒng)一整體，同時，還具備數(shù)字化的身份識別功能，對導尿管太訪問機制與控制系統(tǒng)進行深入搭建，系統(tǒng)安全管理范圍可以延伸到整個身體實體之中。持續(xù)認證。零信任安全架構(gòu)無法一次性對身份有效性進行認證，即便使用較高強度的雙重身份認證也必須利用持續(xù)認證予以評估信任度。比如，不斷剖析和識別訪問用戶的操作行為才能完全實現(xiàn)動態(tài)化評估用戶信任度。動態(tài)訪問控制。以往的計算機網(wǎng)絡(luò)安全技術(shù)平臺使用的訪問控制機制為宏二進制邏輯，其核心依托靜態(tài)授權(quán)規(guī)則、黑白列表技術(shù)等，這些技術(shù)可實現(xiàn)一次性評估，本文所研究的安全平臺訪問機制則是一種持續(xù)評估的系統(tǒng)概念，使用微觀決策的邏輯，經(jīng)持續(xù)評估業(yè)務(wù)訪問主體的信任度和外部環(huán)境風險，是否授權(quán)是以動態(tài)化評估結(jié)果所決定的?？蛻糁黧w的信任度評估過程可依據(jù)認證方法和系統(tǒng)設(shè)備運行狀態(tài)、程序應用等多方面因素實現(xiàn)。值得一提的是，外部環(huán)境風險的評估一般涉及介入時間、源IP地址、源位置、接入頻率和系統(tǒng)設(shè)備相似度等時空因素。智能身份分析。本文研究的安全系統(tǒng)將持續(xù)認證、動態(tài)訪問作為核心，因此大大提升了管理開銷，更好地實現(xiàn)零信任身份安全體系登錄。系統(tǒng)還具備智能分析功能，能夠幫助人們實現(xiàn)適應性訪問控制，同時還能夠?qū)Ω鞣N策略違規(guī)進行分析、檢測，從而觸發(fā)引擎自動或者手動干預，進而實現(xiàn)系統(tǒng)內(nèi)部的閉環(huán)治理。智能身份分析有助于零信任安全架構(gòu)平臺能夠根據(jù)實際需求實現(xiàn)訪問與控制，且這項功能還能夠使用用戶的權(quán)限、扮演角色和使用策略予以分析，也可以對潛在策略違規(guī)行為予以檢測，同時也可以自動方式或手動方式觸發(fā)工作流，進而對閉環(huán)質(zhì)量進行調(diào)整和干預。本文研究的安全體系采用了灰度理論，在保證安全性和連續(xù)認證易用性的前提下，提高固化的一次性強認證的安全性，采用基于風險的動態(tài)授權(quán)和信任持久性措施取代基于二進制決策的靜態(tài)授權(quán)。使用開放和智能的身份治理來優(yōu)化封閉和剛性的身份管理。

3結(jié)束語

伴隨著計算機技術(shù)發(fā)展，基于傳統(tǒng)的維護計算機系統(tǒng)穩(wěn)定需求，保證計算機網(wǎng)絡(luò)安全成為必要性。傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)理念是基于邊界的安全架構(gòu)。當前，計算機網(wǎng)絡(luò)即便已經(jīng)逐步實現(xiàn)全網(wǎng)信息化，計算機用戶獲取網(wǎng)絡(luò)信息十分便捷。然而，計算機網(wǎng)絡(luò)是否安全一直都是大眾用戶所共同關(guān)心的問題。我們知道，用戶信息、系統(tǒng)漏洞和病毒入侵都可能危害計算機系統(tǒng)和網(wǎng)絡(luò)的安全，計算機用戶的網(wǎng)絡(luò)體驗受到了極大的影響。那么，基于計算機網(wǎng)絡(luò)安全我們不再完全依仗傳統(tǒng)的計算手段，應該建立網(wǎng)絡(luò)安全新范式。零信任安全架構(gòu)（ZTA）（ZTA）應運而生。本文通過剖析計算機網(wǎng)絡(luò)安全現(xiàn)在，并闡述網(wǎng)絡(luò)安全新范式建立的必要性，重點探討零信任安全架構(gòu)（ZTA）在計算機維護中的運用，以期為行業(yè)朋友提供借鑒。

參考文獻：

[1]劉斌.數(shù)據(jù)加密技術(shù)在計算機網(wǎng)絡(luò)通信安全中的應用初探[J].中國新通信,2018,20(7):28.

[2]劉馨澤.數(shù)據(jù)加密技術(shù)在計算機網(wǎng)絡(luò)安全中的應用價值[J].電子技術(shù)與軟件工程,2018(9):197.

[3]王秀波.零信任架構(gòu)網(wǎng)絡(luò)安全解決方案[J].智能建筑,2019(3):63-67.

[4]曾玲,劉星江.基于零信任的安全架構(gòu)[J].通信技術(shù),2020,53(7):1750-1754.

[5]何鈺龍.網(wǎng)絡(luò)安全技術(shù)在計算機維護中的應用研究[J].信息記錄材料,2020,21(3):109-111.

作者:王堅 單位:黑龍江省大慶市中國石油集團電能有限公司熱電一公司綜合維修部計算機站