(計算機維護(hù)論文)網(wǎng)絡(luò)安全在計算機維護(hù)中運用

【計算機維護(hù)論文】網(wǎng)絡(luò)安全在計算機維護(hù)中運用內(nèi)容摘要：企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)日趨綜合化、復(fù)雜化，計算機網(wǎng)絡(luò)安全邊界日趨模糊。當(dāng)下，數(shù)字化發(fā)展已呈時展和推動技術(shù)更新的必要階段，眾多新興技術(shù)如云平臺、物聯(lián)網(wǎng)〔InternetofThings〕、大數(shù)據(jù)和移動互聯(lián)的技術(shù)成長也為各大企業(yè)提供了新鮮和活力。云平臺和物聯(lián)網(wǎng)〔InternetofThings〕為企業(yè)的經(jīng)濟(jì)數(shù)據(jù)提供了走出“邊界〞的可能，而大數(shù)據(jù)和移動互聯(lián)又為企業(yè)外部服務(wù)與內(nèi)部串聯(lián)形成良好的協(xié)同聯(lián)系。顯然，當(dāng)下的企業(yè)網(wǎng)絡(luò)安全技術(shù)已然不再是單純的和易于被識別的，它的“安全邊界〞逐步被瓦解，以往傳統(tǒng)的網(wǎng)絡(luò)技術(shù)和系統(tǒng)方案顯然不再適用于現(xiàn)代企業(yè)網(wǎng)絡(luò)基礎(chǔ)。那么，在該文中將主要探討建立網(wǎng)絡(luò)安全新范式加強計算機維護(hù)。本文關(guān)鍵詞語：網(wǎng)絡(luò)安全技術(shù)；網(wǎng)絡(luò)安全新范式；零信任安全架構(gòu)〔ZTA〕；計算機維護(hù)1計算機網(wǎng)絡(luò)安全現(xiàn)在狀況與網(wǎng)絡(luò)安全新范式建立的必要性數(shù)字化時代經(jīng)濟(jì)創(chuàng)新的業(yè)務(wù)絕大多數(shù)始于云平臺和大數(shù)據(jù)搭建，此類IT架構(gòu)實現(xiàn)業(yè)務(wù)與數(shù)據(jù)集中化，而系統(tǒng)風(fēng)險也隨之集中化。我們知道，系統(tǒng)數(shù)據(jù)風(fēng)險一直以來都是經(jīng)濟(jì)創(chuàng)新業(yè)務(wù)最被關(guān)注的問題之一。尤其是近些年來，眾多企業(yè)出現(xiàn)數(shù)據(jù)外泄的事件，不得不為計算機網(wǎng)絡(luò)安全實現(xiàn)數(shù)字化轉(zhuǎn)型的發(fā)展擔(dān)憂[1]。依據(jù)相關(guān)調(diào)查數(shù)據(jù)剖析，計算機數(shù)據(jù)外泄由企業(yè)內(nèi)部人員導(dǎo)致是其主要原因之一。企業(yè)內(nèi)部人員一般在特定范圍內(nèi)可以擁有一定合法的訪問權(quán)限，如果存在憑證丟失或權(quán)限濫用的情況，企業(yè)網(wǎng)絡(luò)數(shù)據(jù)外泄的可能性即極大的提升。另外，企業(yè)網(wǎng)絡(luò)數(shù)據(jù)泄漏還有另外一個主要原因，那就是外部攻擊，從相關(guān)數(shù)據(jù)分析來看，黑客攻擊企業(yè)內(nèi)網(wǎng)的手段不一定多先進(jìn)，絕大部分黑客攻擊僅僅僅是竊取憑證或“爆破〞弱口令，以此破壞企業(yè)內(nèi)網(wǎng)，或盜取企業(yè)數(shù)據(jù)訪問權(quán)限。綜合以上論述，導(dǎo)致企業(yè)網(wǎng)絡(luò)數(shù)據(jù)外泄的原因主要有兩方面。企業(yè)在網(wǎng)絡(luò)方面的意識逐步提升，隨之帶來的是加大網(wǎng)絡(luò)安全維護(hù)成本投入。但是，從近些年來的成效來看，加大網(wǎng)絡(luò)安全維護(hù)成本投入并沒有保障網(wǎng)絡(luò)數(shù)據(jù)外泄事件的概率下降。究其原因，企業(yè)在進(jìn)行基礎(chǔ)構(gòu)架搭建時有所疏忽，隨著時代進(jìn)步，IT技術(shù)架構(gòu)也在不斷優(yōu)化，數(shù)字化技術(shù)的發(fā)展也在很大程度上推動了IT技術(shù)構(gòu)架演變。顯然，新型IT技術(shù)架構(gòu)已經(jīng)不能從傳統(tǒng)架構(gòu)理念出發(fā)，我們僅僅改變“基礎(chǔ)〞以上的結(jié)構(gòu)而忽視了“基礎(chǔ)〞改造，那么這個“基礎(chǔ)〞就成了木桶拼板中“最短〞的那一塊[2]。傳統(tǒng)網(wǎng)絡(luò)安全維護(hù)是依存于邊界的架構(gòu)體系。它首先要求的是找到安全邊界，然后將系統(tǒng)網(wǎng)絡(luò)分為幾個不同的區(qū)塊，包括外網(wǎng)、DMZ和內(nèi)網(wǎng)。然后，邊界部署防火墻、WAF、IPS等網(wǎng)絡(luò)安全維護(hù)產(chǎn)品，從而為企業(yè)網(wǎng)絡(luò)構(gòu)造防護(hù)墻。通過分析，傳統(tǒng)網(wǎng)絡(luò)安全維護(hù)架構(gòu)體系顯然已經(jīng)默許了內(nèi)網(wǎng)安全重要于外網(wǎng)安全，很大程度上已經(jīng)預(yù)設(shè)了內(nèi)網(wǎng)用戶的信任。另外，云平臺技術(shù)發(fā)展模糊了內(nèi)網(wǎng)與外網(wǎng)之間的界限，也導(dǎo)致了物理安全邊界難以識別。顯然，企業(yè)根本不能實現(xiàn)依存于傳統(tǒng)安全架構(gòu)設(shè)施搭建，而僅能依托于更加更為先進(jìn)且靈活的技術(shù)措施來識別或認(rèn)證一直處于動態(tài)且變化的用戶、設(shè)備及網(wǎng)絡(luò)系統(tǒng)，零信任安全架構(gòu)〔ZTA〕〔ZTA〕正是因此原理成為時展的必需，也是計算網(wǎng)絡(luò)安全架構(gòu)與維護(hù)系統(tǒng)安全與穩(wěn)定并重的必然。2零信任安全架構(gòu)〔ZTA〕在計算機維護(hù)中的運用零信任安全是由福雷斯特公司的首席分析師約翰·約翰開創(chuàng)的。自2014年12月以來，谷歌已經(jīng)發(fā)表了六篇beyondcorp相關(guān)文章，全面概述了beyondcorp的架構(gòu)及其自2011年以來的執(zhí)行情況。2017年，這個行業(yè)，包括思科、微軟、亞馬遜、cyxtera等等。自2018年以來，我們國家部委、國家機關(guān)、大中型企業(yè)開始探尋求索零信任身份安全框架的實踐。零信任安全的本質(zhì)是訪問控制范式從傳統(tǒng)的以網(wǎng)絡(luò)為中心向以身份為中心的轉(zhuǎn)變。零信任身份安全體系結(jié)構(gòu)一般由三個子系統(tǒng)組成：設(shè)備與用戶認(rèn)證、可信訪問網(wǎng)關(guān)和智能身份平臺。例如，很久以前，我們可能不得不輸入密碼，隨機數(shù)字驗證碼，短信驗證碼，還有安全密鑰?，F(xiàn)在，如果你的手機上安裝了電子郵件App，你只需掃描二維碼，這種認(rèn)證既方便又高效。零信任身份安全體系結(jié)構(gòu)以“身份〞作為新的邊界思想，將訪問控制從邊界轉(zhuǎn)移到個人設(shè)備和用戶。打破傳統(tǒng)的邊界保護(hù)思想，建立基于身份的信任機制，遵循對設(shè)備和用戶進(jìn)行身份認(rèn)證然后訪問業(yè)務(wù)的原則，然后自動信任任何內(nèi)部或外部的人/設(shè)備/應(yīng)用程序，對任何試圖訪問網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用程序的人/設(shè)備/應(yīng)用程序進(jìn)行身份認(rèn)證之后再授權(quán)，并提供一種動態(tài)的細(xì)粒度訪問控制策略，以知足最小特權(quán)原則。通過提供用戶和企業(yè)之間的安全訪問來保護(hù)政府?dāng)?shù)據(jù)的安全技術(shù)。2.1零信任身份安全架構(gòu)的技術(shù)方案零信任身份安全體系結(jié)構(gòu)對傳統(tǒng)的邊界安全體系結(jié)構(gòu)進(jìn)行了重新評估和檢驗，提出了一種新的啟示：網(wǎng)絡(luò)始終處于各種威脅之中，包括內(nèi)部外界，也包括外部威脅，并且信任評估不僅只通過網(wǎng)絡(luò)位置進(jìn)行，缺省情況下，網(wǎng)絡(luò)內(nèi)外的任何設(shè)備或系統(tǒng)都不能被信任。認(rèn)證和授權(quán)應(yīng)該作為訪問控制信任基礎(chǔ)，要將設(shè)備、用戶多元數(shù)據(jù)作為依據(jù)，零信任能夠扭轉(zhuǎn)訪問控制模式，推動了網(wǎng)絡(luò)安全構(gòu)架轉(zhuǎn)變，即：“網(wǎng)絡(luò)為中心〞轉(zhuǎn)變?yōu)椤耙陨矸轂橹行抹暎诩夹g(shù)視角，零信任身份安全體系結(jié)構(gòu)依托先進(jìn)的身份管理技術(shù)，對人、設(shè)備、系統(tǒng)進(jìn)行智能化、動態(tài)化智能訪問控制[3]。零信任身份安全架構(gòu)的技術(shù)方案，包括三個部分，即：業(yè)務(wù)訪問主體、業(yè)務(wù)訪問、智能身份安全平臺，如上圖1。業(yè)務(wù)請求發(fā)起人就是業(yè)務(wù)訪問主體，請求包括眾多內(nèi)容，如網(wǎng)絡(luò)用戶、系統(tǒng)設(shè)備和程序應(yīng)用。傳統(tǒng)的計算機網(wǎng)絡(luò)安全應(yīng)用機制通常是通過認(rèn)證與授權(quán)分離作業(yè)，而零信任身份安全體系構(gòu)架則將業(yè)務(wù)訪問主體、業(yè)務(wù)訪問和智能身份安全平臺三部分視為一個整體，如此一來即可降低系統(tǒng)數(shù)據(jù)被竊取或外泄的風(fēng)險。零信任身份安全架構(gòu)的實操過程往往是將系統(tǒng)設(shè)備與企業(yè)用戶進(jìn)行綁定。訪問數(shù)據(jù)平臺的實際控制重點為業(yè)務(wù)訪問，業(yè)務(wù)訪問的關(guān)鍵在于對能夠?qū)嶋H執(zhí)行者訪問進(jìn)行控制。一般來說，訪問會將業(yè)務(wù)隱藏，只能夠通過系統(tǒng)設(shè)備、企業(yè)用戶進(jìn)行驗證，并且其訪問主體的訪問權(quán)限充足，業(yè)務(wù)訪問數(shù)據(jù)通道必須進(jìn)行加密，只有加密之后，才能夠?qū)①Y源開放，實現(xiàn)共享。零信任身份安全體系架構(gòu)的控制平臺就是智能身份平臺，在這個平臺上，訪問主體與業(yè)務(wù)訪問，能夠進(jìn)行信息交互，在具有一定安全保護(hù)的范圍下進(jìn)行信任評估與授權(quán)認(rèn)證，并將平臺安全配置的參數(shù)予以協(xié)商完成。當(dāng)下，企業(yè)網(wǎng)絡(luò)安全技術(shù)管理平臺對零信任安全架構(gòu)非常適用，可便捷實現(xiàn)用戶身份認(rèn)證、治理及動態(tài)化授權(quán)與分析等功能[4]。2.2零信任身份安全架構(gòu)的基本原則業(yè)務(wù)訪問、業(yè)務(wù)訪問和智能身份安全平臺需要各種技術(shù)支持，包括架構(gòu)組件、交互邏輯等，體系結(jié)構(gòu)按照一定的結(jié)構(gòu)原則，借由映射的安全能力，對零信任身份進(jìn)行驗證，以此知足IT環(huán)境的各種安全需求，具體如下：1〕整體標(biāo)識原則。所有訪問對象都需要確認(rèn)，包括人員，設(shè)備等等。不僅需要管理者的身份，還需要網(wǎng)絡(luò)人，且網(wǎng)絡(luò)人并不是孤立的個體。2〕應(yīng)用級控制原則。業(yè)務(wù)訪問需求并非在網(wǎng)絡(luò)層工作，而是在應(yīng)用程序?qū)?，并且，網(wǎng)絡(luò)層一般都是通過應(yīng)用程序?qū)崿F(xiàn)的。應(yīng)用的全過程都需要加密，并且要執(zhí)行全流程。3〕閉環(huán)安全原則。進(jìn)行信任級別評估需要多方支持，如：訪問屬性、行為以及上下文等，并根據(jù)信任級別動態(tài)、要對訪問權(quán)限要實時調(diào)控，以保障網(wǎng)絡(luò)內(nèi)部可以形成一個閉環(huán)的安全系統(tǒng)。4〕強有力的業(yè)務(wù)聚合原則。零信任體系架構(gòu)自身具備極高的安全屬性，在執(zhí)行安全防護(hù)時，要以實際業(yè)務(wù)場景與安全情況為依據(jù)，進(jìn)行構(gòu)架設(shè)計。零信任架構(gòu)要具備靈活的環(huán)境適應(yīng)性，因此，要根據(jù)實際需求進(jìn)行拓展。5〕多場景覆蓋原則?，F(xiàn)代IT環(huán)境有多種業(yè)務(wù)接入場景，包括數(shù)據(jù)中心服務(wù)互訪場景、接入終端以及用戶接入業(yè)務(wù)等。為了能夠保障零信任體系架構(gòu)功能性，必須要嚴(yán)格遵循多場景覆蓋原則，綜合對各種場景進(jìn)行分析，以此保障系統(tǒng)的可伸縮性與擴展性。6〕高連桿元件原則。零信任體系架構(gòu)的另一主要特性就是高度的連接性，每個組件之間要具備互調(diào)性，以此構(gòu)建一個完整的體系，以此緩解來自外部的各種威脅，形成一個安全閉環(huán)。在實際操作中，產(chǎn)品組件不能堆放，產(chǎn)品之間的連接是實現(xiàn)零信任效果的重要基礎(chǔ)。2.3零信任身份安全架構(gòu)的技術(shù)實踐究其本質(zhì)，零信任是建立在訪問主體、訪問對象之間的一個控制系統(tǒng)，并具有動態(tài)可信訪問功能，其核心能力可以概括為業(yè)務(wù)安全訪問、動態(tài)訪問、密鑰等各種功能，建立在各種數(shù)字身份的基礎(chǔ)上，網(wǎng)絡(luò)會對默認(rèn)不可行的訪問請求進(jìn)行認(rèn)證、加密，對各種相關(guān)數(shù)據(jù)進(jìn)行持續(xù)的信任評估，根據(jù)信任級別動態(tài)對訪問權(quán)限進(jìn)行調(diào)整，最后，進(jìn)行各種信息關(guān)系的建立。在零信任體系架構(gòu)中，訪問對象是受保護(hù)的核心資源，被保護(hù)的資源有很多種，如：操作功能、資產(chǎn)數(shù)據(jù)等。人、設(shè)備、應(yīng)用程序等都可作為訪問主體，在一定的訪問權(quán)限內(nèi)，對相關(guān)實體進(jìn)行綁定，從而實現(xiàn)定義與限定主題[5]。以身份為中心。本文所研究的安全構(gòu)架是將身份作為中心，具有動態(tài)方法與自動化控制功能，身份認(rèn)證則是零信任安全架構(gòu)實現(xiàn)的前提條件。在已認(rèn)證總體身份的前提下，網(wǎng)絡(luò)用戶、系統(tǒng)設(shè)備、程序應(yīng)用以及其他業(yè)務(wù)構(gòu)建一個統(tǒng)一整體，同時，還具備數(shù)字化的身份識別功能，對導(dǎo)尿管太訪問機制與控制系統(tǒng)進(jìn)行深切進(jìn)入搭建，系統(tǒng)安全管理范圍可以延伸到整個身體實體之中。持續(xù)認(rèn)證。零信任安全架構(gòu)無法一次性對身份有效性進(jìn)行認(rèn)證，即便使用較高強度的雙重身份認(rèn)證也必須利用持續(xù)認(rèn)證予以評估信任度。比如，不斷剖析和識別訪問用戶的操作行為才能完全實現(xiàn)動態(tài)化評估用戶信任度。動態(tài)訪問控制。以往的計算機網(wǎng)絡(luò)安全技術(shù)平臺使用的訪問控制機制為宏二進(jìn)制邏輯，其核心依托靜態(tài)授權(quán)規(guī)則、黑白列表技術(shù)等，這些技術(shù)可實現(xiàn)一次性評估，本文所研究的安全平臺訪問機制則是一種持續(xù)評估的系統(tǒng)概念，使用微觀決策的邏輯，經(jīng)持續(xù)評估業(yè)務(wù)訪問主體的信任度和外部環(huán)境風(fēng)險，是否授權(quán)是以動態(tài)化評估結(jié)果所決定的?？蛻糁黧w的信任度評估過程可依據(jù)認(rèn)證方法和系統(tǒng)設(shè)備運行狀態(tài)、程序應(yīng)用等多方面因素實現(xiàn)。值得一提的是，外部環(huán)境風(fēng)險的評估一般牽涉介入時間、源IP地址、源位置、接入頻率和系統(tǒng)設(shè)備相似度等時空因素。智能身份分析。本文研究的安全系統(tǒng)將持續(xù)認(rèn)證、動態(tài)訪問作為核心，因此大大提升了管理開銷，更好地實現(xiàn)零信任身份安全體系登錄。系統(tǒng)還具備智能分析功能，能夠幫助人們實現(xiàn)適應(yīng)性訪問控制，同時還能夠?qū)Ω鞣N策略違規(guī)進(jìn)行分析、檢測，從而觸發(fā)引擎自動或者手動干預(yù)，進(jìn)而實現(xiàn)系統(tǒng)內(nèi)部的閉環(huán)治理。智能身份分析有助于零信任安全架構(gòu)平臺能夠根據(jù)實際需求實現(xiàn)訪問與控制，且這項功能還能夠使用用戶的權(quán)限、扮演角色和使用策略予以分析，也可以對潛在策略違規(guī)行為予以檢測，同時也可以自動方式或手動方式觸發(fā)工作流，進(jìn)而對閉環(huán)質(zhì)量進(jìn)行調(diào)整和干預(yù)。本文研究的安全體系采用了灰度理論，在保證安全性和連續(xù)認(rèn)證易用性的前提下，提高固化的一次性強認(rèn)證的安全性，采用基于風(fēng)險的動態(tài)授權(quán)和信任持久性措施取代基于二進(jìn)制決策的靜態(tài)授權(quán)。使用開放和智能的身份治理來優(yōu)化封閉和剛性的身份管理。3結(jié)束語伴隨著計算機技術(shù)發(fā)展，基于傳統(tǒng)的維護(hù)計算機系統(tǒng)穩(wěn)定需求，保證計算機網(wǎng)絡(luò)安全成為必要性。傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)理念是基于邊界的安全架構(gòu)。當(dāng)下，計算機網(wǎng)絡(luò)即便已經(jīng)逐步實現(xiàn)全網(wǎng)信息化，計算機用戶獲取網(wǎng)絡(luò)信息特別便捷。然而，計算機網(wǎng)絡(luò)是否安全一直都是群眾用戶所共同關(guān)心的問題。我們知道，用戶信息、系統(tǒng)漏洞和病毒入侵都可能危害計算機系統(tǒng)和網(wǎng)絡(luò)的安全，計算機用戶的網(wǎng)絡(luò)體驗受到了極大的影響。那么，基于計算機網(wǎng)絡(luò)安全我們不再完全依仗傳統(tǒng)的計算手段，應(yīng)該建立網(wǎng)絡(luò)安全新范式。零信任安全架構(gòu)〔ZTA〕〔ZTA〕應(yīng)運而生。本文通過剖析計算機網(wǎng)絡(luò)安全現(xiàn)在，并闡述網(wǎng)絡(luò)安全新范式建立的必要性，重點探討零信任安全架構(gòu)〔ZTA〕在計算機維護(hù)中的運用，以期為行業(yè)朋友提供借鑒。以下為參考文獻(xiàn)：[1]劉斌.數(shù)據(jù)加密技