网络安全技术在计算机维护中的运用

来源:期刊VIP网所属分类:免费文献发布时间:2021-08-26浏览:

  摘要:企业网络基础设施建设日趋综合化、复杂化,计算机网络安全边界日趋模糊。当前,数字化发展已呈时代发展和推动技术更新的必要阶段,诸多新兴技术如云平台、物联网(Internetof Things)、大数据和移动互联的技术成长也为各大企业提供了新鲜和活力。云平台和物联网(Internetof Things)为企业的经济数据提供了走出“边界”的可能,而大数据和移动互联又为企业外部服务与内部串联形成良好的协同联系。显然,当下的企业网络安全技术已然不再是单纯的和易于被识别的,它的“安全边界”逐步被瓦解,以往传统的网络技术和系统方案显然不再适用于当代企业网络基础。那么,在该文中将主要探讨建立网络安全新范式加强计算机维护。

  关键词:网络安全技术;网络安全新范式;零信任安全架构(ZTA);计算机维护

  1 计算机网络安全现状与网络安全新范式建立的必要性

  数字化时代经济创新的业务绝大多数始于云平台和大数据搭建,此类IT架构实现业务与数据集中化,而系统风险也随之集中化。我们知道,系统数据风险一直以来都是经济创新业务最被关注的问题之一。尤其是近些年来,诸多企业出现数据外泄的事件,不得不为计算机网络安全实现数字化转型的发展担忧[1] 。

  依据相关调查数据剖析,计算机数据外泄由企业内部人员导致是其主要原因之一。企业内部人员一般在特定范围内可以拥有一定合法的访问权限,如果存在凭证丢失或权限滥用的情况,企业网络数据外泄的可能性即极大的提升。另外,企业网络数据泄漏还有另外一个主要原因,那就是外部攻击,从相关数据分析来看,黑客攻击企业内网的手段不一定多先进,绝大部分黑客攻击仅仅是窃取凭证或“爆破”弱口令,以此破坏企业内网,或盗取企业数据访问权限。

  综合以上论述,导致企业网络数据外泄的原因主要有两方面。企业在网络方面的意识逐步提升,随之带来的是加大网络安全维护成本投入。但是,从近些年来的成效来看,加大网络安全维护成本投入并没有保障网络数据外泄事件的概率下降。究其原因,企业在进行基础构架搭建时有所疏忽,随着时代进步,IT技术架构也在不断优化,数字化技术的发展也在很大程度上推动了IT技术构架演变。显然,新型IT技术架构已经不能从传统架构理念出发,我们仅仅改变“基础”以上的结构而忽视了“基础”改造,那么这个“基础”就成了木桶拼板中“最短”的那一块[2]。

  传统网络安全维护是依存于边界的架构体系。它首先要求的是找到安全边界,然后将系统网络分为几个不同的区块,包括外网、DMZ 和内网。然后,边界部署防火墙、WAF、IPS 等网络安全维护产品,从而为企业网络构造防护墙。通过分析,传统网络安全维护架构体系显然已经默许了内网安全重要于外网安全,很大程度上已经预设了内网用户的信任。另外,云平台技术发展模糊了内网与外网之间的界限,也导致了物理安全边界难以识别。显然,企业根本不能实现依存于传统安全架构设施搭建,而仅能依托于更加更为先进且灵活的技术措施来识别或认证一直处于动态且变化的用户、设备及网络系统,零信任安全架构(ZTA)(ZTA)正是因此原理成为时代发展的必需,也是计算网络安全架构与维护系统安全与稳定并重的必然。

  2 零信任安全架构(ZTA)在计算机维护中的运用

  零信任安全是由福雷斯特公司的首席分析师约翰·约翰开创的。自2014年12月以来,谷歌已经发表了六篇beyond corp相关文章,全面概述了 beyond corp 的架构及其自 2011 年以来的执行情况。2017年,这个行业,包括思科、微软、亚马逊、cyx⁃tera等等。自2018年以来,我国中央部委、国家机关、大中型企业开始探索零信任身份安全框架的实践。零信任安全的本质是访问控制范式从传统的以网络为中心向以身份为中心的转变。零信任身份安全体系结构一般由三个子系统组成:设备与用户认证代理、可信访问网关和智能身份平台。例如,很久以前,我们可能不得不输入密码,随机数字验证码,短信验证码,还有安全密钥。现在,如果你的手机上安装了电子邮件App,你只需扫描二维码,这种认证既方便又高效。

  零信任身份安全体系结构以“身份”作为新的边界思想,将访问控制从边界转移到个人设备和用户。打破传统的边界保护思想,建立基于身份的信任机制,遵循对设备和用户进行身份认证然后访问业务的原则,然后自动信任任何内部或外部的人/设备/应用程序,对任何试图访问网络和业务应用程序的人/设备/应用程序进行身份认证之后再授权,并提供一种动态的细粒度访问控制策略,以满足最小特权原则。通过提供用户和企业之间的安全访问来保护政府数据的安全技术。

  2.1 零信任身份安全架构的技术方案

  零信任身份安全体系结构对传统的边界安全体系结构进行了重新评估和检验,提出了一种新的启示:网络始终处于各种威胁之中,包括内部外界,也包括外部威胁,并且信任评估不仅只通过网络位置进行,缺省情况下,网络内外的任何设备或系统都不能被信任。认证和授权应该作为访问控制信任基础,要将设备、用户多元数据作为依据,零信任能够扭转访问控制模式,推动了网络安全构架转变,即:“网络为中心”转变为“以身份为中心”,基于技术视角,零信任身份安全体系结构依托先进的身份管理技术,对人、设备、系统进行智能化、动态化智能访问控制[3]。

  零信任身份安全架构的技术方案,包括三个部分,即:业务访问主体、业务访问代理、智能身份安全平台,如上图1。

  业务请求发起人就是业务访问主体,请求包括诸多内容,如网络用户、系统设备和程序应用。传统的计算机网络安全应用机制通常是通过认证与授权分离作业,而零信任身份安全体系构架则将业务访问主体、业务访问代理和智能身份安全平台三部分视为一个整体,如此一来即可降低系统数据被窃取或外泄的风险。零信任身份安全架构的实操过程往往是将系统设备与企业用户进行绑定。

  访问数据平台的实际控制要点为业务访问代理,业务访问代理的关键在于对能够对实际执行者访问进行控制。一般来说,访问代理会将业务隐藏,只能够通过系统设备、企业用户进行验证,并且其访问主体的访问权限充足,业务访问数据通道必须进行加密,只有加密之后,才能够将资源开放,实现共享。

  零信任身份安全体系架构的控制平台就是智能身份平台,在这个平台上,访问主体与业务访问代理,能够进行信息交互,在具有一定安全保护的范围下进行信任评估与授权认证,并将平台安全配置的参数予以协商完成。当前,企业网络安全技术管理平台对零信任安全架构非常适用,可便捷实现用户身份认证、治理及动态化授权与分析等功能。

  2.2零信任身份安全架构的基本原则

  业务访问代理、业务访问代理和智能身份安全平台需要各种技术支持,包括架构组件、交互逻辑等,体系结构按照一定的结构原则,借由映射的安全能力,对零信任身份进行验证,以此满足IT环境的各种安全需求,具体如下:

  1)整体标识原则。所有访问对象都需要确认,包括人员,设备等等。不仅需要管理者的身份,还需要网络代理人,且网络代理人并不是孤立的个体。

  2)应用级控制原则。业务访问需求并非在网络层工作,而是在应用程序层,并且,网络层一般都是通过应用程序代理实现的。应用代理的全过程都需要加密,并且要执行全流程代理。

  3)闭环安全原则。进行信任级别评估需要多方支持,如:访问代理属性、行为以及上下文等,并根据信任级别动态、要对访问权限要实时调控,以保障网络内部可以形成一个闭环的安全系统。

  4)强有力的业务聚合原则。零信任体系架构自身具备极高的安全属性,在执行安全防护时,要以实际业务场景与安全情况为依据,进行构架设计。零信任架构要具备灵活的环境适应性,因此,要根据实际需求进行拓展。

  5)多场景覆盖原则。现代rT环境有多种业务接入场景,包括数据中心服务互访场景、接入终端以及用户接入业务等。为了能够保障零信任体系架构功能性,必须要严格遵循多场景覆盖原则,综合对各种场景进行分析,以此保障系统的可伸缩性与扩展性。

  6)高连杆元件原则。零信任体系架构的另一主要特性就是高度的连接性,每个组件之间要具备互调性,以此构建一个完整的体系,以此缓解来自外部的各种威胁,形成一个安全闭环。在实际操作中,产品组件不能堆放,产品之间的连接是实现零信任效果的重要基础。

  2.3零信任身份安全架构的技术实践究其本质,零信任是建立在访问主体、访问对象之间的一个控制系统,并具有动态可信访问功能,其核心能力可以概括为业务安全访问、动态访问、密钥等各种功能,建立在各种数字身份的基础上,网络会对默认不可行的访问请求进行认证、加密,对各种相关数据进行持续的信任评估,根据信任级别动态对访问权限进行调整,最后,进行各种信息关系的建立。在零信任体系架构中,访问对象是受保护的核心资源,被保护的资源有很多种,如:操作功能、资产数据等。人、设备、应用程序等都可作为访问主体,在一定的访问权限内,对相关实体进行绑定,从而实现定义与限定主题"

  以身份为中心。本文所研究的安全构架是将身份作为中心,具有动态方法与自动化控制功能,身份认证则是零信任安全架构实现的前提条件。在已认证总体身份的前提下,网络用户、系统设备、程序应用以及其他业务构建一个统一整体,同时,还具备数字化的身份识别功能,对导尿管太访问机制与控制系统进行深入搭建,系统安全管理范围可以延伸到整个身体实体之中。

  持续认证。零信任安全架构无法一次性对身份有效性进行认证,即便使用较高强度的双重身份认证也必须利用持续认证予以评估信任度。比如,不断剖析和识别访问用户的操作行为才能完全实现动态化评估用户信任度。

  动态访问控制。以往的计算机网络安全技术平台使用的访问控制机制为宏二进制逻辑,其核心依托静态授权规则、黑白列表技术等,这些技术可实现一次性评估,本文所研究的安全平台访问机制则是一种持续评估的系统概念,使用微观决策的逻辑,经持续评估业务访问主体的信任度和外部环境风险,是否授权是以动态化评估结果所决定的。客户主体的信任度评估过程可依据认证方法和系统设备运行状态、程序应用等多方面因素实现。值得一提的是,外部环境风险的评估一般涉及介入时间、源IP地址、源位置、接入频率和系统设备相似度等时空因素。

  智能身份分析。本文研究的安全系统将持续认证、动态访问作为核心,因此大大提升了管理开销,更好地实现零信任身份安全体系登录。系统还具备智能分析功能,能够帮助人们实现适应性访问控制,同时还能够对各种策略违规进行分析、检测,从而触发引擎自动或者手动干预,进而实现系统内部的闭环治理。

  智能身份分析有助于零信任安全架构平台能够根据实际需求实现访问与控制,且这项功能还能够使用用户的权限、扮演角色和使用策略予以分析,也可以对潜在策略违规行为予以检测,同时也可以自动方式或手动方式触发工作流,进而对闭环质量进行调整和干预。本文研究的安全体系采用了灰度理论,在保证安全性和连续认证易用性的前提下,提高固化的一次性强认证的安全性,采用基于风险的动态授权和信任持久性措施取代基于二进制决策的静态授权。使用开放和智能的身份治理来优化封闭和刚性的身份管理。

  3结束语

  伴随着计算机技术发展,基于传统的维护计算机系统稳定需求,保证计算机网络安全成为必要性。传统的网络安全架构理念是基于边界的安全架构。当前,计算机网络即便已经逐步实现全网信息化,计算机用户获取网络信息十分便捷。然而,计算机网络是否安全一直都是大众用户所共同关心的问题。我们知道,用户信息、系统漏洞和病毒入侵都可能危害计算机系统和网络的安全,计算机用户的网络体验受到了极大的影响。那么,基于计算机网络安全我们不再完全依仗传统的计算手段,应该建立网络安全新范式。零信任安全架构(ZTA)(ZTA)应运而生。本文通过剖析计算机网络安全现在,并阐述网络安全新范式建立的必要性,重点探讨零信任安全架构(ZTA)在计算机维护中的运用,以期为行业朋友提供借鉴。

  参考文献:

  [1]刘斌,数据加密技术在计算机网络通信安全中的应用初探[J.中国新i信,2018,20(7):28.

  [2]刘馨泽,数据加密技术在计算机网络安全中的应用价值[J电术5件1程,2018(9):197.

  [3]王秀波零信任架构网络安全解决方案J.智能建筑,2019(3)63-67.

  [4]曾玲,刘星江,基于零信任的安全架构J]通信技术,2020,53(7):1750-1754.

  [5]何钰龙,网络安全技术在计算机维护中的应用研究[J.信息记录材料,2020,21(3):109-111.

期刊VIP网,您身边的高端学术顾问

文章名称: 网络安全技术在计算机维护中的运用

文章地址: http://www.qikanvip.com/mianfeiwx/59221.html

国际期刊论文 SCI/SSCI选题匹配!

选择丰富服务快速通过率高一键快速领取私人专属发表方案!

* 填写需求信息,或选择平台现有SCI/SSCI选题(如下)。