BeyondCampus-护航高校网络安全

阅读量216677

发布时间 : 2023-02-21 10:50:38

随着云计算、大数据、物联网等新兴技术的发展与应用,高校业务不再局限于校园内部,越来越多的业务云化部署,在高校数字化转型过程中,办公方式也正在发生着悄然的变化,远程办公、移动办公的需求越来越多,BYOD的场景更是层出不穷,高校的网络架构正在由原来的“有边界”向“无边界”的方向演进,随之带来的就是雨后春笋般的网络安全问题。

根据Check Point Research(CPR)发布的有关 2022 年网络攻击趋势的新数据,与2021年相比,2022年全球网络攻击增加了38%,受攻击最严重的3个行业是教育/研究、政府和医疗保健,其中教育行业首当其冲,平均每周遭受 2314 次攻击,根据以上数据可见,高校已然成为网络攻击的“重灾区”。

智慧校园数字化转型面临的安全问题有哪些呢?

▲ 互联网暴露面大:部分高校存在部门自建业务,缺乏专业安全防护能力,本身系统安全性也就不高,且自建业务、采购应用均对外开放大量端口;部分僵尸服务器、僵尸系统、僵尸网站,针对此类废弃已久的服务器,缺乏统一的安全管理,持续对互联网开放端口,成为黑客的主要攻击入口;

▲ 安全意识参差不齐:高校用户群体大,很难做到人人学网安、处处都安全,许多师生缺乏网络安全意识,认为网络安全离自己很远,个人终端设备没有任何防护措施,应用系统使用弱口令,弱密码,易被攻击者破解,造成上传木马、信息泄露、信息篡改等安全问题;

▲ 权限管控不够细:老师、学生、运维人员的访问权限未能完全分开,越权访问频现;部分人员为了方便远程控制,长时间开启远程控制软件,为黑客的入侵提供了入口;

▲ 威胁流量难发现:部分高校缺乏专业的流量分析设备,内网挖矿、翻墙等威胁流量横行,直至事故发生还不浑然不知,网络中的恶意流量已然成为黑客入侵、病毒攻击的载体。

▲ 安全防护能力欠缺:目前部分高校网安建设仍停留在基于防火墙的边界安全,通过防火墙、WAF、IPS、IDS传统设备堆砌形成的内外网安全体系,黑客只需要通过某种手段绕过现有的边界安全体系,就可以在高校内部网络肆意妄为;同时面对病毒的日新月异,传统基于特征库的安全防护体系,已不再能够防范0day/Nday漏洞带来的安全问题。

BeyondCampus -让校园、更安全

许多高校认为想要实现BeyondCampus,只要通过限制用户的接入和身份就可以了。后来经过不断在网络安全建设中的实践证明,想要构建更加完善、健壮的高校零信任网络,并不是单纯的限制接入或者管理身份就能够实现的,而是必须通过多套安全产品的组合来实现。

▲ 零信任SDP:打破传统非黑即白的信任理念,基于身份认证和授权重新构建访问控制的信任基础,网络的可信与不可信不再依赖于网络的位置,所有的设备、用户、流量都需要经过认证授权,特有的加密及NGSPA技术,实现访问流量加密,应用隐藏、网络隐身能力,基于零信任,安全策略转变为“动态访问控制、持续信任评估”,核心目标是通过SDP的三角形架构隐藏网络资产,使其不会暴露在互联网中,达到保护高校网络基础设施的目的。

▲ IAM:集用户账号管理、身份认证、权限管控为一体。通过对高校现有系统的归纳和梳理,制定完善的组织架构和规范的用户数据,根据高校师生从入校到离校的全过程,建立用户账号的增、改、删机制,有效避免了僵尸账号带来的安全风险,确保用户账号使用和管理的安全性,同时集成系统的单点登录和MFA,对现有系统提供统一的认证授权管理能力,结合账号、密码、短信、邮箱、微信、生物指纹等认证方式,有效避免因身份问题带来的安全风险。

▲ 统一资源管理:从资源发布、访问控制、统计分析、告警运维、资源管理等维度,保护业务安全稳定运行,实现业务快捷发布、管理和安全访问,对高校需要开放外网访问的业务,做到谁需要、谁申请、且留痕的业务发布全生命周期管理,有效避免了僵尸服务器、僵尸网站、僵尸系统长期暴露互联网带来的安全风险,同时实现高校在IPv6、HTTPS加密传输方面的合规改造;

▲ 安全DNS:域名解析作为用户访问应用的第一环,安全DNS在传统DNS服务的基础之上提供一系列安全服务能力。集安全解析、威胁检测和防御、上网行为管理等功能于一体,通过对接威胁情报中心,为用户每次访问的网站进行分类,通过访问域名判断用户网络环境、访问的目标网站是否存在安全威胁,并能够及时阻止当前访问,防止安全事件的发生。

▲ 内网威胁流量分析:在高校实现零信任的网络过程中,流量的安全也是重要的一环,目前高校内网的挖矿、翻墙等威胁流量横行,采用专业的流量分析设备,通过对校园网络关键节点的流量采集、提取与分析技术,检测识别出网络中的外部入侵、挖矿、翻墙等存在威胁的流量,同时联动现有的安全设备实现快速阻断访问,还校园网络流量一片净土。

写在最后

基于EDR的终端安全,基于安全沙箱的数据安全,都是未来高校零信任网络建设的一个方向。总而言之,网络安全的建设不是一蹴而就的,以上的零信任网络建设是过程,但绝不是终点,高校网络安全建设任重而道远。基于零信任安全理念,找到一条属于自己的网安之路,是每个高校都需要面临的选择。

本文由易安联零信任原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/286521

安全客 - 有思想的安全新媒体

分享到:微信
+16赞
收藏
易安联零信任
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66