写点什么

BeyondCampus- 护航高校网络安全

作者:权说安全
  • 2023-02-20
    江苏
  • 本文字数:2075 字

    阅读完需:约 7 分钟

BeyondCampus-护航高校网络安全

随着云计算、大数据、物联网等新兴技术的发展与应用,高校业务不再局限于校园内部,越来越多的业务云化部署,在高校数字化转型过程中,办公方式也正在发生着悄然的变化,远程办公、移动办公的需求越来越多,BYOD 的场景更是层出不穷,高校的网络架构正在由原来的“有边界”向“无边界”的方向演进,随之带来的就是雨后春笋般的网络安全问题。

根据 Check Point Research(CPR)发布的有关 2022 年网络攻击趋势的新数据,与 2021 年相比,2022 年全球网络攻击增加了 38%,受攻击最严重的 3 个行业是教育/研究、政府和医疗保健,其中教育行业首当其冲,平均每周遭受 2314 次攻击,根据以上数据可见,高校已然成为网络攻击的“重灾区”。



智慧校园数字化转型面临的安全问题有哪些呢?

▲ 互联网暴露面大:部分高校存在部门自建业务,缺乏专业安全防护能力,本身系统安全性也就不高,且自建业务、采购应用均对外开放大量端口;部分僵尸服务器、僵尸系统、僵尸网站,针对此类废弃已久的服务器,缺乏统一的安全管理,持续对互联网开放端口,成为黑客的主要攻击入口;

▲ 安全意识参差不齐:高校用户群体大,很难做到人人学网安、处处都安全,许多师生缺乏网络安全意识,认为网络安全离自己很远,个人终端设备没有任何防护措施,应用系统使用弱口令,弱密码,易被攻击者破解,造成上传木马、信息泄露、信息篡改等安全问题;

▲ 权限管控不够细:老师、学生、运维人员的访问权限未能完全分开,越权访问频现;部分人员为了方便远程控制,长时间开启远程控制软件,为黑客的入侵提供了入口;

▲ 威胁流量难发现:部分高校缺乏专业的流量分析设备,内网挖矿、翻墙等威胁流量横行,直至事故发生还不浑然不知,网络中的恶意流量已然成为黑客入侵、病毒攻击的载体。

▲ 安全防护能力欠缺:目前部分高校网安建设仍停留在基于防火墙的边界安全,通过防火墙、WAF、IPS、IDS 传统设备堆砌形成的内外网安全体系,黑客只需要通过某种手段绕过现有的边界安全体系,就可以在高校内部网络肆意妄为;同时面对病毒的日新月异,传统基于特征库的安全防护体系,已不再能够防范 0day/Nday 漏洞带来的安全问题。



BeyondCampus -让校园、更安全

许多高校认为想要实现 BeyondCampus,只要通过限制用户的接入和身份就可以了。后来经过不断在网络安全建设中的实践证明,想要构建更加完善、健壮的高校零信任网络,并不是单纯的限制接入或者管理身份就能够实现的,而是必须通过多套安全产品的组合来实现。

▲ 零信任 SDP:打破传统非黑即白的信任理念,基于身份认证和授权重新构建访问控制的信任基础,网络的可信与不可信不再依赖于网络的位置,所有的设备、用户、流量都需要经过认证授权,特有的加密及 NGSPA 技术,实现访问流量加密,应用隐藏、网络隐身能力,基于零信任,安全策略转变为“动态访问控制、持续信任评估”,核心目标是通过 SDP 的三角形架构隐藏网络资产,使其不会暴露在互联网中,达到保护高校网络基础设施的目的。

▲ IAM:集用户账号管理、身份认证、权限管控为一体。通过对高校现有系统的归纳和梳理,制定完善的组织架构和规范的用户数据,根据高校师生从入校到离校的全过程,建立用户账号的增、改、删机制,有效避免了僵尸账号带来的安全风险,确保用户账号使用和管理的安全性,同时集成系统的单点登录和 MFA,对现有系统提供统一的认证授权管理能力,结合账号、密码、短信、邮箱、微信、生物指纹等认证方式,有效避免因身份问题带来的安全风险。

▲ 统一资源管理:从资源发布、访问控制、统计分析、告警运维、资源管理等维度,保护业务安全稳定运行,实现业务快捷发布、管理和安全访问,对高校需要开放外网访问的业务,做到谁需要、谁申请、且留痕的业务发布全生命周期管理,有效避免了僵尸服务器、僵尸网站、僵尸系统长期暴露互联网带来的安全风险,同时实现高校在 IPv6、HTTPS 加密传输方面的合规改造;

▲ 安全 DNS:域名解析作为用户访问应用的第一环,安全 DNS 在传统 DNS 服务的基础之上提供一系列安全服务能力。集安全解析、威胁检测和防御、上网行为管理等功能于一体,通过对接威胁情报中心,为用户每次访问的网站进行分类,通过访问域名判断用户网络环境、访问的目标网站是否存在安全威胁,并能够及时阻止当前访问,防止安全事件的发生。

▲ 内网威胁流量分析:在高校实现零信任的网络过程中,流量的安全也是重要的一环,目前高校内网的挖矿、翻墙等威胁流量横行,采用专业的流量分析设备,通过对校园网络关键节点的流量采集、提取与分析技术,检测识别出网络中的外部入侵、挖矿、翻墙等存在威胁的流量,同时联动现有的安全设备实现快速阻断访问,还校园网络流量一片净土。


写在最后

基于 EDR 的终端安全,基于安全沙箱的数据安全,都是未来高校零信任网络建设的一个方向。总而言之,网络安全的建设不是一蹴而就的,以上的零信任网络建设是过程,但绝不是终点,高校网络安全建设任重而道远。基于零信任安全理念,找到一条属于自己的网安之路,是每个高校都需要面临的选择。


THE AUTHORS

本文作者

本文由易安联

猛禽实验室写作

专注网安行业发展方向

解读热门产品技术趋势

欢迎技术大咖学习交流

关注我【权说安全】

用户头像

权说安全

关注

专注零信任、网络安全 2022-04-28 加入

公众号【江苏易安联】【易安联安全云】

评论

发布
暂无评论
BeyondCampus-护航高校网络安全_网络安全_权说安全_InfoQ写作社区