BeyondCampus- 护航高校网络安全

随着云计算、大数据、物联网等新兴技术的发展与应用，高校业务不再局限于校园内部，越来越多的业务云化部署，在高校数字化转型过程中，办公方式也正在发生着悄然的变化，远程办公、移动办公的需求越来越多，BYOD 的场景更是层出不穷，高校的网络架构正在由原来的“有边界”向“无边界”的方向演进，随之带来的就是雨后春笋般的网络安全问题。

根据 Check Point Research(CPR)发布的有关 2022 年网络攻击趋势的新数据，与 2021 年相比，2022 年全球网络攻击增加了 38%，受攻击最严重的 3 个行业是教育/研究、政府和医疗保健，其中教育行业首当其冲，平均每周遭受 2314 次攻击，根据以上数据可见，高校已然成为网络攻击的“重灾区”。

智慧校园数字化转型面临的安全问题有哪些呢？

▲ 互联网暴露面大：部分高校存在部门自建业务，缺乏专业安全防护能力，本身系统安全性也就不高，且自建业务、采购应用均对外开放大量端口；部分僵尸服务器、僵尸系统、僵尸网站，针对此类废弃已久的服务器，缺乏统一的安全管理，持续对互联网开放端口，成为黑客的主要攻击入口；

▲ 安全意识参差不齐：高校用户群体大，很难做到人人学网安、处处都安全，许多师生缺乏网络安全意识，认为网络安全离自己很远，个人终端设备没有任何防护措施，应用系统使用弱口令，弱密码，易被攻击者破解，造成上传木马、信息泄露、信息篡改等安全问题；

▲ 权限管控不够细：老师、学生、运维人员的访问权限未能完全分开，越权访问频现；部分人员为了方便远程控制，长时间开启远程控制软件，为黑客的入侵提供了入口；

▲ 威胁流量难发现：部分高校缺乏专业的流量分析设备，内网挖矿、翻墙等威胁流量横行，直至事故发生还不浑然不知，网络中的恶意流量已然成为黑客入侵、病毒攻击的载体。

▲ 安全防护能力欠缺：目前部分高校网安建设仍停留在基于防火墙的边界安全，通过防火墙、WAF、IPS、IDS 传统设备堆砌形成的内外网安全体系，黑客只需要通过某种手段绕过现有的边界安全体系，就可以在高校内部网络肆意妄为；同时面对病毒的日新月异，传统基于特征库的安全防护体系，已不再能够防范 0day/Nday 漏洞带来的安全问题。

BeyondCampus -让校园、更安全

许多高校认为想要实现 BeyondCampus，只要通过限制用户的接入和身份就可以了。后来经过不断在网络安全建设中的实践证明，想要构建更加完善、健壮的高校零信任网络，并不是单纯的限制接入或者管理身份就能够实现的，而是必须通过多套安全产品的组合来实现。

▲ 零信任 SDP：打破传统非黑即白的信任理念，基于身份认证和授权重新构建访问控制的信任基础，网络的可信与不可信不再依赖于网络的位置，所有的设备、用户、流量都需要经过认证授权，特有的加密及 NGSPA 技术，实现访问流量加密，应用隐藏、网络隐身能力，基于零信任，安全策略转变为“动态访问控制、持续信任评估”，核心目标是通过 SDP 的三角形架构隐藏网络资产，使其不会暴露在互联网中，达到保护高校网络基础设施的目的。

▲ IAM：集用户账号管理、身份认证、权限管控为一体。通过对高校现有系统的归纳和梳理，制定完善的组织架构和规范的用户数据，根据高校师生从入校到离校的全过程，建立用户账号的增、改、删机制，有效避免了僵尸账号带来的安全风险，确保用户账号使用和管理的安全性，同时集成系统的单点登录和 MFA，对现有系统提供统一的认证授权管理能力，结合账号、密码、短信、邮箱、微信、生物指纹等认证方式，有效避免因身份问题带来的安全风险。

▲ 统一资源管理：从资源发布、访问控制、统计分析、告警运维、资源管理等维度，保护业务安全稳定运行，实现业务快捷发布、管理和安全访问，对高校需要开放外网访问的业务，做到谁需要、谁申请、且留痕的业务发布全生命周期管理，有效避免了僵尸服务器、僵尸网站、僵尸系统长期暴露互联网带来的安全风险，同时实现高校在 IPv6、HTTPS 加密传输方面的合规改造；

▲ 安全 DNS：域名解析作为用户访问应用的第一环，安全 DNS 在传统 DNS 服务的基础之上提供一系列安全服务能力。集安全解析、威胁检测和防御、上网行为管理等功能于一体，通过对接威胁情报中心，为用户每次访问的网站进行分类，通过访问域名判断用户网络环境、访问的目标网站是否存在安全威胁，并能够及时阻止当前访问，防止安全事件的发生。

▲ 内网威胁流量分析：在高校实现零信任的网络过程中，流量的安全也是重要的一环，目前高校内网的挖矿、翻墙等威胁流量横行，采用专业的流量分析设备，通过对校园网络关键节点的流量采集、提取与分析技术，检测识别出网络中的外部入侵、挖矿、翻墙等存在威胁的流量，同时联动现有的安全设备实现快速阻断访问，还校园网络流量一片净土。

写在最后

基于 EDR 的终端安全，基于安全沙箱的数据安全，都是未来高校零信任网络建设的一个方向。总而言之，网络安全的建设不是一蹴而就的，以上的零信任网络建设是过程，但绝不是终点，高校网络安全建设任重而道远。基于零信任安全理念，找到一条属于自己的网安之路，是每个高校都需要面临的选择。

THE AUTHORS

本文作者

本文由易安联

猛禽实验室写作

专注网安行业发展方向

解读热门产品技术趋势

欢迎技术大咖学习交流

关注我【权说安全】