从 BeyondCampus 最佳实践，洞察高校零信任发展趋势

经过多年信息化建设，学校大多已建成自身的智慧校园办公系统（OA、EMAIL、FTP、Library 等），信息网络技术和移动互联网的繁荣，进一步推进了学校业务的全面、快速发展。在此背景下，学校的老师和学生对于异地办公、移动学习等多种远程学习办公的需求越来越多，5A（Anyone、Anydevice、Anytime、Anywhre、Anything）及 BYOD（“Bring Your Own Device”&“Become Your Office Device”）个性化、移动化、智能化办公学习模式已经成为一种新的趋势。

这种全新的办公模式，可以摆脱时间、空间的限制，广大师生可以在校外通过 Internet 访问校园网内的教育资源，从而提高工作和学习效率。多样化的业务系统，带来便捷办公的同时，也带来了远程运维、数据防泄漏等一系列安全要求，推动高校安全建设成为高校信息化建设亟需考虑的一部分。

在众多的安全方案中，零信任高校 BeyondCampus 解决方案脱颖而出。

零信任可以很好的将安全理念与现阶段高校信息化的建设进行融合，针对远程办公、数据防泄漏等场景下的安全问题，通过零信任阶段性建设的方式，可以逐步完善信息化过程中的网络安全问题。2022 年，教育行业平均每周遭受 2314 次攻击，在全球网络攻击受重行业中首当其冲。为了解决安全问题，越来越多的高校开始了解和尝试进行零信任的建设，零信任成为了高校网络安全建设路上的一种趋势。

BeyondCampus 解决方案基于谷歌的 BeyondCorp 最佳实践，结合国内高校的业务、网络架构特点，从用户身份、终端设备、网络环境、访问控制等方面来增强高校在信息化建设过程中面临的网络安全问题。

下面用某高校实际的落地案例，来具体详解零信任高校 BeyondCampus 建设可以给高校解决那些问题，带来什么收益。

某高校在信息化建设的过程中意识到该校相关安全能力与业务系统的不断建设无法匹配，致使师生在使用信息化建设成果的同时，存在着很多的网络安全隐患，为了更好的保障用户的接入访问安全性，在本次的网络安全建设中增加了零信任的概念，通过传统网络安全与新技术的结合，初步建成 BeyondCampus，护航校园网络安全。主要建设能力如下：

◆ 互联网暴露面收敛

通过零信任平台将业务互联网的入口进行统一，无需再暴露多个业务地址，同时为了使信息化建设的成果最大化，零信任平台更多的与业务进行结合，通过零信任平台区分不同的使用人群，采用不同的方式接入访问，降低了用户使用的学习成本；

◆ 移动端访问

高校在移动端上的使用方式多种多样，如自建 app，钉钉，企业微信等，本次的建设主要针对企业微信为入口的使用方式，通过将企业微信和零信任平台结合来保障用户的安全静默登录接入，限制部分应用仅能通过企业微信进行访问，收缩业务的访问入口；

◆ 接入身份安全

将零信任平台作为身份认证中心，通过对所有业务系统的身份进行纳管，实现用户身份的全生命周期管理，应用权限的下发，业务的单点登录等能力，通过多因子和多元化的认证方式，对账密的策略管控，有效避免因身份问题带来的安全风险，通过对用户角色的判断，给不同的用户分配不同的角色权限，防止越权访问等问题的出现；

◆ 终端安全

对于重点需要保护的业务，要求用户必须通过零信任客户端的方式进行接入使用，零信任客户端会对用户的终端环境进行感知，判断用户的终端是否符合接入系统的安全要求，并可以根据用户实时的终端环境进行评估，动态定义用户是否处于安全环境下接入；

◆ 用户上网行为

采用 DNS 威胁分析解决方案，来保障用户上网行为的安全、合规，DNS 威胁分析集安全 DNS 解析、威胁检测和防御、上网行为管理等功能于一体，通过对接全球互联网域名库，为用户每次访问的网站进行分类，通过访问域名即可判断内网环境是否已经存在安全威胁，及用户是否正在访问存在安全风险的网站，并能够及时阻止当前访问，防止安全事件的发生；

◆ 便捷运维

高校信息中心普遍存在系统多，管理人员少的问题，一个信息中心的老师需要面对众多的业务系统，管理困难，通过零信任平台将所有业务系统进行统一进行管理，零信任平台导航页即可展示所有接入平台的业务系统状态，可进行业务一键断网、证书管理、权限管理、策略管理、日志、告警等便捷运维操作；

◆ 合规

学校中部分业务系统已经建设完成很久，存在无人进行维护，系统存在漏洞、无法进行改造等问题，此类业务系统也属于学校资产，需要进行管理，对于这部分业务采用统一资源管理系统，对业务进行发布改造，无需改动现网架构，实现业务的安全加固，ipv6 和 https 的快速支持能力。

基于 BeyondCampus 建设，该高校实现了安全的零信任转型，为业务信息化建设提供了保障。但是网络安全也不是一日建成的，高校零信任的建设也可以采用分步走的方式进行，逐步的完善自身的安全能力，本文中的高校也是在建设的过程中不断发现问题，不断解决问题，不断迭代完善才最终完成的。高校的网络安全建设任重而道远，也希望每个高校都能找到自己的安全之路。