云山雾隐 端隐SDP

教育

云山雾隐

背景

随着大数据、云计算、互联网的高速发展,国家顺应时代的变化,将全面实现校园智能化、资源个性化、学习泛在化、应用常态化、治理精准化,故对教育信息化提出了新的要求。在国家十四五教育发展规划中提到:“完善网络管理机制,构建安全的网络保障体系。进一步落实各级各类教育单位的网络安全主体责任,加强网络安全技术防范,强化安全应急保障体系,探索开展网络安全第三方服务。建立完善网络安全信息共享机制,提升信息共享效率,确保教育系统网络与信息安全”由此可以看出国家对网络安全的信心和决心,以及对教育资源的重视。

高校信息化建设的逐步推进,让校园网络在高校及教育系统中的作用越来越大,已成为高校重要的基础设施,对学校的教学、科研、管理和对外交流等发挥了很好的保障作用。

面临问题

病毒、黑客的非法侵入、内部教职工的恶意操作等,在无时无刻威胁着校园网络的健康发展;

在新冠肺炎疫情的影响下,有些高校不得不停课转而进行远程授课,原本只能在内网访问的高敏感度的业务系统不得不对互联网开放;

对各种接入的人员身份和权限管理混乱,弱密码屡禁不止;

多数高校都是用VPN搭建安全访问平台,但VPN存在访问过程中断与长时间卡顿、需长时间等待恢复等问题,易导致访问效率极低。

解决方案

基于零信任的端隐可信应用网关系统将逻辑控制平面与安全策略执行点分离带来最大的优势就是可以在统一的安全策略管理下将安全策略执行点弹性化与虚拟化,可以根据资源特征和位置部署,进行细粒度访问权限管控。通过零信任安全建设解决方案,有效保障校园数据安全,其核心目标是:提供构建零信任安全体系的基础产品组件和整体解决方案,助力校园信息化建设快速迁移到零信任安全平台。

以安全为主,对身份与设备重塑

在网络中的人、设备、应用都赋予了特殊标识来表明其身份,并对身份进行细粒度的权限控制。通过零信任安全架构对用户身份进行管理,保证用户身份和设备的合法性,通过客户端的设备绑定功能,来确保用户在正确的设备上使用正确的账号与密码登录,以防非法人员非法接入业务系统。

持续验证,保障访问安全

终端是系统入口,保障终端环境的安全与业务的访问安全。零信任安全平台要求具备终端动态信任评估,综合终端的异常行为、越权访问、系统弱配置和云查杀等因素,实时更新终端信任状态。当终端的信任分值低于某个数值时,零信任安全平台后台会将该终端下线,禁止访问业务系统,有效避免黑客恶意攻击。

减少攻击面,数据安全加密

所有访问请求都会被认证、授权和加密。对TCP/IP数据通信的各层都进行授权控制,防止非法数据进入,通过双向TLS证书认证,对数据包进行加密,防止通讯数据被非法人员监听、篡改和破坏。零信任安全平台要求通过SPA进行验证,对零信任安全平台网关开放的接口进行授权控制,每一个客户端的访问都会经过SPA授权验证,验证通过后才可开放业务应用端口,方可进行业务应用系统访问。

行为监测,动态防护

基于用户流量进行分析,将用户行为发送至监测服务对行为进行安全编排,审计内容覆盖到每个终端用户(包括日期、事件、用户等),并进行定期备份,以防止未预期的删除、修改和覆盖等,或联动第三方获得更加全面的安全状态信息。一旦某关注对象的安全状态发生变化,由可信变为不可信状态,将动态进行隔离、阻断、降级等操作,防止进一步的攻击和渗透。