摘 要:随着网络威胁态势的持续增加,我国高等院校所采用的网络安全架构暴露出一定程度的不足。基于零信任安全模型,以零信任理念为核心优化高等院校的网络安全架构,制定网络访问控制策略,实现基于身份、行为和上下文的持续验证与授权管理,确保任何实体在网络中的活动都处于严格的监控与管控之下,从而大幅提升高等院校整体的网络安全防护能力,为高校营造一个更为稳固且可信赖的网络生态环境,以保障我国高等教育信息化建设的安全运行与发展。
内容目录:
1 高校网络安全面临的挑战
1.1 高校业务类型多,暴露面难以彻底收敛
1.2 缺乏便捷的内网业务访问方式
1.3 有效的终端资产及风险管理手段匮乏
1.4 弱密码现象难以根治,账号共享行为频出
1.5 安全产品繁多却无法有效联动,溯源周期长
2 零信任高校网络安全建设的关键技术
2.1 身份统一管理,打破身份孤岛
2.2 业务全流程管理,资源统一纳管
2.3 威胁情报优化安全管理
2.4 异常访问行为校验
2.5 加码终端管控,保障数据安全
2.6 移动端多元化安全接入
2.7 多维度审计分析,简易运维
3 高等院校零信任建设场景
3.1 校内外无感知安全访问
3.2 内网敏感数据访问
3.3 企业微信 / 钉钉应用访问
3.4 非法网站访问阻断
4 结 语
在当今数字化时代,高校扮演着塑造未来智力和创新的关键角色,然而,随着信息技术的迅速发展,高校也面临着前所未有的网络安全挑战。近年来,一些与高校有关的网络安全事件,引起了人们对高校信息资产安全的高度关注。高校不仅是知识的源泉,更是国家安全的关键节点,其信息系统的安全性直接关系到整个国家的稳定与繁荣。
面对日益严峻的网络威胁,传统的安全模式已显得力不从心,迫切需要一种更加创新和高效的网络安全策略。在这一背景下,零信任理念崭露头角,成为保障高校信息系统安全的一项重要战略。
本文旨在通过深入研究零信任理念,并将其应用于高校网络安全建设,为指导高校网络安全建设、维护国家安全提供一种切实可行的解决方案。通过引入零信任理念,高校将更好地抵御来自网络空间的各类威胁,在维护国家安全的同时保障高校信息系统的健康发展。本文将探讨零信任对高校信息安全的实际影响,通过实例分析展示零信任在高校安全建设中的可行性,以期为高校在网络空间中的安全建设提供有力支持。
1高校网络安全面临的挑战
1.1 高校业务类型多,暴露面难以彻底收敛高校信息化建设的高速发展,促使其对业务系统的建设需求日益增加。为方便使用多样化的业务系统,如 PC 端的 Web 应用、客户端 -服务器(Client-Server,CS)架构业务,移动端的小程序、公众号、企业微信等,业务系统大多存在直接将业务映射到公网的问题,导致业务系统直接暴露在公网中,造成业务系统崩溃,进而影响内部网络安全。同时,直接映射的方式会导致暴露的端口增多,从而增加黑客攻击的途径;多种接入方式会导致安全防护方式难以统一。因此,收敛暴露面迫在眉睫。
1.2 缺乏便捷的内网业务访问方式
上级部门要求高校的重要业务如办公自动化(Office Automation,OA)、财务等系统不允许直接对公网开放,但对于学生和老师来说,仅限内网的业务访问方式不能满足他们的实际需求。基于此,许多高校采用了插件 / 客户端等层出不穷的接入方式。但是,这些接入方式存在众多缺陷,例如,存在一定的学习成本且使用不够便捷,会给用户带来使用困扰,并增加运维工作量。因此,为了解决这些问题,高校应该在保障安全性要求的情况下,寻找更为便捷的内网访问方式,以满足师生的需求。
1.3 有效的终端资产及风险管理手段匮乏
对于高密且较敏感的系统及运维人员来说,访问业务系统时需要严格地把控终端信息,避免出现终端风险。高校师生众多,终端以自带设备为主,存在终端隐患难识别、安全风险高、难管控等问题,使得设备自身安全性难以预判,可能导致信息系统感染勒索软件、木马等病毒。当前,用户终端缺乏资产的可视化管控机制,终端资产监管分散,不利于集中监管、处置。
1.4 弱密码现象难以根治,账号共享行为频出
高校信息化建设的发展如今已进入了一个新的阶段,各类业务系统不断涌现,业务范围不断拓展,信息技术对高校的管理、服务和教学产生了深远的影响。在业务系统建设初期,密码管控方面存在许多漏洞和缺陷,产生严重的安全问题,特别是弱密码的存在,使得黑客攻击变得异常容易。弱密码的泛滥使用已经成为高校信息化建设中的一大障碍,必须引起高度重视。
此外,随着高校图书资源的丰富,学生对图书资源的需求也不断增长。但是,传统的账号密码认证机制无法满足学生的多样化需求,一些学生会采用共享账号等方式进行账号登录,甚至进行二次售卖。这种账号共享和二次售卖的行为给高校资源的安全使用带来严重威胁,给高校管理带来了很大的困扰。
1.5 安全产品繁多却无法有效联动,溯源周期长
对于高校来说,机房内有大量终端资产,若被恶意攻击,实际没有很好的产品能够对正在进行挖矿等行为的主机进行快速定位,无法精准抓到是哪台电脑被挖矿,缺乏应对挖矿、勒索、流量攻击、木马等恶意威胁的安全防护手段。
对于攻击威胁事件来说,高校信息化建设程度较高,具有多款安全产品,但这些多元化的产品面临联动性差,难以实现数据的高效同步等问题,从而导致各种信息孤岛和数据断层现象发生。若出现安全问题,各个产品均需单独排查,溯源难度大,定位困难,排查时间漫长,投入的人力成本也相对较高 。
2零信任高校网络安全建设的关键技术
随着高校信息化水平的不断提升,高校信息化经历了校园网、数字校园和智慧校园等不同阶段,而网络安全也成了必须面对的挑战。零信任理念在众多网络安全解决方案中脱颖而出,零信任网络安全架构强调的是不信任任何用户、设备和数据,即采用不断监控、分析和验证的策略来保护网络安全。通过采用零信任网络安全架构,高校网络可以更加高效地运作,进而保障师生和其他工作人员的访问安全及数据安全,整体零信任能力如图 1 所示。
图 1 零信任能力全景图
2.1 身份统一管理,打破身份孤岛
统一身份管理模块属于零信任访问体系的重要环节,能够识别访问主体并基于主体身份授予相应的访问权限,具体能力如下:
(1)统一身份。全生命周期的管理功能,实现学生入学、转专业(基于实际需求申请、分发、管理账号)、调整(手机号、身份证号等变更)、毕业(销毁统一身份、权限、应用账号)的全生命周期管理,与人事管理全场景匹配。
(2)统一认证。提供统一认证服务,由零信任系统对用户进行统一认证,通过统一门户和单点登录,用户只需要记忆和保存一套访问地址就可以访问其权限内的所有应用,多个应用不需要重复验证。为了让用户更加便利地访问应用,同时保障用户可信,零信任平台采用了多因子认证和社交账号接入机制,为用户提供更加方便安全的账号认证机制。
(3)分权分域。支持对用户权限进行统一管理,对于管理员,实现系统管理员、安全管理员、审计管理员的三权分立;对于普通用户,基于零信任的最小化权限原则,根据时间、地点、账户、终端、岗位、部门、访问习惯等,制定差异化的权限策略,实现基于管理人员每次登录的细粒度权限管控 。
2.2 业务全流程管理,资源统一纳管
高校的业务系统大致可分为有鉴权和无鉴权两大类,有鉴权业务包括:OA、财务、教务等,无鉴权业务包括:学校主页、二 / 三级部门主页、招标网站等,在高校的管理体系中,许多部门为了提高工作效率,均倾向于自主搭建业务系统,以实现对业务流程的全面控制。因此,如何对这些系统进行管理和维护,显得十分重要。通过零信任平台将所有业务系统进行纳管,对业务上线的全流程进行管理,从业务的创建到发布再到下线,每个环节都进行精细的管理和把控,确保系统的稳定性和安全性。
零信任平台通过两种资源发布方式对业务进行管控,即浏览器 - 服务器(Browser-Server,BS)架构的业务通过 http 或 https 代理发布;CS架构的业务通过隧道的方式进行发布。将业务粒度细化至协议、地址、端口,并按需对发布的业务进行授权,师生登录后仅能看到有权限的应用系统,师生越权访问会被安全网关拦截,并审计访问行为,产生告警信号。例如,只允许学生访问统一身份认证的平台系统,不允许访问人事系统。避免零信任平台对用户过度授权,减少攻击面,也减少了数据泄密的可能。除了实际应用的维度,零信任平台还支持对用户的访问位置、访问时间等维度进行限制。
2.3 威胁情报优化安全管理
高校师生人数众多,上网访问行为难以管控。虽然许多高校通过搭建上网行为管理、流量分析等系统,在一定程度上保障了师生的安全上网,但还是面临威胁难以及时阻断、溯源困难的问题。而基于零信任体系中提供的域名系统威胁情报库,可以通过配合内容识别引擎等手段,直接阻断学生的恶意访问流量。例如,挖矿主机访问矿池服务器的 IP 地址或域名系统请求、钓鱼、木马病毒等,并定位到内网的失陷主机,在设备访问互联网的第一跳完成实时安全威胁的检测,及时阻断处置,避免因攻击导致业务中断的情况。
零信任平台为高校提供流量可控、行为可视、身份可信的高校学生上网行为管理的解决方案。依托平台的海量域名标签对域名进行有效的分类识别,在域名递归解析阶段对高校上网流量进行有效的监控和管理,实现精细化的域名访问控制和高校用户上网行为的管理,及时发现并阻止高校内的恶意威胁和数据泄露的行为,避免访问违法网站带来的风险,有效监控、管理、分析校内所有用户的上网行为,帮助高校营造绿色的上网环境,掌控高校网络全貌 。
2.4 异常访问行为校验
第三方运维人员或管理人员在管理校内服务器资源时,难免会存在各种异常访问的行为,零信任平台作为运维管理人员接入业务的第一关,可以通过策略最大限度地降低异常行为的产生。常见策略如下:一是闲置终端策略,对超过一定时间未登录过的账号终端再次登录时,需要进行二次认证;二是账号访问闲置应用策略,用户登录账号后访问了长期未访问过的业务时,需要进行二次认证;三是非常用地登录,用户登录位置为非常用地点时,需要进行二次认证后才可接入使用;四是非常用时间,用户访问时间非常用时间点时需要进行二次认证后才可接入使用。除以上策略外,还可使用频繁登录多次、闲置账号启用等策略。
2.5 加码终端管控,保障数据安全
在高校的业务中,财务系统、科研系统等都属于高敏感的业务系统,若系统中的数据泄露,将对高校造成极大的不良影响,此类业务系统需要进行重点保护。基于零信任的安全架构,零信任终端防护从准入、补丁、入侵等多个维度设计防护措施,确保只有安全可信的终端才能够接入网络,具体能力如下:
(1)终端资产梳理。主要包括终端信息和运行信息。终端信息包含终端的硬件信息(如内存、硬盘等),终端的软件信息(如进程、签名等),终端的外设、账号、数据库、Web 应用等信息;运行信息就是终端实时运行的信息,如中央处理器、流量、内存、应用运行的状态等。
(2)终端风险检测。主要包括对系统、应用和外设的检测。系统风险检测主要包含补丁、漏洞、病毒、弱口令等;应用风险检测主要包含防卸载、软件黑白名单等;外设风险检测主要包含 U 盘、打印机和摄像头等的检测。
(3)终端病毒防御。零信任客户端具备识别和查杀病毒、木马、蠕虫、网马、僵尸网络、流氓软件、间谍软件等恶意代码的能力,检测技术包括传统基于静态病毒特征的多模式匹配的检测技术、无特征的人工智能检测技术和基于云端的云查杀检测技术等,多种检测技术综合运用可最大限度地保障检测的有效性。
(4)终端行为管控。主要包括权限管控和网络管控,权限管控是对一些关键操作的监管,如修改注册表、启动进程等;网络管控是对用户联网行为的管控,如流量限制、外网审计、Wi-Fi 连接。
(5)终端环境感知。终端环境感知能够为用户提供终端安全统一识别、防护、监控和响应能力。环境感知的对象包括桌面终端和移动终端,感知内容包括物理环境风险、外部设备风险、网络风险、安全基线风险、恶意代码风险、漏洞风险、应用环境风险和系统应用类风险等。通过多维度的终端感知方式采集和分析终端安全环境,对采集的数据进行预处理和评估,支持使用定时、同步、异步等策略将感知信息上报给环境感知系统。环境感知系统的评估模块将利用终端提供的实时环境数据、异步环境数据、历史环境数据的分析结果,为零信任平台的策略控制中心提供终端环境可信性的判断依据。策略控制中心通过结合身份管理、授权管理和认证管理等方式,保证终端的可信接入。
2.6 移动端多元化安全接入
高校建立的移动端接入的方式众多,有采用自建移动门户、OA、财务的方式,也有使用诸如企业微信、钉钉、今日校园等第三方的方式。区别于 PC 端的使用方式,移动端的安全接入方式需要单独进行保护。移动终端防护可以从设备、应用和数据 3 个维度设计防护措施,确保移动设备、终端应用和终端数据是安全可控的。在零信任体系中,可以通过安装零信任客户端或通过第三方移动应用集成零信任软件开发工具包(Software Development Kit,SDK)的方式,保障搭载 iOS、安卓等移动操作系统的移动设备能够被安全接入并实现安全办公。
为保障企业微信 / 钉钉工作台业务的访问安全,可以通过与企业微信 / 钉钉的工作台进行零信任平台对接,实现企业微信 / 钉钉工作台上的业务的安全代理,从而实现安全访问。
2.7 多维度审计分析,简易运维
高校业务系统涉及的设备众多,当需要进行溯源工作时,往往需要通过多个平台的查询才能找到目标数据,对于管理人员来说费时费力。零信任平台作为业务系统的唯一入口,所有的访问流量和行为均经过零信任平台,同时零信任平台内置了丰富的日志记录,可以实时记录用户访问的所有操作和数据流量,通过高效的数据分析技术可以对目标数据进行快速定位和分析。在高校的安全管理中,零信任平台发挥着重要的作用。平台提供了多维度的应用日志查询功能,支持从多个角度全面分析用户访问的行为和操作,为高校提供了更准确、更及时的安全数据。此外,平台还可以通过强大的终端资产梳理和威胁定位功能,实现精准溯源,帮助高校更快速、更有效地发现和处理安全威胁。
用户行为分析系统,全方位多维度安全数据挖掘,通过采集用户、设备、应用等多维度数据,对用户行为、设备等信息进行全面统计并输出多维度报表,使高校信息中心管理员可以清晰地了解高校用户、设备、平台、系统的登录及使用情况,进而根据理性数据优化企业信息化的建设。同时能够对接同步全球安全威胁情报,实时获取全球安全态势,提升安全运营能力。
3高等院校零信任建设场景
通过建设零信任平台,引入零信任技术,打造零信任安全防护体系,从终端安全、身份安全、应用安全和数据安全等全面提升安全防护能力,保障终端对业务的安全访问。
用户通过零信任客户端时,需要经过多因子身份认证,校验接入终端与账号绑定情况,验证通过后用户可接入校内网络进行业务系统的使用、服务器运维等工作,极大程度上保障了互联网接入的安全,通过对业务授权进行细粒度的划分,可以有效防止越权访问的行为,避免造成不必要的数据泄露。
3.1 校内外无感知安全访问
校内外无感知安全访问场景的实现,可以在无端的情况下实现师生日常应用的便捷访问。此场景为高校提供门户融合对接能力,可实现与高校原有信息门户的融合,在不改变师生现有习惯的情况下,将门户中的业务进行代理转发,不暴露真实的业务端地址,无须再对应用系统进行公网映射即可实现对内网业务无限制地点的访问。场景实现后,无论处于校内还是校外,均可通过零信任平台进行访问,所有通过零信任安全网关代理的业务访问行为都会被日志完整记录,可供后期溯源审计。
3.2 内网敏感数据访问
内网敏感数据访问场景的实现,可为师生、运维人员提供稳定、安全和统一的内部高敏应用系统的访问渠道,避免敏感应用和数据受到网络威胁,体系建设主要分为:构建应用访问统一安全入口;对所有访问人员进行终端的强管控,保护高敏业务的安全性;实现对高敏应用系统的稳定、安全访问;实现基于身份授权认证业务访问的持续风险评估和动态访问控制,提升业务系统及支撑系统自身的安全防护能力。
通过零信任平台的建设,为师生接入内网访问敏感数据提供统一的安全访问通道,所有敏感业务的访问均需要经过零信任系统进行身份验证和终端 / 环境 / 行为的可信确认,然后通过零信任系统的代理网关组件进行加密转发,极大地减少高敏内部系统被非授权访问的行为,具体能力如下:
(1)服务隐身。单包授权(Single Packet Authorization,SPA)机制,通过先连接再认证的方式,有效缩减暴露面,避免恶意扫描探测。
(2)自适应身份认证。多因子 + 基于访问环境和访问行为的自适应身份认证。
(3)全周期终端环境检测。自定义安全基线,保障接入终端的合规性。
(4)业务准入和动态权限控制。可根据业务的重要程度制定不同安全等级的安全访问基线,并基于多源信任评估,动态调整用户访问权限,确保访问行为可信。
3.3 企业微信 / 钉钉应用访问
该场景设计主要面向存在企业微信和钉钉工作台建设的高校,考虑到该场景下使用企业微信 / 钉钉多以 H5 的方式发布企业内部的 Web类业务,这些 Web 类业务通过互联网端口映射提供的接口与企业微信 / 钉钉工作台进行对接,该模式下存在接口暴露、数据传输窃取等安全风险。所以在这种访问模式下,既要不改变师生原有的访问习惯,保证业务访问的便捷性,又要收敛暴露面,采取加密安全代理等方式保证在企业微信 / 钉钉中发布业务的安全性。
基于零信任平台,为 H5 应用构建安全接入平台,为用户打造更安全、体验更好、适应性更强的移动端业务访问安全方案。如果业务系统对接了企业微信 / 钉钉认证接口,也将自动完成单点登录。业务经零信任改造后,访问请求被转发至零信任安全网关进行代理,所有通过零信任安全网关代理的业务访问行为都会被日志完整记录,以便于后期溯源审计。
3.4 非法网站访问阻断
非法网站访问阻断场景的实现可以为高校构建健康、绿色的互联网上网环境,检测闲置终端的状态。零信任平台通过访问域名即可判断内网环境是否存在安全威胁,用户是否正在访问具有安全风险的网站,及时阻止威胁访问行为,发送安全事件告警信息。零信任平台具备内网威胁检测能力,快速识别和阻断挖矿、木马、APT 等攻击;具备上网行为管控能力,及时发现并阻断对娱乐、博彩、音视频等网站的访问,实现师生的绿色上网。此外,还可以通过对接域名标签库,为用户每次访问的网站进行分类,准确区分用户的访问行为。
4结 语
零信任安全理念提出后,在安全领域引起了专家学者的广泛关注和讨论。零信任架构作为一种创新的网络安全范式,从多元立体的维度显著提升了高校的信息安全防护能力,为学术殿堂的数据安全筑起了一道坚实的壁垒。在近期的研究中发现,许多高校已积极开展零信任架构转型工作,将其作为构建新一代安全防御体系的战略举措。因此,积极参与零信任改造,以前瞻性的视野和坚定的步伐,致力于将零信任理念深深植根于高校网络环境的每一寸土壤,力求通过这场革命性的安全模式重塑高校的信息安全保障机制,以期为广大师生营造一个更加安全、高效且智能的数字化学习与研究空间。实现零信任建设并非一次即可完成,需要不断的迭代和优化。高校的零信任建设,也可通过分步走的形式进行,首先,进行资源安全的发布,阻断外部攻击;其次,加强安防手段,肃清内部威胁;最后,实现策略自主编排,威胁处置联动,最终达成零信任校园的建设。高校的网络安全建设任重而道远,希望每个高校都能找到适合自己的安全之路。
文章来源:选自《信息安全与通信保密》2024年第3期