技术博客 > 正文

如何构建高校网络安全体系

2022-07-18

在教育信息化2.0和高校数字校园政策的推动下,高校网络基础设施和各类信息化应用建设高速发展。从在线排课、在线教学、在线考试、在线实训,到校务系统、数字图书馆、资源共享,甚至打通签到、借书、门禁、餐卡等功能实现“刷脸”通行校园……高校教学的教学、科研、管理等已经高度依赖于网络和数字技术的支撑。

然而在互联网焕新师生工作生活方式、推进教育高质量发展的同时,网络安全问题日益凸显,逐渐成为制约高校信息化发展的掣肘。

举个国外比较极端的例子,今年5月美国一所拥有157年历史的老牌乡村学院——林肯学院(Lincoln College)因勒索攻击导致网络系统无法访问,招生工作遭严重打击,加上疫情持续影响,被迫宣布永久关闭。

安全重要性升级,国家逐步明确高校网络安全工作责任制度

随着我国通过《网络安全法》、《数据安全法》等相关法规将网络安全、数据安全上升到国家安全的层面,针对高校网络安全的规范也逐步明确。

2021年,教育部印发的《高等学校数字校园建设规范(试行)》要求在网络安全方面,应确保基础设施安全、信息系统安全、信息终端安全、数据安全和内容安全等。而在责任落实方面,《党委(党组)网络安全工作责任制实施办法》规定,各级党委(党组)对本地区本部门网络安全工作负主体责任。具体到高校,即学校党委负责网络安全保障工作,党委一把手是学校网络安全工作的第一责任人。

高校网络安全工作难点

1.外部安全威胁升高。在日益严峻的全球网络安全形势下,网络攻击已从以经济利益为目的,向以政治利益为目标的方向发展,攻击来源呈多样化;黑客攻击的专业化水平也越来越高,隐蔽性越来越强,增加了网络安全工作的紧迫性和防护难度。教育网络安全事关教学活动、高校科研,教育数据安全风险、系统瘫痪风险、网站篡改风险等诸多安全威胁不容忽视。

2.网络资产管理难,安全防护盲区多。从高校内部看,各网站和信息系统建设分散,有很多主机存放在各个院系部处自己的机房甚至办公室,失联资产多、清点困难并且安全防护水平参差不齐,供应商众多各自为政。甚至很多系统和主机还没有部署必要的安全防护。

3.安全运维管理人员短缺,缺乏应对安全形势变化的能力。高校各部门网络安全运维管理人员基本都是兼职担任,许多人对待安全维护工作意识较为被动,对网络安全形势和攻防技术的发展认知不足,防护策略多年不更新。

  1. 传统校园的网络安全边界消失。受疫情持续影响,高校师生将更多地使用个人终端设备,从个人网络远程接入校园网开展工作学习。师生人数众多,网络安全意识淡薄,上网行为难管控,成为高校必须优先考虑的安全隐患。

深度融合安全能力,网宿助力高校应对复杂安全态势

如何优化网络安全体系建设,应对当下高校面临的种种安全挑战?比起分散建设的系统形成一个个“孤岛”各自为政,更需要对高校网络资产进行全盘梳理,对网络安全建设进行整体优化。

网宿基于SASE理念,对网络能力和安全能力进行深度融合,并针对高校安全形势和现存难点,整合了高校整体安全体系建设和加固方案,高校网络安全防护、安全运营管理和应用系统管理报价护航。

所谓SASE(安全访问服务边缘),是2019年Gartner提出了一个全新的网络安全架构。该架构主张将包括SD-WAN(软件定义广域网)和CDN等在内的网络服务和包括SWG(安全Web网关)、CASB(云访问安全代理)、FWaaS(防火墙即服务)和VPN等在内网络安全服务进行深度融合,作为一个整体通过云服务的方式向客户进行交付。网宿基于SASE输出的高校整体安全能力,可以实现:

1、 安全前置,云端防线守护互联网业务
在0day漏洞高发,高度隐蔽的攻击越来越多的安全形势下,比起维护繁琐且更新滞后的硬件防护方式,基于云的前置防护更能够满足当下的高校的互联网业务安全防护需求。网宿基于全球广泛分布的2800+安全加速节点,通过自主研发防护算法、全网威胁情报和全球智能调度系统,实时检测并在边缘节点智能阻断各类网络层DDoS攻击、应用层CC攻击、Web应用攻击及爬虫攻击,并提供覆盖全生命周期的API安全管理,保障互联网应用稳定,保护数据安全。

2、 扫除安全盲区,全面覆盖终端安全防御
自动化网络资产发现,解决“失联”主机、容器、端口、API等资产造成的安全隐患,缩小攻击面。提供从主机、容器、到办公电脑、教室智能一体机、智能终端等全终端全方位的安全防御,杜绝攻击、篡改、病毒、弹窗等问题困扰。

3、 云端运营自动化,解放运营管理人员
基于威胁情报、大数据、可视化等技术,可以帮助教育机构进行全网安全态势感知,同时针对自身互联网业务进行安全监测。攻防对抗经验丰富的安全专家,提供包括日常安全运营服务(资产发现、漏洞扫描、渗透测试等)、重大活动保障、实战化攻防演练、安全事件应急处理等在内的专家服务,解决高校安全运维人员专业性不足的问题。管理员可投入更多精力到具体业务运营中。

4、 无边界零信任安全认证,颠覆传统内网穿透技术安全局限
依托全球智能网络,提供以身份认证与动态信任为基础的企业远程访问安全接入服务,并整合全链路传输加速能力,颠覆VPN、远程桌面等传统内网访问技术,适用于教育机构安全组网和远程接入的安全保障。

5、 一站式通关等保测评,护航新业务上线
针对高校网络安全等级保护要求,可以提供专业一站式的等保备案、建设、协助测评等服务,帮助高校快速完成新应用和新业务系统的等保工作。

构建全方位安全防护体系,70周年重保要这样做

除高等学校外,网宿整体安全能力也已深入应用至全国多省市的职业技术学院、教育厅/局、电教馆、公务员考试中心、教育电视台等机构。网宿还将继续落实社会责任,探索创新网络安全防御技术,助力数字校园建设,守护教育网络安全,维护师生隐私信息安全,保护科研数据安全。

本文内容的版权持有者为网宿科技股份有限公司(“网宿科技”),未经许可,不得转载。