资讯速递 > 正文

网宿科技 X 清华大学 | 构建高校零信任安全接入体系

2022-10-13

网宿科技正式加入CSA全球云安全联盟

作为我国高校的领军院校,清华大学不仅在百年历史中沉淀了深厚的文化底蕴,同时也与时俱进,不断走在创新实践的前列。

以教育信息化为例,随着信息化技术成为教育变革的内生动力,清华大学率先开启了信息化系统的建设,积极探索和应用各类信息化新技术,极大提升了其教学质量与效率。

远程教学、视频会议、在线考试、模拟演示……清华师生通过传统的VPN接入方式,远程访问校内图书馆系统、选课系统、科研系统等资源,以完成教学与教研任务。

然而,伴随清华大学信息化建设的深入,各种信息化应用推陈出新,数据流动不再局限于高校内部,数据安全保护的难度大大增加;同时,疫情防控常态化之下,远程接入的类型及数量激增,对接入系统的稳定性、性能和安全性提出更高要求。

传统的VPN接入方案已然力不从心:

VPN安全性不足,传统VPN通过加密技术保障数据在传输过程中的安全性,但却将登录端口直接暴露在公网上,在缺乏其他安全措施的情况下,很容易被远程扫描、探测学校内网的资产情况。

VPN权限管理粗放,远程接入人员的类型、地点、设备以及时间等复杂多样,传统VPN采用静态身份认证,且对弱密码缺乏管控,一旦账号泄露则会对学校内网造成威胁;

此外,传统VPN权限管理粗放,无法做到对上万名师生的权限精细化管控,如何保障高校信息化资源的合法访问和使用面临挑战。

高校深受“挖矿”木马威胁,高校基础设施基数大,拥有众多高性能服务器,具备虚拟货币孵化所需的矿机和电力,往往成为“挖矿”的重灾区。

此前清华大学全面开展了“挖矿”行为排查,发现,其校园网内部分系统服务器存在“挖矿”行为,主要原因是为了满足师生疫情期间异地访问校园内网的需求,学校将部分应用开放于公网之上,由此导致业务端口被暴露,从而被木马入侵 “挖矿”。

由此也证明VPN的安全性不足以抵御“挖矿”木马威胁。

诸多挑战之下,清华大学亟需新的安全接入方案,以提升师生远程访问体验。

得益于在零信任安全领域的实力与口碑,网宿科技脱颖而出,成为清华大学的合作伙伴。

网宿科技为清华大学提供网宿零信任安全方案—安达SecureLink,帮助清华大学实现远程接入能力的升级,完成了新一代高校零信任安全架构的转型。

网宿安达SecureLink基于零信任架构,从身份可信、终端可信、行为可信的3个核心能力,以及从传输加密、边缘防护、应用隐身打造的1套平台安全能力,为高校提供全方位防护,真正做到让每一位师生远程访问高校内网系统都更安全、更高效。

网络隐身,防范高校“挖矿”木马

高校部署了网宿安达SecureLink安全网关之后,所有的访问请求都可以用安全网关代理,之前暴露在公网上的业务系统诸如教务系统、科研系统、选课系统等服务器IP及端口不对外暴露,同时,基于SPA单包认证机制,只对授权通过的师生开放访问连接通道,从根本上实现业务系统的“网络隐身”。

如此一来,攻击者无法对端口进行探测、漏洞攻击、0day攻击等,无法渗透进服务器,从而避免服务器被挂“挖矿”木马。

统一身份认证管理,接入安全又高效

网宿安达SecureLink提供丰富的登录方式,高校师生可以通过手机、平板以及电脑等终端的浏览器和APP接入,经过多因子认证和二次身份认证,即可随时随地进行在线学习、邮件收发、视频会议等,也可以远程操作科研线上平台。

同时,网宿安达SecureLink对访问校内系统的用户角色进行资源权限控制,避免了VPN存在的内网应用横向攻击隐患,大大提升了校内业务系统的安全性,也降低了高校信息中心的运维压力。

持续验证,透视高校全局安全态势

网宿安达SecureLink会持续对访问校内业务系统的终端状态、访问行为、网络流量进行实时监测,一旦发现终端不符合安全要求,就降低访问权限,运行中也会对每一次访问行为进行信任评估,并对放行的流量进行网络流量分析(NTA),对暴力破解、端口扫描、XSS、SQL注入等异常流量后进行识别、告警或拦截,保证合法用户对应用的安全访问。

网宿安达SecureLink最终确保从人到设备,从应用到链路,整个业务访问过程的安全。

百余年来,创新精神早已深深融入清华大学的血脉。

这一次,清华大学依旧敢为人先,主动拥抱零信任安全理念,并率先实现落地,破除了高校信息化建设面临的安全困境,为全国高校树立了很好的典范。

网宿也希望通过在清华大学的零信任安全落地实践,能够将这一典范效应推广到更多学校,为更多师生带来更加优质、安全、高效的远程访问体验。

本文内容的版权持有者为网宿科技股份有限公司(“网宿科技”),未经许可,不得转载。