1、教育行业零信任安全访问白皮书2023江苏易安联网络技术有限公司2024年4月020407121111前 言第二章 高校应用访问现状分析第一章 高校应用访问现状第三章 高校零信任安全的主要场景和对应方案结 语第四章 高校零信任安全访问发展趋势CONTENTS访问量分布访问终端分析账号和应用分析场景3:互联网安全外连场景1:无感知安全访问场景2:敏感业务安全访问181716高校零信任安全市场趋势高校零信任安全应用趋势高校零信任安全技术趋势1413高校零信任项目交付实施的特殊性高校零信任安全服务的重点工作目录前言01随着信息技术的飞速发展和网络安全威胁的不断升级,高校网络安全正面临空前挑战。作为教育
2、和科研的基石,高校信息系统承载着大量敏感数据,直接关系到师生的信息安全与学校声誉。因此,构建一个安全可信的高校网络环境刻不容缓。本白皮书旨在分享易安联在高校零信任安全建设中的丰富经验,探讨其发展趋势、应用与实践。首先,深入分析当前高校网络安全的现状与挑战,揭示信息系统的薄弱环节和潜在威胁。其次,介绍零信任建设的安全场景、技术与解决方案,阐明其与传统模式的差异和优势,为高校决策者提供新视角。最后,探讨零信任在高校网络中的应用与发展,助力构建安全、智能、可信的网络环境。通过本白皮书的阐述,我们希望向行业领域分享易安联对高校零信任建设的经验总结和最佳实践,促进高校网络安全意识的提升和零信任建设的深入
3、推进,为高校网络安全事业贡献一份力量,共同营造安全可信的网络环境。感谢您阅读本白皮书,愿本文能为您提供有价值的信息和思想启示。前 言易安联教育行业零信任安全访问白皮书高校应用访问现状1.1.1 年度访问量分布我们从庞大的超过 600 所高校客户群体中,经过严格筛选,携手 28 所极具代表性的高校,共同对 2023 年度的应用访问数据进行了深入剖析。通过多个维度对超过 2 亿条日志数据进行分析和展示,描绘了高校的应用访问情况。经过对年度访问量的分析,我们发现访问量在一年中的不同时间段呈现出不同的趋势。10 月 30 日波峰:从 9 月份开始,访问量逐渐攀升,到 10 月 30 日达到全年最高峰,
4、这一增长趋势和高校每年的选课活动有关。高校每年 9 月份开学,10-12 月会有几天到一周的选课时间窗,因此进入 10 月份后,学生会频繁访问系统,查看选课信息。具体峰值出现在 10 月 30 日(星期一),表明这一天是多个学校的选课时间窗第一天,因此学生在这一时期对网站或服务的需求特别强烈。这也是我们保障高校服务、提升用户1.1 访问量分布高校应用访问现状0 102PART年度访问量分布图易安联教育行业零信任安全访问白皮书1.1.2 日访问量分布体验的重要窗口期。12 月 4 日次峰:访问量在 12 月 4 日(星期一)达到全年的次高峰 9771112 人次。这说明还有很多高校的选课是从这一
5、天开始的,因此带来了高访问量。4 月份小高峰:上半年整体访问频度较低,只有 4 月份的访问量相对较高,形成了一个小高峰。这一波动可能与四六级等考试报名有关。经过对日访问量的分析,可以看出访问量在每天的上午 10 点、下午 3 点、晚上 8 点各有一个波峰,这和我们的日常工作习惯相符合。每日的深夜至清晨,即从 0 点至早上 7 点,虽然访问量相对较低,但始终有师生在使用我们的应用,占比维持在峰值的 5%至 10%之间。这一现象反映出我们众多师生辛勤工作的精神风貌(当然也受应用全球服务的影响,比如美国和欧洲用户登录系统)。有趣的是,凌晨 3 点的访问量超过了凌晨 2 点,这个让人很难理解。我们猜测
6、可能是0324日访问量分布图高校应用访问现状易安联教育行业零信任安全访问白皮书041.2.1 终端类型占比1.2 访问终端分析一些运维工作必须要凌晨 2 点之后才能做,亦或凌晨 2 点之后有一些自动脚本的运行影响了数据。终端类型占比图终端类型变化趋势图高校应用访问现状易安联教育行业零信任安全访问白皮书报告免费分享+V:R t h e 4 5051.2.2 终端操作系统占比访问终端类型分析主要涉及到对学生、教职工和其他访问者所使用的设备进行统计和分类。这些设备包括 PC(台式机和笔记本)、智能手机、平板电脑。通过统计和分类不同设备的使用情况,我们发现 PC(包括台式机和笔记本)依然占据主导地位,
7、然而,在选课高峰期,智能手机的使用频率和比例均显著上升,这一趋势体现了移动设备的普及和便利性,也反映了用户在不同场景下对访问方式的多样化需求。终端操作系统占比图终端操作系统变化趋势图高校应用访问现状易安联教育行业零信任安全访问白皮书061.2.3 浏览器占比经过对访问终端操作系统的分析,我们发现 Windows 操作系统还是占据主流地位,Win10 和 Win7 合计占比 66%。说明由于 Windows 操作系统的普及性和兼容性,且提供了丰富的软件生态和用户友好的界面,适用于各种学术和日常任务,大多数高校访问终端都会运行 Windows 系统。经过对访问终端使用的浏览器进行分析,我们发现 C
8、hrome 浏览器最受高校师生欢使用的浏览器变化趋势图使用的浏览器占比图高校应用访问现状易安联教育行业零信任安全访问白皮书迎,占比超过 80%。和其他行业明显的不同是,高校有一定比例的访问使用了 QQ 浏览器,这是因为很多师生日常生活学习中喜欢使用 QQ 作为通讯工具,这对于需要频繁交换资料的高校师生来说,是一个非常实用的功能。不过在选课期间,Chrome 浏览器和 Safari 浏览器的使用量大幅提高,而 QQ 浏览器没有明显的变化,这说明高校的选课系统普遍不支持 QQ 浏览器。07账号活跃度图账号活跃度变化趋势图1.3.1 账号活跃度分析1.3 账号和应用分析高校应用访问现状易安联教育行业
9、零信任安全访问白皮书高校作为一个庞大的学术社区,拥有大量的学生和教职工。这些用户群体构成了高校活跃账号的主要基础。由于学生数量众多,且大多数学生都会使用在线平台进行学习、交流和娱乐,因此高校的活跃用户数量相对较大。高校的学生和教职工通常有着明确的学习和工作计划。他们会在特定的时间段内集中使用在线平台以获取学习资料、与同学交流、关注校园动态等。这种学习和生活节奏使得他们的活跃时间比较集中。经过对跨国访问的统计占比分析,我们惊奇地发现,访问来源地的多样性远超预期,延伸至海外多个国家,凸显了我们高校业务在国际间的广泛影响力。08跨国访问占比图应用响应结果占比图(Top10)应用响应结果变化趋势图1.
10、3.2 跨国访问分析1.3.3 应用响应结果分析访问国家分布海外访问国家分布成功临时移动未找到未授权未修改服务器内部错误永久移动无内容成功临时移动未找到未授权未修改服务器内部错误永久移动无内容高校应用访问现状易安联教育行业零信任安全访问白皮书高校作为教育和科研的重要基地,拥有庞大的用户群体,活跃用户基本都在万级,包括学生、教职工以及各类行政管理人员。这些用户在日常教学、科研和管理活动中,频繁使用各种应用系统,导致用户规模呈现庞大的特点。基于对高校应用访问数据的深入分析,我们高校的应用访问有以下特点:(1)用户规模庞大高校用户的终端设备呈现多样化特点,除了传统的 PC 和笔记本外,智能手机、平板
11、等移动设备也广泛使用。这些终端设备所搭载的操作系统、浏览器以及各类软件工具各不相同,其多样性和复杂性给管理和安全防护工作带来了不小的挑战。(2)终端种类繁多经过对应用响应结果的分析,发现高校的应用访问基本上处于正常状态,正常响应的占比基本保持平稳,这是一个积极的信号,表明大多数应用都能提供稳定可靠的服务。然而,分析中也可能会发现一些异常情况,这些异常响应包括超时、错误码、空响应等。通过分析错误码,高校可以了解应用出现问题的具体原因。例如,某些错误码表示服务器内部错误、网络错误或参数错误等。通过对这些错误码进行深入分析,高校可以快速定位问题并采取相应的解决措施。09高校应用访问现状分析0 2P
12、A R T高校应用访问现状分析易安联教育行业零信任安全访问白皮书报告免费分享+V:R t h e 4 5络攻击的重点目标。攻击者可能利用漏洞、恶意软件等手段,通过不同的入口点发起攻击,导致网络攻击面广泛,给高校网络安全带来严重威胁。高校网络环境具备开放性特点,跨省甚至跨国的访问都已经成为常态,这使得其成为网高校业务涵盖教学、科研、管理等多个方面,其应用系统呈现出复杂多样的特点,这些系统中存储着大量的敏感数据,包括学生个人信息、科研成果等,一旦发生泄露事件,将给高校带来不可估量的损失。(3)网络攻击面广泛(4)业务应用复杂面对庞大的用户群体、多样的终端设备、复杂的业务应用以及数据泄露风险,高校运
13、维团队的工作压力巨大,需要专业的技术支持和高效的运维团队不断更新和维护系统、监控网络安全、处理突发事件等,以确保高校信息系统的稳定和安全运行。(5)运维工作压力大10高校零信任安全的主要场景和对应方案为了应对高校应用访问遇到的困难,零信任安全防护体系被广泛应用于高校的各个领域,全面保障高校身份、终端、应用和数据的安全。通过对 600 多所高校的成功实践进行深入分析,我们总结出以下四个关键应用场景。高校零信任安全的主要场景和对应方案0 3P A R T易安联教育行业零信任安全访问白皮书报告免费分享+V:R t h e 4 53.1 场景1:无感知安全访问3.2 场景2:敏感业务安全访问11无感知
14、安全访问架构图敏感业务安全访问是基于用户、终端、应用的安全能力,构筑安全、稳定、统一的访问渠道,避免敏感应用和数据受到网络威胁的场景。通过与学校原有信息门户的无缝融合,对门户中业务进行代理转发,有效隐藏了真实业务地址,从而避免了复杂的公网映射过程。这一举措使得内网业务实现了无限制地点的访问,极大提升了访问的便捷性。无论是校内还是校外,用户都可以通过 PC 端、浏览器或基于 H5 的企微/钉钉移动端等多种方式,轻松访问 OA 等有鉴权业务或官网等无鉴权业务。无感知安全访问是在不改变高校师生原有访问习惯的前提下,对访问链路和访问目的进行安全保护的场景。高校零信任安全的主要场景和对应方案易安联教育行
15、业零信任安全访问白皮书3.3 场景3:互联网安全外连12通过整合终端域、用户域、应用域的风险识别、安全保护、实时监测和应急响应,零信任安全平台构筑了一套安全信息可见、安全风险可控、安全事件可查、安全架构可演进的安全保障体系。在此框架下,高校的信息资产得到了前所未有的保护。敏感应用,如学生信息管理系统、教职工薪酬系统、科研项目管理平台等,均被纳入了零信任安全平台的严密监控之下,任何未经授权或异常的访问请求,都将被迅速识别并阻断,确保数据的机密性和完整性不被侵犯。互联网安全外连是通过对访问域名进行分类识别,为高校构建健康绿色的互联网上网环境的场景。敏感数据安全保障思路图高校零信任安全的主要场景和对
16、应方案易安联教育行业零信任安全访问白皮书3.4 高校零信任项目交付实施的特殊性13威胁分析平台图依托威胁分析平台海量域名标签对域名进行有效的分类识别,在域名递归解析阶段对高校上网流量进行有效的监控和管理,从而实现精细化的域名访问控制和上网行为管理,快速识别和阻断挖矿、木马、APT 等恶意攻击,保护高校网络免受威胁,同时发现并阻断对娱乐、博彩、音视频等网站的访问,营造绿色健康的上网环境。高校作为一个特殊的组织,其网络不仅承载着大量的教学、科研和管理任务,还涉及到学生、教师、行政人员等多类用户群体。同时高校的信息资产具有较高的价值,包括科研成果、教学资料、学生信息等。这种复杂性、多样性和独特性使得
17、高校零信任安全项目的实施难度加大,需要综合考虑各种应用场景和用户需求。高校零信任安全项目交付实施的特殊性主要体现在以下几个方面:(1)学生和教职工的广泛分布教育行业作为一个庞大的系统,涵盖了广泛的学生、教职工和其他工作人员群体。这些用户可能分散在不同的地理位置,使用多种设备和运营商连接,因此需要确保在不同的高校零信任安全的主要场景和对应方案易安联教育行业零信任安全访问白皮书3.5 高校零信任安全服务的重点工作14位置和设备上的访问都能够正常访问并受到管控。(2)多样化的设备和应用教育行业涉及的设备和应用程序种类繁多,包括笔记本电脑、平板电脑、智能手机以及各种教学应用和管理系统。在实施时需要明确
18、用户客户端的适用范围,并提供相关版本确保这些设备和应用都能被有效地集成和管理,提供统一的安全性和访问控制。(3)灵活性和可扩展性教育行业的网络压力常随学期、课程的变化而波动,尤其在开学选课、考试报名等高峰时段,因此在实施时需预留冗余资源,并进行充分的压力测试。这样不仅能保证系统的灵活应对,还能确保在面对高并发场景时具备足够的可扩展性。(4)敏感数据保护教育行业存储大量的敏感数据,包括学生的个人信息、学术成绩、财务数据和教职工的敏感数据等,在实施过程中需要配置严格的策略对敏感数据进行访问管控,确保只有经过授权的用户才能够访问,同时在数据传输和存储过程中进行脱敏处理并实施加密。(5)用户体验和数据
19、安全的平衡教育行业在实施过程中需精细平衡用户使用体验与数据安全性。在强化网络和数据安全的同时,需确保用户能够便捷访问所需资源和应用,避免对教学和学习造成不必要的困扰,以实现安全与便捷的双赢局面。相较于其他行业,高校的信息安全部门普遍面临人力短缺的问题,甚至有时需要计算机课程的老师兼任网络安全管理员的角色。然而,高校的网络安全工作却异常繁琐且重要。因此,引入第三方专业安全服务能够显著提高高校网络安全的防护水平。高校零信任安全的主要场景和对应方案易安联教育行业零信任安全访问白皮书15(1)资产梳理服务资产梳理服务是指对学校所有的网络资产进行全面、系统的调查和分类,包括硬件设备、软件系统、数据资产等
20、。通过资产梳理服务,能够全面了解学校的网络架构和资源分布,从而制定更加有效的安全策略和措施。高校的网络环境通常比较复杂,包括大量的网络设备和软件应用,但是高校在网络资产梳理方面投入的人力资源有限,且缺乏持续性和更新性,因此,借助专业的安服团队来完成这项工作,可以确保高校网络安全的有效性和可靠性。(2)安全托管服务安全托管服务是指将高校的网络信息安全工作委托给专业的安全服务提供商来管理和维护。这种服务模式可以帮助高校解决网络安全人力短缺等问题,提高网络安全防护水平。高校校园网通常具有开放性的特点,以便于教学和科研活动的开展。然而,这种开放性也增加了网络安全的风险,如外部攻击、病毒传播等。安全托管
21、服务基于网站云监测和态势感知等安全设备针对高校资产进行流量监测、网站可用性、网站异常及黑客攻击等行为提供 24 小时不间断的监控,发现异常后立即做出响应,如木马清除、备份恢复和安全加固等,并对攻击者身份溯源,甚至反向控制对方服务器,保障校园网络的稳定运行和数据安全。高校零信任安全的主要场景和对应方案易安联教育行业零信任安全访问白皮书4.1 高校零信任安全应用趋势16高校零信任安全访问发展趋势高校 5G 双域专网是一种基于 5G 技术构建的网络架构,可以实现用户业务的分流控制,将访问内网业务和互联网业务的数据分离,使用户在不换卡、无感知的情况下,安全可信地访问高校内网应用和互联网应用。不过,5G
22、 双域专网的设计和实施过程中,没有完全覆盖所有必要的身份认证环节。因此高校在部署 5G 双域专网时,需要采取一系列措施来加强身份认证的安全性,包括采用统一身份管理、建立完善的身份认证管理流程、加强对身份认证信息的保护等,确保接入用户的身份可信,在便捷的同时保障安全。高校作为教学和科研的重要场所,积累了大量的敏感数据,包括个人信息、科研成果高校零信任安全访问发展趋势0 4P A R T4.1.1 5G双域专网场景5G双域专网用户不换卡,随时接入内网和互联网打通身份认证,确保用户身份可信丰富的日志系统、随时掌控用户访问行为统一身份管理4.1.2 可信数据空间场景易安联教育行业零信任安全访问白皮书4
23、.2 高校零信任安全技术趋势17威胁分析平台图等,随着信息化技术的快速发展,这些数据的传输方式也变得更加多样化和复杂化,传统的数据安全防护措施很难应对新型的网络攻击和威胁。可信数据空间旨在对数据访问和数据服务提供安全保障。基于零信任理念,对每一次的数据访问和服务进行严格的安全验证,同时对数据需求方和数据供给方进行物理和逻辑上的隔离,从而保护高校的数据资源。零信任网络安全体系的核心是“永不信任,持续验证”。即对所有设备和用户均持怀疑态度,只有通过多层次的验证和审批,才能够获得访问权限,包括身份验证、设备认证、应用及数据访问控制四重关卡。身份验证用于确认学校用户的身份和权限,设备认证用于确认设备的
24、身份和完整性,应用访问控制用于确认用户对应用的访问权限,数据访问控制用于确认应用对数据的读取权限。通过多层次验证和审批,实现精细化的访问控制,有效抵御越权访问与恶意攻击。4.2.1 多层次验证与审批高校零信任安全访问发展趋势易安联教育行业零信任安全访问白皮书4.3 高校零信任安全市场趋势18中国的教育信息化市场,得益于国家政策的强大驱动,正处于迅猛发展的黄金时期。在政策的强有力扶持下,该市场自 2016 年的 2947 亿元规模,已快速增长至 2022 年的超过 5000 亿元,复合年增长率高达 9.9%,显示出其强大的增长势头和旺盛的生命力。展望未来,中国教育信息化市场的总收入预计将保持 8
25、.3%的复合年增长率持续增长。到 2029 年,这一市场的投资规模有望突破 9000 亿元大关,我们有理由相信,在政策的持续推动下,中国的教育信息化市场将迎来更加辉煌的未来。4.3.1 中国教育信息化市场规模实时监控与响应是零信任体系的关键技术,涵盖网络流量监控、安全日志监控及实时响应三个方面。网络流量监控能实时捕捉异常与恶意流量,及时揭示网络威胁。安全日志监控则实时监测异常与恶意日志,发现安全威胁和漏洞。实时响应包含自动响应与人工响应,通过 AI 大数据模型对安全事件进行响应和处理,提高响应速度和效率,在必要时通过人工介入的方式进行响应和处理,确保安全事件得到及时解决。4.2.2 实时监控和
26、响应数据分类和隔离是零信任网络安全体系建设中不可或缺的技术,它主要包含对数据进行分类和隔离两个方面的操作。数据分类是指将数据按照重要性和敏感性进行分类,对不同级别的数据采取不同的安全措施。数据隔离是指将不同级别的数据隔离开来,避免不同级别的数据混在一起造成数据泄露风险。通过数据分类和隔离,高校可以有效保护各类重要数据的安全性和隐私性。4.2.3 数据分类与隔离高校零信任安全访问发展趋势易安联教育行业零信任安全访问白皮书报告免费分享+V:R t h e 4 5192016-2029 年中国教育信息化规模及预测图2023 年对高校网络安全工作贡献较大的服务类型图中国高校正日益加强对网络安全的投入与
27、关注,特别是在网络安全服务方面。据统计,近两成的高校在网络安全服务采购上的投入已高达 50 万元以上。高校老师普遍认为,WEB 应用安全防护、重保与应急响应以及身份认证与密码应用等关键领域,对提升高校网络安全工作具有显著帮助。数据来源:Frost&Sullivan,(沙利文)数据来源:赛尔网络4.3.2 中国高校网络安全服务市场趋势010002000300040005000600070008000900010000201620172018201920202021202220232024E2025E2026E2027E2028E2029E高校零信任安全访问发展趋势(单位:亿元)易安联教育行业零信
28、任安全访问白皮书基于上述数据,高校信息化建设市场规模持续呈现强劲增长态势。高校普遍关注的WEB 应用安全防护、重保与应急响应、身份认证与密码应用、数据安全治理以及攻击面管理等均与零信任理念紧密相连。因此,我们预见零信任在高校信息安全领域的应用将日趋广泛,其市场份额的增长已成为必然趋势。20在全球威胁形势加剧和业务需求日益增长的推动下,零信任网络访问市场正迎来迅猛发展的阶段。据IDC MarketShare:中国零信任网络访问场景之软件定义边界市场份额,2022 报告显示,2022 年中国零信任网络访问场景中的软件定义边界市场规模已达到约 1.39 亿美元(折合人民币约 9.4 亿元),同比增长
29、率高达 29.8%。2023 年对高校网络安全工作贡献较大的服务类型图数据来源:IDC、中商产业研究院4.3.3 中国零信任网络访问场景之软件定义边界市场规模高校零信任安全访问发展趋势易安联教育行业零信任安全访问白皮书在当今信息爆炸的时代,高校的信息安全显得尤为关键。面对日益复杂多变的网络安全威胁,零信任建设作为一种前沿的安全理念和架构,为高校提供了更为坚实有效的信息安全屏障。通过本白皮书,我们衷心希望能够为高校提供关于零信任的深入解析,帮助高校对这一安全理念有更全面、更深刻的理解,从而为校园网络的安全防护提供有力支持。需要明确的是,零信任的建设并非一蹴而就的,它需要高校保持持续的关注和投入,不断优化和完善安全策略和措施,以应对层出不穷的安全挑战。最后,我们相信随着零信任在高校的逐步建设,一定会为高校构建起一个更加安全、可信赖的信息环境,为教育、研究和社会服务提供更加坚实有力的支撑和保障,共同迎接信息时代的挑战与机遇。21结语易安联教育行业零信任安全访问白皮书结 语易安联教育行业零信任安全访问白皮书
浙ICP备2021020529号-1 | 浙B2-20240490 
