2023教育行业零信任安全访问白皮书

教育行业 零信任安全访问白皮书 2023 江苏易安联网络技术有限公司2024年4月 COPYRIGHTSTATEMENT 版权声明 本报告版权属于江苏易安联网络技术有限公司，转载、摘编或利用其它方式使用本白皮书文字或者观点的，应注明“来源：易安联教育行业零信任安全访问白皮书”。违反上述声明者，将追究其相关法律责任。 编制单位 江苏易安联网络技术有限公司 CONTENTS 目录 前言 第一章高校应用访问现状 访问量分布02 访问终端分析04 账号和应用分析07 第二章高校应用访问现状分析 第三章高校零信任安全的主要场景和对应方案 场景1：无感知安全访问11 场景2：敏感业务安全访问11 场景3：互联网安全外连12 高校零信任项目交付实施的特殊性13 高校零信任安全服务的重点工作14 第四章高校零信任安全访问发展趋势 高校零信任安全应用趋势16 高校零信任安全技术趋势17 高校零信任安全市场趋势18 结语 前言 随着信息技术的飞速发展和网络安全威胁的不断升级，高校网络安全正面临空前挑战。作为教育和科研的基石，高校信息系统承载着大量敏感数据，直接关系到师生的信息安全与学校声誉。因此，构建一个安全可信的高校网络环境刻不容缓。 本白皮书旨在分享易安联在高校零信任安全建设中的丰富经验，探讨其发展趋势、应用与实践。首先，深入分析当前高校网络安全的现状与挑战，揭示信息系统的薄弱环节和潜在威胁。其次，介绍零信任建设的安全场景、技术与解决方案，阐明其与传统模式的差异和优势，为高校决策者提供新视角。最后，探讨零信任在高校网络中的应用与发展，助力构建安全、智能、可信的网络环境。 通过本白皮书的阐述，我们希望向行业领域分享易安联对高校零信任建设的经验总结和最佳实践，促进高校网络安全意识的提升和零信任建设的深入推进，为高校网络安全事业贡献一份力量，共同营造安全可信的网络环境。 感谢您阅读本白皮书，愿本文能为您提供有价值的信息和思想启示。 PART 01 高校应用访问现状 我们从庞大的超过600所高校客户群体中，经过严格筛选，携手28所极具代表性的 高校，共同对2023年度的应用访问数据进行了深入剖析。通过多个维度对超过2亿条日志数据进行分析和展示，描绘了高校的应用访问情况。 1.1.1年度访问量分布 年度访问量分布图 1.1访问量分布 经过对年度访问量的分析，我们发现访问量在一年中的不同时间段呈现出不同的趋势。 10月30日波峰： 从9月份开始，访问量逐渐攀升，到10月30日达到全年最高峰，这一增长趋势和高校每年的选课活动有关。高校每年9月份开学，10-12月会有几天到一周的选课时间窗，因此进入10月份后，学生会频繁访问系统，查看选课信息。 具体峰值出现在10月30日（星期一），表明这一天是多个学校的选课时间窗第一天，因此学生在这一时期对网站或服务的需求特别强烈。这也是我们保障高校服务、提升用户 体验的重要窗口期。 12月4日次峰： 访问量在12月4日（星期一）达到全年的次高峰9771112人次。这说明还有很多高校的选课是从这一天开始的，因此带来了高访问量。 4月份小高峰： 1.1.2日访问量分布 日访问量分布图 上半年整体访问频度较低，只有4月份的访问量相对较高，形成了一个小高峰。这一波动可能与四六级等考试报名有关。 24 经过对日访问量的分析，可以看出访问量在每天的上午10点、下午3点、晚上8点各有一个波峰，这和我们的日常工作习惯相符合。 每日的深夜至清晨，即从0点至早上7点，虽然访问量相对较低，但始终有师生在使用我们的应用，占比维持在峰值的5%至10%之间。这一现象反映出我们众多师生辛勤工作的精神风貌（当然也受应用全球服务的影响，比如美国和欧洲用户登录系统）。 有趣的是，凌晨3点的访问量超过了凌晨2点，这个让人很难理解。我们猜测可能是 一些运维工作必须要凌晨2点之后才能做，亦或凌晨2点之后有一些自动脚本的运行影响了数据。 1.2.1终端类型占比 终端类型占比图 1.2访问终端分析 终端类型变化趋势图 1.2.2终端操作系统占比 终端操作系统变化趋势图 终端操作系统占比图 访问终端类型分析主要涉及到对学生、教职工和其他访问者所使用的设备进行统计和分类。这些设备包括PC（台式机和笔记本）、智能手机、平板电脑。通过统计和分类不同设备的使用情况，我们发现PC（包括台式机和笔记本）依然占据主导地位，然而，在选课高峰期，智能手机的使用频率和比例均显著上升，这一趋势体现了移动设备的普及和便利性，也反映了用户在不同场景下对访问方式的多样化需求。 经过对访问终端操作系统的分析，我们发现Windows操作系统还是占据主流地位，Win10和Win7合计占比66%。说明由于Windows操作系统的普及性和兼容性，且提供了丰富的软件生态和用户友好的界面，适用于各种学术和日常任务，大多数高校访问终端都会运行Windows系统。 1.2.3浏览器占比 使用的浏览器变化趋势图 使用的浏览器占比图 经过对访问终端使用的浏览器进行分析，我们发现Chrome浏览器最受高校师生欢 迎，占比超过80%。和其他行业明显的不同是，高校有一定比例的访问使用了QQ浏览器，这是因为很多师生日常生活学习中喜欢使用QQ作为通讯工具，这对于需要频繁交换资料的高校师生来说，是一个非常实用的功能。 不过在选课期间，Chrome浏览器和Safari浏览器的使用量大幅提高，而QQ浏览器没有明显的变化，这说明高校的选课系统普遍不支持QQ浏览器。 1.3账号和应用分析 1.3.1账号活跃度分析 账号活跃度变化趋势图 账号活跃度图 高校作为一个庞大的学术社区，拥有大量的学生和教职工。这些用户群体构成了高校活跃账号的主要基础。由于学生数量众多，且大多数学生都会使用在线平台进行学习、交流和娱乐，因此高校的活跃用户数量相对较大。 高校的学生和教职工通常有着明确的学习和工作计划。他们会在特定的时间段内集中使用在线平台以获取学习资料、与同学交流、关注校园动态等。这种学习和生活节奏使得他们的活跃时间比较集中。 1.3.2跨国访问分析 访问国家分布海外访问国家分布 跨国访问占比图 经过对跨国访问的统计占比分析，我们惊奇地发现，访问来源地的多样性远超预期，延伸至海外多个国家，凸显了我们高校业务在国际间的广泛影响力。 1.3.3应用响应结果分析 应用响应结果变化趋势图 成功 临时移动未找到未授权未修改 服务器内部错误永久移动 无内容 应用响应结果占比图（Top10） 成功 临时移动未找到未授权未修改 服务器内部错误永久移动 无内容 经过对应用响应结果的分析，发现高校的应用访问基本上处于正常状态，正常响应的占比基本保持平稳，这是一个积极的信号，表明大多数应用都能提供稳定可靠的服务。 然而，分析中也可能会发现一些异常情况，这些异常响应包括超时、错误码、空响应等。通过分析错误码，高校可以了解应用出现问题的具体原因。例如，某些错误码表示服务器内部错误、网络错误或参数错误等。通过对这些错误码进行深入分析，高校可以快速定位问题并采取相应的解决措施。 PART 02 高校应用访问现状分析 基于对高校应用访问数据的深入分析，我们高校的应用访问有以下特点： （1）用户规模庞大 高校作为教育和科研的重要基地，拥有庞大的用户群体，活跃用户基本都在万级，包括学生、教职工以及各类行政管理人员。这些用户在日常教学、科研和管理活动中，频繁使用各种应用系统，导致用户规模呈现庞大的特点。 （2）终端种类繁多 高校用户的终端设备呈现多样化特点，除了传统的PC和笔记本外，智能手机、平板等移动设备也广泛使用。这些终端设备所搭载的操作系统、浏览器以及各类软件工具各不相同，其多样性和复杂性给管理和安全防护工作带来了不小的挑战。 （3）网络攻击面广泛 高校网络环境具备开放性特点，跨省甚至跨国的访问都已经成为常态，这使得其成为网络攻击的重点目标。攻击者可能利用漏洞、恶意软件等手段，通过不同的入口点发起攻击，导致网络攻击面广泛，给高校网络安全带来严重威胁。 （4）业务应用复杂 高校业务涵盖教学、科研、管理等多个方面，其应用系统呈现出复杂多样的特点，这些系统中存储着大量的敏感数据，包括学生个人信息、科研成果等，一旦发生泄露事件，将给高校带来不可估量的损失。 （5）运维工作压力大 面对庞大的用户群体、多样的终端设备、复杂的业务应用以及数据泄露风险，高校运维团队的工作压力巨大，需要专业的技术支持和高效的运维团队不断更新和维护系统、监控网络安全、处理突发事件等，以确保高校信息系统的稳定和安全运行。 高校零信任安全的主要场景和对应方案 PART 03 为了应对高校应用访问遇到的困难，零信任安全防护体系被广泛应用于高校的各个领域，全面保障高校身份、终端、应用和数据的安全。 通过对600多所高校的成功实践进行深入分析，我们总结出以下四个关键应用场景。 3.1场景1：无感知安全访问 无感知安全访问架构图 无感知安全访问是在不改变高校师生原有访问习惯的前提下，对访问链路和访问目的进行安全保护的场景。 通过与学校原有信息门户的无缝融合，对门户中业务进行代理转发，有效隐藏了真实业务地址，从而避免了复杂的公网映射过程。这一举措使得内网业务实现了无限制地点的访问，极大提升了访问的便捷性。无论是校内还是校外，用户都可以通过PC端、浏览器或基于H5的企微/钉钉移动端等多种方式，轻松访问OA等有鉴权业务或官网等无鉴权业务。 3.2场景2：敏感业务安全访问 敏感业务安全访问是基于用户、终端、应用的安全能力，构筑安全、稳定、统一的访问渠道，避免敏感应用和数据受到网络威胁的场景。 敏感数据安全保障思路图 通过整合终端域、用户域、应用域的风险识别、安全保护、实时监测和应急响应，零信任安全平台构筑了一套安全信息可见、安全风险可控、安全事件可查、安全架构可演进的安全保障体系。在此框架下，高校的信息资产得到了前所未有的保护。敏感应用，如学生信息管理系统、教职工薪酬系统、科研项目管理平台等，均被纳入了零信任安全平台的严密监控之下，任何未经授权或异常的访问请求，都将被迅速识别并阻断，确保数据的机密性和完整性不被侵犯。 3.3场景3：互联网安全外连 互联网安全外连是通过对访问域名进行分类识别，为高校构建健康绿色的互联网上网环境的场景。 威胁分析平台图 依托威胁分析平台海量域名标签对域名进行有效的分类识别，在域名递归解析阶段对高校上网流量进行有效的监控和管理，从而实现精细化的域名访问控制和上网行为管理，快速识别和阻断挖矿、木马、APT等恶意攻击，保护高校网络免受威胁，同时发现并阻断对娱乐、博彩、音视频等网站的访问，营造绿色健康的上网环境。 3.4高校零信任项目交付实施的特殊性 高校作为一个特殊的组织，其网络不仅承载着大量的教学、科研和管理任务，还涉及到学生、教师、行政人员等多类用户群体。同时高校的信息资产具有较高的价值，包括科研成果、教学资料、学生信息等。这种复杂性、多样性和独特性使得高校零信任安全项目的实施难度加大，需要综合考虑各种应用场景和用户需求。 高校零信任安全项目交付实施的特殊性主要体现在以下几个方面： （1）学生和教职工的广泛分布 教育行业作为一个庞大的系统，涵盖了广泛的学生、教职工和其他工作人员群体。这些用户可能分散在不同的地理位置，使用多种设备和运营商连接，因此需要确保在不同的 位置和设备上的访问都能够正常访问并受到管控。 （2）多样化的设备和应用 教育行业涉及的设备和应用程序种类繁多，包括笔记本电脑、平板电脑、智能手机以及各种教学应用和管理系统。在实施时需要明确用户客户端的适用范围，并提供相关版本确保这些设备和应用都能被有效地集成和管理，提供统一的安全性和访问控制。 （3）灵活性和可扩展性 教育行业的网络压力常随学期、课程的变化而波动，尤其在开学选课、考试报名等高峰时段，因此在实施时需预留冗余资源，并进行