校园网“零信任”防护方案_谢敏.pdf
《校园网“零信任”防护方案_谢敏.pdf》由会员分享,可在线阅读,更多相关《校园网“零信任”防护方案_谢敏.pdf(4页珍藏版)》请在咨信网上搜索。
1、电脑与电信电脑与电信545513 陶文辉,马桂香.基于工匠精神的职业教育人才培养实践研究J.职教论坛,2017(2):60-64.15 匡瑛.智能化背景下“工匠精神”的时代意涵与培育路径J.教育发展研究,2018,38(1):39-45.17尹秋花.高职院校工匠精神培育的现实困境与实践路径J.教育与职业,2019(6):38-41.研究D.吉首:吉首大学,2018.9 朱永坤.工匠精神:提出动因、构成要素及培育策略以技术院校为例J.四川师范大学学报(社会科学版),2019,46(02):133-141.11 肖群忠,刘永春.工匠精神及其当代价值J.湖南社会科学,2015(6):6-10.12
2、李进.工匠精神的当代价值及培育路径研究J.中国职业技术教育,2016(27):27-30.14 金璐,任占营.依托职业技能大赛培育“工匠精神”的实践与探索J.中国职业技术教育,2017(10):59-62.16 许应楠.职业院校人才工匠精神培育影响因素模型构建研究J.中国职业技术教育,2018(2):10-13.18杜晓光.新时代高职院校工匠精神的培育J.教育与职业,2019(7):78-83.19杨进.建设知识型、技能型、创新型劳动者大军J.中国职业技术教育,2017(34):12-17.21吕太之,孙炯宁,陈勇.技能竞赛任务驱动下的SPOC混合式教学研究J.中国职业技术教育,2019(26
3、):71-77.Research on Craftsman Spirit Cultivation for IT Professionals in Higher Vocational InstitutesAbstract:The craftsmanship spirit of IT professionals in higher vocational institutes is the internal requirement for the industry development,major development and talent development of IT.Based big
4、 data analysis of the unskilled requirement for IT positions,the special professionalism for IT professionals is proposed.The current situation of IT talent cultivation in vocational colleges is analyzed.A craftsmanship spirit cultivation method for IT students of Jiangsu Maritime Institute is const
5、ructed.It includes project-based teaching,professional spirit cultivation,education reform,skills competition and so on.It can effectively promote the development of IT vocational education from the supply side.Keywords:craftsman spirit;IT professionals;vocational colleges;talent cultivation;reform
6、for teachers,textbooks and teaching method1,21LV Tai-zhi ZHANG Jun(1.Jiangsu Maritime Institute,Nanjing 211170,Jiangsu;2.Nanjing Longyuan Microelectronic Company Limited,Nanjing 211106,Jiangsu)Design and Implementation of Pharmacy Intelligent Management System Based on WeChat AppletAbstract:In order
7、 to improve the working efficiency of the traditional Chinese medicine pharmacy in the county level hospital,and improve the satisfaction of patients,a WeChat applet of Chinese Medicine Help based on the intelligent management of the pharmacy is developed and designed.The system uses the Wechat appl
8、et development framework Mina,and the system languages WXML,WXSS and JavaScript.MySQL is used in the background to develop the database.Based on the detailed analysis of the workflow of Chinese pharmacy and the needs of patients,the functional modules are designed,mainly including three modules:phys
9、ician interface,patient interface and pharmacist interface,which specifically solve the functions of uploading doctors prescriptions,querying patients order payment,and pharmacy business processing.Keywords:Wechat mini program;MySQL;JavaLI Dan QI Fang-yao(Shanxi University of Chinese Medicine,Taiyua
10、n 030024,Shanxi)(上接第48页)校园网“零信任”防护方案12谢 敏 张淏湜摘 要:针对校园网管理繁琐、维护困难、资源利用率低、图书馆资源易被恶意下载等问题,定向打造SDP解决方案,助力大学教育能够实现统一管理、便捷访问。SDP零信任安界防护平台作为应用访问唯一入口,只允许内部IP段放行访问,通过加密业务,防止真实域名对外暴露;采用最小化权限原则,对师生权限进行统一、精细化管理,防止未授权访问等行为。(1.南京邮电大学通达学院,江苏 扬州 225000;2.中国移动通信集团江苏有限公司扬州分公司,江苏 扬州 225000)关键词:校园网;零信任;安全中图分类号:G47;TP393
11、.08 文献标识码:A 文章编号:1008-6009(2022)11-0055-03当前我国正处在国际竞争的关键时期,我国的互联网正遭受互联网建设以来最为严峻的安全挑战。当前网络安全主要面临的问题主要包括:(1)网络暴露面收敛难:现有远程办公手段如VPN,导致业务暴露;内部办公、运维等多场景接入,业务面无法有效收敛。(2)终端安全统一管控难:终端设备、BYOD缺少统一管控手段,终端风险较大;各类接入电脑不受管控,很容易感染病毒木马,会造成终端的数据泄露。(3)对外出口众多,难收敛:业务系统众多,发布在互联网侧导致互联网出口增加,安 全隐患较大;员工日常办公软件众多,访问入口不统一,体验差。(4
12、)业务自身漏洞被利用风险:外来用户类型多,安全策略粒度粗,可能导致敏感数据泄露、网络及业务系统遭到破坏;针对不同类型人员没有无法实现细颗粒度授权,不符合“最小权限”控制原则。原有远程接入校园网的痛点:原有VPN并发数量1 引言2.1 原接入方案2 高校互联网业务原有接入方案分析用户访问OA,直接输入WAF代理的OA的地址,请求通过WAF与OA建立连接;因用户没有有效身份,OA将请求重定向到4A,用户与4A建立连接后获得4A下发的有效身份,4A将用户请求重定向到OA;用户携带4A下发的有效身份,和OA建立连接,访问OA。同时随着云计算、移动互联网、虚拟化、微服务等新技术的出现,校园网IT架构已经
13、发生了翻天覆地的变化,传统方案已经慢慢地不能满足云和移动时代所需的1,2安全、高效的访问体验。随着网络的发展,校园网的信息化面临着挑战:用户体量大,应用系统多,日常维3护工作难;身份认证方式单一,网络身份认证分散;校园网采购的设备属于不同厂家,网络架构不统一;高校远程接入规模大、用户体验要求高,传统方案难以应4-6用,存在架构部署不灵活、扩容复杂等问题。针对校园网存在的这些问题,本文探讨提供统一的Web应用访问入口,敏捷管理应用访问安全;学校门户和网上办事大厅融合,提供一致的访问体验,提高电子资源利用率;通过信息系统融合,细粒度权限控制和日志分析预警,细粒度权限管理,学生、老师和维护人员的权限
14、分开。在提升用户体验的同时,保障应用访问安全。2.2 存在问题作者简介:谢敏(1988),女,江苏扬州人,硕士研究生,讲师,研究方向为网络安全和图像识别。基金项目:南京邮电大学通达学院科研项目,项目编号:XK201XZ19012。图1 原代理接入方案DOI:10.15966/ki.dnydx.2022.11.005电脑与电信电脑与电信57(1)用户访问OA等校园内网,直接输入安界代理的OA地址,请求到达安界;3.1 接入架构首先建设应用安全发布体系,包括互联网业务安全发布平台,隐藏业务端口,收敛暴露面;其次实现安全接入,通过目前校园接入的APP改造,集成零信任SDP(Software-Defi
15、ned Perimeter),实现业务零信任化,教师和学生的PC通过客户端安全接入,满足用户使用PC访问;其次优化安全策略,制定有效的、契合业务、合规的访问控制策略;最后建设对用户访问画像、异常感知、访问趋势等日志感知能力,实现用户访问感知的提升。可信接入代理作为用户、设备访问应用系统的唯一入口,将用户访问由传统的先连接、再认证升级至先认证、再连接的模式,避免用户对应用系统进行直接接触式访问,用户对应用资源的访问请求必须经过可信应用代理,所有应用系统不再暴露在网络上,实现业务的隐藏,缩小暴露面。可信应用代理受零信任安全策略中心的管控与调度,形成联动效果。3.2 接入方案“零信任”安全可信访问体
16、系,可与现有的IAM或4A对接,获取合法用户的基本信息,仅允许合法用户使用受信的设备,才能发起对后端业务的访问。同时诸多业务或微服务之间的数据调用请求,需经过API网关进行鉴权。针对高校管理繁琐、维护困难、资源利用率低的问题,构建了“零信任”的接入架构,可以对高校网络实现统一管理、便捷访问。(4)用户通过安界,与4A登录页面建立连接,获得4A下发的有效身份;(5)安界将用户重定向到安枢,用户携带4A下发的有效身份发起请求;不足,无法弹性升级,需要更换高性能设备;员工远程办公场所环境不可控,存在安全风险;远程办公,传统远程接入方式配置繁琐,使用不便利。缺乏基于用户行为的风险评估和联动,不能动态调
17、整访问权限。(2)因用户未携带安枢下发的身份,安界也未得到安枢下发的策略,因此安界将请求重定向到安枢;(3)因用户没有有效身份,安枢下发可访问4A登录页的有效身份给用户、同时下发可访问4A登录页的访问策略给安界,重定向客户的请求到安界;(6)安枢验证4A下发的有效身份后,下发可访问OA的有效身份给用户、同时下发可访问OA的访问策略给安界;3“零信任”SDP接入方案接入流程如下:(7)用户携带安枢下发的有效身份,通过安界访图2 接入架构图3 零信任SDP3.4“零信任”接入方案的优势问OA。3.3 方案效果“零信任”接入方案的建设,弥补了原有校园网远程接入的风险隐患。通过建设统一身份认证登录页面
18、,满足了多级认证和组合认证的要求,身份认证更安全。方案基于用户/组策略模式,对外统一发布应用,提供可视化应用清单,可以基于用户行为的学习建模和风险评估,支持动态权限调整。同时通过隐藏核心应用,提升数据安全,防止DDoS等黑客攻击。(1)安全增强原方案是为了解决连接的问题而设计的,其架构本身就没有考虑安全问题,所以各种漏洞频现。虽然也有VPN厂家号称可以隐藏应用,但是其VPN设备本身却是暴露的,成为黑客的攻击点,近年来某些VPN被黑客利用泄露大量数据可以证明这个问题。(2)管理方便原方案在鉴定用户身份后即开放相应权限,缺乏整体的安全管控分析能力,容易受到弱口令、凭证丢失等方式的安全威胁。SDP在
19、每次对用户授权时会基于用户账号执行多因子认证,同时检测终端安全态势,评估用户接入信任等级,以信任评估等级决策授权内容。(3)部署灵活原部署方案一般需要考虑网络的拓扑结构,升级往往要做设备替换,因为是网络层的应用因而客户端侧容易出现各种连接不上的问题,需要管理员投入大量精力,人力成本高。4 日志审计服务SDP的部署不需要改变现网结构,同时可以随时根据需要,通过增加设备或虚拟机弹性扩容。SDP的端侧应用直接通过企业统一门户下载,应用层软件稳定性高,大大减少了管理员的人工成本。SDP架构是基于零信任安全设计的,其设计的目的就是解决应用访问的安全,SDP的应用隐藏是将所有应用隐藏(包括SDP自己),这
20、样黑客就没有攻击点。方案的建设也能实现日志审计,可以全方位多维度的安全数据挖掘,支持用户、设备、应用等维度数据采集,对用户行为、设备等信息进行全面统计并输出多维度报表,使校园网管理员可以清晰了解企业用户、设备、平台、系统的登录及使用情况,进而根据理性数据对企业信息化建设进行优化。详尽的日志记录功能可以详细记录系统管理员的所有操作。实现三个维度的管控:(1)终端用户行为日志:针对每个客户的所有操作行为,例如登录行为,应用网站访问行为,文件下载等行为作全面的记录。(2)系统运维日志:针对系统里的各种组件的运行情况做全面的记录,时刻掌握系统的健康状况。(3)异常情况告警日志:针对被系统捕获的任何异常
21、,例如用户登录异常、访问行为异常、运行状态异常、网络/主机入侵等异常均有详细记录。5 结语校园网“零信任”防护方案通过CSA云安全联盟提出的标准SDP架构为原型,为学校内部系统及外部访问构建一个安全可控的环境。方案从网络、用户、数据、应用、终端五个方面细化安全防护粒度,通过在发起访问的主体(人、设备、应用、微服务)与被访问的客体(应用、微服务接口、数据库)之间构建一条全流程加密的访问链路,保证了访问主体可信、链路可信、客体安全,加强用户在远程办公环境下通过终端接入有效身份验证,确保终端数据链路的安全,实现用户数据和应用的安全访问。“零信任”防护方案的实施首先可以实现安全、稳定的业务接入。用户账
22、户安全与设备安全统一管控,增强接入侧安全;同时通过隧道保活、断线重连等机制,确保隧道稳定,用户高效访问。其次可以实现多场景安全防护。外网接入安全,互联网暴露面收敛,保障对外业务安全;内网访问安全,规避非授权访问、凭证窃取、恶意访问等事件,提升内网安全;安全运维管控,敏感应用防护、操作审计,事件溯源。再次可以提升用户体验,降低运维工作量。实现安全策略统一管控,可视化态势感知总览全网,提升运维效率。最后可以保障业务安全访问。通过终端设备准入检测,实现终端特征码与账号之间的绑定,针对多类型身份数据源同步,实现多因素身份认证。基于RBAC的授权方式,满足了最小化授权原则,实现动态权限控制。3 宋屹,余
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 校园网 信任 防护 方案 谢敏
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。