智慧校园下网络安全管理与防范措施研究.pdfVIP

《网络安全技术与应用》2023年第12期校园网络安全

图2某校零信任方案在校园网部署

4基于零信任的网络安全架构分析心跳报文会判断平台异常，自动下发全流量放通策略，保证公网已经

通过分析，零信任采用“先认证后连接”的机制，最大限度地较少上线的用户正常访问业务系统，内网所有用户正常访问业务系统【4】。

了对外连接的攻击面，屏蔽了TCP／IP开放和不安全的基本特性，使5结束语

用户服务完全隐藏在安全设备之后，在一定程度上减少零日漏洞随着信息技术的高速发展，传统的网络安全架构面临可持续威胁

攻击、非法授权访问、内部威胁、数据泄漏等安全风险，面对众多复

(zem_day)和分布式拒绝服务漏洞(DDos)的攻击，相比传统vPN

接入方式，具有先天的安全优势，可以最大程度减少网络安全威胁，杂的攻击，一个网络即使采用完备的边界防护手段，也有可能会被攻

具有以下优势。陷。一旦攻击者突破网络的边界防护，便可以在内网中获取到更高的

4．1网络真隐身访问权限，从而窃取内网数据资源。零信任作为一种新的网络安全架

将首次安全访问放入安全缓冲区，可实现应用真隐身，极大地缩构，认为网络中任何连接主体都是不可信任的，与传统的划分区域网

小了应用的网络暴露面，能够大幅消减端口扫描、DDoS等多种网络络模型比较，网络是否安全不能由部署位置所决定，零信任采用“先

攻击。认证后连接”的机制，最大限度地减少对外连接的攻击面，屏蔽了

4．2持续信任评估TCP／IP开放和不安全的基本特性，使用户服务完全隐藏在安全设备之

可将终端环境信息进行实时上报能力，并结合上报信息、用户行后，可以最大程度减少网络安全威胁【8】。

为等综合计算访问主体安全级别，对访问主体进行风险评估。

参考文献

4．3动态访问控制

可依据持续信任评估结果，联动身份、权限等模块，生成动态访[11卢宏才．一种改进的RBAC访问控制模型在WEB系统中

问控制策略，并下发至网关执行。

4．4最小化环境改造61．

不改变整体的网络架构，只在内网增加部署零信任的管理平台及[2】陈飞．零信任网络中基于区块链的访问控制机制研究[D】．

代理网关，同时通过SDK+现有门户的方式，保留原有使用习惯做到南京邮电大学，2022．

无感接入。

[3]张宏涛．车载信息娱乐系统安全研究[D]．战略支援部队信

4．5减少维护投入

息工程大学．2021．

通过管理平台实现可视化运维、策略配置、日志分析等功能，同

f41于欣越，孙刚，张亚伟．基于零信任的软件定义边界网络隐

时在客户端上展示终端的安全状态，便于用户自行优化终端环境，减

身技术研究[J】．通信技术，202l，54(5)：1229．1234．

轻运维人员压力。

4．6逃生机制[5]王扣武，张瑶铭，王婧如．基于下一代防火墙的企业网络安

全设计与实现【J]．信息技术与信息化，2019(06)：123．126．

零信任安全代理网关备逃生机制，当检测到异常后能自动隔离或

进行全流量放通保障业务正常运行。[6】卢宏才，程建峰．高可靠高安全的校园网络优化与设计～

(1)策略路由(零信任网关逃生)：零信任网关支持