零信任助力降本增效護安全，滿足數字化轉型安全建設需求 - 網安

深信服零信任aTrust以身份為中心，通過實施最小權限訪問、動態的訪問控制和持續的信任評估，更大限度地縮小業務暴露面，為我校師生訪問業務提供了“端到端”的全流程保護。

高校數字化轉型加快

隨著教育信息化的發展，河南科技大學已經建設了豐富的數字化系統，師生可隨時隨地接入和訪問校內資源，暢享數字化轉型成果。在數字化轉型背景下，河南科技大學的網絡安全建設也面臨了新的挑戰：

1、網絡安全形式日益嚴峻

隨著高校數字化轉型的快速發展，高校數據資產也趨于集中，數據的集中意味著價值的集中，自然也成為攻擊者的首要攻擊目標。同時，教育部《高等學校數字校園建設規范（試行）》對安全提出了更高要求，針對系統及應用，加強了對身份鑒別、訪問控制、通信、傳輸等安全要求。

2、規模化、常態化的遠程辦公體系建設迫在眉睫

隨著移動互聯網的發展及智能終端的普及，加上疫情影響的驅動，師生遠程辦公、校外訪問的需求日漸旺盛，智慧校園的數字化應用與用戶之間的連接亟需打破校園網絡限制。規模化、常規化的移動辦公與遠程辦公已經成為高校新的辦公協同方式。

3、傳統VPN技術難以滿足高校發展的要求

隨著常態化遠程辦公的發展，SSL VPN越來越難滿足高校的發展要求。第一，傳統SSL VPN需先安裝和登錄客戶端才能使用，無法實現無感知登錄；第二，SSL VPN難以滿足大規模并發接入要求；第三，SSL VPN僅把業務暴露面進行收縮，但VPN無法隱藏自身端口，仍在互聯網暴露端口；第四，SSL VPN針對終端接入環境無法做任何檢測，難以保障終端接入安全。

零信任架構滿足轉型需求

基于上述問題及挑戰，深信服在深入了解河南科技大學需求后，建議采用零信任架構來滿足數字化快速轉型下的安全需求。通過零信任aTrust，以身份為中心，河南科技大學構建了可信訪問、簡化運維、智能權限的零信任安全架構。

零信任安全架構

深信服零信任安全接入平臺，由安全代理網關和控制中心兩部分構成，實現控制面和數據面的分離。控制中心負責認證、授權、策略管理與下發，是整體的調度與管理中心，對接入的身份、終端、環境、行為進行信任評估，基于策略引擎配置的策略結果，決定允許或拒絕會話并可讓可信網關進行放通或阻斷。安全代理網關支持HTTPS代理訪問和SSL隧道代理訪問。控制中心和安全代理網關均受SPA單包授權技術對設備本身的服務進行隱身保護。

業務系統安全保障

業務系統通過零信任aTrust認證和代理后方可訪問，大幅收縮業務暴露面，結合零信任隱藏自身設備端口特性以及終端數據安全能力，減少業務系統被攻擊的可能性。

優異的兼容性和用戶體驗

全面兼容各類終端系統及瀏覽器，無需任何客戶端、插件，即可實現安全接入訪問校園內網數字化資源，降低了師生配置和使用過程中的復雜度，滿足師生隨時隨地安全接入，全面提升師生體驗。

無感知接入訪問

通過與河南科技大學現有CAS系統對接，實現單點認證登錄，滿足了全校師生無感知登錄和訪問校園應用的需求。

高性能平臺體驗

憑借分體式設計以及多種選路和優化機制，訪問速度及接入能力獲得全面提升，能夠支撐全校數萬師生的訪問需求和接入流量。

河南科技大學通過落地零信任，大限度縮小業務暴露面，在降低風險、保障安全的前提下，有效提升師生遠程訪問校園網絡的便利性，解決河南科技大學數字化轉型過程中帶來的復雜安全問題，滿足河南科技大學未來數字化轉型安全建設需求。