“深信服零信任aTrust以身份为中心,通过实施最小权限访问、动态的访问控制和持续的信任评估,更大限度地缩小业务暴露面,为我校师生访问业务提供了“端到端”的全流程保护。”
——河南科技大学
高校数字化转型加快
随着教育信息化的发展,河南科技大学已经建设了丰富的数字化系统,师生可随时随地接入和访问校内资源,畅享数字化转型成果。在数字化转型背景下,河南科技大学的网络安全建设也面临了新的挑战:
1、网络安全形式日益严峻
随着高校数字化转型的快速发展,高校数据资产也趋于集中,数据的集中意味着价值的集中,自然也成为攻击者的首要攻击目标。同时,教育部《高等学校数字校园建设规范(试行)》对安全提出了更高要求,针对系统及应用,加强了对身份鉴别、访问控制、通信、传输等安全要求。
2、规模化、常态化的远程办公体系建设迫在眉睫
随着移动互联网的发展及智能终端的普及,加上疫情影响的驱动,师生远程办公、校外访问的需求日渐旺盛,智慧校园的数字化应用与用户之间的连接亟需打破校园网络限制。规模化、常规化的移动办公与远程办公已经成为高校新的办公协同方式。
3、传统VPN技术难以满足高校发展的要求
随着常态化远程办公的发展,SSL VPN越来越难满足高校的发展要求。第一,传统SSL VPN需先安装和登录客户端才能使用,无法实现无感知登录;第二,SSL VPN难以满足大规模并发接入要求;第三,SSL VPN仅把业务暴露面进行收缩,但VPN无法隐藏自身端口,仍在互联网暴露端口;第四,SSL VPN针对终端接入环境无法做任何检测,难以保障终端接入安全。
零信任架构满足转型需求
基于上述问题及挑战,深信服在深入了解河南科技大学需求后,建议采用零信任架构来满足数字化快速转型下的安全需求。通过零信任aTrust,以身份为中心,河南科技大学构建了可信访问、简化运维、智能权限的零信任安全架构。
△零信任安全架构
深信服零信任安全接入平台,由安全代理网关和控制中心两部分构成,实现控制面和数据面的分离。控制中心负责认证、授权、策略管理与下发,是整体的调度与管理中心,对接入的身份、终端、环境、行为进行信任评估,基于策略引擎配置的策略结果,决定允许或拒绝会话并可让可信网关进行放通或阻断。安全代理网关支持HTTPS代理访问和SSL隧道代理访问。控制中心和安全代理网关均受SPA单包授权技术对设备本身的服务进行隐身保护。
业务系统安全保障
业务系统通过零信任aTrust认证和代理后方可访问,大幅收缩业务暴露面,结合零信任隐藏自身设备端口特性以及终端数据安全能力,减少业务系统被攻击的可能性。
优异的兼容性和用户体验
全面兼容各类终端系统及浏览器,无需任何客户端、插件,即可实现安全接入访问校园内网数字化资源,降低了师生配置和使用过程中的复杂度,满足师生随时随地安全接入,全面提升师生体验。
无感知接入访问
通过与河南科技大学现有CAS系统对接,实现单点认证登录,满足了全校师生无感知登录和访问校园应用的需求。
高性能平台体验
凭借分体式设计以及多种选路和优化机制,访问速度及接入能力获得全面提升,能够支撑全校数万师生的访问需求和接入流量。
河南科技大学通过落地零信任,大限度缩小业务暴露面,在降低风险、保障安全的前提下,有效提升师生远程访问校园网络的便利性,解决河南科技大学数字化转型过程中带来的复杂安全问题,满足河南科技大学未来数字化转型安全建设需求。