随着数字化转型持续深入,“智慧校园”已成为高校发展的必经之路。从统一门户、一卡通到教务系统、选课系统,各类应用极大地便利了师生的工作与学习。
然而,便捷的背后也隐藏着一系列安全挑战。为了满足师生校外访问的需求,许多应用不得不暴露在互联网上,这无异于将学生档案、考试成绩、科研成果等核心数据置于恶意扫描和网络攻击的风险之下。采用传统的VPN作为远程接入解决方案,又常常因为需要安装客户端、操作复杂,师生体验不佳,面临着“推广难、使用难”的窘境。
日常的网络安全检查与越来越实战化的攻防演练,更是给高校的IT运维人员带来了巨大挑战。
业务场景多、保密要求高、访问角色杂、访问平台广……高校迫切需要更安全、更高效、更可靠的业务应用访问解决方案,为“智慧校园”筑牢安全基石。
面对这个需求,芯盾时代作为领先的零信任业务安全产品方案提供商、软件定义边界(SDP)市场的头部玩家,给出了自己的答案——零信任安全网关(SDP)!
芯盾时代零信任安全网关(SDP)
芯盾时代作为领先的零信任业务安全产品方案提供商,以零信任理念为指引,以软件定义边界为架构,以自主研发的核心技术为支撑,打造了零信任业务安全平台(SDP),打造安全、智能、高效的智慧校园访问新体验。
在架构上,芯盾时代SDP采用软件定义的方式,将控制器与网关分离,在安全性、可用性上具备天然优势。在功能上,芯盾时代SDP采用All in One设计,全面整合自主研发的全类型身份标识技术、智能风险度量技术、切面安全技术、终端密码安全技术等核心技术,为高校重新构建安全边界,从网络、设备、身份、权限、数据五个维度,对每一次业务访问实施全程的、动态的、细粒度的动态访问控制,一站式建立安全、便捷、合规的零信任网络访问系统。
借助芯盾时代SDP,高校可以在低改造甚至零改造的情况下,一站式实现强大功能:
收敛资源暴露面,远程接入更安全
在安全层面,芯盾时代SDP采用流量代理和SPA单包授权技术,将统一门户、教务系统、科研管理等业务应用收缩至内网,不对未通过预认证的设备开放端口,从而大幅缩减暴露面,从源头上拦截非法的恶意扫描和网络攻击 。
在体验层面,芯盾时代SDP支持有客户端和免客户端两种模式。在侧重安全的场景下,高校可采用有端模式,对终端进行强管控,避免设备带病入网。在侧重体验的场景下,高校可采用免客户端模式,在不改变师生原有业务访问习惯的同时,提升访问的安全性。
身份认证更精准,动态认证体验佳
智慧校园的建设、使用、运维涉及教师、学生、行政人员、IT运维、合作单位人员等众多角色。芯盾时代SDP本身具备强大的身份安全能力,高校即可将SDP作为认证源,一站式实现全局多因素认证,也可将SDP与学校已经建设好的统一认证系统或企业微信、钉钉、飞书等认证源进行对接,借助SDP的单点登录功能,实现“一次登录,全网通行”的便捷效果 。
针对不同的身份、设备、IP、时间等因素,芯盾时代SDP还能进行动态的风险评估和自适应增强认证。例如,在访问核心科研系统或处理学生档案等敏感数据时,系统可自动根据风险因素选择是否执行二次认证,如访问者未使用常用设备,则要求访问者进行人脸识别或输入动态口令,既保障了安全,又提升了体验。
远程运维更安全,权限管控更精细
高校的数字化系统由不同的供应商建设并提供运维支持,需要面向三方运维人员开通大量服务器、虚拟机的账号用于远程接入和运维,由此带来了第三方人员权限过大的安全隐患。
芯盾时代SDP能够从三个层面保障远程运维的安全性。首先,将服务器、虚拟机等资源隐藏在内网,结合多因素认证、终端准入控制、可信应用识别,同时对身份、设备、应用进行认证,确保只有可信的设备、人员和应用才能接入并执行运维操作。其次,叠加指令级权限控制、IP/时间/地点等行为管控,实现动态按需增强认证,并记录所有操作日志。最后,使用安全沙箱在运维终端创建安全运维空间,仅允许在空间内执行运维操作,禁止数据外发、保存至本地、截屏/录屏等违规操作,防止数据泄露。
核心资产不落地,敏感数据不泄露
科研成果和学术数据、学生档案等是高校的重要资产,需要在确保数据安全的前提下进行分享和存储,一旦发生泄露,将面临名誉与资产的双重损失。
芯盾时代SDP通过安全沙箱技术,可以在访问终端上构建一个与本地完全隔离的安全工作空间。核心的学术资料和敏感数据只能在这个“保险箱”内查看和使用,数据被加密存储,无法被复制、截屏、打印或外发,从根本上杜绝了信息泄露的可能。同时,芯盾时代SDP还可以为页面添加防伪溯源的水印,进一步保障数字学术资产安全,消除数据被窃取的风险。
多场景全覆盖,校园应用更广泛
除了核心的远程接入和运维场景,芯盾时代SDP还能一站式解决高校信息化的多种需求:
图书馆资源全域访问:通过芯盾时代SDP发布电子图书馆资源,结合精准身份识别,可以保证授权师生在放假、外出、实习等场景下随时随地访问图书馆资源。针对核心资源的公共账号,可识别账号多地登录、频繁登入登出等异常,增加动态增强认证,减少账号外借情况
IPV6合规改造:芯盾时代SDP支持原应用服务零变更升级IPV6,提供IPV6代理访问。提供TLS加密传输,代理原https/http应用资源,向外提供https访问,TLS加密传输所有流量。
邮箱增强认证:芯盾时代SDP无需邮箱改造,对于邮箱客户端、web页面均可按需针对登录、发件、收件增加二次认证,可提供无需安装认证APP的钉钉/微信推送确认消息、短信认证链接等认证方式,提升邮箱访问安全的同时,减少运维压力。
移动校园应用安全:芯盾时代SDP可以在不改变原有访问方式的同时将业务系统收缩到内,师生通过APP(提供SDK集成),在认证后基于加密隧道安全地访问业务系统。对于企微/钉钉/飞书 H5应用,无需额外安装客户端,也能够缩减暴露面,还支持在无改造的情况下实现单点登录及动态增强认证效果。
教育部发布的《高等学校数字校园建设规范(试行)》等政策,已明确要求在身份鉴别、加密传输、访问控制等方面进行建设与规范。芯盾时代SDP方案已在多家高校成功落地,通过替换传统VPN,对接统一身份认证,以SDK集成方式实现了师生“一次认证、处处通行”的安全便捷访问。