隨著數(shù)字化轉(zhuǎn)型持續(xù)深入，“智慧校園”已成為高校發(fā)展的必經(jīng)之路。從統(tǒng)一門戶、一卡通到教務(wù)系統(tǒng)、選課系統(tǒng)，各類應(yīng)用極大地便利了師生的工作與學習。

然而，便捷的背后也隱藏著一系列安全挑戰(zhàn)。為了滿足師生校外訪問的需求，許多應(yīng)用不得不暴露在互聯(lián)網(wǎng)上，這無異于將學生檔案、考試成績、科研成果等核心數(shù)據(jù)置于惡意掃描和網(wǎng)絡(luò)攻擊的風險之下。采用傳統(tǒng)的VPN作為遠程接入解決方案，又常常因為需要安裝客戶端、操作復雜，師生體驗不佳，面臨著“推廣難、使用難”的窘境。

日常的網(wǎng)絡(luò)安全檢查與越來越實戰(zhàn)化的攻防演練，更是給高校的IT運維人員帶來了巨大挑戰(zhàn)。

業(yè)務(wù)場景多、保密要求高、訪問角色雜、訪問平臺廣……高校迫切需要更安全、更高效、更可靠的業(yè)務(wù)應(yīng)用訪問解決方案，為“智慧校園”筑牢安全基石。

面對這個需求，芯盾時代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商、軟件定義邊界（SDP）市場的頭部玩家，給出了自己的答案——零信任安全網(wǎng)關(guān)（SDP）!

芯盾時代零信任安全網(wǎng)關(guān)（SDP）

芯盾時代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，以零信任理念為指引，以軟件定義邊界為架構(gòu)，以自主研發(fā)的核心技術(shù)為支撐，打造了零信任業(yè)務(wù)安全平臺（SDP），打造安全、智能、高效的智慧校園訪問新體驗。

在架構(gòu)上，芯盾時代SDP采用軟件定義的方式，將控制器與網(wǎng)關(guān)分離，在安全性、可用性上具備天然優(yōu)勢。在功能上，芯盾時代SDP采用All in One設(shè)計，全面整合自主研發(fā)的全類型身份標識技術(shù)、智能風險度量技術(shù)、切面安全技術(shù)、終端密碼安全技術(shù)等核心技術(shù)，為高校重新構(gòu)建安全邊界，從網(wǎng)絡(luò)、設(shè)備、身份、權(quán)限、數(shù)據(jù)五個維度，對每一次業(yè)務(wù)訪問實施全程的、動態(tài)的、細粒度的動態(tài)訪問控制，一站式建立安全、便捷、合規(guī)的零信任網(wǎng)絡(luò)訪問系統(tǒng)。

借助芯盾時代SDP，高?？梢栽诘透脑焐踔亮愀脑斓那闆r下，一站式實現(xiàn)強大功能：

收斂資源暴露面，遠程接入更安全

在安全層面，芯盾時代SDP采用流量代理和SPA單包授權(quán)技術(shù)，將統(tǒng)一門戶、教務(wù)系統(tǒng)、科研管理等業(yè)務(wù)應(yīng)用收縮至內(nèi)網(wǎng)，不對未通過預認證的設(shè)備開放端口，從而大幅縮減暴露面，從源頭上攔截惡意掃描和網(wǎng)絡(luò)攻擊 。

在體驗層面，芯盾時代SDP支持有客戶端和免客戶端兩種模式。在側(cè)重安全的場景下，高?？刹捎糜锌蛻舳四Ｊ剑瑢K端進行強管控，避免設(shè)備帶病入網(wǎng)。在側(cè)重體驗的場景下，高?？刹捎妹饪蛻舳四Ｊ?，在不改變師生原有業(yè)務(wù)訪問習慣的同時，提升訪問的安全性。

身份認證更精準，動態(tài)認證體驗佳

智慧校園的建設(shè)、使用、運維涉及教師、學生、行政人員、IT運維、合作單位人員等眾多角色。芯盾時代SDP本身具備強大的身份安全能力，高校即可將SDP作為認證源，一站式實現(xiàn)全局多因素認證，也可將SDP與學校已經(jīng)建設(shè)好的統(tǒng)一認證系統(tǒng)或企業(yè)微信、釘釘、飛書等認證源進行對接，借助SDP的單點登錄功能，實現(xiàn)“一次登錄，全網(wǎng)通行”的便捷效果 。

針對不同的身份、設(shè)備、IP、時間等因素，芯盾時代SDP還能進行動態(tài)的風險評估和自適應(yīng)增強認證。例如，在訪問核心科研系統(tǒng)或處理學生檔案等敏感數(shù)據(jù)時，系統(tǒng)可自動根據(jù)風險因素選擇是否執(zhí)行二次認證，如訪問者未使用常用設(shè)備，則要求訪問者進行人臉識別或輸入動態(tài)口令，既保障了安全，又提升了體驗。

遠程運維更安全，權(quán)限管控更精細

高校的數(shù)字化系統(tǒng)由不同的供應(yīng)商建設(shè)并提供運維支持，需要面向三方運維人員開通大量服務(wù)器、虛擬機的賬號用于遠程接入和運維，由此帶來了第三方人員權(quán)限過大的安全隱患。

芯盾時代SDP能夠從三個層面保障遠程運維的安全性。首先，將服務(wù)器、虛擬機等資源隱藏在內(nèi)網(wǎng)，結(jié)合多因素認證、終端準入控制、可信應(yīng)用識別，同時對身份、設(shè)備、應(yīng)用進行認證，確保只有可信的設(shè)備、人員和應(yīng)用才能接入并執(zhí)行運維操作。其次，疊加指令級權(quán)限控制、IP/時間/地點等行為管控，實現(xiàn)動態(tài)按需增強認證，并記錄所有操作日志。最后，使用安全沙箱在運維終端創(chuàng)建安全運維空間，僅允許在空間內(nèi)執(zhí)行運維操作，禁止數(shù)據(jù)外發(fā)、保存至本地、截屏/錄屏等違規(guī)操作，防止數(shù)據(jù)泄露。

核心資產(chǎn)不落地，敏感數(shù)據(jù)不泄露

科研成果和學術(shù)數(shù)據(jù)、學生檔案等是高校的重要資產(chǎn)，需要在確保數(shù)據(jù)安全的前提下進行分享和存儲，一旦發(fā)生泄露，將面臨名譽與資產(chǎn)的雙重損失。

芯盾時代SDP通過安全沙箱技術(shù)，可以在訪問終端上構(gòu)建一個與本地完全隔離的安全工作空間。核心的學術(shù)資料和敏感數(shù)據(jù)只能在這個“保險箱”內(nèi)查看和使用，數(shù)據(jù)被加密存儲，無法被復制、截屏、打印或外發(fā)，從根本上杜絕了信息泄露的可能。同時，芯盾時代SDP還可以為頁面添加防偽溯源的水印，進一步保障數(shù)字學術(shù)資產(chǎn)安全，消除數(shù)據(jù)被竊取的風險。

多場景全覆蓋，校園應(yīng)用更廣泛

除了核心的遠程接入和運維場景，芯盾時代SDP還能一站式解決高校信息化的多種需求：

圖書館資源全域訪問：通過芯盾時代SDP發(fā)布電子圖書館資源，結(jié)合精準身份識別，可以保證授權(quán)師生在放假、外出、實習等場景下隨時隨地訪問圖書館資源。針對核心資源的公共賬號，可識別賬號多地登錄、頻繁登入登出等異常，增加動態(tài)增強認證，減少賬號外借情況

IPV6合規(guī)改造：芯盾時代SDP支持原應(yīng)用服務(wù)零變更升級IPV6，提供IPV6代理訪問。提供TLS加密傳輸，代理原h(huán)ttps/http應(yīng)用資源，向外提供https訪問，TLS加密傳輸所有流量。

郵箱增強認證：芯盾時代SDP無需郵箱改造，對于郵箱客戶端、web頁面均可按需針對登錄、發(fā)件、收件增加二次認證，可提供無需安裝認證APP的釘釘/微信推送確認消息、短信認證鏈接等認證方式，提升郵箱訪問安全的同時，減少運維壓力。

移動校園應(yīng)用安全：芯盾時代SDP可以在不改變原有訪問方式的同時將業(yè)務(wù)系統(tǒng)收縮到內(nèi)，師生通過APP（提供SDK集成），在認證后基于加密隧道安全地訪問業(yè)務(wù)系統(tǒng)。對于企微/釘釘/飛書 H5應(yīng)用，無需額外安裝客戶端，也能夠縮減暴露面，還支持在無改造的情況下實現(xiàn)單點登錄及動態(tài)增強認證效果。

教育部發(fā)布的《高等學校數(shù)字校園建設(shè)規(guī)范（試行）》等政策，已明確要求在身份鑒別、加密傳輸、訪問控制等方面進行建設(shè)與規(guī)范。芯盾時代SDP方案已在多家高校成功落地，通過替換傳統(tǒng)VPN，對接統(tǒng)一身份認證，以SDK集成方式實現(xiàn)了師生“一次認證、處處通行”的安全便捷訪問。

如果您的高校也想讓每一位師生在任何時間、任何地點，使用任何網(wǎng)絡(luò)和設(shè)備，都能安全、便捷地訪問校園資源，芯盾時代零信任安全網(wǎng)關(guān)（SDP）是您的放心之選。