青岛酒店管理职业技术学院（以下简称青岛酒店管理职院）坐落于素有“红瓦绿树、碧海蓝天”之称的中国最美海滨城市、中国最宜居城市——青岛，是经教育部批准成立的省属公办全日制普通高校。学院办学历史可追溯到1945年成立的私立青岛商科职业学校，经过几代人的不懈努力和矢志追求，2002年在山东省青岛商业学校和山东省饮食服务技工学校基础上创办青岛酒店管理职业技术学院。2019年入选国家“双高”院校。

为了响应教育强国的号召，青岛酒店管理职业技术学院院领导一直非常重视信息化系统的建设，加快教育高质量发展，推进教育现代化。然而随着近年来网络威胁的不断增加，以及应对疫情下远程教学的需求，为广大师生提供安全、稳定的远程教育资源成为青岛酒店管理职业技术学院在2021年信息化建设中的重要目标。

基于上述建设目标，学院计划对现有的网络安全设备进行升级，重点是对远程接入能力进行升级。学院当前使用VPN来进行远程接入，VPN设备已经使用多年，已无法满足当前安全、稳定的远程接入需求。作为校外安全接入的第一道防线，VPN是承载众多师生在校外访问校内资源的关键平台，一旦VPN出现安全或稳定性问题，将对内网造成严重危害、直接影响校内业务的远程访问。因此青岛酒店管理职院在对远程接入能力升级时，对产品方案的选择格外重视，总结了目前遇到的问题：

挑战一

使用传统VPN，师生校外接入不方便

学院目前使用的是传统VPN，虽然与数字校园做了对接，但仅仅面对教职工开放校外访问。受疫情影响，校外访问扩大到全院师生，校外访问业务系统也越发频繁，传统VPN依赖客户端软件，使用方式复杂，影响师生体验，如何保障大规模校外访问的稳定性和使用体验是一个难题。

挑战二

弱密码难管理，安全隐患内部藏

弱密码是各种业务系统中的“顽疾”，是网络安全的重大隐患。恶意攻击者往往通过密码爆破的形式对系统进行攻击，造成数据泄露、业务被勒索等严重后果。青岛酒店管理职院希望能够基于账号的统一登录管理，对弱密码的账户进行识别与可视化管理，并且使用密码策略增强认证，保障登录的安全性。

挑战三

权限分配有难题，精细分配运维难

权限的粗放管理也带来很大的安全隐患，尤其是在使用人群扩大的全校师生后，通过在传统VPN中采用静态策略去分配不同的访问权限，很难应对各种突发的情况，一旦账号泄露或者处于终端失陷，就会对内网安全造成巨大的威胁。学院信息化资源丰富多样，需要对近2万师生的权限进行精细化管控，以保障网络资源不被非法使用和访问。

在面临以上挑战的基础上，青岛酒店管理职院对多种远程安全接入的方案做了详实的考察，发现不管是传统VPN还是WebVPN都不能满足学院信息化高速发展所带来的安全需求。

§  传统VPN虽然能通过加密技术保障数据在传输过程中的安全性，但是无法检验终端及所传输文件的安全性，因此存在安全隐患，并且频繁登录VPN客户端对于用户体验也有一定的影响。

§  WebVPN虽然提供了免客户端的远程接入，优化了访问体验，但是将登录端口直接暴露在公网上，增加了被攻击的风险，还是没有解决终端及文件安全风险。

因此，青岛酒店管理职院教育信息中心一直在寻求一个既符合当前校园信息化建设，又能提升全校师生的接入体验安全方案。教育信息中心陈主任在2020年了解到了零信任的概念，这时零信任在国内刚开始落地。零信任代表了新一代的网络安全防护理念，它的关键在于打破默认的“信任”，即对于需要业务连接的任何人、终端、环境进行“持续验证”，基于身份认证和精细化授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信。

陈主任认为未来网络是没有边界的，学校网络安全建设的方向也应该朝着零信任方向建设。因此教育信息中心在考察了多家厂商的解决方案后，最终选择了深信服的零信任aTrust来实现远程接入能力的升级，青岛酒店管理职院也成为该省第一所进行零信任实践的高校。

深信服零信任aTrust是基于零信任理念与深信服安全技术构建新一代远程办公安全解决方案，通过“以身份为基础，构建可信访问、极简运维、智能权限”的核心价值主张，为用户打造更安全、体验更好、适应性更强的远程接入安全方案。方案的落地应用很好的满足了学院的安全建设需求：

1. 良好的访问体验

深信服零信任aTrust具有丰富的登录方式，可以对接正方数字校园，方便学校师生实现无感知登录。师生在校外直接登录正方数字校园系统，也就意味着登录aTrust成功，在保证学校网络安全的同时，也大大提高了师生的访问体验。

2. 提高密码安全性

深信服零信任aTrust具备弱密码的检测能力；在与校内认证平台对接时，也可以针对业务系统启用增强认证（短信或令牌），在检测到弱密码登录时可以禁止用户访问或进行灰度处置，如告警提醒或要求二次认证。

3. 具备细粒度权限管理的功能，实现内网精细化访问控制

通过分配不同业务系统的权限给到不同的用户，实现了分业务系统分权管理，大大提升了校内业务系统的安全性，也降低了教育信息中心的运维压力。

4. 增强运维场景的安全性

在运维场景，针对不同的系统重要程度，通过设置不同的权限基线来实现运维安全的增强，例如针对安全要求较高的运维场景，可以强制安装客户端，并通过将堡垒机、SSH等工具设置为可信应用，避免其他程序对系统进行访问；针对敏感的Web资源增加页面水印，增强泄密溯源能力，从而保障校外人员在远程运维时的安全性。

5. 支持C/S架构、企业微信/钉钉接入、支持APP封装，满足了学院未来信息化的长远发展需要。

青岛酒店管理职院在信息化的道路上不断改进，主动拥抱新技术新理念，在零信任理念兴起之时率先布局，打破高校传统的远程访问思维，率先从传统VPN切换到了深信服零信任架构，成为省内第一个进行零信任实践的高校。通过深信服零信任aTrust的正式上线应用，为广大师生营造了稳定、安全的网络环境，受到全院师生的一致好评。