“深信服零信任aTrust以身份为中心，通过实施最小权限访问、动态的访问控制和持续的信任评估，更大限度地缩小业务暴露面，为我校师生访问业务提供了“端到端”的全流程保护。”

                                                               ——河南科技大学

 高校数字化转型加快

随着教育信息化的发展，河南科技大学已经建设了丰富的数字化系统，师生可随时随地接入和访问校内资源，畅享数字化转型成果。在数字化转型背景下，河南科技大学的网络安全建设也面临了新的挑战：

1、网络安全形式日益严峻

随着高校数字化转型的快速发展，高校数据资产也趋于集中，数据的集中意味着价值的集中，自然也成为攻击者的首要攻击目标。同时，教育部《高等学校数字校园建设规范（试行）》对安全提出了更高要求，针对系统及应用，加强了对身份鉴别、访问控制、通信、传输等安全要求。

2、规模化、常态化的远程办公体系建设迫在眉睫

随着移动互联网的发展及智能终端的普及，加上疫情影响的驱动，师生远程办公、校外访问的需求日渐旺盛，智慧校园的数字化应用与用户之间的连接亟需打破校园网络限制。规模化、常规化的移动办公与远程办公已经成为高校新的办公协同方式。

3、传统VPN技术难以满足高校发展的要求

随着常态化远程办公的发展，SSL VPN越来越难满足高校的发展要求。第一，传统SSL VPN需先安装和登录客户端才能使用，无法实现无感知登录；第二，SSL VPN难以满足大规模并发接入要求；第三，SSL VPN仅把业务暴露面进行收缩，但VPN无法隐藏自身端口，仍在互联网暴露端口；第四，SSL VPN针对终端接入环境无法做任何检测，难以保障终端接入安全。 

零信任架构满足转型需求

基于上述问题及挑战，深信服在深入了解河南科技大学需求后，建议采用零信任架构来满足数字化快速转型下的安全需求。通过零信任aTrust，以身份为中心，河南科技大学构建了可信访问、简化运维、智能权限的零信任安全架构。

△零信任安全架构

深信服零信任安全接入平台，由安全代理网关和控制中心两部分构成，实现控制面和数据面的分离。控制中心负责认证、授权、策略管理与下发，是整体的调度与管理中心，对接入的身份、终端、环境、行为进行信任评估，基于策略引擎配置的策略结果，决定允许或拒绝会话并可让可信网关进行放通或阻断。安全代理网关支持HTTPS代理访问和SSL隧道代理访问。控制中心和安全代理网关均受SPA单包授权技术对设备本身的服务进行隐身保护。

业务系统安全保障

业务系统通过零信任aTrust认证和代理后方可访问，大幅收缩业务暴露面，结合零信任隐藏自身设备端口特性以及终端数据安全能力，减少业务系统被攻击的可能性。

优异的兼容性和用户体验

全面兼容各类终端系统及浏览器，无需任何客户端、插件，即可实现安全接入访问校园内网数字化资源，降低了师生配置和使用过程中的复杂度，满足师生随时随地安全接入，全面提升师生体验。

无感知接入访问

通过与河南科技大学现有CAS系统对接，实现单点认证登录，满足了全校师生无感知登录和访问校园应用的需求。

高性能平台体验

凭借分体式设计以及多种选路和优化机制，访问速度及接入能力获得全面提升，能够支撑全校数万师生的访问需求和接入流量。

河南科技大学通过落地零信任，大限度缩小业务暴露面，在降低风险、保障安全的前提下，有效提升师生远程访问校园网络的便利性，解决河南科技大学数字化转型过程中带来的复杂安全问题，满足河南科技大学未来数字化转型安全建设需求。