青島酒店管理職業技術學院（以下簡稱青島酒店管理職院）坐落于素有“紅瓦綠樹、碧海藍天”之稱的中國最美海濱城市、中國最宜居城市——青島，是經教育部批準成立的省屬公辦全日制普通高校。學院辦學歷史可追溯到1945年成立的私立青島商科職業學校，經過幾代人的不懈努力和矢志追求，2002年在山東省青島商業學校和山東省飲食服務技工學?；A上創辦青島酒店管理職業技術學院。2019年入選國家“雙高”院校。

為了響應教育強國的號召，青島酒店管理職業技術學院院領導一直非常重視信息化系統的建設，加快教育高質量發展，推進教育現代化。然而隨著近年來網絡威脅的不斷增加，以及應對疫情下遠程教學的需求，為廣大師生提供安全、穩定的遠程教育資源成為青島酒店管理職業技術學院在2021年信息化建設中的重要目標。

基于上述建設目標，學院計劃對現有的網絡安全設備進行升級，重點是對遠程接入能力進行升級。學院當前使用VPN來進行遠程接入，VPN設備已經使用多年，已無法滿足當前安全、穩定的遠程接入需求。作為校外安全接入的第一道防線，VPN是承載眾多師生在校外訪問校內資源的關鍵平臺，一旦VPN出現安全或穩定性問題，將對內網造成嚴重危害、直接影響校內業務的遠程訪問。因此青島酒店管理職院在對遠程接入能力升級時，對產品方案的選擇格外重視，總結了目前遇到的問題：

挑戰一

使用傳統VPN，師生校外接入不方便

學院目前使用的是傳統VPN，雖然與數字校園做了對接，但僅僅面對教職工開放校外訪問。受疫情影響，校外訪問擴大到全院師生，校外訪問業務系統也越發頻繁，傳統VPN依賴客戶端軟件，使用方式復雜，影響師生體驗，如何保障大規模校外訪問的穩定性和使用體驗是一個難題。

挑戰二

弱密碼難管理，安全隱患內部藏

弱密碼是各種業務系統中的“頑疾”，是網絡安全的重大隱患。惡意攻擊者往往通過密碼爆破的形式對系統進行攻擊，造成數據泄露、業務被勒索等嚴重后果。青島酒店管理職院希望能夠基于賬號的統一登錄管理，對弱密碼的賬戶進行識別與可視化管理，并且使用密碼策略增強認證，保障登錄的安全性。

挑戰三

權限分配有難題，精細分配運維難

權限的粗放管理也帶來很大的安全隱患，尤其是在使用人群擴大的全校師生后，通過在傳統VPN中采用靜態策略去分配不同的訪問權限，很難應對各種突發的情況，一旦賬號泄露或者處于終端失陷，就會對內網安全造成巨大的威脅。學院信息化資源豐富多樣，需要對近2萬師生的權限進行精細化管控，以保障網絡資源不被非法使用和訪問。

在面臨以上挑戰的基礎上，青島酒店管理職院對多種遠程安全接入的方案做了詳實的考察，發現不管是傳統VPN還是WebVPN都不能滿足學院信息化高速發展所帶來的安全需求。

§  傳統VPN雖然能通過加密技術保障數據在傳輸過程中的安全性，但是無法檢驗終端及所傳輸文件的安全性，因此存在安全隱患，并且頻繁登錄VPN客戶端對于用戶體驗也有一定的影響。

§  WebVPN雖然提供了免客戶端的遠程接入，優化了訪問體驗，但是將登錄端口直接暴露在公網上，增加了被攻擊的風險，還是沒有解決終端及文件安全風險。

因此，青島酒店管理職院教育信息中心一直在尋求一個既符合當前校園信息化建設，又能提升全校師生的接入體驗安全方案。教育信息中心陳主任在2020年了解到了零信任的概念，這時零信任在國內剛開始落地。零信任代表了新一代的網絡安全防護理念，它的關鍵在于打破默認的“信任”，即對于需要業務連接的任何人、終端、環境進行“持續驗證”，基于身份認證和精細化授權重新構建訪問控制的信任基礎，從而確保身份可信、設備可信、應用可信和鏈路可信。

陳主任認為未來網絡是沒有邊界的，學校網絡安全建設的方向也應該朝著零信任方向建設。因此教育信息中心在考察了多家廠商的解決方案后，最終選擇了深信服的零信任aTrust來實現遠程接入能力的升級，青島酒店管理職院也成為該省第一所進行零信任實踐的高校。

深信服零信任aTrust是基于零信任理念與深信服安全技術構建新一代遠程辦公安全解決方案，通過“以身份為基礎，構建可信訪問、極簡運維、智能權限”的核心價值主張，為用戶打造更安全、體驗更好、適應性更強的遠程接入安全方案。方案的落地應用很好的滿足了學院的安全建設需求：

1. 良好的訪問體驗

深信服零信任aTrust具有豐富的登錄方式，可以對接正方數字校園，方便學校師生實現無感知登錄。師生在校外直接登錄正方數字校園系統，也就意味著登錄aTrust成功，在保證學校網絡安全的同時，也大大提高了師生的訪問體驗。

2. 提高密碼安全性

深信服零信任aTrust具備弱密碼的檢測能力；在與校內認證平臺對接時，也可以針對業務系統啟用增強認證（短信或令牌），在檢測到弱密碼登錄時可以禁止用戶訪問或進行灰度處置，如告警提醒或要求二次認證。

3. 具備細粒度權限管理的功能，實現內網精細化訪問控制

通過分配不同業務系統的權限給到不同的用戶，實現了分業務系統分權管理，大大提升了校內業務系統的安全性，也降低了教育信息中心的運維壓力。

4. 增強運維場景的安全性

在運維場景，針對不同的系統重要程度，通過設置不同的權限基線來實現運維安全的增強，例如針對安全要求較高的運維場景，可以強制安裝客戶端，并通過將堡壘機、SSH等工具設置為可信應用，避免其他程序對系統進行訪問；針對敏感的Web資源增加頁面水印，增強泄密溯源能力，從而保障校外人員在遠程運維時的安全性。

5. 支持C/S架構、企業微信/釘釘接入、支持APP封裝，滿足了學院未來信息化的長遠發展需要。

青島酒店管理職院在信息化的道路上不斷改進，主動擁抱新技術新理念，在零信任理念興起之時率先布局，打破高校傳統的遠程訪問思維，率先從傳統VPN切換到了深信服零信任架構，成為省內第一個進行零信任實踐的高校。通過深信服零信任aTrust的正式上線應用，為廣大師生營造了穩定、安全的網絡環境，受到全院師生的一致好評。