随着信息技术的飞速发展，高校网络环境日益复杂，数据泄露、网络攻击等安全事件频发，给高校的教学、科研和管理带来了严峻挑战。传统基于边界的网络安全防护模式已难以满足当前的安全需求，亟需一种新的安全架构来应对。

零信任理念应运而生，它强调“永不信任，始终验证”，即不论用户身处何处，都需要经过严格的身份验证和权限审查才能访问资源。这一理念打破了传统网络安全的边界概念，实现了对网络访问的全方位、动态监控，为高校网络安全建设提供了新的思路。因此，高校需要积极采用零信任理念，构建更加安全、可靠的网络环境，保障教学、科研和管理工作的顺利进行。

一方面，随着学校信息化建设的不断推进和深化，数字校园取得了显著的进步。业务日益开放，不仅满足了师生在校内的访问需求，还实现了远程访问的便捷性。同时，数字校园也向供应商及在职研究生等外部用户开放，进一步拓宽了服务范围。为了提升业务接入的便利性，众多业务直接面向互联网，使得网络边界逐渐变得模糊，实现了更加灵活和高效的访问方式。

另一方面，校园网络环境正经历着复杂化的变革。终端类型从以校内PC为主，逐渐转变为包括BYOD（自带设备）、笔记本等多样化的移动终端。访问角色也从内部老师扩展到了学生、在职研究生、供应商及第三方运维人员，用户群体更加广泛。网络环境也从以有线为主，转变为无线、远程及业务云化并存的多元化格局。业务系统更是从传统的C/S（客户端/服务器）模式，转变为大量采用B/S（浏览器/服务器）、APP、H5等新型形式，呈现出更加多元化和灵活化的趋势。

相较于其他行业，高校对业务信息系统的访问需求显得格外重要且迫切，而校园信息系统的对外访问却存在着一些普遍的问题与痛点。主要体现在以下几个方面：

随着校园数字化加速，业务系统需灵活应对多样访问需求。但直接将服务暴露于公网，因业务脆弱性（如漏洞、弱密码）易遭黑客攻击，风险大增。考虑到校内系统存储大量敏感学生与教学数据，从安全角度，直接开放至互联网并不可行。

师生数量众多，个人账号安全风险凸显。默认及弱密码的滥用、缺省账号的存在和账号共享行为频发，使得密码泄露风险大增，业务系统易受攻击。账号管理复杂，运维成本高昂。传统认证方式用户体验差，记忆难且易泄密，且业务系统间认证不统一，安全体验难以平衡。

随着移动终端普及，传统网络隔离和IP访问控制限制了安全管理的效率，高校常放宽管理。网络访问权限固化，难以调整。师生用户接入后行为不可视，审计不足，追溯难。难以及时发现和处置风险终端，易受社工攻击，内网业务面临威胁，且无法有效应对。

师生不仅需在内网通过准入控制访问业务，也需在外网通过VPN访问校内资源。内网常基于IP、VLAN隔离并控制访问，外网则依赖VPN单独管控权限，导致用户体验不一，管理员也需管理两套准入与权限体系。‌

‌

当前，仍有较多的高校依赖传统VPN（虚拟专用网）的方式来满足师生用户访问校内信息系统需求，然而，这一架构在实际应用中暴露出了诸多挑战，严重制约了高校信息化与数字化建设的步伐，经过综合分析得出高校信息系统访问的需求如下：

统一身份管理可降低复杂度，高校已普遍建设统一认证平台。基于人员变动调整账号权限，避免账号共享。通过统一认证与单点登录，结合安全认证方式，确保账号安全，改善用户体验，降低密码管理成本，满足等保合规与安全接入要求。

随着云计算、5G等前沿技术的日益普及，我们应充分利用互联网带来的便捷性，确保无论是校内师生、在职研究生，还是外部合作伙伴如供应商、第三方运维服务等，都能根据自身需求，在任何时间、任何地点安全、便捷地访问数字化校园资源，从而加速信息获取与流转，高效满足各方业务需求。

要求不仅能依据组织架构、群组、角色及用户进行静态权限管理，还能在静态权限基础上，综合终端环境、网络位置、用户身份及行为等多种因素进行动态信任评估。一旦发现风险，系统将自动调整并收缩用户访问权限。同时，系统支持访问行为分析，能设定权限有效期，并自动回收僵尸账号与权限。

为增强安全性，需要将业务系统迁移至内网，用户需先通过认证，方可访问业务。业务的IP与端口均得到保护，避免未授权访问。可访问场景覆盖图书馆资源、校内业务系统、远程运维、分校/科研站等接入等场景，确保学生、教师、职能部门及第三方在多终端下的安全接入。

图1 高校信息系统安全访问解决方案设计思路

我司认为高校信息系统的安全访问规划设计，必须以实用为主导，所有建设均应基于经济实用、适用性进行，并具备技术前瞻性。该设计需紧密结合高校的实际需求及当前业务数据访问所面临的安全挑战，确保信息系统的安全访问既高效又可靠，主要思路如下：

在高校信息系统中，实施多因素身份认证机制，严格核验用户身份，确保每位师生的登录真实可信。同时，依据师生的角色与权限，实施精细化的访问控制策略，确保授权用户才能访问相应的教育资源与系统功能，保障信息安全与合规使用。

在高校信息系统的访问中，我们应依据用户身份、所用设备、所处位置及行为模式等多维度信息，进行实时动态风险评估。通过持续监控师生的访问行为，能够迅速识别并阻断异常访问，从而确保教育业务数据的安全无虞，维护系统的稳定运行。

在高校信息系统访问安全方面，应该采用应用代理、网络隐身等先进技术，巧妙隐藏关键业务模块与敏感数据端口，有效减少系统在互联网上的直接暴露，大幅降低遭受黑客恶意攻击的风险，为师生提供更加安全、可靠的访问环境。

针对高校信息系统的特性，应当紧跟业务需求与安全环境的变化，不断迭代优化零信任安全访问策略。同时，积极引入前沿技术与工具，强化系统安全防护，确保信息系统稳定运行，为师生提供安全、高效的信息服务与支持。

图2 威努特零信任安全访问控制系统架构

威努特零信任安全访问控制系统（ZTG）（以下简称“威努特零信任”）以零信任理念和架构为底座，以保护数据全生命周期安全流转为设计目标，打造的新一代零信任远程安全访问控制系统解决方案。

方案以业务融合、技术解耦的思路来落地数据安全能力原生化。通过此方案，可在业务零改造的情况下，为业务构建解耦的数据安全切面，实现高校信息系统访问的私有、高效、安全和智慧，保护业务数据的安全，实现数据的识别、智能控制和可视化呈现。

图3 业务端口隐藏逻辑图

威努特零信任实现了应用服务器的隐身，基于ZTP协议以及动态iptables的多层安全防护，采用SPA单包授权认证机制，实现“先认证后连接”，有效保护高校应用。

认证服务隐藏，非法连接默认丢弃，防止端口嗅探，基于UDP协议进行认证敲门，每一个客户端的TCP端口连接都会先经过授权验证，验证通过后才可访问，不对外暴露任何TCP端口，隐藏业务服务的IP与端口。

零信任安全访问控制系统默认“拒绝一切”连接，只有客户端经过敲门技术授权后，才会针对客户端开放访问通道，非授权用户和网络黑客无法看见和探测高校应用，有效减少、规避业务被攻击面。

图4 零信任智能身份管理

威努特零信任支持多因素智能身份认证，兼顾合规和安全，保证用户身份和设备的合法性，构建高安全级别的多因素智能身份认证，既满足安全合规性要求，又可保障用户安全、快速的认证接入。

支持本地和外部两大类认证种类下的多种身份认证方式，为高校内任意场景的用户认证需求提供便利，认证方式自由组合。其中多因素认证包括：“用户名密码+短信”“用户名密码+硬件特征码”“用户名密码+短信+硬件特征码”等方式的认证。另外，还可以与外部认证服务器对接，支持LDAP（openLDAP和AD）的认证方式。

通过客户端设备绑定功能，确保用户在正确的设备上使用正确的账号登录，同时可以对账户的登录时间、登录设备及IP地址进行严格控制，以防止非法人员非法接入业务系统。

威努特零信任支持智能身份认证，可根据高校自有认证能力、接入安全性需求、威胁检测、行为检测结果，动态智能选取认证方式组合，无需人工设置认证方式。能够远程强制用户下线，锁定或停用账号，有效保障高校人员认证信息在泄露、设备遗失等异常情况下的数据安全。

图5 零信任动态安全访问控制图

威努特零信任符合零信任安全访问模型，对用户访问内网基于以下原则，进行最小权限授权：

不自动信任网络的安全性（内网≠可信）；

对任何接入系统的人和设备都进行验证；

每次访问都要进行身份验证和行为审计；

细粒度访问控制策略最小权限原则。

管理员可以根据用户的身份和具体的需求，在后台合理限制用户可以访问哪些应用。例如，只允许学生访问学生管理系统，不允许访问财务系统，其越权访问会被零信任安全访问控制系统拦截。并且根据访问业务的终端的计算环境安全情况，基于信任评估和风险决策引擎的智能分析和决策能力，可实时、动态地调整访问权限，有效降低合法用户非法访问的问题，降低了业务被攻击的可能性，减少业务数据泄漏的可能性，保障了业务和数据的持续安全。

除了应用的维度之外，还可以对用户的访问时间，访问设备等维度进行限制，并以应用、设备、零信任安全访问控制系统和资源四个维度进行关联追踪，可视化的呈现四个维度的访问关系视图，帮助管理员迅速、清晰的进行全网访问关系查询和梳理，避免权限混乱的管理问题。

图6 零信任端到端数据传输加密

威努特零信任支持加密隧道方式对数据传输进行保护，确保双向加密通信，用户通过安全隧道访问企业内网业务。采用高强度加密算法和临时密钥机制，一次一密，周期变更，确保数据前后向安全，支持从用户侧操作系统到目的服务器操作系统的端到端数据加密传输，数据在没有到达最终目的的节点之前不被解密，最大限度保障数据传输的安全性。

采用国密算法SM2/3/4，支持国密最新标准，满足安全和合规性要求，独创的超轻量加解密技术，保障服务器所有东西向交互都被加密保护，不遗漏任何细节，杜绝“木桶效应”。

图7 零信任用户行为安全可视化

威努特零信任所收集和分析的各种安全相关的关键数据，从多维度多层次的图表和日志两个方面提供数据安全的可视化呈现，方便运营人员进行数据安全关键信息的实时监督、处置，以及支撑数据安全事件的跟踪溯源。其中：

图表方面，可呈现用户级数据访问关系概览图、网络流量监控图、风险事件透视图等多维度视图辅助运营人员决策。用户级数据访问关系概览图可呈现的内容包括用户视角的业务访问情况、设备视角的业务访问情况、应用视角的业务访问情况、展示实时或历史访问关系、关键信息搜索查询展示等。网络流量监控图可呈现内容包括网关流量监控情况、用户流量监控情况、应用连接数监控情况、自定义筛选时间周期情况等。风险事件透视图可呈现内容包括风险事件数量情况、用户视角透视图、自动响应统计数量情况、智能策略响应情况等。

日志方面，可呈现系统运行日志、用户登录日志、访问控制日志、API安全日志等多维度日志供运营人员审查。系统运行日志可监控的信息字段包括管理员的IP地址、操作时间、操作内容、系统运行组件对应的事件/时间/内容等。用户登录日志可监控的信息字段包括日期、用户名、所属组、终端类型、设备型号、操作系统、系统版本、IP地址、物理位置、事件、备注等。访问控制日志可监控的信息字段包括日期、用户名、所属组、终端类型、来源、物理位置、目标、动作、当日次数、访问时间、内容等。API安全日志可监控的信息字段包括日期、用户名、所属组、所属应用、状态码、API路径、脱敏字段数量、API服务质量、访问时间等。

威努特零信任安全访问控制系统专为高校量身定制，打造了一个集安全性、灵活性、动态适应性和高度可靠性于一体的信息系统访问解决方案。该方案主要价值如下：

零信任解决方案能够为高校提供从网络安全到应用安全、再到数据安全，以及从终端安全到访问安全、再到自适应动态安全的全方位立体式防护。这种全方位的安全防护可以确保高校的信息系统在任何时候都处于高度安全状态。可以实现对所有访问行为的持续监测与审计，确保每一次访问都是合法和安全的。这有助于及时发现并处理潜在的安全威胁。

零信任解决方案通过统一身份认证、统一门户等方式，简化了用户访问高校信息系统的流程，降低了用户的学习成本。通过零信任平台，高校可以实现对所有业务系统的统一管理和便捷运维，降低了管理员的工作量，提高了管理效率。

零信任架构为高校数据访问控制筑起坚固防线，实现细粒度控制与动态授权，有力阻止数据泄露等安全隐患。其智能化、自适应的零信任解决方案，能随安全威胁变化灵活调整，精准应对各类复杂挑战，确保高校信息安全无忧。

高校数字化转型浪潮汹涌，信息系统稳定性与安全性成关键。零信任解决方案挺身而出，为业务系统筑起铜墙铁壁，确保运行无阻，稳定可靠。其卓越之处在于灵活多变，能精准贴合高校业务需求，细致配置优化，助力组织敏捷应变。更值得一提的是，零信任方案是高校数字化转型战略的坚强后盾，让每一步转型都稳健前行，无惧挑战。

威努特零信任安全访问控制系统解决方案为构建稳固的信息安全保障体系及推动高校信息化教学与管理的高质量发展注入了强大活力。其中，零信任安全访问控制系统作为确保高校信息系统安全访问的核心防线，其重要性显而易见。

威努特依托领先的技术优势与对教育行业的深刻理解，精准把握高校信息系统安全访问的特点与实际需求，为提升信息系统的安全性能与访问效率，提供了高效实用的解决方案与坚实保障。通过实施零信任策略，威努特助力高校实现了对信息系统访问的精细控制，有效防范了潜在的安全风险，为高校的数字化转型与信息安全建设奠定了坚实基础。