随着数字化转型持续深入，“智慧校园”已成为高校发展的必经之路。从统一门户、一卡通到教务系统、选课系统，各类应用极大地便利了师生的工作与学习。

然而，便捷的背后也隐藏着一系列安全挑战。为了满足师生校外访问的需求，许多应用不得不暴露在互联网上，这无异于将学生档案、考试成绩、科研成果等核心数据置于恶意扫描和网络攻击的风险之下。采用传统的VPN作为远程接入解决方案，又常常因为需要安装客户端、操作复杂，师生体验不佳，面临着“推广难、使用难”的窘境。

日常的网络安全检查与越来越实战化的攻防演练，更是给高校的IT运维人员带来了巨大挑战。

业务场景多、保密要求高、访问角色杂、访问平台广……高校迫切需要更安全、更高效、更可靠的业务应用访问解决方案，为“智慧校园”筑牢安全基石。

面对这个需求，芯盾时代作为领先的零信任业务安全产品方案提供商、软件定义边界（SDP）市场的头部玩家，给出了自己的答案——零信任安全网关（SDP）!

芯盾时代零信任安全网关（SDP）

芯盾时代作为领先的零信任业务安全产品方案提供商，以零信任理念为指引，以软件定义边界为架构，以自主研发的核心技术为支撑，打造了零信任业务安全平台（SDP），打造安全、智能、高效的智慧校园访问新体验。

在架构上，芯盾时代SDP采用软件定义的方式，将控制器与网关分离，在安全性、可用性上具备天然优势。在功能上，芯盾时代SDP采用All in One设计，全面整合自主研发的全类型身份标识技术、智能风险度量技术、切面安全技术、终端密码安全技术等核心技术，为高校重新构建安全边界，从网络、设备、身份、权限、数据五个维度，对每一次业务访问实施全程的、动态的、细粒度的动态访问控制，一站式建立安全、便捷、合规的零信任网络访问系统。

借助芯盾时代SDP，高校可以在低改造甚至零改造的情况下，一站式实现强大功能：

收敛资源暴露面，远程接入更安全

在安全层面，芯盾时代SDP采用流量代理和SPA单包授权技术，将统一门户、教务系统、科研管理等业务应用收缩至内网，不对未通过预认证的设备开放端口，从而大幅缩减暴露面，从源头上拦截非法的恶意扫描和网络攻击 。

在体验层面，芯盾时代SDP支持有客户端和免客户端两种模式。在侧重安全的场景下，高校可采用有端模式，对终端进行强管控，避免设备带病入网。在侧重体验的场景下，高校可采用免客户端模式，在不改变师生原有业务访问习惯的同时，提升访问的安全性。

身份认证更精准，动态认证体验佳

智慧校园的建设、使用、运维涉及教师、学生、行政人员、IT运维、合作单位人员等众多角色。芯盾时代SDP本身具备强大的身份安全能力，高校即可将SDP作为认证源，一站式实现全局多因素认证，也可将SDP与学校已经建设好的统一认证系统或企业微信、钉钉、飞书等认证源进行对接，借助SDP的单点登录功能，实现“一次登录，全网通行”的便捷效果 。

针对不同的身份、设备、IP、时间等因素，芯盾时代SDP还能进行动态的风险评估和自适应增强认证。例如，在访问核心科研系统或处理学生档案等敏感数据时，系统可自动根据风险因素选择是否执行二次认证，如访问者未使用常用设备，则要求访问者进行人脸识别或输入动态口令，既保障了安全，又提升了体验。

远程运维更安全，权限管控更精细

高校的数字化系统由不同的供应商建设并提供运维支持，需要面向三方运维人员开通大量服务器、虚拟机的账号用于远程接入和运维，由此带来了第三方人员权限过大的安全隐患。

芯盾时代SDP能够从三个层面保障远程运维的安全性。首先，将服务器、虚拟机等资源隐藏在内网，结合多因素认证、终端准入控制、可信应用识别，同时对身份、设备、应用进行认证，确保只有可信的设备、人员和应用才能接入并执行运维操作。其次，叠加指令级权限控制、IP/时间/地点等行为管控，实现动态按需增强认证，并记录所有操作日志。最后，使用安全沙箱在运维终端创建安全运维空间，仅允许在空间内执行运维操作，禁止数据外发、保存至本地、截屏/录屏等违规操作，防止数据泄露。

核心资产不落地，敏感数据不泄露

科研成果和学术数据、学生档案等是高校的重要资产，需要在确保数据安全的前提下进行分享和存储，一旦发生泄露，将面临名誉与资产的双重损失。

芯盾时代SDP通过安全沙箱技术，可以在访问终端上构建一个与本地完全隔离的安全工作空间。核心的学术资料和敏感数据只能在这个“保险箱”内查看和使用，数据被加密存储，无法被复制、截屏、打印或外发，从根本上杜绝了信息泄露的可能。同时，芯盾时代SDP还可以为页面添加防伪溯源的水印，进一步保障数字学术资产安全，消除数据被窃取的风险。

多场景全覆盖，校园应用更广泛

除了核心的远程接入和运维场景，芯盾时代SDP还能一站式解决高校信息化的多种需求：

图书馆资源全域访问：通过芯盾时代SDP发布电子图书馆资源，结合精准身份识别，可以保证授权师生在放假、外出、实习等场景下随时随地访问图书馆资源。针对核心资源的公共账号，可识别账号多地登录、频繁登入登出等异常，增加动态增强认证，减少账号外借情况

IPV6合规改造：芯盾时代SDP支持原应用服务零变更升级IPV6，提供IPV6代理访问。提供TLS加密传输，代理原https/http应用资源，向外提供https访问，TLS加密传输所有流量。

邮箱增强认证：芯盾时代SDP无需邮箱改造，对于邮箱客户端、web页面均可按需针对登录、发件、收件增加二次认证，可提供无需安装认证APP的钉钉/微信推送确认消息、短信认证链接等认证方式，提升邮箱访问安全的同时，减少运维压力。

移动校园应用安全：芯盾时代SDP可以在不改变原有访问方式的同时将业务系统收缩到内，师生通过APP（提供SDK集成），在认证后基于加密隧道安全地访问业务系统。对于企微/钉钉/飞书 H5应用，无需额外安装客户端，也能够缩减暴露面，还支持在无改造的情况下实现单点登录及动态增强认证效果。

教育部发布的《高等学校数字校园建设规范（试行）》等政策，已明确要求在身份鉴别、加密传输、访问控制等方面进行建设与规范。芯盾时代SDP方案已在多家高校成功落地，通过替换传统VPN，对接统一身份认证，以SDK集成方式实现了师生“一次认证、处处通行”的安全便捷访问。