北京西北郊坐落着风景秀丽的清华大学。

始建于1911年，这是一所历史悠久，享誉中外的高等学府，作为国内高校的领军院校，近年来，为了响应教育强国的号召，清华大学一直非常重视信息化系统的建设，随着各种信息化新技术的引入，学校在教学质量与效率上得到极大提升。

后疫情时代，远程教学、视频会议、在线考试等都离不开信息化的支持，众多师生当前使用VPN来进行远程接入，访问校内图书馆系统、选课系统、科研系统等资源，以完成学习、教研等各项任务。以自动化系学院为例，院系在IDC机房部署搭建了一套自动化模型系统，师生在外或校企合作等，都是通过VPN远程访问该系统进行设计、演示。

随着各种信息化应用的推陈出新，数据流动不再局限于高校内部，而VPN作为校外远程接入的第一道防线，亦是承载师生在校外访问校内资源的关键平台。当前，高校远程访问呈现出角色多样、接入量大、安全性要求高等特点，传统方案显得力不从心：

挑战一：不够安全

传统VPN虽然通过加密技术保障数据在传输过程中的安全性，但是将登录端口直接暴露在公网上，在缺乏其他安全措施的情况下，很容易被远程扫描、探测学校内网的资产情况。

挑战二：弱密码，权限管理粗放

一方面，接入访问人员的类型、地点、终端设备以及时间等因素复杂多样，传统VPN存在静态身份认证、缺乏弱密码管控等不足，一旦账号泄露则会对学校内网造成威胁；另一方面，学校信息化资源丰富，传统VPN缺乏对上万名师生的权限进行精细化管控，以保障网络资源不被非法访问和使用。

挑战三：针对高校系统的“挖矿”木马威胁

据相关监测数据，在2021年国内“挖矿”木马感染数量分布行业中，教育行业以15.6%的占比位居前列。高校基础设施基数大，拥有众多高性能服务器，具备虚拟货币孵化所需的矿机和电力两大要素，也使得高校往往成为“挖矿”的首选目标之一。

早在年初，清华大学就发布了《关于禁止使用校园网进行虚拟货币“挖矿”活动的通知》，全面开展“挖矿”行为排查。监测发现，校园网内部分系统服务器存在“挖矿”行为。主要原因是学校为了满足师生疫情期间异地访问校园内网的需求，不得不将部分应用开放于公网之上，在此过程中业务端口极易被暴露，从而被木马入侵导致被动“挖矿”。

鉴于校园安全接入面临的诸多挑战，清华大学也一直在寻求一个既符合当前校园信息化建设，又能提升师生远程访问的安全方案。在考察了多家厂商的解决方案之后，清华大学最终选择了网宿零信任安全方案—安达SecureLink来实现远程接入能力的升级，完成新一代高校网络安全框架的转型。

01 网宿零信任：打造高校安全访问新体验

网宿安达SecureLink基于零信任理念与网宿安全技术设计了一套高校远程办公安全方案，打破传统以网络边界为信任的条件，从身份、终端、行为等维度展开全方位防护，真正做到让每一位师生异地访问高校内网系统都更安全、更高效。

1、 网络隐身，防范高校“挖矿”木马

学校部署了安达SecureLink安全网关之后，所有的访问请求都可以用安全网关代理，之前暴露在公网上的业务系统诸如教务系统、科研系统、选课系统等服务器IP及端口不对外暴露，同时，基于SPA单包认证机制，只对授权通过的师生开放访问连接通道，这点从根本上实现业务系统的“网络隐身”。

如此一来，攻击者无法对端口进行探测、漏洞攻击、0day等多种攻击，无法渗透进服务器，从而避免服务器被挂“挖矿”木马。

2、 统一身份认证管理，师生接入安全又高效

网宿安达SecureLink具有丰富的登录方式，高校师生可以通过手机、平板以及电脑等终端的浏览器和APP访问接入，结合校园业务访问的实际需要进行多因子认证和二次身份认证，随时随地进行在线学习、邮件收发、视频会议等，也可以远程操作科研线上平台。

同时，对访问校内系统的用户角色进行资源权限控制，避免VPN存在的内网应用横向攻击隐患，大大提升了校内业务系统的安全性，也降低了高校信息中心的运维压力。

3、 持续验证，透视高校全局安全形势

网宿安达SecureLink会持续对访问校内业务系统的终端状态、访问行为、网络流量进行实时监测，一旦发现终端不符合安全要求，就降低访问权限，运行中也会对每一次访问行为进行信任评估，并对放行的流量进行网络流量分析（NTA），对暴力破解、端口扫描、XSS、SQL注入等异常流量后进行识别、告警或拦截，保证合法用户对应用的安全访问。

最终确保从人到设备，从应用到链路，整个业务访问过程的安全。

清华大学在信息化建设的道路上不断创新实践，主动拥抱零信任理念并率先实现落地，破除了高校传统的安全防护困局，其布局零信任架构的举措，使广大师生实现了更安全、更便捷、更高速的接入访问体验。