En 400-6655-581
5
返回列表
> 资源中心 > 身份安全 | 高校统一身份认证方案解读

身份安全 | 高校统一身份认证方案解读

2020-10-23浏览次数:2371

引言--《教育信息化2.0行动计划》

“加强教育系统党组织对网络安全和信息化工作的领导,明确主要负责人为网络安全工作的第一负责人,建立网络安全和信息化统筹协调的领导体制,做到网络安全和信息化统一谋划、统筹推进。完善网络安全监督考核机制,将网络安全工作纳入对领导班子、干部的考核当中。以《网络安全法》等法律法规为纲,全面提高教育系统网络安全防护能力。全面落实网络安全等级保护制度,深入开展网络安全监测预警,提高网络安全态势感知水平。做 好关键信息基础设施保障,重点保障数据和信息安全,强化隐私保护,建立严密保护、逐层开放、有序共享的良性机制,切实维护好广大师生的切身利益。”



随着学校业务的快速发展,经过多年的持续投入,越来越多的系统和设备进入各大高校,结合《中华人民共和国网络安全法》《信息系统安全等级保护定级指南》等文件要求,以及目前各大高校“互联网+教育”的信息化工作的开展,因此在安全层面需要给予足够的重视,目前较多高校身份安全及用户便捷性成为了各大高校信息化发展的短板。



具体表现在以下几个方面


01

身份的复杂化(教职工、访客、学生、校友)及身份的快速转换(访客转学生、访客转教职工、学生转教职工、学生转校友、校友转教职工、教职工退休等),缺乏统一的身份管理平台。

02

信息系统访问安全层面能力不足,结合《信息系统安全等级保护定级指南》缺乏多因素认证。

03

师生使用层面上面的便捷性较差,缺乏统一的登录入口,对学生及教职工的使用层面造成了较大的不便。

04

每个系统及设备都有独立的认证体系,技术不一,安全性不尽相同,缺乏统一的安全认证中心。

05

缺乏统一的自助服务中心,当密码、个人信息等产生变更时,需要在多个系统中维护,或者直接有信息系统管理员协助变更,工作量较大。

06

在身份或者职位发生变化时,基本靠人工对账号权限进行管理,容易出现遗漏,从而导致信息泄漏等风险存在。

07

缺乏对身份的集中审计,目前分散的审计,对于学校进行安全审计造成较大的困难。



























统一身份管理在高校的五个特点




01

海量的用户数据

统一身份管理系统管理的用户数据量庞大,并且每年都会快速递增,集中有效的管理,以便长期使用。

02

高性能的认证服务、高效的单点登录支持

高校存在“抢课、报名”等多种并发量超大的情况,因此对性能要求是完全超过传统企业的,故需要一个高性能的认证服务来支撑这种大并发情况。

03

不同的浏览器支持、不同的开发语言的支持

校内应用环境复杂,面临不同的网络环境、硬件环境、操作系统、浏览器、中间件、开发语言等,这些都需要一个统一的身份认证平台来解决。

04

安全性要求高

统一身份认证平台同时肩负着安全重任,因此对于安全层面需要考虑较多,需要符合国家等保要求,并且随着互联网的发展,学生使用移动端的次数更多,在安全认证层面需要和现有的移动端进行集成,需要支持动态口令、人脸识别、指纹、扫码等多种方式进行认证,方便广大师生要求的同时,增强其安全性。

05

便捷的管理与安全的监控

统一身份认证平台支撑着全校业务的身份认证服务,稳定的运行和及时的故障处理至关重要,因此需要统一身份认证自身运行服务和运行环境监控的功能。






解决方案





01
功能层面



身份数据管理层:统一身份认证平台将需要内外部数据进行抽取到身份认证平台进行集中存储,基于身份的类型和及部门、角色、岗位进行相应的账号开通和关闭。

用户使用层:统一身份认证平台提供统一的认证服务,为了增强其安全性,提供多种高强度认证(多因子认证)成为必须,并且需要对所有的登录和访问行为进行审计。


架构层面



由于高校存在集中式高并发情况,那么传统的高可用架构在性能方面存在问题或者对于资源占用将非常大,那么对于一个好的统一身份认证平台,在其部署架构层面有着较高的要求,这里推荐目前较新的微服务架构。

03
微服务架构优势



1、每个服务占用资源足够小。

2、可以基于微服务编排工具对微服务进行管理,高并发时对服务进行扩容,空闲时释放相关资源。

3、一个服务出现问题,不会影响整个平台运行。







小结:本文以高校数字化校园建设为背景,以安全为基石,着重描述了校园统一身份管理常见的问题、平台功能架构和部署架构原理,符合目前高等学校的信息化建设要求,真正建成高校的身份认证中心。