身份安全 | 高校統(tǒng)一身份認(rèn)證方案解讀
2020-10-23瀏覽次數(shù):2462
引言--《教育信息化2.0行動計劃》
“加強(qiáng)教育系統(tǒng)黨組織對網(wǎng)絡(luò)安全和信息化工作的領(lǐng)導(dǎo),明確主要負(fù)責(zé)人為網(wǎng)絡(luò)安全工作的第一負(fù)責(zé)人����,建立網(wǎng)絡(luò)安全和信息化統(tǒng)籌協(xié)調(diào)的領(lǐng)導(dǎo)體制,做到網(wǎng)絡(luò)安全和信息化統(tǒng)一謀劃��、統(tǒng)籌推進(jìn)����。完善網(wǎng)絡(luò)安全監(jiān)督考核機(jī)制,將網(wǎng)絡(luò)安全工作納入對領(lǐng)導(dǎo)班子、干部的考核當(dāng)中��。以《網(wǎng)絡(luò)安全法》等法律法規(guī)為綱�,全面提高教育系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力。全面落實網(wǎng)絡(luò)安全等級保護(hù)制度��,深入開展網(wǎng)絡(luò)安全監(jiān)測預(yù)警����,提高網(wǎng)絡(luò)安全態(tài)勢感知水平。做 好關(guān)鍵信息基礎(chǔ)設(shè)施保障�,重點保障數(shù)據(jù)和信息安全,強(qiáng)化隱私保護(hù)�,建立嚴(yán)密保護(hù)、逐層開放����、有序共享的良性機(jī)制,切實維護(hù)好廣大師生的切身利益�����?���!?/p>
隨著學(xué)校業(yè)務(wù)的快速發(fā)展,經(jīng)過多年的持續(xù)投入�����,越來越多的系統(tǒng)和設(shè)備進(jìn)入各大高校����,結(jié)合《中華人民共和國網(wǎng)絡(luò)安全法》《信息系統(tǒng)安全等級保護(hù)定級指南》等文件要求,以及目前各大高?�!盎ヂ?lián)網(wǎng)+教育”的信息化工作的開展�����,因此在安全層面需要給予足夠的重視��,目前較多高校身份安全及用戶便捷性成為了各大高校信息化發(fā)展的短板���。
身份的復(fù)雜化(教職工�、訪客��、學(xué)生�����、校友)及身份的快速轉(zhuǎn)換(訪客轉(zhuǎn)學(xué)生、訪客轉(zhuǎn)教職工�、學(xué)生轉(zhuǎn)教職工、學(xué)生轉(zhuǎn)校友����、校友轉(zhuǎn)教職工、教職工退休等)�,缺乏統(tǒng)一的身份管理平臺。
信息系統(tǒng)訪問安全層面能力不足����,結(jié)合《信息系統(tǒng)安全等級保護(hù)定級指南》缺乏多因素認(rèn)證。
師生使用層面上面的便捷性較差����,缺乏統(tǒng)一的登錄入口,對學(xué)生及教職工的使用層面造成了較大的不便�����。
每個系統(tǒng)及設(shè)備都有獨(dú)立的認(rèn)證體系���,技術(shù)不一,安全性不盡相同���,缺乏統(tǒng)一的安全認(rèn)證中心�。
缺乏統(tǒng)一的自助服務(wù)中心,當(dāng)密碼�����、個人信息等產(chǎn)生變更時����,需要在多個系統(tǒng)中維護(hù),或者直接有信息系統(tǒng)管理員協(xié)助變更�����,工作量較大�����。
在身份或者職位發(fā)生變化時��,基本靠人工對賬號權(quán)限進(jìn)行管理�����,容易出現(xiàn)遺漏�����,從而導(dǎo)致信息泄漏等風(fēng)險存在。
缺乏對身份的集中審計����,目前分散的審計,對于學(xué)校進(jìn)行安全審計造成較大的困難��。
統(tǒng)一身份管理系統(tǒng)管理的用戶數(shù)據(jù)量龐大���,并且每年都會快速遞增�����,集中有效的管理����,以便長期使用�����。
高性能的認(rèn)證服務(wù)��、高效的單點登錄支持 高校存在“搶課��、報名”等多種并發(fā)量超大的情況,因此對性能要求是完全超過傳統(tǒng)企業(yè)的���,故需要一個高性能的認(rèn)證服務(wù)來支撐這種大并發(fā)情況。
不同的瀏覽器支持�����、不同的開發(fā)語言的支持 校內(nèi)應(yīng)用環(huán)境復(fù)雜�����,面臨不同的網(wǎng)絡(luò)環(huán)境���、硬件環(huán)境�����、操作系統(tǒng)��、瀏覽器����、中間件�����、開發(fā)語言等,這些都需要一個統(tǒng)一的身份認(rèn)證平臺來解決��。
統(tǒng)一身份認(rèn)證平臺同時肩負(fù)著安全重任�,因此對于安全層面需要考慮較多,需要符合國家等保要求�,并且隨著互聯(lián)網(wǎng)的發(fā)展,學(xué)生使用移動端的次數(shù)更多���,在安全認(rèn)證層面需要和現(xiàn)有的移動端進(jìn)行集成���,需要支持動態(tài)口令、人臉識別���、指紋�、掃碼等多種方式進(jìn)行認(rèn)證���,方便廣大師生要求的同時����,增強(qiáng)其安全性���。
統(tǒng)一身份認(rèn)證平臺支撐著全校業(yè)務(wù)的身份認(rèn)證服務(wù)��,穩(wěn)定的運(yùn)行和及時的故障處理至關(guān)重要�,因此需要統(tǒng)一身份認(rèn)證自身運(yùn)行服務(wù)和運(yùn)行環(huán)境監(jiān)控的功能。
身份數(shù)據(jù)管理層:統(tǒng)一身份認(rèn)證平臺將需要內(nèi)外部數(shù)據(jù)進(jìn)行抽取到身份認(rèn)證平臺進(jìn)行集中存儲����,基于身份的類型和及部門���、角色���、崗位進(jìn)行相應(yīng)的賬號開通和關(guān)閉。
用戶使用層:統(tǒng)一身份認(rèn)證平臺提供統(tǒng)一的認(rèn)證服務(wù)�����,為了增強(qiáng)其安全性��,提供多種高強(qiáng)度認(rèn)證(多因子認(rèn)證)成為必須�����,并且需要對所有的登錄和訪問行為進(jìn)行審計�。
由于高校存在集中式高并發(fā)情況�����,那么傳統(tǒng)的高可用架構(gòu)在性能方面存在問題或者對于資源占用將非常大����,那么對于一個好的統(tǒng)一身份認(rèn)證平臺�,在其部署架構(gòu)層面有著較高的要求,這里推薦目前較新的微服務(wù)架構(gòu)����。
1、每個服務(wù)占用資源足夠小���。
2���、可以基于微服務(wù)編排工具對微服務(wù)進(jìn)行管理,高并發(fā)時對服務(wù)進(jìn)行擴(kuò)容��,空閑時釋放相關(guān)資源����。
3、一個服務(wù)出現(xiàn)問題,不會影響整個平臺運(yùn)行���。
小結(jié):本文以高校數(shù)字化校園建設(shè)為背景�,以安全為基石�,著重描述了校園統(tǒng)一身份管理常見的問題、平臺功能架構(gòu)和部署架構(gòu)原理�����,符合目前高等學(xué)校的信息化建設(shè)要求�����,真正建成高校的身份認(rèn)證中心����。
員工身份與訪問控制eIAM
客戶身份與訪問控制cIAM
云身份治理IDaaS
智能身份認(rèn)證IDA
細(xì)粒度權(quán)限管理xBAC
API安全網(wǎng)關(guān)API-SGW
API安全監(jiān)測API-SD
API管理平臺APIM
ESB 企業(yè)服務(wù)總線
特權(quán)訪問管理PAM
數(shù)據(jù)庫訪問管理CQ
數(shù)據(jù)治理平臺PDMP
一體化零信任
運(yùn)維安全
數(shù)據(jù)安全治理
遠(yuǎn)程辦公安全
國產(chǎn)化替代
企業(yè)合規(guī)管控
數(shù)字化集成平臺
數(shù)字化員工門戶
熱門文章
7*24小時服務(wù)
專屬安全顧問
Gartner推薦
IDC創(chuàng)新者
權(quán)威安全認(rèn)證
滬公網(wǎng)安備 31011502012922號