近年来,我国高等院校在《中国教育现代化2035》战略的要求下,在《高等学校数字校园建设规范(试行)》的指引下,掀起了数字校园建设高潮。借助教学、科研、管理、服务等种类的业务应用,高校提升了业务的数字化、智能化水平,推动高等教育高质量发展。
在数字校园建设进程中,“数字身份”的重要性日益凸显。“数字身份”既是数字校园的“入口”,也是各个业务应用的“通行证”,是数字校园建设的重要基础。只有建立一体化、标准化、智能化的数字身份管理系统,全面提升身份安全水平,数字校园建设才能行稳致远。但在实际建设中,高校的数字身份管理却面临一系列的挑战。
高校面临的数字身份管理挑战
1.身份信息割裂,形成“身份孤岛”
高校的业务应用分为教学信息系统、科研信息系统、管理信息系统、服务信息系统等多种类型。这些业务应用的架构不一、部署方式不一,用户身份信息分散存储、分散管理。这导致高校IT系统内存在多个互不相通、标准不一的身份源,造成了一个个“身份孤岛”。
随着数字校园建设深入推进,高校的业务应用持续增加,多云、混合云环境逐步普及,云应用的比例逐步提高,使得高校的身份信息管理更加复杂。
2.用户类型复杂,人员流动频繁
高校的身份信息具有身份类型复杂,人员大批量、周期性流转的特点。在身份类型上,高校存在教职工、学生、访客、校友、科研合作伙伴等多种类型,每种类型都对应不同的管理模式。在学生入学、升学、毕业,以及教职工入转调离时,高校需要在短时间内快速完成大批账号的开通、注销、权限调整,身份管理工作量极大。
3.业务应用繁多,缺乏统一入口
由于各个业务应用的架构不一(BS架构、CS架构),登录入口众多,认证界面不一,密码体系与认证策略也不同,高校的教职工、师生不得不使用多个账号密码,通过不同的客户端、网页反复进行登录操作,操作体验不佳。
4.权限管理混乱,高度依赖人工
由于身份信息分散管理,高校普遍依赖人工管理访问权限,权限的发放、回收、调整耗费大量人力,不但效率低下,还容易造成安全隐患。同时,高校的业务应用普遍存在过度授权、长期授权的问题,越权访问、权限回收不及时都会带来安全风险。
5.认证方式混乱,安全难以保证
由于各个业务应用的认证方式不同,高校难以实施全局统一的身份认证策略,通过实施多因素认证、动态认证提升身份认证的安全性,也难以通过强制定期改密、提升密码强度来消除弱密码等安全隐患。
6.缺乏审计数据,遇事无从追溯
在传统的身份信息管理模式下,访问日志分散在各个应用之中,管理员只能单独审计不同的日志,难以以“身份”为线索跨应用追溯用户访问行为,输出完整的、可视化的审计报表,无法预判潜在威胁和攻击的情况。
芯盾时代IAM,助力高校破解数字身份管理难题
针对高校面临的数字身份管理难题,芯盾时代基于自主研发的用户身份和访问管理平台(IAM),帮助高校建立一体化、标准化、智能化的数字身份管理系统,为每一名访问者生成唯一可信的数字身份,进而实现对身份信息、身份认证、访问权限、审计日志的统一管理,全面提升高校的数字身份管理能力,为数字校园建设构筑身份安全基石。
1.建立权威身份源,实现身份信息统一管理
借助芯盾时代IAM,高校能够对分散在业务应用中的身份信息进行统一治理,为每一名访问者创建唯一的可信数字身份,为业务应用、办公设备、网络设备、安全设备、IT基础设备提供权威、可靠的身份数据源,从而打破“身份孤岛”,实现对全局身份信息的统一管理。
芯盾时代IAM全面支持各种身份认证协议,高校可以持续、便捷的将新建业务应用接入IAM平台,免于重复建设,提升业务应用的一体化水平,为数字校园建设打好基础。
2.身份信息自动化流转,身份管理更高效
芯盾时代IAM统一纳管所有应用、设备的身份信息后,高校的管理、运维人员能够通过统一的管理后台,一站式完成账号的开通、注销、权限调整,实现用户身份信息的全生命周期管理。借助IAM的用户属性、用户组管理能力,高校能够快速、安全的完成大批量账号的开通、注销,满足高校的特有需求。
同时,IAM还能帮助高校建立用户身份信息的分级管理体系,设置多个级别的管理员,将身份信息职能下放,提升管理效率。IAM的自助服务中心支持用户自助完成账号注册、修改密码、修改个人信息、账号权限调整等操作,高校可针对不同人群开放不同的自助服务功能,减少运维工作量。
3.建立统一应用门户,实现单点登录
借助芯盾时代IAM,高校能够建立PC端、移动端的双统一应用门户,将所有BS架构和CS架构的业务应用、iOS和安卓系统下App的访问入口集成在门户之中。借助单点登录功能,访问者只需在登录应用门户时认证一次,就能通过门户直接访问所有权限内的业务应用,实现“一次认证,全网通行”。
4.落实最小化授权,提升访问控制能力
芯盾时代IAM支持ACL、ABAC、RBAC等多种权限管理模型,高校能够综合运用各种模型,建立用户属性、用户组、应用权限三者之间的动态关联,实现默认授权与动态权限调整。IAM支持一级、二级、三级权限统一管理,访问控制能力细致数据级,可以帮助高校按照应用和数据的重要等级设置访问控制策略,落实最小化授权原则。
5.实施全局多因素认证,安全与便捷兼顾
芯盾时代基于自主研发的移动认证技术,为高校提供身份认证App和SDK,帮助高校一站式实现全局多因素认证。IAM支持密码、App扫码、短信验证码、动态口令、指纹识别、人脸识别等多种认证方式,并兼容微信、钉钉、飞书等互联网认证源,让访问者灵活选择认证方式,在认证时少输密码、不输密码,兼顾网络安全与操作体验。
6.提供统一访问日志,实现业务访问闭环管理
凭借IAM提供的统一访问日志,高校能够打破各个业务应用之间的信息壁垒,以身份为线索,追溯管理员操作行为、用户登录认证行为、用户应用访问行为、用户应用资源操作行为,让每一次访问都透明可见。在可视化后台的支持下,管理员能够快速生成可视化分析报表,形成对业务访问的闭环管理。