近年來，我國(guó)高等院校在《中國(guó)教育現(xiàn)代化2035》戰(zhàn)略的要求下，在《高等學(xué)校數(shù)字校園建設(shè)規(guī)范（試行）》的指引下，掀起了數(shù)字校園建設(shè)高潮。借助教學(xué)、科研、管理、服務(wù)等種類的業(yè)務(wù)應(yīng)用，高校提升了業(yè)務(wù)的數(shù)字化、智能化水平，推動(dòng)高等教育高質(zhì)量發(fā)展。

在數(shù)字校園建設(shè)進(jìn)程中，“數(shù)字身份”的重要性日益凸顯。“數(shù)字身份”既是數(shù)字校園的“入口”，也是各個(gè)業(yè)務(wù)應(yīng)用的“通行證”，是數(shù)字校園建設(shè)的重要基礎(chǔ)。只有建立一體化、標(biāo)準(zhǔn)化、智能化的數(shù)字身份管理系統(tǒng)，全面提升身份安全水平，數(shù)字校園建設(shè)才能行穩(wěn)致遠(yuǎn)。但在實(shí)際建設(shè)中，高校的數(shù)字身份管理卻面臨一系列的挑戰(zhàn)。

高校面臨的數(shù)字身份管理挑戰(zhàn)

1.身份信息割裂，形成“身份孤島”

高校的業(yè)務(wù)應(yīng)用分為教學(xué)信息系統(tǒng)、科研信息系統(tǒng)、管理信息系統(tǒng)、服務(wù)信息系統(tǒng)等多種類型。這些業(yè)務(wù)應(yīng)用的架構(gòu)不一、部署方式不一，用戶身份信息分散存儲(chǔ)、分散管理。這導(dǎo)致高校IT系統(tǒng)內(nèi)存在多個(gè)互不相通、標(biāo)準(zhǔn)不一的身份源，造成了一個(gè)個(gè)“身份孤島”。

隨著數(shù)字校園建設(shè)深入推進(jìn)，高校的業(yè)務(wù)應(yīng)用持續(xù)增加，多云、混合云環(huán)境逐步普及，云應(yīng)用的比例逐步提高，使得高校的身份信息管理更加復(fù)雜。

2.用戶類型復(fù)雜，人員流動(dòng)頻繁

高校的身份信息具有身份類型復(fù)雜，人員大批量、周期性流轉(zhuǎn)的特點(diǎn)。在身份類型上，高校存在教職工、學(xué)生、訪客、校友、科研合作伙伴等多種類型，每種類型都對(duì)應(yīng)不同的管理模式。在學(xué)生入學(xué)、升學(xué)、畢業(yè)，以及教職工入轉(zhuǎn)調(diào)離時(shí)，高校需要在短時(shí)間內(nèi)快速完成大批賬號(hào)的開通、注銷、權(quán)限調(diào)整，身份管理工作量極大。

3.業(yè)務(wù)應(yīng)用繁多，缺乏統(tǒng)一入口

由于各個(gè)業(yè)務(wù)應(yīng)用的架構(gòu)不一（BS架構(gòu)、CS架構(gòu)），登錄入口眾多，認(rèn)證界面不一，密碼體系與認(rèn)證策略也不同，高校的教職工、師生不得不使用多個(gè)賬號(hào)密碼，通過不同的客戶端、網(wǎng)頁(yè)反復(fù)進(jìn)行登錄操作，操作體驗(yàn)不佳。

4.權(quán)限管理混亂，高度依賴人工

由于身份信息分散管理，高校普遍依賴人工管理訪問權(quán)限，權(quán)限的發(fā)放、回收、調(diào)整耗費(fèi)大量人力，不但效率低下，還容易造成安全隱患。同時(shí)，高校的業(yè)務(wù)應(yīng)用普遍存在過度授權(quán)、長(zhǎng)期授權(quán)的問題，越權(quán)訪問、權(quán)限回收不及時(shí)都會(huì)帶來安全風(fēng)險(xiǎn)。

5.認(rèn)證方式混亂，安全難以保證

由于各個(gè)業(yè)務(wù)應(yīng)用的認(rèn)證方式不同，高校難以實(shí)施全局統(tǒng)一的身份認(rèn)證策略，通過實(shí)施多因素認(rèn)證、動(dòng)態(tài)認(rèn)證提升身份認(rèn)證的安全性，也難以通過強(qiáng)制定期改密、提升密碼強(qiáng)度來消除弱密碼等安全隱患。

6.缺乏審計(jì)數(shù)據(jù)，遇事無從追溯

在傳統(tǒng)的身份信息管理模式下，訪問日志分散在各個(gè)應(yīng)用之中，管理員只能單獨(dú)審計(jì)不同的日志，難以以“身份”為線索跨應(yīng)用追溯用戶訪問行為，輸出完整的、可視化的審計(jì)報(bào)表，無法預(yù)判潛在威脅和攻擊的情況。

芯盾時(shí)代IAM，助力高校破解數(shù)字身份管理難題

針對(duì)高校面臨的數(shù)字身份管理難題，芯盾時(shí)代基于自主研發(fā)的用戶身份和訪問管理平臺(tái)（IAM），幫助高校建立一體化、標(biāo)準(zhǔn)化、智能化的數(shù)字身份管理系統(tǒng)，為每一名訪問者生成唯一可信的數(shù)字身份，進(jìn)而實(shí)現(xiàn)對(duì)身份信息、身份認(rèn)證、訪問權(quán)限、審計(jì)日志的統(tǒng)一管理，全面提升高校的數(shù)字身份管理能力，為數(shù)字校園建設(shè)構(gòu)筑身份安全基石。

1.建立權(quán)威身份源，實(shí)現(xiàn)身份信息統(tǒng)一管理

借助芯盾時(shí)代IAM，高校能夠?qū)Ψ稚⒃跇I(yè)務(wù)應(yīng)用中的身份信息進(jìn)行統(tǒng)一治理，為每一名訪問者創(chuàng)建唯一的可信數(shù)字身份，為業(yè)務(wù)應(yīng)用、辦公設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、IT基礎(chǔ)設(shè)備提供權(quán)威、可靠的身份數(shù)據(jù)源，從而打破“身份孤島”，實(shí)現(xiàn)對(duì)全局身份信息的統(tǒng)一管理。

芯盾時(shí)代IAM全面支持各種身份認(rèn)證協(xié)議，高校可以持續(xù)、便捷的將新建業(yè)務(wù)應(yīng)用接入IAM平臺(tái)，免于重復(fù)建設(shè)，提升業(yè)務(wù)應(yīng)用的一體化水平，為數(shù)字校園建設(shè)打好基礎(chǔ)。

2.身份信息自動(dòng)化流轉(zhuǎn)，身份管理更高效

芯盾時(shí)代IAM統(tǒng)一納管所有應(yīng)用、設(shè)備的身份信息后，高校的管理、運(yùn)維人員能夠通過統(tǒng)一的管理后臺(tái)，一站式完成賬號(hào)的開通、注銷、權(quán)限調(diào)整，實(shí)現(xiàn)用戶身份信息的全生命周期管理。借助IAM的用戶屬性、用戶組管理能力，高校能夠快速、安全的完成大批量賬號(hào)的開通、注銷，滿足高校的特有需求。

同時(shí)，IAM還能幫助高校建立用戶身份信息的分級(jí)管理體系，設(shè)置多個(gè)級(jí)別的管理員，將身份信息職能下放，提升管理效率。IAM的自助服務(wù)中心支持用戶自助完成賬號(hào)注冊(cè)、修改密碼、修改個(gè)人信息、賬號(hào)權(quán)限調(diào)整等操作，高校可針對(duì)不同人群開放不同的自助服務(wù)功能，減少運(yùn)維工作量。

3.建立統(tǒng)一應(yīng)用門戶，實(shí)現(xiàn)單點(diǎn)登錄

借助芯盾時(shí)代IAM，高校能夠建立PC端、移動(dòng)端的雙統(tǒng)一應(yīng)用門戶，將所有BS架構(gòu)和CS架構(gòu)的業(yè)務(wù)應(yīng)用、iOS和安卓系統(tǒng)下App的訪問入口集成在門戶之中。借助單點(diǎn)登錄功能，訪問者只需在登錄應(yīng)用門戶時(shí)認(rèn)證一次，就能通過門戶直接訪問所有權(quán)限內(nèi)的業(yè)務(wù)應(yīng)用，實(shí)現(xiàn)“一次認(rèn)證，全網(wǎng)通行”。

4.落實(shí)最小化授權(quán)，提升訪問控制能力

芯盾時(shí)代IAM支持ACL、ABAC、RBAC等多種權(quán)限管理模型，高校能夠綜合運(yùn)用各種模型，建立用戶屬性、用戶組、應(yīng)用權(quán)限三者之間的動(dòng)態(tài)關(guān)聯(lián)，實(shí)現(xiàn)默認(rèn)授權(quán)與動(dòng)態(tài)權(quán)限調(diào)整。IAM支持一級(jí)、二級(jí)、三級(jí)權(quán)限統(tǒng)一管理，訪問控制能力細(xì)致數(shù)據(jù)級(jí)，可以幫助高校按照應(yīng)用和數(shù)據(jù)的重要等級(jí)設(shè)置訪問控制策略，落實(shí)最小化授權(quán)原則。

5.實(shí)施全局多因素認(rèn)證，安全與便捷兼顧

芯盾時(shí)代基于自主研發(fā)的移動(dòng)認(rèn)證技術(shù)，為高校提供身份認(rèn)證App和SDK，幫助高校一站式實(shí)現(xiàn)全局多因素認(rèn)證。IAM支持密碼、App掃碼、短信驗(yàn)證碼、動(dòng)態(tài)口令、指紋識(shí)別、人臉識(shí)別等多種認(rèn)證方式，并兼容微信、釘釘、飛書等互聯(lián)網(wǎng)認(rèn)證源，讓訪問者靈活選擇認(rèn)證方式，在認(rèn)證時(shí)少輸密碼、不輸密碼，兼顧網(wǎng)絡(luò)安全與操作體驗(yàn)。

6.提供統(tǒng)一訪問日志，實(shí)現(xiàn)業(yè)務(wù)訪問閉環(huán)管理

憑借IAM提供的統(tǒng)一訪問日志，高校能夠打破各個(gè)業(yè)務(wù)應(yīng)用之間的信息壁壘，以身份為線索，追溯管理員操作行為、用戶登錄認(rèn)證行為、用戶應(yīng)用訪問行為、用戶應(yīng)用資源操作行為，讓每一次訪問都透明可見。在可視化后臺(tái)的支持下，管理員能夠快速生成可視化分析報(bào)表，形成對(duì)業(yè)務(wù)訪問的閉環(huán)管理。

芯盾時(shí)代用戶身份與訪問管理平臺(tái)（IAM）能夠?yàn)楦咝＝鉀Q數(shù)字身份管理難題，促進(jìn)高校公共數(shù)據(jù)共享，提升信息化服務(wù)水平，助推高校數(shù)校園建設(shè)，推動(dòng)高等教育事業(yè)高質(zhì)量發(fā)展。