教育部在“教育信息化十年发展规划”中明确提出“建立国家教育云服务模式”,充分整合现有资源,采用云计算技术,形成资源配置与服务的集约化发展途径,构建稳定可靠、低成本的国家教育云服务模式;面向全国各级...
教育部在“教育信息化十年发展规划”中明确提出“建立国家教育云服务模式”,充分整合现有资源,采用云计算技术,形成资源配置与服务的集约化发展途径,构建稳定可靠、低成本的国家教育云服务模式;面向全国各级各类学校和教育机构,提供公共存储、计算、共享带宽、安全认证及各种支撑工具等通用基础服务,支撑优质资源全国共享和教育管理信息化。尽管教育部已经明确了信息化建设方面的“节能”目标要求,但目前不少院校校内资源仍处于分别由不同部门负责管理的阶段,不仅降低了资源利用率,造成信息孤岛,而且增加了运维成本和安全风险。要实现教育云服务模式,首先要对各校内资源进行整合,这方面国内已有部分院校走在了前面,但整合后的校园网仍面临着与Internet 和校内各类学生机互联所带来的安全威胁。而且为了保证学校独有资源的安全,必须对访问者进行严格的身份验证后安全可信的进行信息资源共享,以实现跨校的信息访问安全。因此,如何设计一套“内外兼修”的安全防护策略成为校园网良性运行和发展的重中之重。
国富安信息安全专家认为,对于教育行业来说,保证全国统一的“教育云”安全的一个关键问题是统一的身份与访问安全管理。教育云的用户量非常大,如果给每一个教师、学生配备一个家长账号,将达到5亿多个账户,并且这些用户还有很强的流动性,需要有缜密的管理模式和技术架构来支持。不同角色的人所需要分配的权限不同,根据权限获取的资源不同;各类资源系统需要集成,形成单点登录入口;另外,为了保证用户行为的可查性,需要对用户行为进行审计,并建立审计日志,便于责任认定等。
严把“教育云”安全大门——多样化身份鉴别机制
各院校校园网都拥有独立的身份认证方式或模型,认证强度与标准未必统一,安全逻辑分散在各个应用系统当中。国富安身份与访问安全集中管理系统(GFA IAM)可以提供不同安全强度的身份鉴别手段,例如静态密码、数字证书、智能卡、手机短信等,从而满足不同强度身份鉴别需求。
简化“教育云”登录入口——统一的身份认证
GFA IAM可以建立统一、标准化的高强度身份认证中心,与国富安数字证书无缝结合,并提供统一的用户集中认证入口,实现单点登录。不需要改变现有网络拓扑结构,不改变用户使用习惯,用户只需认证一次即可访问所有应用系统,避免在访问过程中出现多个应用系统重复登录的问题,降低多系统使用的复杂性。GFA IAM支持WebSphere、WebLogic、Microsoft IIS等主流Web应用服务器,支持常见的C/S应用系统。
提高“教育云”运维安全——数字身份生命周期管理
很多时候,校园信息资产的安全风险来自于教师离职、学生毕业时权限管理的缺失。对“教育云”而言,这样的风险会加倍的扩大化,一所学校权限管理不善,将有可能导致“教育云”信息资源的失窃。GFA IAM可以帮助解决这一问题,例如:当教师离职时,学校的人力资源系统中的状态变更为“离职”是,GFA IAM会撤销该教师对所有业务系统的访问权限,并删除该教师在各应用系统中的账户。当然,在“教育云”中的权限也随之被撤销。
化解“教育云”资源分配之难——授权与访问控制
建设“教育云”的目的为资源共享,但针对不同院校、不同级别、不同角色的用户需要给予不同的访问权限和资源获取资质;同时也要保护每所院校私有云资源的安全。因此,“教育云”的资源分配成为一大难题。GFA IAM可以提供基于RBAC管理模型的用户角色划分与资源访问授权功能,并且可以实现批量的用户与资源访问授权功能,解决了“教育云”庞大用户群体的授权难题。同时,可以提供基于不同组织机构的分级授权功能,保证学校私有云的安全。
解决“教育云”管理后顾之忧——安全审计日志
“教育云”覆盖全国教育系统及各院校等,面对如此庞大的用户及使用范围,发生用户或内部IT管理人员违规、越权操作等行为时,如果没有实时的审计日志将为给整个“教育云”带来额外的安全风险。为了避免这类风险,GFA IAM提供了自动生成用户和管理员行为信息记录和多条件审计分析功能,并且可以对日志手动或自动归档策略管理。解决了“教育云”管理后顾之忧。
在未来的社会中,教育高度信息化是必然的,教育信息化程度的高低已成为当今世界衡量一个国家综合国力的重要标志。我国的“教育云”虽然处于建设初期,但各院校的教育信息化建设已经达到了普及程度,作为信息安全行业的龙头企业,国富安人在云安全领域对于新产品、新方案的探索从未停止。我们坚信,教育行业的信息化建设也将会因为国富安的一份努力而变得更加安全、可信。