http://www.rihannazone.com

清华大学投毒案2019年度教育信息化优秀案例丨访

  2020-06-05 中国教育网络 李子木 杨家海 傅怡琦 张慧琳 杜小江 刘乃嘉

  

  随着校园无线网建设的快速发展,无线网已经成为校园用户的主要接入手段,但是对于很多来校进行短期访问的国内外客人,由于涉及到销户、安全认证、访问权限、上网缴费等多方面因素,目前很多校园无线网并不能为这类用户提供方便的接入服务。作为接待国内外来访客人较多的学校之一,在这方面进行了有益尝试,建立了一套较为完善的自助式无线访客系统,为多种场景下的来访用户提供了方便的入网手段,在加强安全管控的同时,提高了来访客人入网效率,减轻了负担,提升了学校对外形象,取得了很好的使用效果。

  校园无线网主要设计目标是为校内师生提供服务,此前没有专门面向来访客人的服务系统。来访客人若需要接入校园网,需要校内受访人提出书面申请,由信息技术中心审核来访人身份信息,然后为来访人创建临时账,整个流程相对繁琐,时间较长,增加了校内受访人的时间精力和体力负担。

  通过现状,对无线访客系统提出了两点基本建设原则:安全、简便。

  无线访客系统要求以来访人实名信息为基础实现准入认证,辅以校内受访人签名方式实现来访人身份验证和上网行为约束,所有入网场景通过自服务方式提供技术支持,在保障网络安全的同时,最大程度简化入网流程,缩短时间,提升来访客人用户体验。

  经过梳理,清华大学投毒案我们将来访客人划归为三类,他们来校入网目的不同,资源访问需求也不相同:

  访客(Guest):主要指来校学习交流的受邀客人,此类客人由校内受访人接待,且一般需要访问校内资源;

  游客(Visitor):主要指来校旅游的客人,此类客人没有校内受访人,也无需访问校内资源;

  漫游客(Eduroam):特指来访的Eduroam联盟用户,此类客人已经在其当地机构开通Eduroam账,来校入网目的主要是接入互联网,一般不需要访问校内资源。

  为了提高来访客人的入网体验,需要从多个维度考虑场景,并进行针对性设计。这些维度因素包括:来访人是单人还是团体、有无受访人接待、受访人是否在现场、客人来自国内还是国外、是否需要访问校内资源等,对来访人入网场景的基本总结见表1。

  

  其中,“访客(Guest)”场景最为复杂。这类客人一般是受邀来访,可能来自国内外,有校内受访人进行接待。按照国家对实名上网的要求,来访客人需要进行实名登记(例如使用国内运营商的手机码),这种情况下系统必须要考虑到国内外访客在实名信息和语言文字方面的差别。当访客到达学校后需要现场进行实名信息登记和实时,此时如果受访人在现场,则可以采用扫描二维码的方式方便地为访客;如果受访人不在客人旁边,则需要通过远距离技术手段及时验证访客身份并为其实时。为了缩短访客现场实时时间,受访人可能希望在访客到达学校现场之前就能够为其,因此系统需要同时提供非现场提前的技术手段。另外,学校里经常各类国内外学术会议和技术交流,参会人员有时多达百人。这种场景下一般由会议组织者提前收集参会人员信息并提前进行批量,但即使如此,也很可能会有临时人员直接到达现场参会并要求上网,因此系统不仅需要为此类特殊情况提供方便的现场入网支持,而且还需要将这些现场的临时人员与之前参与同一活动的批量人员进行关联,以方便会议组织者对本次活动的所有参会人员入网信息进行集中管理。清华大学投毒案在上述场景中,需要由受访人决定访客是否可以访问校内资源,并对访客进行授权。

  “游客(Visitor)”场景最为简单,只面向具有国内手机的客人,采用手机作为来访人实名信息,且只能来校后现场,不提供提前手段,也不能访问校内资源。

  “漫游客(Eduroam)”场景只为Eduroam联盟机构下属的已经具有Eduroam账的来访人提供服务。来访人到校后通过关联校园无线网发布的“Eduroam”信进行个人实名信息登记(此处需要考虑国内外语言文字和个人信息方面的差别,并进行针对性设计),由受访人验证通过后即可接入校园网。为了提高用户体验,受访人也可以在来访人到校之前通过无线访客系统自服务为其Eduroam账登记实名信息,来访人到校后可直接接入校园网实现无入网。

  从前一章描述中可以看到,同现有校园网相比,清华大学投毒案无线访客系统最大的改进是在访客环节。如图1所示,无线访客系统在传统校园网流程中增加了“受访人”角色,将传统由信息技术中心负责的访客身份验证审核工作分权下放给了校内受访人,不需要亲临信息技术中心现场,访客即可在受访人的协助下自助完成身份审核与,大幅提高了访客入网效率(图中不同访客图标代表了不同类型不同场景的来访客人)。

  

  在“访客-受访人-信息技术中心”模型下,无线访客系统在安全、网络部署、业务连续性、场景自服务等方面进行了综合考虑和全新设计,采用网络、管控、双机冗余、增量部署的方式与校园网无缝对接,全程实名,追溯到账,了访客上网行为的安全可控,并实现了首次认证后的全过程无入网。

  图2为无线访客系统架构示意图,无线访客系统针对三类来访人三个不同的SSID:Guest、Visior和Eduroam,来访人关联相应SSID后系统会全自动引导用户通过实名身份验证接入校园网,图中不同颜色线段示意了不同场景下的准入认证流程。

  

  考虑到短期来访的校外客人对校园网使用方式不熟悉,因此无线访客系统对、认证、缴费、管理的每个操作环节都进行了充分研究,在界面布局、信息提示和操作引导方面进行了专业设计,对自助服务进行了极致优化,无论来访人还是受访人,无论专业IT人士还专业人士都可以无障碍地完成整个入网过程操作,而无需信息技术中心的介入,极大提升了用户体验。图3给出了部分用户使用界面,可以看出无线访客系统在用户体验方面进行了较为充分的考虑。

  

  传统的校园网用户管理系统,主要面向校内师生提供服务,没有考虑访客的上点和需求,这导致访客与校内师生在流程上没有明显区别、访客与校内师生的上网权限不易区分,两类人群混在一起,增加了管理难度和复杂度。

  以往的访客身份验证和规则,其实是把访客对网络访问的安全责任交给了信息技术中心负责。在访客数量激增后,访客上网的安全审计和溯源难度增加,一旦出现网络安全事件,真正的责任人追溯比较困难,加大了信息技术中心的安全责任。

  新无线访客系统设计为的,具备的IP地址池和的访客数据库,有的上网审计,的管理系统,完全实现了访客与本校师生的区分管理。同时,新系统引入校内受访人作为审核员,将以往信息技术中心的审核和工作分配至各受访人。访客实名信息由受访人负责验证并对访客上网行为进行背书,提高了受访人与访客的安全上网意识。新无线访客系统让以往颇受诟病的入网方式成为历史,把简单而又重复性高的审核和工作分配给受访人之后,信息技术中心可以把更多精力聚焦于核心的数据存储和系统管理上,运维工作效率得以大幅提升。

  在用户体验方面,新无线访客系统同时支持游客、访客和Eduroam漫游;支持预和现场实时;支持个人访客、小型会议或大型等多种场景。受访人可以快速开通访客的入网账,无需信息技术中心介入,大大简化了入网流程。与此同时,受访人通过自服务系统,能够全面了解访客的上网状态(例如是否在线、时间、账有效期等),并可以及时做出相应管控。访客入网不再受制于信息技术中心的审批效率,极速开通即刻上网。完成初次实名验证后,后续上网达到无。

  新无线访客系统具有页面自适应、业务自助化、支付宝或微信实时充值、虚拟钱包、中英文界面等特色功能,把用户体验做到了细处。自年初正式投入运行以来,无线万余名来访客人,服务时长超过8万小时,并为校庆活动提供了有力支持,作为学校对外服务窗口之一,获得了良好口碑和美誉度,进一步提升了的国内外形象。图4~6为基本运行情况截图。

  

  无线访客系统极大加强了对“访客”这类特殊人群的服务能力,但是目前该系统只支持IPv4。随着IPv6应用的逐渐发展,无线访客系统如何支持IPv6用户认证、如何无支持IPv4/IPv6双栈用户入网、如何解决无线地址不断变化的难题、如何对IPv6地址进行审计和追溯,都将是无线访客系统的下一步工作重点。无线方面加强研究,争取早日提供完善的双栈接入能力,将无线访客系统打造为全场景服务系统,全面提升系统服务能力。

  (本文刊载于《中国教育网络》2019年7月刊, 作者:信息化技术中心 李子木 杨家海 傅怡琦 张慧琳 杜小江 刘乃嘉)

  特别声明:本站注明来源为的文/图等均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。

  新冠病毒抗体再突破!与深圳三院发布最新合作2020/06/04

  王小云院士获“最具时间价值”和“真实世界学”两个国际项2020/04/13

  召开推进完善学术评价制度和修订学位评定标准工作座谈会2020/04/09

  过去20多年,高校信息化建设快速发展,并在实践中发挥重要作用、产生了巨大影响...

  随着国内“双一流”大学建设的推进,高校承担起越来越重要的科研任务。高校科研对高水平信息化...

  停课不停学,高校信息化应用将分享部分企业学院的课程,为有需求的院校师生提供免费教学....

原文标题:清华大学投毒案2019年度教育信息化优秀案例丨访 网址:http://www.rihannazone.com/kejipindao/2020/0630/24046.html

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。