數字校園統一身份認證與訪問控制策略的研究與實踐

◆毛宇光

（天津市大學軟件學院資產經營有限公司 天津 300870）

1 建設必要性分析

隨著高校數字校園的飛速發展，支撐業務的信息系統迅速增加，各應用業務已不僅局限于傳統PC 端，已向大數據、物聯網、移動互聯邁進且發展迅猛。

首先從安全授權角度來講，信息中心為保障數據安全，往往對已有信息系統不開放外網端口，這造成無法滿足師生在校外訪問校內資源的需求，但往往許多內部資源需對外開放，如果開放外網訪問端口，又擔心數據安全問題。訪問控制系統的核心功能正是解決這方面的需求問題，使用該服務提供對內部API、WEB 等資源的訪問保護，使其在訪問時需經過身份認證才可獲取資源。該服務是一個可以放在任何被訪問前的保護服務，讓外部訪問得到有效身份驗證以實現對數據進行保護，最終滿足外網用戶安全訪問內網資源的目的。

其次從應用訪問角度來講，教師日常辦公、學生日常學習均涉及到身份鑒別，一般需要登錄多個系統，每個系統的賬號均不相同，且需多次授權認證，統一身份認證平臺的核心功能是解決一個賬戶在統一認證、有效授權、安全審計的前提下，打通所有的應用和資源。

所以如何真正實現內部資源外部安全訪問；一個賬號實現認證訪問各應用系統；提高從認證終端、認證過程、認證控制到服務端全過程安全可信，打造完備且安全的身份認證中臺，那么統一身份認證平臺和訪問控制系統的集成可以發揮巨大功效，將作為教育行業信息安全第一道屏障就越加重要，也將是教育行業及各高校需要思考的重要問題。

2 建設目標

本著平臺建設標準規范為先的原則，首先根據現有業務需求及學院管理制度，對高校身份認證標準規范進行重新修訂，作為平臺建設基礎保障；其次從學院多應用、多用戶、多場景使用的應用場景出發，搭建并完成統一身份認證平臺與訪問控制系統，提升系統訪問安全性，提高管理效能、應用效能。第三通過平臺建設，可增強全體教職工及學生電子身份管理的安全性；平臺建成后，高校師生無論身處校內外均可使用同一登錄方式、同一賬號、只需登錄一次，即可實現多個應用系統自由切換，實現單點登錄，多地漫游，提高辦公、教學效率；利用模板化開發實現第三方應用系統靈活且安全的對接單點登錄系統，降低對接實施成本、縮短實施周期、減少實施風險；實現集中用戶管理，通過便捷的單點登錄，細粒度的權限控制和全方位的審計分析，達到事前審批、事中控制和事后審計的全方位安全管理目標。利用大數據分析，提升對危險、危害的態勢感知能力及風險預判能力，整體降低安全風險，提高高校內部核心數據安全防護。

數字校園考慮未來五年不斷發展，要構建一套統一、高效、安全的統一身份認證平臺和訪問控制系統，實現便捷操作、全網統一、安全訪問。各應用訪問實現一地登錄、多地漫游、一地授權、全網暢游的目的。

3 平臺建設

3.1 統一身份認證平臺建設

平臺基于五個統一管理模式，其中包括：統一應用管理、統一賬戶管理、統一認證管理、統一授權管理、統一審計管理五個部分。

通過統一應用管理實現將高校各應用的用戶訪問權限和應用賬戶進行集中統一管理；將現有學院各應用系統集中管控，更要考慮到未來隨著業務拓展而新增加的移動、物聯網業務，以滿足高校未來新增業務應用時的集成需求。為方便實現第三方應用系統統一對接、集中管理，第三方應用可根據自身技術方向，選擇使用系統內置的集成模板，并使用標準應用接口方式，通過界面化最小配置，實現標準化應用集成對接，最終達到統一、安全、快速管理所有應用的目的。在此基礎上實現統一門戶并引入應用商店的理念，將第三方應用系統、資訊信息整合到統一身份認證平臺門戶之上，以統一的形式展示給師生，從而建立統一的師生信息通道、消息傳遞、應用整合的服務能力。

通過統一賬戶管理實現統一管理學生、教工賬戶，包括學院內部應用和其他應用的子賬戶?？梢詫崿F員工賬戶全生命周期管理，包括教師入職、離職、調崗；學生入校、離校、休學；實現統一的賬號管理，支持管理所有師生賬號，支持矩陣式組織架構創建，通過橫向、縱向靈活設計，實現師生賬號的創建、啟用/禁用、刪除及同步等流程的自動化管理，并可進行生存周期設定，實現賬號全生命周期管理。

通過統一認證管理提供師生應用訪問入口，采用多種認證方式對用戶身份進行確認。授權用戶可方便、安全、有效的訪問高校內部資源，實現了應用系統的統一認證集成。單點登錄功能實現用戶在多個應用平臺之上的無縫切換，打破了由于各應用系統之間賬號的不統一造成的壁壘。消除了由于業務及數據孤島造成的用戶登錄時的賬戶混淆與登錄障礙。用戶登錄系統后，登錄賬號作為用戶的主賬號，當增加一個單點登錄的應用系統時，只需要增加用戶唯一主賬號與該單點登錄應用系統子賬號的一個關聯信息即可，不會對第三方應用系統進行大規模的數據修改及代碼改造，從而解決了統一身份認證平臺和第三方應用系統賬號不一致，造成無法集成的問題。數據的傳輸安全則通過安全通道來進行保證。最終達到“一次認證，安全漫游”的效果。

通過統一授權管理建設基于用戶角色和應用類別的訪問控制體系，實現資源訪問控制策略的集中管理和委派授權，可以對高校內部各類資源進行統一管理；在應用資源有效管理的基礎上，建立以人為主體、應用服務于人的管理模式，形成授權管理體系，在此基礎上打破以用戶授權的傳統模式，結合人與崗位組合授權的模式，實現對用戶的統一權限控制和管理。通過統一授權管理，建立崗位與人員管理、再建立崗位與人員授權的多層次統一用戶管理和權限視圖。當用戶崗位發生變化時，可快速響應變化，根據用戶新的崗位屬性自動調整其能訪問的應用組，避免了復雜的人為操作，進一步降低管理成本，提高工作效率。通過創建崗位安全組，將所有的師生用戶以崗位的形式統一管理，通過應用授權給崗位安全組與通過崗位安全組指定應用兩種授權機制，結合應用授權給人員的輔助授權機制，達到管理用戶訪問權限的目的。這樣可以根據用戶、組織機構、角色、崗位進行靈活授權，并可對高校下屬機構建立的管理員分配該機構所有管理權限，真正實現分級授權管理能力。通過信息同步、建立權限系統，與應用系統權限接口對接實現多級授權能力。

通過統一審計管理對師生的訪問行為和管理員操作行為進行全面記錄分析，及時發現非法登錄和非法操作等異常事件，并提供全面、有效的回溯日志，對審計日志進行分析并提供可視化報表展示。系統自動記錄管理員、分級管理員、師生用戶的日常操作，形成系統審計信息。通過自動歸類、合并等方式進行統計分析與展示，使管理者可以直觀識別到應用系統中潛在的惡意威脅，從而降低對系統惡意侵襲的風險。積累一定的數據后可采用大數據平臺，形成一定的安全策略規則，并可在認證時實現主動防御瞬間互動，有效防止惡意攻擊。

3.2 訪問控制系統建設

隨著高校業務的不斷發展，衍生出了越來越多的服務師生日常工作學習的應用系統。利用這些平臺師生可以隨時隨地處理業務。但由于師生所處地域、網絡環境、權限等諸多因素，導致師生離開特定的校園網絡環境后，很難便捷并快速訪問到內網資源，并且隨著內網應用系統數量的增加、更多內網資源的上線，許多業務只能在校園內網環境下才能正常訪問，因此從外部網絡，訪問這些業務系統的需求變得十分迫切。而目前傳統VPN 存在需要安裝客戶端程序、網絡代理配置復雜、占用系統資源較高、不穩定、安全性有待提高等問題；同時數據安全也面臨著很大的威脅，越來越多的關鍵信息存儲在個業務系統中，一旦數據泄漏會造成很大的損失，后果難以估計。為保證數據安全，較為安全的做法是將各業務系統封鎖在學院內網中，不允許外網訪問。但這又面臨著與用戶基本需求之間的矛盾。于是如何既要保證系統安全，又要方便為師生提供外網遠程訪問服務，成為了信息化建設者們急需解決的問題，那么訪問控制系統無疑是在這種諸多因素及條件下的必然產物。

訪問控制系統采用HTTP 透傳技術，實現無需安裝客戶端軟件，通過統一身份認證平臺與訪問控制系統的集成，師生無論身處何種網絡環境，只需要正常訪問統一身份認證平臺，進行授權登錄后即可訪問學院內網資源。與傳統的VPN 的配置煩瑣相比用戶無需任何配置，應用也無需在防火墻上開啟特殊端口，只需管理員通過Web 界面的操作方式，快速配置用戶組與目標站點的訪問授權策略，用戶就可直接訪問已被授權訪問的應用及資源。并通過內置WAF 系統，進一步保護業務系統免受外部攻擊，確保系統的安全性。

4 結語

統一身份認證與訪問控制系統的集成可全面提升高校核心服務能力以及安全管理能力。由原有各業務系統單兵作戰轉為集群化安全作業，打破了高校內部應用系統壁壘，消除信息流通不暢、無法集中管理、交互困難等諸多問題；通過業務系統整合高校管理、服務、決策能力，實現資源整合、提高資源綜合利用水平；實現在已有的安全體系下，構建一套統一、高效、安全的統一身份認證平臺，滿足現有業務系統傳統WEB 端、未來移動端、物聯網應用等多領域需求；在改善現有信息化管理模式同時，以展望著眼未來發展的思路，采用超前意識及高新技術，為高校數字校園建設打下堅實的基礎。