◆毛宇光

（天津市大學(xué)軟件學(xué)院資產(chǎn)經(jīng)營有限公司 天津 300870）

1 建設(shè)必要性分析

隨著高校數(shù)字校園的飛速發(fā)展，支撐業(yè)務(wù)的信息系統(tǒng)迅速增加，各應(yīng)用業(yè)務(wù)已不僅局限于傳統(tǒng)PC 端，已向大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)邁進(jìn)且發(fā)展迅猛。

首先從安全授權(quán)角度來講，信息中心為保障數(shù)據(jù)安全，往往對已有信息系統(tǒng)不開放外網(wǎng)端口，這造成無法滿足師生在校外訪問校內(nèi)資源的需求，但往往許多內(nèi)部資源需對外開放，如果開放外網(wǎng)訪問端口，又擔(dān)心數(shù)據(jù)安全問題。訪問控制系統(tǒng)的核心功能正是解決這方面的需求問題，使用該服務(wù)提供對內(nèi)部API、WEB 等資源的訪問保護(hù)，使其在訪問時(shí)需經(jīng)過身份認(rèn)證才可獲取資源。該服務(wù)是一個(gè)可以放在任何被訪問前的保護(hù)服務(wù)，讓外部訪問得到有效身份驗(yàn)證以實(shí)現(xiàn)對數(shù)據(jù)進(jìn)行保護(hù)，最終滿足外網(wǎng)用戶安全訪問內(nèi)網(wǎng)資源的目的。

其次從應(yīng)用訪問角度來講，教師日常辦公、學(xué)生日常學(xué)習(xí)均涉及到身份鑒別，一般需要登錄多個(gè)系統(tǒng)，每個(gè)系統(tǒng)的賬號(hào)均不相同，且需多次授權(quán)認(rèn)證，統(tǒng)一身份認(rèn)證平臺(tái)的核心功能是解決一個(gè)賬戶在統(tǒng)一認(rèn)證、有效授權(quán)、安全審計(jì)的前提下，打通所有的應(yīng)用和資源。

所以如何真正實(shí)現(xiàn)內(nèi)部資源外部安全訪問；一個(gè)賬號(hào)實(shí)現(xiàn)認(rèn)證訪問各應(yīng)用系統(tǒng)；提高從認(rèn)證終端、認(rèn)證過程、認(rèn)證控制到服務(wù)端全過程安全可信，打造完備且安全的身份認(rèn)證中臺(tái)，那么統(tǒng)一身份認(rèn)證平臺(tái)和訪問控制系統(tǒng)的集成可以發(fā)揮巨大功效，將作為教育行業(yè)信息安全第一道屏障就越加重要，也將是教育行業(yè)及各高校需要思考的重要問題。

2 建設(shè)目標(biāo)

本著平臺(tái)建設(shè)標(biāo)準(zhǔn)規(guī)范為先的原則，首先根據(jù)現(xiàn)有業(yè)務(wù)需求及學(xué)院管理制度，對高校身份認(rèn)證標(biāo)準(zhǔn)規(guī)范進(jìn)行重新修訂，作為平臺(tái)建設(shè)基礎(chǔ)保障；其次從學(xué)院多應(yīng)用、多用戶、多場景使用的應(yīng)用場景出發(fā)，搭建并完成統(tǒng)一身份認(rèn)證平臺(tái)與訪問控制系統(tǒng)，提升系統(tǒng)訪問安全性，提高管理效能、應(yīng)用效能。第三通過平臺(tái)建設(shè)，可增強(qiáng)全體教職工及學(xué)生電子身份管理的安全性；平臺(tái)建成后，高校師生無論身處校內(nèi)外均可使用同一登錄方式、同一賬號(hào)、只需登錄一次，即可實(shí)現(xiàn)多個(gè)應(yīng)用系統(tǒng)自由切換，實(shí)現(xiàn)單點(diǎn)登錄，多地漫游，提高辦公、教學(xué)效率；利用模板化開發(fā)實(shí)現(xiàn)第三方應(yīng)用系統(tǒng)靈活且安全的對接單點(diǎn)登錄系統(tǒng)，降低對接實(shí)施成本、縮短實(shí)施周期、減少實(shí)施風(fēng)險(xiǎn)；實(shí)現(xiàn)集中用戶管理，通過便捷的單點(diǎn)登錄，細(xì)粒度的權(quán)限控制和全方位的審計(jì)分析，達(dá)到事前審批、事中控制和事后審計(jì)的全方位安全管理目標(biāo)。利用大數(shù)據(jù)分析，提升對危險(xiǎn)、危害的態(tài)勢感知能力及風(fēng)險(xiǎn)預(yù)判能力，整體降低安全風(fēng)險(xiǎn)，提高高校內(nèi)部核心數(shù)據(jù)安全防護(hù)。

數(shù)字校園考慮未來五年不斷發(fā)展，要構(gòu)建一套統(tǒng)一、高效、安全的統(tǒng)一身份認(rèn)證平臺(tái)和訪問控制系統(tǒng)，實(shí)現(xiàn)便捷操作、全網(wǎng)統(tǒng)一、安全訪問。各應(yīng)用訪問實(shí)現(xiàn)一地登錄、多地漫游、一地授權(quán)、全網(wǎng)暢游的目的。

3 平臺(tái)建設(shè)

3.1 統(tǒng)一身份認(rèn)證平臺(tái)建設(shè)

平臺(tái)基于五個(gè)統(tǒng)一管理模式，其中包括：統(tǒng)一應(yīng)用管理、統(tǒng)一賬戶管理、統(tǒng)一認(rèn)證管理、統(tǒng)一授權(quán)管理、統(tǒng)一審計(jì)管理五個(gè)部分。

通過統(tǒng)一應(yīng)用管理實(shí)現(xiàn)將高校各應(yīng)用的用戶訪問權(quán)限和應(yīng)用賬戶進(jìn)行集中統(tǒng)一管理；將現(xiàn)有學(xué)院各應(yīng)用系統(tǒng)集中管控，更要考慮到未來隨著業(yè)務(wù)拓展而新增加的移動(dòng)、物聯(lián)網(wǎng)業(yè)務(wù)，以滿足高校未來新增業(yè)務(wù)應(yīng)用時(shí)的集成需求。為方便實(shí)現(xiàn)第三方應(yīng)用系統(tǒng)統(tǒng)一對接、集中管理，第三方應(yīng)用可根據(jù)自身技術(shù)方向，選擇使用系統(tǒng)內(nèi)置的集成模板，并使用標(biāo)準(zhǔn)應(yīng)用接口方式，通過界面化最小配置，實(shí)現(xiàn)標(biāo)準(zhǔn)化應(yīng)用集成對接，最終達(dá)到統(tǒng)一、安全、快速管理所有應(yīng)用的目的。在此基礎(chǔ)上實(shí)現(xiàn)統(tǒng)一門戶并引入應(yīng)用商店的理念，將第三方應(yīng)用系統(tǒng)、資訊信息整合到統(tǒng)一身份認(rèn)證平臺(tái)門戶之上，以統(tǒng)一的形式展示給師生，從而建立統(tǒng)一的師生信息通道、消息傳遞、應(yīng)用整合的服務(wù)能力。

通過統(tǒng)一賬戶管理實(shí)現(xiàn)統(tǒng)一管理學(xué)生、教工賬戶，包括學(xué)院內(nèi)部應(yīng)用和其他應(yīng)用的子賬戶?？梢詫?shí)現(xiàn)員工賬戶全生命周期管理，包括教師入職、離職、調(diào)崗；學(xué)生入校、離校、休學(xué)；實(shí)現(xiàn)統(tǒng)一的賬號(hào)管理，支持管理所有師生賬號(hào)，支持矩陣式組織架構(gòu)創(chuàng)建，通過橫向、縱向靈活設(shè)計(jì)，實(shí)現(xiàn)師生賬號(hào)的創(chuàng)建、啟用/禁用、刪除及同步等流程的自動(dòng)化管理，并可進(jìn)行生存周期設(shè)定，實(shí)現(xiàn)賬號(hào)全生命周期管理。

通過統(tǒng)一認(rèn)證管理提供師生應(yīng)用訪問入口，采用多種認(rèn)證方式對用戶身份進(jìn)行確認(rèn)。授權(quán)用戶可方便、安全、有效的訪問高校內(nèi)部資源，實(shí)現(xiàn)了應(yīng)用系統(tǒng)的統(tǒng)一認(rèn)證集成。單點(diǎn)登錄功能實(shí)現(xiàn)用戶在多個(gè)應(yīng)用平臺(tái)之上的無縫切換，打破了由于各應(yīng)用系統(tǒng)之間賬號(hào)的不統(tǒng)一造成的壁壘。消除了由于業(yè)務(wù)及數(shù)據(jù)孤島造成的用戶登錄時(shí)的賬戶混淆與登錄障礙。用戶登錄系統(tǒng)后，登錄賬號(hào)作為用戶的主賬號(hào)，當(dāng)增加一個(gè)單點(diǎn)登錄的應(yīng)用系統(tǒng)時(shí)，只需要增加用戶唯一主賬號(hào)與該單點(diǎn)登錄應(yīng)用系統(tǒng)子賬號(hào)的一個(gè)關(guān)聯(lián)信息即可，不會(huì)對第三方應(yīng)用系統(tǒng)進(jìn)行大規(guī)模的數(shù)據(jù)修改及代碼改造，從而解決了統(tǒng)一身份認(rèn)證平臺(tái)和第三方應(yīng)用系統(tǒng)賬號(hào)不一致，造成無法集成的問題。數(shù)據(jù)的傳輸安全則通過安全通道來進(jìn)行保證。最終達(dá)到“一次認(rèn)證，安全漫游”的效果。

通過統(tǒng)一授權(quán)管理建設(shè)基于用戶角色和應(yīng)用類別的訪問控制體系，實(shí)現(xiàn)資源訪問控制策略的集中管理和委派授權(quán)，可以對高校內(nèi)部各類資源進(jìn)行統(tǒng)一管理；在應(yīng)用資源有效管理的基礎(chǔ)上，建立以人為主體、應(yīng)用服務(wù)于人的管理模式，形成授權(quán)管理體系，在此基礎(chǔ)上打破以用戶授權(quán)的傳統(tǒng)模式，結(jié)合人與崗位組合授權(quán)的模式，實(shí)現(xiàn)對用戶的統(tǒng)一權(quán)限控制和管理。通過統(tǒng)一授權(quán)管理，建立崗位與人員管理、再建立崗位與人員授權(quán)的多層次統(tǒng)一用戶管理和權(quán)限視圖。當(dāng)用戶崗位發(fā)生變化時(shí)，可快速響應(yīng)變化，根據(jù)用戶新的崗位屬性自動(dòng)調(diào)整其能訪問的應(yīng)用組，避免了復(fù)雜的人為操作，進(jìn)一步降低管理成本，提高工作效率。通過創(chuàng)建崗位安全組，將所有的師生用戶以崗位的形式統(tǒng)一管理，通過應(yīng)用授權(quán)給崗位安全組與通過崗位安全組指定應(yīng)用兩種授權(quán)機(jī)制，結(jié)合應(yīng)用授權(quán)給人員的輔助授權(quán)機(jī)制，達(dá)到管理用戶訪問權(quán)限的目的。這樣可以根據(jù)用戶、組織機(jī)構(gòu)、角色、崗位進(jìn)行靈活授權(quán)，并可對高校下屬機(jī)構(gòu)建立的管理員分配該機(jī)構(gòu)所有管理權(quán)限，真正實(shí)現(xiàn)分級(jí)授權(quán)管理能力。通過信息同步、建立權(quán)限系統(tǒng)，與應(yīng)用系統(tǒng)權(quán)限接口對接實(shí)現(xiàn)多級(jí)授權(quán)能力。

通過統(tǒng)一審計(jì)管理對師生的訪問行為和管理員操作行為進(jìn)行全面記錄分析，及時(shí)發(fā)現(xiàn)非法登錄和非法操作等異常事件，并提供全面、有效的回溯日志，對審計(jì)日志進(jìn)行分析并提供可視化報(bào)表展示。系統(tǒng)自動(dòng)記錄管理員、分級(jí)管理員、師生用戶的日常操作，形成系統(tǒng)審計(jì)信息。通過自動(dòng)歸類、合并等方式進(jìn)行統(tǒng)計(jì)分析與展示，使管理者可以直觀識(shí)別到應(yīng)用系統(tǒng)中潛在的惡意威脅，從而降低對系統(tǒng)惡意侵襲的風(fēng)險(xiǎn)。積累一定的數(shù)據(jù)后可采用大數(shù)據(jù)平臺(tái)，形成一定的安全策略規(guī)則，并可在認(rèn)證時(shí)實(shí)現(xiàn)主動(dòng)防御瞬間互動(dòng)，有效防止惡意攻擊。

3.2 訪問控制系統(tǒng)建設(shè)

隨著高校業(yè)務(wù)的不斷發(fā)展，衍生出了越來越多的服務(wù)師生日常工作學(xué)習(xí)的應(yīng)用系統(tǒng)。利用這些平臺(tái)師生可以隨時(shí)隨地處理業(yè)務(wù)。但由于師生所處地域、網(wǎng)絡(luò)環(huán)境、權(quán)限等諸多因素，導(dǎo)致師生離開特定的校園網(wǎng)絡(luò)環(huán)境后，很難便捷并快速訪問到內(nèi)網(wǎng)資源，并且隨著內(nèi)網(wǎng)應(yīng)用系統(tǒng)數(shù)量的增加、更多內(nèi)網(wǎng)資源的上線，許多業(yè)務(wù)只能在校園內(nèi)網(wǎng)環(huán)境下才能正常訪問，因此從外部網(wǎng)絡(luò)，訪問這些業(yè)務(wù)系統(tǒng)的需求變得十分迫切。而目前傳統(tǒng)VPN 存在需要安裝客戶端程序、網(wǎng)絡(luò)代理配置復(fù)雜、占用系統(tǒng)資源較高、不穩(wěn)定、安全性有待提高等問題；同時(shí)數(shù)據(jù)安全也面臨著很大的威脅，越來越多的關(guān)鍵信息存儲(chǔ)在個(gè)業(yè)務(wù)系統(tǒng)中，一旦數(shù)據(jù)泄漏會(huì)造成很大的損失，后果難以估計(jì)。為保證數(shù)據(jù)安全，較為安全的做法是將各業(yè)務(wù)系統(tǒng)封鎖在學(xué)院內(nèi)網(wǎng)中，不允許外網(wǎng)訪問。但這又面臨著與用戶基本需求之間的矛盾。于是如何既要保證系統(tǒng)安全，又要方便為師生提供外網(wǎng)遠(yuǎn)程訪問服務(wù)，成為了信息化建設(shè)者們急需解決的問題，那么訪問控制系統(tǒng)無疑是在這種諸多因素及條件下的必然產(chǎn)物。

訪問控制系統(tǒng)采用HTTP 透傳技術(shù)，實(shí)現(xiàn)無需安裝客戶端軟件，通過統(tǒng)一身份認(rèn)證平臺(tái)與訪問控制系統(tǒng)的集成，師生無論身處何種網(wǎng)絡(luò)環(huán)境，只需要正常訪問統(tǒng)一身份認(rèn)證平臺(tái)，進(jìn)行授權(quán)登錄后即可訪問學(xué)院內(nèi)網(wǎng)資源。與傳統(tǒng)的VPN 的配置煩瑣相比用戶無需任何配置，應(yīng)用也無需在防火墻上開啟特殊端口，只需管理員通過Web 界面的操作方式，快速配置用戶組與目標(biāo)站點(diǎn)的訪問授權(quán)策略，用戶就可直接訪問已被授權(quán)訪問的應(yīng)用及資源。并通過內(nèi)置WAF 系統(tǒng)，進(jìn)一步保護(hù)業(yè)務(wù)系統(tǒng)免受外部攻擊，確保系統(tǒng)的安全性。

4 結(jié)語

統(tǒng)一身份認(rèn)證與訪問控制系統(tǒng)的集成可全面提升高校核心服務(wù)能力以及安全管理能力。由原有各業(yè)務(wù)系統(tǒng)單兵作戰(zhàn)轉(zhuǎn)為集群化安全作業(yè)，打破了高校內(nèi)部應(yīng)用系統(tǒng)壁壘，消除信息流通不暢、無法集中管理、交互困難等諸多問題；通過業(yè)務(wù)系統(tǒng)整合高校管理、服務(wù)、決策能力，實(shí)現(xiàn)資源整合、提高資源綜合利用水平；實(shí)現(xiàn)在已有的安全體系下，構(gòu)建一套統(tǒng)一、高效、安全的統(tǒng)一身份認(rèn)證平臺(tái)，滿足現(xiàn)有業(yè)務(wù)系統(tǒng)傳統(tǒng)WEB 端、未來移動(dòng)端、物聯(lián)網(wǎng)應(yīng)用等多領(lǐng)域需求；在改善現(xiàn)有信息化管理模式同時(shí)，以展望著眼未來發(fā)展的思路，采用超前意識(shí)及高新技術(shù)，為高校數(shù)字校園建設(shè)打下堅(jiān)實(shí)的基礎(chǔ)。