◆毛宇光

（天津市大学软件学院资产经营有限公司 天津 300870）

1 建设必要性分析

随着高校数字校园的飞速发展，支撑业务的信息系统迅速增加，各应用业务已不仅局限于传统PC 端，已向大数据、物联网、移动互联迈进且发展迅猛。

首先从安全授权角度来讲，信息中心为保障数据安全，往往对已有信息系统不开放外网端口，这造成无法满足师生在校外访问校内资源的需求，但往往许多内部资源需对外开放，如果开放外网访问端口，又担心数据安全问题。访问控制系统的核心功能正是解决这方面的需求问题，使用该服务提供对内部API、WEB 等资源的访问保护，使其在访问时需经过身份认证才可获取资源。该服务是一个可以放在任何被访问前的保护服务，让外部访问得到有效身份验证以实现对数据进行保护，最终满足外网用户安全访问内网资源的目的。

其次从应用访问角度来讲，教师日常办公、学生日常学习均涉及到身份鉴别，一般需要登录多个系统，每个系统的账号均不相同，且需多次授权认证，统一身份认证平台的核心功能是解决一个账户在统一认证、有效授权、安全审计的前提下，打通所有的应用和资源。

所以如何真正实现内部资源外部安全访问；一个账号实现认证访问各应用系统；提高从认证终端、认证过程、认证控制到服务端全过程安全可信，打造完备且安全的身份认证中台，那么统一身份认证平台和访问控制系统的集成可以发挥巨大功效，将作为教育行业信息安全第一道屏障就越加重要，也将是教育行业及各高校需要思考的重要问题。

2 建设目标

本着平台建设标准规范为先的原则，首先根据现有业务需求及学院管理制度，对高校身份认证标准规范进行重新修订，作为平台建设基础保障；其次从学院多应用、多用户、多场景使用的应用场景出发，搭建并完成统一身份认证平台与访问控制系统，提升系统访问安全性，提高管理效能、应用效能。第三通过平台建设，可增强全体教职工及学生电子身份管理的安全性；平台建成后，高校师生无论身处校内外均可使用同一登录方式、同一账号、只需登录一次，即可实现多个应用系统自由切换，实现单点登录，多地漫游，提高办公、教学效率；利用模板化开发实现第三方应用系统灵活且安全的对接单点登录系统，降低对接实施成本、缩短实施周期、减少实施风险；实现集中用户管理，通过便捷的单点登录，细粒度的权限控制和全方位的审计分析，达到事前审批、事中控制和事后审计的全方位安全管理目标。利用大数据分析，提升对危险、危害的态势感知能力及风险预判能力，整体降低安全风险，提高高校内部核心数据安全防护。

数字校园考虑未来五年不断发展，要构建一套统一、高效、安全的统一身份认证平台和访问控制系统，实现便捷操作、全网统一、安全访问。各应用访问实现一地登录、多地漫游、一地授权、全网畅游的目的。

3 平台建设

3.1 统一身份认证平台建设

平台基于五个统一管理模式，其中包括：统一应用管理、统一账户管理、统一认证管理、统一授权管理、统一审计管理五个部分。

通过统一应用管理实现将高校各应用的用户访问权限和应用账户进行集中统一管理；将现有学院各应用系统集中管控，更要考虑到未来随着业务拓展而新增加的移动、物联网业务，以满足高校未来新增业务应用时的集成需求。为方便实现第三方应用系统统一对接、集中管理，第三方应用可根据自身技术方向，选择使用系统内置的集成模板，并使用标准应用接口方式，通过界面化最小配置，实现标准化应用集成对接，最终达到统一、安全、快速管理所有应用的目的。在此基础上实现统一门户并引入应用商店的理念，将第三方应用系统、资讯信息整合到统一身份认证平台门户之上，以统一的形式展示给师生，从而建立统一的师生信息通道、消息传递、应用整合的服务能力。

通过统一账户管理实现统一管理学生、教工账户，包括学院内部应用和其他应用的子账户。可以实现员工账户全生命周期管理，包括教师入职、离职、调岗；学生入校、离校、休学；实现统一的账号管理，支持管理所有师生账号，支持矩阵式组织架构创建，通过横向、纵向灵活设计，实现师生账号的创建、启用/禁用、删除及同步等流程的自动化管理，并可进行生存周期设定，实现账号全生命周期管理。

通过统一认证管理提供师生应用访问入口，采用多种认证方式对用户身份进行确认。授权用户可方便、安全、有效的访问高校内部资源，实现了应用系统的统一认证集成。单点登录功能实现用户在多个应用平台之上的无缝切换，打破了由于各应用系统之间账号的不统一造成的壁垒。消除了由于业务及数据孤岛造成的用户登录时的账户混淆与登录障碍。用户登录系统后，登录账号作为用户的主账号，当增加一个单点登录的应用系统时，只需要增加用户唯一主账号与该单点登录应用系统子账号的一个关联信息即可，不会对第三方应用系统进行大规模的数据修改及代码改造，从而解决了统一身份认证平台和第三方应用系统账号不一致，造成无法集成的问题。数据的传输安全则通过安全通道来进行保证。最终达到“一次认证，安全漫游”的效果。

通过统一授权管理建设基于用户角色和应用类别的访问控制体系，实现资源访问控制策略的集中管理和委派授权，可以对高校内部各类资源进行统一管理；在应用资源有效管理的基础上，建立以人为主体、应用服务于人的管理模式，形成授权管理体系，在此基础上打破以用户授权的传统模式，结合人与岗位组合授权的模式，实现对用户的统一权限控制和管理。通过统一授权管理，建立岗位与人员管理、再建立岗位与人员授权的多层次统一用户管理和权限视图。当用户岗位发生变化时，可快速响应变化，根据用户新的岗位属性自动调整其能访问的应用组，避免了复杂的人为操作，进一步降低管理成本，提高工作效率。通过创建岗位安全组，将所有的师生用户以岗位的形式统一管理，通过应用授权给岗位安全组与通过岗位安全组指定应用两种授权机制，结合应用授权给人员的辅助授权机制，达到管理用户访问权限的目的。这样可以根据用户、组织机构、角色、岗位进行灵活授权，并可对高校下属机构建立的管理员分配该机构所有管理权限，真正实现分级授权管理能力。通过信息同步、建立权限系统，与应用系统权限接口对接实现多级授权能力。

通过统一审计管理对师生的访问行为和管理员操作行为进行全面记录分析，及时发现非法登录和非法操作等异常事件，并提供全面、有效的回溯日志，对审计日志进行分析并提供可视化报表展示。系统自动记录管理员、分级管理员、师生用户的日常操作，形成系统审计信息。通过自动归类、合并等方式进行统计分析与展示，使管理者可以直观识别到应用系统中潜在的恶意威胁，从而降低对系统恶意侵袭的风险。积累一定的数据后可采用大数据平台，形成一定的安全策略规则，并可在认证时实现主动防御瞬间互动，有效防止恶意攻击。

3.2 访问控制系统建设

随着高校业务的不断发展，衍生出了越来越多的服务师生日常工作学习的应用系统。利用这些平台师生可以随时随地处理业务。但由于师生所处地域、网络环境、权限等诸多因素，导致师生离开特定的校园网络环境后，很难便捷并快速访问到内网资源，并且随着内网应用系统数量的增加、更多内网资源的上线，许多业务只能在校园内网环境下才能正常访问，因此从外部网络，访问这些业务系统的需求变得十分迫切。而目前传统VPN 存在需要安装客户端程序、网络代理配置复杂、占用系统资源较高、不稳定、安全性有待提高等问题；同时数据安全也面临着很大的威胁，越来越多的关键信息存储在个业务系统中，一旦数据泄漏会造成很大的损失，后果难以估计。为保证数据安全，较为安全的做法是将各业务系统封锁在学院内网中，不允许外网访问。但这又面临着与用户基本需求之间的矛盾。于是如何既要保证系统安全，又要方便为师生提供外网远程访问服务，成为了信息化建设者们急需解决的问题，那么访问控制系统无疑是在这种诸多因素及条件下的必然产物。

访问控制系统采用HTTP 透传技术，实现无需安装客户端软件，通过统一身份认证平台与访问控制系统的集成，师生无论身处何种网络环境，只需要正常访问统一身份认证平台，进行授权登录后即可访问学院内网资源。与传统的VPN 的配置烦琐相比用户无需任何配置，应用也无需在防火墙上开启特殊端口，只需管理员通过Web 界面的操作方式，快速配置用户组与目标站点的访问授权策略，用户就可直接访问已被授权访问的应用及资源。并通过内置WAF 系统，进一步保护业务系统免受外部攻击，确保系统的安全性。

4 结语

统一身份认证与访问控制系统的集成可全面提升高校核心服务能力以及安全管理能力。由原有各业务系统单兵作战转为集群化安全作业，打破了高校内部应用系统壁垒，消除信息流通不畅、无法集中管理、交互困难等诸多问题；通过业务系统整合高校管理、服务、决策能力，实现资源整合、提高资源综合利用水平；实现在已有的安全体系下，构建一套统一、高效、安全的统一身份认证平台，满足现有业务系统传统WEB 端、未来移动端、物联网应用等多领域需求；在改善现有信息化管理模式同时，以展望着眼未来发展的思路，采用超前意识及高新技术，为高校数字校园建设打下坚实的基础。