来源:中国电子政务网 更新时间:2012-04-15
1、目前在校园网中信息安全面临的问题:目前我国信息化建设正从信息资源建设阶段迈向信息资源管理阶段。因而信息化建设不再满足于游兵散勇的单个资源的建设,而是转入一个整体架构的考虑。如我国现阶段电子政务、企业ERP、企业信息门户、电信BOSS系统的建设等等。
随着信息技术的蓬勃发展,学校信息化建设也有了重大进展。良好的网络环境使得校园网络应用系统和用户都达到了相当的规模,大部分的学校都建立了自己的对外宣传网站以及教务系统、人事系统、招生就业等业务系统等等,网络用户涵盖了教师、学生、职员、工人等校内各类人群和无法计数的校外访问者,初步实现了网上办公、网上管理、网上教学和网上服务。但是,在看到高校信息化可喜现状的同时,经过深入的分析,也可以发现不少问题:
1)缺乏集中统一的用户身份管理机制:
对于数字校园来说,统一的用户管理与认证是实施单点登陆的基础,如果各个应用的用户管理不统一,一个用户在不同的系统中有不同的身份标识,或多个用户在不同的系统中使用相同的用户标识,则系统无法区分用户在数字空间中的真实身份,即使将多个应用堆积在一起,也只能是一堆无关的链接,无法给用户提供统一的入口和个性化的服务。因此,必须建立统一的用户管理,并采用统一的认证接口,使得校园中每一个真实的用户都在数字空间中有一个与其对应的身份与标识,并且这个数字身份在各个应用系统中有相同的含义。
2)缺乏单点登陆机制:
由于系统各异,每个系统都有自己个性化的登录界面。人体工学研究表明,如果一个人在一天的工作中输入用户名及口令的次数超过25次,那么该工作被认为是无法忍受的。因而对于用户来说,在不同的系统中采用用户名、口令的登录模式,首要解决的便是统一认证的问题,也就是将不同的用户都集中在门户中进行统一登录,只要通过一次的登录,便能自动完成到其他应用系统登录。
3)缺乏集中统一的日志审计机制:
校园系统需要利用安全日志记录和审计,以保证在发生安全相关问题的时候能够做到追踪问责,通过对安全日志记录的查询和分析以及相关的审计操作找到安全问题的根源所在。安全审计和日志的范围可以根据校园系统的实际需要进行设置,但是对于安全密切相关的用户登录事件、访问控制事件以及身份认证、访问控制、数据加密、数字签名等行为安全事件等应该进行安全审计操作,并记录系统安全日志。目前,校园网中对系统资源的关键操作审计信息也是分散的,使得管理员对于系统安全事件的分析和追踪变得十分复杂;
2、国瑞解决方案
2.1总体方案
本方案从校园信息化建设的现状出发,提出了基于DigitalTrust产品建设校园统一的身份认证管理和单点登录解决方案。将涉及的校园所有应用集成起来,给不同层次的使用者提供信息服务,采用统一的用户管理和身份认证,实现用户单点登录(single sign-on,SSO),用户一次登录后就可以访问数字校园的各个应用;通过统一的访问控制管理,使得系统展现用户有权访问的应用,新增的应用也能够自动加入到系统中。
Digital Trust在能够充分保证信息系统中的各种资源和业务系统的单点登录的实现。并且能够实现访问时的安全行为,为上层多种业务和多种设备提供统一的安全支撑服务,提高信息系统的业务可扩展能力。
2.2产品部署
2.3系统工作过程
第一次登陆系统
1)用户访问应用系统;
2)应用系统代理接收连接请求后,连接身份认证服务器;
3)身份认证服务器返回给服务代理,要求输入用户名/口令;
4)服务代理返回客户端,要求输入用户名/口令;
5)用户输入用户名+口令;
6)服务代理将用户名/口令转发给身份认证服务器;
7)身份认证服务器验证用户身份,验证通过后返回给服务代理;
8)服务代理将用户登录票据信息发送给客户端;
9)服务代理将用户连接请求转发给应用系统;
10)应用系统显示相应页面内容。
非第一次登录
当用户第一次登录系统验证成功后,用户访问其他应用系统时,不用再进行认证了,流程如下:
1)用户访问应用系统;
2)客户端获取用户登录票据信息;
3)客户端发送用户登录票据信息到服务代理;
4)服务代理连接身份认证系统;
5)身份认证服务器验证用户身份,验证通过后返回给服务代理;
6)服务代理将用户连接请求转发给应用系统;
7)应用系统显示相应页面内容。
2.4方案实施后的效果
管理方便
1)灵活的用户管理
本系统中所有的系统用户采用用户、组、域的三层架构进行管理。图4.4列出了用户、组、域的结构关系。
用户:用户是指对系统资源进行访问的主体。用户信息包括用户唯一标识、用户名称、用户特征、所属组等,一个用户可以属于多个不同的组。
组:组由若干用户组成,在系统中可以定义任意多的组,并为组进行授权。对一个组授予某个资源的访问权限或者限制某个资源的访问权限会影响到组中全部成员,但是删除一个组并不删除它的成员。
域:域由若干个组构成,在系统中可以定义任意多的域并且为域进行授权。对一个域授予某个资源的访问权限或者限制某个资源的访问权限会影响到域中全部的组,但是删除一个域并不删除它的组。
2)用户标识采用统一编码规则:校园网内的用户(包括教师、学生、职工)都采用统一的编码规则,实现用户身份的唯一标识。
3)用户身份交换和同步:可以从用户数据源的应用系统(如教务管理系统、人事管理系统等)导入用户数据,也可以批量导出用户数据供其他应用系统使用,并且提供数据同步机制,使得用户数据可以自动与数据源中的数据自动进行必要的同步;
4)身份认证系统与数据中心实时联动:学校目前已存在数据中心,身份认证系统中用户标识从数据中心获得,并能与数据中心实施联动。
5)用户信息发布:发布用户公开信息
6)身份管理设置方便:减少人工设置身份管理和资源权限分配策略所需人力资源,和重新调配人力资源到更重要工作位置上,提高效率。
明显的安全效益
1)缩短安全真空期(当学生毕业和教职员工离开学校时,他们还可能具备原来身份和访问资源的权限);
2)有效管理长期不使用帐号名单,进行相应处理,以防止黑客利用这些帐号进行攻击并节省资源空间;
3)在用户身份和资源权限变更时自动进行相应调整,以降低运营风险;
4)减少人工操作进行身份管理和资源权限分配造成的错误漏洞、偏私和工作量;
2.5业务整合
在校园信息网络部署DT Server、和其所需的管理终端,在业务主机上安装安全代理。这样,校园网中所有用户访问业务应用的请求都必须经过单点登录服务器(DT Server),由DT Server和身份认证和授权服务器通信,对用户身份和所具有的访问控制权限进行验证,进而允许或拒绝用户的访问请求。
3.方案特点
本方案结合校园信息网络建设安全体系的具体需求,以合理的设计理念为基本原则,利用标准先进的主流技术,引入先进的安全产品,充分满足校园网建设全网单点登陆和身份管理的安全体系的建设目标,达到提高全网安全管理水平,为全网应用保驾护航的项目实施目的。
本方案具备如下特点和优势:
1)创造新的教育和工作模式
校园网单点登陆的建设不是一项单纯的技术工作,而是一项人类工程,它将先进的信息技术引入到教学、科研、管理和服务等各项活动中去,提高教、学、管的质量和效率,创造新的教育和工作模式,完成传统教育模式难以实现的目标。教育信息化的过程是教育思想、教育观念、教育模式转变的过程。
有效地规范化业务流程
2)解决高校信息化孤岛问题
校园单点登陆解决方案将高校内部的相对独立分散的网络系统,进行了统一整合,消除了高校信息化孤岛问题,有效地实现数据共享,消除对数据的重复管理、数据冗余以及数据不同步的问题。
学校各个部门分别管理自己业务的相关信息,数据采集入口唯一。所有信息实现共享,当某个部门需要用到其他部门信息的时候,可以直接从网上获得,这样就避免了多部门的重复劳动,节约了人力成本,保证了数据的标准化存储。比如:当其他部门要用到人事处人员信息的时候,其数据就是直接从人事处获取,而无需再次录入,并且可以保证信息的同步,不会发生诸如人员信息已经变动而其他部门很长时间还无法得知的混乱情况。
3)系统安全设计
校园单点登录方案是依赖于计算机和网络技术而存在的,这就意味着校园应用不可避免地存在着信息安全隐患,信息系统的安全需要从各个方面来保障。基于DT产品的方案,为校园提供统一的身份认证和授权服务。授权服务采用了灵活的基于的访问控制模型:通过对资源(应用程序模块和方法)进行不同粒度划分,系统定义了具有不同访问权限的角色,而用户的权限则通过授予相应的角色来体现。系统还采用了统一集中的权限管理模型,方便了系统管理员的工作。
4)部署简单、快速
本方案采用国瑞公司成熟的产品DigitalTrust,因此,部署简单、方便,实施快速、高效。
5)扩展性好
由于本方案是采用DigitalTrust成熟产品进行适当裁减后得到的,DigitalTrust产品本身除了支持设备集中管理,还支持业务系统、数据库、网络设备等资源的集中管理,同时也支持PKI/PMI的身份认证方式和授权管理方式。因此,如果将来需要增加对这些资源的管理和访问控制,可以通过DigitalTrust组件的增加平滑实现。
6)支持多种认证方式
针对不同的安全性要求,身份认证提供多级安全认证方法,包括用户名/口令、校园卡和数字证书等。
7)基于策略的用户安全管理:
安全策略由管理员定义,并实时地应用到校园网系统中。通过这些策略,管理员可以实现对用户帐号更有效的控制。
8)业务系统无缝整合:
针对网络环境中已有的各种(B/S或C/S)业务应用系统,或者未来要开发的新业务系统,本方案都为校园网提供整合方案,而且整合方案具备改动小、容易实施的特点。
9)全方位的数据安全性保护:
系统对数据的安全保护包括数据安全传输、安全存储、备份以及灾难恢复机制等方面。
10)单点登录(SSO):
用户只需一次认证登录,就能访问所有被授权的应用系统。