但凡启动数字化校园建设的高校,对统一身份认证平台都不会陌生。形象化的来说,统一身份认证平台就是学校信息化应用的门神,守护着校内各类应用访问的大门。其本身的可用性、安全性、稳定性关乎整个校园信息化的大局,同时它也是师生服务开启校园应用、感知信息化建设的第一步。
从建设的重点上来说,大部分学校在数字化校园一期均重点解决单点登录的问题,即实现了“统一认证”的功能;而在后续身份认证平台持续的升级过程中,如何全面加固“身份管理与审计”的职能?
与此同时,“互联网+”环境下,校园应用不断丰富的同时,更进入了学生自建团队开发各类应用的野蛮生长模式;与此同时,许多互联网及外部应用不断入侵高校,更有非法暴力破解等方式依旧挑战了高校的安全体系。在这样的环境下,身份认证平台又面临了怎样的挑战?
1、移动化,新时代身份认证的主旋律
随着移动应用的发展,手机、智能终端已经成为校园应用访问的重要入口。在许多学校建设移动校园之时,往往采用独立的认证体系,不仅是对身份数据的存储、认证的过程,还是后端的监控与审计,都相对独立。在实施过程中,往往是将PC统一认证体系的身份数据,采用人工方式导入移动应用的身份数据库内。对用户来说,两个的账号和密码实际是独立存在,这样即便移动端的访问密码修改后,PC统一身份认证密码还是没变,监控也无法在统一平台上完成,进而失去了“统一”的作用。
【解决】身份认证体系如果还是单单只支持基于PC的认证流程,已经渐渐不再能够满足时代发展的需求了。在高校进行身份认证系统的选购或升级之时,建议考虑采用对移动终端有良好支撑的统一身份认证产品。
2、开放,必然的趋势
身份认证也要开放?是的!随着软件应用开发门槛的降低,许多校内学生自行组建开发团队,进行校园应用的开发,并面向学生提供服务。在学校没有对应用开发进行统一规范的情况下,常规的做法便是独立开发系统的认证体系。 对于上述情况,学校必然要考虑,是让此类应用游离在学校统一信息化管理之外,还是纳入学校统一的管理范围内。如果着眼于后者,那么学校就需要将身份认证视 为一种开发组件资源,将其封装并开放给学生开发团队。开发团队直接调用身份认证服务而不再需要重新开发各自的认证模块——采用这样的方法,复用了学校的账号资源和认证体系,即带来了资源的节约,给开发者带来的方便,又可以将该开发完成的应用系统纳入到信息管理部门统一的监管范围之内,一举两得。
【解决】目前技术方面的主流厂商,都是通过世界公认的简单、安全、开放的OAuth协议开放接入接口,这种协议已经被广泛的应用于Google、Yahoo、Microsoft、Facebook等互联网应用中,它支持权限管理,可以开放有限权限给第三方系统,安全地解决开放问题。那么身份管理平台对OAuth协议的支持则显得至关重要!
1、全面监控,总体情况尽收眼底
全面安全加固的第一步,便是能够全面呈现已经纳入统一认证的应用。而目前业界许多统一身份认证产品对业务系统接入平台的记录以及用户行为记录缺乏整体监控机制,连对合法接入的校内应用都无法可视化的呈现,更不用说对非法接入或暴力破解的应用进行检出。
【解决】对接入统一身份认证平台的业务系统运行情况以及用户行为进行记录,以表格的方式直观的呈现接入的基本情况,如接入的应用名称、应用URL、是否用于代理、是否激活等信息;并以分析图的方式,呈现账号信息(如账号的添加或修改情况)、认证信息(如认证的成功与失败)、服务器的状态情况(如CPU及内存的使用率等),便于管理人员实时掌握系统各项服务运行状态。
2、及时告警,提示问题原因
传统模式下,当统一身份认证平台突发故障,只能采用人工逐个问题排查的方式进行,效率低下。如此监管能力,问题频发亦不足为奇。
【解决】平台应具备消息提醒机制,及时通知管理员第一时间解决故障问题。对于消息提醒的内容,不仅仅局限于结果,更应该深入原因。在此过程中,如果能够借鉴软件供应商提供的强大智库,提示失败原因的大致方向,有针对性的给出故障信息提示库,助力管理员快速定位问题,快速排查,那就最好不过了。
3、加强审计
学校各级管理员、师生用户的安全意识对系统的安全性也有非常重要的关系。而账号密码的设置是否过于简单,是否临时开设了一些测试账号而忘记关闭权限,这些都会给身份认证与管理带来很多安全隐患。
【解决】对账号进行审计,检出“休眠账号、孤儿账号、弱密码账号”,并采取下一步的应对策略;对账号认证过程进行审计,实时掌握系统的运行状态。