校园网单点登陆解决方案.docx

校园网单点登陆解决方案
1、目前在校园网中信息安全面临的问题：
目前我国信息化建设正从信息资源建设阶段迈向信息资源管理阶段。因而信息化建设不 再满足于游兵散勇的单个资源的建设，而是转入一个整体架构的考虑。如我国现阶段电子政 务、企业ER以属于多个不同的组。
组：组由若干用户组成，在系统中可以定义任意多的组，并为组进行授权。对一个组授予 某个资源的访问权限或者限制某个资源的访问权限会影响到组中全部成员，但是删除一个组 并不删除它的成员。
域：域由若干个组构成在系统中可以定义任意多的域并且为域进行授权。对一个域授予 某个资源的访问权限或者限制某个资源的访问权限会影响到域中全部的组，但是删除一个域 并不删除它的组。
2） 用户标识采用统一编码规则：校园网内的用户（包括教师、学生、职工）都采用统 一的编码规则，实现用户身份的唯一标识。
3） 用户身份交换和同步：可以从用户数据源的应用系统（如教务管理系统、人事管理 系统等）导入用户数据,也可以批量导出用户数据供其他应用系统使用,并且提供数据同步机 制，使得用户数据可以自动与数据源中的数据自动进行必要的同步；
4） 身份认证系统与数据中心实时联动：学校目前已存在数据中心身份认证系统中用户 标识从数据中心获得,并能与数据中心实施联动。
5） 用户信息发布：发布用户公开信息
6） 身份管理设置方便：减少人工设置身份管理和资源权限分配策略所需人力资源和重 新调配人力资源到更重要工作位置上，提高效率。
明显的安全效益
1） 缩短安全真空期（当学生毕业和教职员工离开学校时，他们还可能具备原来身份和访 问资源的权限）；
2） 有效管理长期不使用帐号名单,进行相应处理，以防止黑客利用这些帐号进行攻击并节 省资源空间；
3） 在用户身份和资源权限变更时自动进行相应调整，以降低运营风险；
4） 减少人工操作进行身份管理和资源权限分配造成的错误漏洞、偏私和工作量

在校园信息网络部署DT Server、和其所需的管理终端,在业务主机上安装安全代理。这 样，校园网中所有用户访问业务应用的请求都必须经过单点登录服务器（DT Server），由DT Server和身份认证和授权服务器通信,对用户身份和所具有的访问控制权限进行验证,进而允 许或拒绝用户的访问请求。
方案特点
本方案结合校园信息网络建设安全体系的具体需求，以合理的设计理念为基本原则，利用 标准先进的主流技术，引入先进的安全产品,充分满足校园网建设全网单点登陆和身份管理的 安全体系的建设目标,达到提高全网安全管理水平，为全网应用保驾护航的项目实施目的。
本方案具备如下特点和优势：
1）创造新的教育和工作模式
校园网单点登陆的建设不是一项单纯的技术工作，而是一项人类工程，它将先进的信息技术引 入到教学、科研、管理和服务等各项活动中去,提高教、学、管的质量和效率,创造新的教育 和工作模式,完成传统教育模式难以实现的目标。教育信息化的过程是教育思想、教育观念、 教育模式转变的过程。
有效地规范化业务流程
2）解决高校信息化孤岛问题
校园单点登陆解决方案将高校内部的相对独立分散的网络系统，进行了统一整合，消除了 高校信息化孤岛问题，有效地实现数据共享，消除对数据的重复管理、数据冗余以及数据不同 步的问题。
学校各个部门分