|
高校信息化趨勢:UIS與VPN項目兼容性 |
去年9月在教育行業(yè)信息化安全大會中,提出關于SSL VPN在高校接入網(wǎng)建設上的發(fā)展應用……【IT專家網(wǎng)獨家】自去年9月,冰峰網(wǎng)絡在教育行業(yè)信息化安全大會中,提出的關于SSL VPN在高校接入網(wǎng)建設上的發(fā)展應用后,可以看到目前VPN同業(yè)內(nèi)關于增強用戶登陸驗證、大規(guī)模接入、移動數(shù)字圖書館、多線路中轉、自適應選路等功能已經(jīng)普遍成為國內(nèi)主流VPN廠商推廣產(chǎn)品中的首要表述特點。 縱觀VPN產(chǎn)品的賣點,主要還是集中在技術上的創(chuàng)新與通用技術上的改革。從近一年的VPN技術發(fā)展思路上看,不論國內(nèi)外的廠商,都沒有跳躍式的突破。這之中不斷變換的賣點只是在舊有技術上的重新組合搭配,采用新的概念性包裝上市的產(chǎn)品并沒有實質性的突破,基于行業(yè)化的應用概念也沒有顯著的針對性,其目的僅在于吸引更多的客戶而已。事實上,VPN廠商只知道產(chǎn)品概念的不斷包裝變化,卻又無法在產(chǎn)品技術上有跳躍式的突破,這等于是將廠商自身輪回到創(chuàng)業(yè)開始的那個年代。 對于VPN的市場需求來說,用戶不是廠商無限發(fā)展的追隨者,他們更期望廠商能夠根據(jù)用戶自身的需求,去滿足他們無限發(fā)展的未來。 反觀于VPN在行業(yè)信息化的應用,與IT信息化、網(wǎng)絡安全相關的新技術、新概念卻是不斷提出,這些技術與概念都是在某一行業(yè)信息化發(fā)展上的決定性因素。實質上,VPN廠商的技術發(fā)展方向應該在行業(yè)化方面分擔研發(fā)權重,讓行業(yè)化發(fā)展的關注度與廠商自身技術的發(fā)展。往年,VPN的應用發(fā)展在基于高校教育行業(yè)應用方面,如大規(guī)模接入應用、數(shù)字圖書館應用,多線路應用等等,不一而足。企業(yè)如何定性這些內(nèi)容,如何針對這些行業(yè)的重點項目去設計自身產(chǎn)品的解決方案,這不僅僅是銷售團隊,同時也是廠商研發(fā)團隊必須參與的工作。 從今年的教育行業(yè)信息化安全大會上看,目前大多的VPN廠商,已經(jīng)逐步實現(xiàn)針對高校教育信息化應用的特點去派生它的應用特性,如大規(guī)模接入應用的負載均衡與增加認證問題;移動及遠程接入訪問數(shù)字圖書館;自適應智能選路與多線路智能分流等。 然而,VPN廠商向行業(yè)化發(fā)展看齊的同時,卻又同時忽略了高校另一個普及應用的問題。至2003年始,復旦大學、上海交大、西南大學(原西南師大等院校合并)等院校逐一推行了基于LDAP服務器方式的統(tǒng)一身份認證系統(tǒng)(UNIFIED IDENTITY SERVICE,簡稱UIS)。上線伊始,各大院校面臨的難題便是,UIS與校園網(wǎng)的現(xiàn)有的設備、系統(tǒng)、驗證方式都無法兼容,以及部分院校的專項資金無法滿足UIS的大規(guī)模更替需求。 為了高校信息化的長遠發(fā)展方向,各高校只能在技術實施與設備升級更新中采取折中方式,從而導致目前的UIS應用上出現(xiàn)了不同實現(xiàn)方式的局面。大體歸類如:基于RADIUS/LDAP服務器的標準第三方認證方式、基于AD域微軟活動目錄方式、基于MySQL數(shù)據(jù)庫、基于校園獨立開發(fā)的新型統(tǒng)一身份認證方式。 多種實施方式的帶來的最終結果是使得設備廠商無法及時做到全面兼容,在市場競爭的角逐下,廠商各執(zhí)一面,是不利于高校在UIS全面實施上的過渡發(fā)展的。也正因為如此,全國仍有大部分高校處在觀望和更新?lián)Q代階段。就算是在2003年便實施了UIS的復旦大學,目前也只改革實施了包括人事、資產(chǎn)、選課、就業(yè)、學工、教務、無線校園網(wǎng)等系統(tǒng)在內(nèi)的近二十個系統(tǒng)項目,仍然有包括E-mail系統(tǒng)、校OA系統(tǒng)、校園BBS等在內(nèi)的十余個系統(tǒng)項目還處在UIS項目之外。 基于以上因素,VPN廠商為了實現(xiàn)高校網(wǎng)絡的接入項目,就必然要考慮到設備對多種UIS方式的全面兼容,結合各高校的對UIS的過渡發(fā)展,發(fā)揮相應的作用。如代理認證模式、單點登陸模式以及數(shù)據(jù)庫直接調(diào)用模式。 代理認證模式。通常多用于第三方服務器認證方式,用戶通過SSL VPN方式登錄后,通過專有的Web頁面認證接口,將用戶的驗證過程交由驗證服務器代理完成認證。 單點登陸模式。由高校提供統(tǒng)一的登陸驗證界面,登陸過程在高校UIS上完成。驗證通過后通知VPN登陸。 數(shù)據(jù)庫直接調(diào)用模式。適用于普通高校在UIS過渡初期的數(shù)據(jù)庫認證。用戶在登陸VPN過程中,通過VPN直接取用數(shù)據(jù)庫信息進行驗證,驗證過程由VPN設備與用戶數(shù)據(jù)庫結合完成。 以上的三種模式實際部署并不一樣,對VPN內(nèi)部體系設計也有區(qū)分。高校在UIS的實施過渡期間,應該首要考慮VPN廠商是否在內(nèi)部體系上完成多種認證方式整合的設計,以避免在UIS實施過渡中無規(guī)則的額外支出。 事實上,直至2006年底,僅有個別廠商案例上展示了VPN與UIS的兼容性,而整個VPN行業(yè)仍沒有對高校的UIS產(chǎn)生足夠的重視,能夠在產(chǎn)品內(nèi)部體系設計中起到全面兼容的更是寥寥無幾,以致在近幾年的高校招標項目上,迫使大多高校不得不暫時拿掉與UIS的兼容標準。 這種讓高校被迫反向兼容的方式,實際上是不可取的,許多高校信息辦主任在談到這個問題時,都希望VPN廠商能夠快速跟進校園網(wǎng)建設的發(fā)展,否則VPN勢必將退出高校信息化的舞臺。2007年人民大學在招標文件中,嚴格遵循UIS的校園網(wǎng)整體規(guī)劃方案,所有廠商提供設備必須以UIS全面兼容作為基礎條件,要讓項目的所有專項資金落到實處。這一來等于提升了所有IT設備廠商的危機意識,也讓VPN廠商看清了新的發(fā)展方向。 從嚴謹?shù)膽B(tài)度看,統(tǒng)一身份認證確實是高校信息化的發(fā)展的一個重要里程碑,但它不是高校信息化發(fā)展的唯一標志。信息化發(fā)展的每個時期,都會有新的標志性應用產(chǎn)生。是以VPN廠商長期關注行業(yè)信息化發(fā)展中每一個突現(xiàn)的焦點,才能從更多的角度去發(fā)揮VPN在高校信息化發(fā)展中的作用。 |
|
||