XX石油信息系统认证与授权管理方案设计.DOC

* 海量免费资料尽在此海量免费资料尽在此 中国石油信息系统认证与授权管理中国石油信息系统认证与授权管理 方案设计方案设计 中国石油制订信息安全政策与标准项目组中国石油制订信息安全政策与标准项目组 2019 年年 11 月月 16 日日 目录 前 言.6 1概述 .7 1.1项目背景.7 1.2项目目的.8 2现状概述.9 2.1身份管理.9 2.1.1现状分析与改进推荐.9 2.1.2解决方案.15 2.2认证管理.15 2.2.1现状概述.15 2.2.2解决方案.17 2.3访问管理.17 2.3.1现状概述.17 2.3.2解决方案.18 3总体架构.19 3.1认证与授权在信息技术总体架构中所处的位置.19 3.2认证与授权管理设计原则 .19 3.3认证与授权管理的概念模型.21 3.3.1中国石油认证与授权管理需求概述 .21 3.3.2认证与授权管理概念模型.22 3.4总体架构.26 4目录服务与身份管理.27 4.1概述.27 4.2集成设计.28 4.2.1概述.28 4.2.2集成的内容 .29 4.2.3集成的模式 .32 4.2.4数据流设计 .33 4.3数据设计.35 4.3.1概述.35 4.3.2组织和组织单元对象.37 4.3.3人员对象.38 4.3.4其它对象.39 4.3.5附：Schema 设计介绍.39 4.4逻辑设计.41 4.4.1概述.41 4.4.2后缀选择.42 4.4.3目录分支结构.43 4.4.4条目 RDN 选择 .46 4.5物理设计.47 4.5.1概述.47 4.5.2数据划分.48 4.5.3目录数据库的物理分布 .49 4.6复制设计.50 4.6.1概述.50 4.6.2复制的内容 .51 4.6.3复制的模式 .51 4.6.4复制的频度 .53 4.7安全设计.54 4.7.1概述.54 4.7.2密码政策.55 4.7.3访问控制.56 4.7.4加密.57 4.7.5审计跟踪.57 5认证管理.57 5.1概述.57 5.2PKI 设计 .58 5.2.1概述.58 5.2.2密钥的生成及存储 .59 5.2.3证书的生成 .60 5.2.4证书的合法性验证 .61 5.2.5交叉认证.62 5.2.6证书政策.62 5.2.7PKI 实施策略.63 5.3多认证体系.65 6访问管理.66 6.1概述.66 6.2对桌面资源的访问管理.67 6.3对 Web 资源的访问管理.67 6.3.1访问者描述 .69 6.3.2资源描述.69 6.3.3规则描述.70 6.4对 C/S 应用的访问管理 .71 7产品技术分析.71 7.1认证与授权管理产品分类 .71 7.1.1目录服务.72 7.1.2身份管理.72 7.1.3认证管理.73 7.1.4访问管理.74 7.2认证与授权产品市场分析 .74 7.2.1目录服务.74 7.2.2身份管理.76 7.2.3认证管理.77 7.2.4访问管理.78 7.3认证和授权管理产品供应商简要分析 .80 7.3.1IBM .80 7.3.2Microsoft.81 7.3.3Sun .81 7.3.4Novell.82 7.3.5CA.83 7.3.6PKI 供应商.83 8路标规划.84 8.1实施风险分析 .84 8.1.1风险分析.84 8.1.2风险评估.87 8.2分阶段路标规划.88 8.2.1阶段定义.88 8.2.2实施路标.91 8.3第一阶段实施计划.91 8.3.1第一阶段实现的功能.91 8.3.2第一阶段技术架构 .92 8.3.3项目计划.92 8.3.4所需资源.97 8.3.5投资估算.97 9附：认证与授权技术概述.98 9.1目录服务技术概述.98 9.1.1目录服务及发展简介.98 9.1.2LDAP 的工作过程 .98 9.1.3LDAP 模型.99 9.2认证管理技术概述.103 9.2.1认证方式.103 9.2.2PKI 技术简介.107 9.2.3国内 PKI 标准化现状 .113 9.3访问管理技术概述.114 9.3.1基于角色、基于政策的访问管理.114 9.3.2X.509 PMI 简介.114 9.3.3SAML 简介.114 前前 言言 中国石油天然气股份有限公司（以下简称“中国石油” ）认证和授权系统设计由三部分组成： 1、现状报告 分析中国石油认证与授权的现状及存在的问题，为下一步方案设计提供参考。 2、需求分析报告 对中国石油认证与授权管理建设进行分析和展望，并提供可行的建设思路。 3、方案设计 提出中国石油认证与授权管理的总体技术架构，进行认证和授权产品的市场分析，并给出相应的路标规 划和实施计划。 本报告是系统设计的第三部分。 1 概述概述 本报告是中国石油制定信息安全政策与标准项目中认证与授权系统设计的第三部分，目的是提出中国石 油认证与授权管理的总体技术架构，进行认证和授权产品的市场分析，并给出相应的路标规划和实施计 划。报告包含以下内容： 现状与需求概述 总体逻辑架构 目录服务与身份管理逻辑架构 认证管理逻辑架构 访问管理逻辑架构 产品技术分析 路标规划 1.1项目背景项目背景 现代企业对信息的依赖越来越大，信息已成为现代企业的一种重要资产。 为保证中国石油信息系统的安全、健康、持续发展，降低信息技术给业务带来的威胁和风险，保证信息 建设取得最大化的效益，根据中国石油信息化建设总体规划，中国石油开始实施制订信息安全政策和标 准项目。 在中国石油众多的信息安全风险中，用户管理的安全风险尤为突出，如内部人员可随意访问重要业务信 息、无法有效控制外部人员未经授权的访问、对远程用户缺乏安全访问控制机制、多种应用导致用户信 息过多而难以记忆等。要合理地约束和消除这些风险，中国石油认证与授权管理建设势在必行。其中， 认证的目的是正确地识别用户的身份，授权的目的是为了使用户能且只能访问被授权访问的资源。 1.2项目目的项目目的 认证和授权系统设计是中国石油制订信息安全政策和标准项目的一部分。其目的是通过对中国石油认证 和授权的现状进行评估，结合行业发展趋势和最佳实践为中国石油设计出既有可操作性，又具备前瞻性 的认证和授权的技术架构，并给出相应的投资预估和实施计划。 2 现状概述现状概述 2.1身份管理身份管理 2.1.1现状分析与改进推荐现状分析与改进推荐 标题标题中国石油现状中国石油现状主要影响与问题分析主要影响与问题分析改进推荐改进推荐 1. 信息存储电子邮件、企业信息 门户公用用户存储信息，其它 系统各自独立 2. 用户注册各系统进行独立的用 户注册，无统一开户流程，无 统一的策略和方法 由系统管理员根据使 用需求开户 存在公用帐号 用户注册 / 注销过程缺乏统一管理，围绕不 同的应用将形成若干安全孤岛。 管理成本增高管理成本增高 随着中国石油应用数量的增加， 系统用户维护工作量将急剧增大，管理成 本将不断增高。另一方面，各应用维护独 立的用户信息，将不利于用户信息的标准 化，不利于信息的共享。 用户使用不便用户使用不便 一名中国石油系统用户可能存在 大量系统用户名/密码，不易记忆。某些用 户为了记住不同系统的用户名和密码，往 往将其写在纸上，甚至放在桌面上，这将 大大提高安全风险。 缺乏统一的组织进行管理缺乏统一的组织进行管理 中国石油的不同应用往往是由不 同的部门进行维护。当应用维护各自的用 户信息时，将很难建立统一的组织进行用 建立用户信息的中心存储，将中 国石油主流应用的用户信息进行统一的管 理。这是集成认证和授权管理的基础。 进行统一的用户注册 / 注销。可 以有两种方式实现： 利用目前用户信息的主要入口 （如电子邮件系统）进行用户信息的控制； 或 新建一个管理接口，对用户信息 的中心存储进行控制。 3. 用户注销无帐户取消的策略和 控制措施 户信息的统一管理，将很难保证用户信息 的准确性、一致性和保密性。 安全风险加大安全风险加大 部分应用，如中油财务采用公用 帐号，将提高系统的安全风险。另一方面， 缺乏帐号取消 / 注销的策略和控制措施， 用户离职、换岗位后其系统用户信息往往 未能及时注销 / 更改， 也将提高系统的 安全风险。 4. 分权管理电子邮件系统和企业 信息门户采用分权管理的方式 其它应用由于用户数 较少，基本采用中心管理的方 式 大部分应用采取中心管理的方式，难以适应中 国石油业务和组织结构快速变革的现状。 灵活性、分布性差灵活性、分布性差 中国石油业务和组织结构快速变 革，系统管理的职责分布也在不断变化， 中心管理的方式将无法适应根据公司的政 策对系统管理职责进行灵活的调整的业务 需求。 中心维护量大，可扩展性差中心维护量大，可扩展性差 中心管理的方式将所有的用户维 护工作量都落在了中心一侧，当用户数不 断增加时，中心将不堪重负。用户信息的 分权管理，即由最接近用户的管理员进行 用户信息维护将能有效减少中心的维护量， 并提高系统的可扩展性。 采取集中和分布管理的策略，进 行用户信息的分权管理。 5. 用户自管理大部分应用只提供用 户密码修改的自管理功能 系统维护压力大，用户自主能力弱。提供充分的用户自服务，包括修 改个人密码、丢失密码查询（例如通过询 数据缺失或难以保证数据的准确性数据缺失或难以保证数据的准确性 不提供用户自服务功能，则一些 与用户密切相关的个人信息，如手机号码、 家庭住址、备用电子邮件地址等将无法存 储在系统中，或无法得到及时的维护。 对系统管理的依赖性大对系统管理的依赖性大 用户自服务功能的不足，将大大 增加用户技术支持的工作量。将部分用户 管理的权限（或某些信息的修改权限）交 给用户自身，是降低系统维护压力，提高 用户满意度的重要手段。 难以支持动态的应用难以支持动态的应用 应用的动态化是一种必然的趋势。 企业信息门户上的一个 Web 部件便是一 个动态的应用。每一个新的动态应用都需 要确定新的使用用户群，提供用户对部分 应用自订阅（即登记为该应用的用户）的 功能将能支持应用动态化的需求。 问个人问题找回丢失的密码）、订阅应用 （例如在企业信息门户中，用户自定义关 注的 Web 部件）等，降低技术支持成本。 6.外部用户管 理 目前除电子商务外， 其它系统无外部用户 无法与外界进行快速的信息和应用集成，与外 界的沟通效率低下。 不利于与外界的信息快速集成不利于与外界的信息快速集成 中国石油有大量的合作伙伴、供 应商和客户。缺乏对外部用户的支持，将 不利于与外界进行的信息和应用的集成， 影响中国石油的核心竞争力。 将外部用户（合作伙伴、供应商、 客户）进行统一的管理，并放置在独立的 安全子域中。 7. 数据维护用户信息存储各自独 立，无同步和集成关系 系统各自独立，用户信息难以保持一致。 无中心存储，数据不一致无中心存储，数据不一致 缺乏用户信息的集中存储和统一 管理，将难以保证用户信息的一致性。缺 乏用户信息同步和集成的自动化的工具， 目前只能通过手动的方式，这将难以保证 信息的准确性。 管理成本高，效率低管理成本高，效率低 不同系统的用户信息无法实现同 步和集成，用户信息的管理成本将随着应 用的增加而迅速增高，而管理效率却将不 断降低。 进行动态的用户管理，实现中国 石油主流应用的用户信息的同步和集成， 降低数据维护成本，并提高数据质量。 8. 数据质量保 证 数据准确性由管理员 保证 无统一的帐号规则 电子邮件/企业信息门 户已制订密码政策 用户信息难以集成，难以管理。 易重复，难管理，难记忆易重复，难管理，难记忆 缺乏统一的帐号规则，使得系统 管理、系统集成难以进行。缺乏统一的帐 号规则，也使得用户难以记忆不同系统的 帐号名。 用户信息难以与员工的真实身份相对应用户信息难以与员工的真实身份相对应 中国石油缺乏组织及员工个人的 统一编码，使得信息系统的帐号命名难以 与员工的真实身份相对应。建立中国石油 全公司范围的人力资源系统，建立中国石 油组织及员工的统一编码，将是设立中国 石油统一帐号规则的基础。 通过自动的管理流程及管理工具 保证用户信息数据的准确性和一致性，避 免因为管理员人为的因素造成的数据质量 下降。 建立统一的中国石油信息系统用 户名命名规则，并确保用户命名的唯一性 和稳定性（即采用不易变化的信息如员工 编码，作为用户名的一部分）。 建立中国石油统一的密码政策， 保证密码的质量。并通过便利工具保证密 码政策的顺利执行。 数据冗余，存在大量“垃圾”用户信息。 存在数据冗余存在数据冗余 各系统用户信息存储各自独立， 无统一部门管理，使得各系统存在大量的 用户数据冗余。数据冗余的存在将影响信 息系统的效率，并增加管理成本。 存在存在“垃圾垃圾”用户信息用户信息 由于各系统的用户信息的准确性 难以得到保证，帐号与员工的真实身份难 以对应，系统存在大量“垃圾”用户信息。 而缺乏用户帐号注销的制度和手段，使这 一问题更为严重。这些“垃圾”用户信息 的存在，一方面增加了管理成本，另一方 面也增加了系统的安全风险。 “将大门的钥匙搁在门口”。 安全系统本身不安全安全系统本身不安全 密码是中国石油目前大多数应用 系统的第一道，甚至是唯一的一道安全关 卡。密码本身的质量和安全对于中国石油 的信息安全至关重要。 不易实施，推行阻力大不易实施，推行阻力大 好的密码政策需要得到好的推行。 中国石油电子邮件系统制订了完善的密码 政策，包括密码的长度、密码修改的频度、 原始密码的更改等，但由于缺乏相应的控 制措施，使得这些政策并没有得到实际执 行。提供便利的密码政策执行工具是确保 密码政策顺利推行的保障。 2.1.2解决方案解决方案 建立中心的用户存储，实现动态的用户管理。 2.2认证管理认证管理 2.2.1现状概述现状概述 标题标题中国石油现状中国石油现状主要影响与问题分析主要影响与问题分析改进推荐改进推荐 1. 认证申请未实施 PKI，各系统基 本只提供用户名-密码的方式进 行基本认证 目前各系统均只提供 用户名-密码的方式进行基本认 证 电子商务和中油财务 的密码分发是通过电子邮件 电子邮件系统通过按 一定规则设立原始密码而实现 变通的密码分发 认证信息生成过程可信度差，认证信息易被窃 取。 认证信息易被窃认证信息易被窃 认证信息生成过程的安全是信息 安全链中的重要一环。认证信息生成过程 不安全，将导致认证信息（如证书、密钥 等）被窃取，从而从根本上动摇系统的安 全。强认证体系（如 PKI）能有效提高认 证信息生成过程的安全级别。 实施公钥体系（PKI 或 Kerberos），确保认证信息生成全过程的 安全可靠。 2. 信任状采集目前无多认证机制，认证方式单一，缺乏强认证。支持根据中国石油的政策对多种 各系统独立进行单一的信任状 采集 缺乏强认证缺乏强认证 目前中国石油各系统基本只采用 用户名-密码的基本认证，缺乏强认证手段， 认证可信度差。缺乏可信的认证，将无法 在中国石油内部及与合作伙伴、供应商、 客户之间进行安全的信息交互和协同工作 （电子商务），影响中国石油的核心竞争 力。强认证的方式包括公钥体系 （PKI、Kerberos）、动态口令（令牌）、 智能卡、生物特征（指纹、声音、视网膜） 认证等。 认证方式单一认证方式单一 为根据公司安全政策的需求灵活 切换用户的认证方式、为实现不同应用之 间的交叉认证，系统应提供多认证机制， 支持各种通用的认证方式及认证方式的结 合。另一方面，采用多因素认证（如密码 +令牌，密码+证书+智能卡等）是加强认 证可信度的有效手段。 认证方式的进行灵活的切换。支持多种认 证方式的组合，实现多因素（n-factor）认 证。 3. 身份信息移 交 无中心认证管理，各 应用利用各自的认证管理模块 进行认证，认证成功访问各自 的资源，无身份信息移交问题 无交叉认证，无登录 联盟站点