安全云计算解决方案暨典型示范项目评审材料

附件二：云计算安全典型示范项目说明书（暨评审材料）一、概述1、项目名称、起止时间、主要功能、投资情况、当前运行情况项目名称：基于动态密码的云身份管理系统及其在XXXX集团AAA系统动态认证改造中的应用。起止时间： 主要功能： l 统一帐号管理：是建立在虚拟化的资源池上的应用接口层，为云用户提供了一个统一的帐号和单点登录窗口，避免了在访问资源过程中频繁的帐号切换。l 统一认证管理：解决身份凭证管理、强认证（通常为多因素身份认证）、委派身份认证、及跨越所有云服务类型的信任管理。 由于云计算环境下，资源分布具有很大的动态变化特性，静态密码的安全性已经很难满足要求，动态密码以其特有的随机性、一次性而更加适合云计算环境。l 统一授权管理：根据各种资源对账号、角色、权限及各类关系的不同定义，抽象成统一的数据定义，采用关系型数据库存储方式，对账号/密码信息、系统及应用资源信息、角色及策略管理信息以及各信息之间的关联关系信息进行加密存放。并基于用户、主机、网段等参数添加访问控制策略，完全模拟主机与用户发起方，发送拆连请求，达到网络访问的控制。l 统一审计管理：当用户根据授权访问资源时，系统用户业务行为进行实时解析，建立日志，事后处理归并，并为安全审计人员提供了视频、图标等以多种查询方式。，并且我司能够为用户提供资深的审计专家真实分析、展现审计结果。投资情况：l XX公司在云身份管理系统研发的投入累计已经超过200万，为XXXX集团实施改造而投入的研发、测试成本超过20万。l XXXX集团AAA系统动态认证改造投入总计：2000万元。当前运行状况：2、简述项目相关领域的现状、研究目的、意义及国内外技术概况项目相关领域的现状2010年6月，胡锦涛总书记在两院院士大会上就指出，“互联网、云计算、物联网、知识服务、智能服务的快速发展为个性化制造和服务创新提供了有力工具和环境”，将云计算应用提上了创新生产方式的高度。10月，国家发展和改革委员会、工业和信息化部联合发布关于做好云计算服务创新发展试点示范工作的通知，确定在北京、上海、深圳、杭州、无锡五个城市先行开展云计算服务创新发展试点示范工作，进一步明确了国家发展云计算的总体思路和战略布局。身份管理是实现云环境下按需计算服务战略的先导，也是云计算安全的基础。身份管理的研究工作在国外开展的较早，最初是一些行业组织与企业开展的商业部署方案。微软在20世纪末推广的“Passport”项目，就是互联网业务单点登录的早期应用。然而，由于大家担心微软会收集大量的用户个人信息，因此该项目并没有得到业内的广泛支持，最终以失败告终。后来微软公司又启动了Windows Cardspace研究项目，致力于身份元系统的研究，即为不同的数字身份系统提供一个统一的抽象表示层，而这个系统可以取代传统的用户名和密码认证方式，可以提供更好的反钓鱼功能，防止其它网络犯罪等。2001年，为了抗衡微软的Passport，由SUN牵头成立了自由联盟（LibertyAlliance），致力于研究开放的、具有引导与实践性的联邦身份管理机制。自由联盟重点解决企业之间身份系统的可互操作性问题，定义一些在企业内部和企业之间使用的统一身份技术和流程的公共规范。近几年，Web2.0应用的蓬勃发展，个人参与互联网应用的创造与使用愈发广泛，一个用户可能有十几乃至上百个个人ID，极大地影响到了用户的多业务体验，OPenID就是解决跨业务域的单点认证问题，为用户提供一个全球惟一标识，进行一次认证，即可实现多业务的使用与体验。随着各种网络、服务与业务系统逐渐向云上迁移，目前彼此独立设置、缺乏可互操作性的身份管理系统也需要迁移。为了实现全球一体的通用身份管理架构目标，ITU-T在2006年启动了身份管理标准化研究工作，鼓励全球所有的ICT领域的专家共同参与、推动通用身份管理架构的研究工作。在ITU-T的研究活动中，美国是研究工作的主导力量，目前已经批准发布了X.1250全球可互操作的身份管理需求，其它的配套标准也在加紧完善过程中。在X.1250的发布过程中，以德国为首的欧洲国家与美国展开了激烈且微妙的博弈。大家关注的焦点是身份管理的对象是否会涉及到自然人，身份提供商是否是一个集中设置的机构，它是否需要由国家来进行授权与管理等方面，因为这些问题会涉及到不同国家的组织架构设置，对不同国家的法律法规遵从和国家利益、国家安全密切相关的问题。 国内对网络身份管理的研究起步较晚，随着政府对网络监管力度的加强，网络实名制成为我国身份管理发展的重要里程碑。研究目的和意义：身份及身份管理贯穿于日常生活的方方面面，诸如普通公民的户籍、护照或者社会安全号码（SIN）等都是国籍身份的一部分，与之相对应的国家机构形成对它们的颁发、监控、撤销和恢复等管理机制就构成对应的身份管理。公民利用这些身份可以享受相关的服务，例如国家基本医疗、报税等服务。与上述广义身份和身份管理相对应，在信息领域中涉及到用户证书以及通过身份认证和授权登陆在线系统的整个流程构成信息系统的身份和身份管理，例如ITU-T定义的目录服务系统X.500，X.509和PKI等。在我国现阶段ICT环境中，由于网络和业务区隔不明确，因此无论是XX运营商还是互联网服务提供商都承担若干角色，而且通常意义上讲，用户身份及身份管理与业务或者应用紧耦合，这样就造成同一用户在不同应用环境中使用不同身份、不同身份认证机制以及带来的潜在的用户安全隐患；这种情况下，用户身份和身份管理实际上被网络或者业务应用实体身份所代替，不能提供针对用户身份的特定服务，例如为用户提供个性化的3P服务（Presence，Preference，Profile）等；跨域场景中，例如跨不同运营商网络不能为用户提供一致的用户身份及身份管理。网络和业务融合的飞速发展正在形成对于“独立的第三方身份管理”的需求，形成用户、业务服务提供商和身份服务提供商三方互动，有效协同以网络为中心、业务为中心的身份管理机制。这样一个可信任、可共享的第三方数据信息，可以提供跨业务领域、跨国家行政部门公共身份数据信息，增强用户体验，诸如单点登录认证、统一账单服务等，既可有效保障用户隐私，又能提高多业务环境中监管的有效性。3、承担单位与联合单位概况以及任务分工XXXX集团AAA系统动态认证改造项目中，XX网络安全技术有限公司是技术提供方和集成实施方。XX网络安全技术有限公司的云身份管理系统拥有完整的自主知识产权，包括双因素动态认证系统等在内的12项专利。可部署在联想服务器和国产linux操作系统之上。目前，XX网络安全技术有限公司正在持续改进和完善云身份管理系统，以便满足未来扩容和推广的要求。以实现统一管理、身份认证，从而统一系统管理员、开发厂商对后台业务网络系统的动态密码认证接口，控制其访问权限并进行对应的审计工作。实现以下安全目标：1、搭建起统一的安全管理技术和平台根据网络现状的分析，研究集中统一的安全管理技术和平台，使得系统和安全管理人员可以对业务网络系统的用户和各种资源进行集中权限分配、集中认证，从技术层面上保证业务网络系统安全策略的实施。2、搭建起全网统一身份认证系统的框架通过实现分布式管理模式部署全网的框架满足以下要求：对所有用户身份认证都必须进行统一身份认证基于动态密码、硬件令牌和用户名密码，同时硬件令牌结合保护密码；当合法用户访问被保护的应用系统之前，必须通过一个统一的客户端软件或WEB页面进行注册；用户身份的产生、发放、生效以及暂停、中止都简单可行；传输合法用户身份的过程必须采用加密技术，以保证认证过程不被恶意窥视。3、制止内部合法用户的违法操作原先可能出现的情况，即系统维护员、操作员、厂商开发人员等这些具有系统较高权限的人员，在其权限范围内或越权可能进行一些非法操作，比如修改数据库数据、更改网络配置、获取公司机密信息等行为，今后将得到有效地控制。现在，所有针对被保护应用系统的访问和操作，都将与用户身份紧紧结合，非法的访问将被立刻发现并记录，责任人也会被迅速落实，这种系统的威慑力将大大减少内部违规操作的可能。4、实现对登录应用系统的过程进行审计的要求由于网络设备、主机系统、数据库等的访问方式多种多样，有些服务器提供了部分审计功能，但有些敏感的、核心的维护操作却无法审计下来（比如：telnet、FTP、数据库的访问等），或者说从系统本身的海量审计数据中，很难查找到相关的信息，这对事后的取证分析和责任界定都带来了很大困难。新的安全系统将很好的提供这项功能。5、及时响应非法操作原先对于重要服务器的非法访问，服务器并不能做出判断，也许要等到事后很长时间后才会暴露，或许永远也不会有人知道，即使查出了非法访问，但后果已经形成，无法弥补，新系统将可以在非法访问的同时做出响应。二、项目关键技术1、项目主要研发内容及达到的技术和性能指标XXXX集团AAA系统动态认证改造是针对集中管理的数百台网络设备的应用项目，目前集团管理人员和各个集成商/厂商等多个机构的不同人员同时使用这个系统，对网络进行日常运行维护。随着XX业务支撑系统的迅速发展，各种支撑应用和用户数量的不断增加，网络规模迅速扩大，信息安全问题愈见突出，对系统之间的整合提出了更高的要求。系统整合的一个重要基础是账号数据的统一、授权的集中、单点登录认证、安全审计。原有的账号、权限、认证、审计方面的安全措施已不能满足XX目前及未来业务系统发展的要求。主要问题表现在以下方面：1、信息孤岛林立。2、分散的权限管理。3、自然人身份和业务系统账号重叠。4、静态密码安全性低。5、独立的审计，缺乏关联分析。XX网络安全技术有限公司提供的技术，使XXXX能够在现有基础上平稳地整合运维网络资源，建立一个统一的基础安全服务系统，为各应用资源提供准确组织人员数据，并可以高效、方便的进行数据安全管理。动态密码的应用既有效地保障和方便了合法用户的访问及操作，又能有效地保障业务支撑系统安全可靠地运行。 XX网络安全技术有限公司的云身份管理系统的主要功能包括：l 统一帐号管理：是建立在虚拟化的资源池上的应用接口层，为云用户提供了一个统一的帐号和单点登录窗口，避免了在访问资源过程中频繁的帐号切换。l 统一认证管理：解决身份凭证管理、强认证（通常为多因素身份认证）、委派身份认证、及跨越所有云服务类型的信任管理。 由于云计算环境下，资源分布具有很大的动态变化特性，静态密码的安全性已经很难满足要求，动态密码以其特有的随机性、一次性而更加适合云计算环境。l 统一授权管理：根据各种资源对账号、角色、权限及各类关系的不同定义，抽象成统一的数据定义，采用关系型数据库存储方式，对账号/密码信息、系统及应用资源信息、角色及策略管理信息以及各信息之间的关联关系信息进行加密存放。并基于用户、主机、网段等参数添加访问控制策略，完全模拟主机与用户发起方，发送拆连请求，达到网络访问的控制。l 统一审计管理：当用户根据授权访问资源时，系统用户业务行为进行实时解析，建立日志，事后处理归并，并为安全审计人员提供了视频、图标等以多种查询方式。，并且我司能够为用户提供资深的审计专家真实分析、展现审计结果。XX网络安全技术有限公司的云身份管理系统认证服务器性能参数认证系统技术参数可容纳用户数1千万 单认证服务器处理能力短连接4000次/秒（测试认证服务器：dell6850；CPU：4核Intel(R) Xeon(TM) CPU 3.00GHz * 4个；内存：8GB）认证响应时间100毫秒认证带宽占用100M认证数据冗灾集群式备份带外认证支持带外认证支持协议Radius等标准协议、iKEY认证协议（支持TCP、SOAP承载方式）和定制客户接口协议认证稳定性最高连续满功率运行认证次数1,000,000,000次认证正确性连续满功率运行时正确率大于99.%支持操作系统Windows、Linux、Unix支持数据库Oracle、Db2、MySQL、MS SQL Server支持动态密码长度6-8位PIN码功能支持密钥自助写入支持XX网络安全技术有限公司的云身份管理系统令牌硬件参数项目指标描述算法支持国家密码局授权安全算法、OATH组织国际TOTP标准算法工作温度、湿度-10+50，10%RH 90%RH防干扰符合GB 4343.1-2003防尘、防水达IP67等级抗震可承受震动频率上限300HZ，振幅上限3mm，水平振动及垂直震动1小时抗挤压可承受上限液压1000N或气压1000N挤压1小时抗跌落可承受高1m，混凝土地表，自由跌落，产品各面各为底面跌落1次。抗电磁干扰可抗工频50Hz，1安/米（A/m）连续磁场的干扰抗静电可抗空隙式放电8kV，接触式放电4kV 外壳有害材质符合ROHS标准对6种有害物质规定晶振频率晶振频率在32768HZ偏差20ppm电池年限3年防拆令牌内部全部用胶料填充，无法拆解得到内部电路注胶低压注塑XX网络安全技术有限公司的云身份管理系统授权控制系统技术指标：授权控制系统技术参数最大同时在线管理员账号20（同时在线管理应用系统数）最大支持用户数10000最大网络会话数15000最大网络流量1000Mbps最大审计策略数30000最大事务处理能力5000eps最大日志规则数1000 最低查询响应速度5秒 最大存储速度8000条/秒平均无故障时间10000小时平均故障修复时间4小时XX网络安全技术有限公司的云身份管理系统审计系统技术指标网络审计系统技术参数最大网络会话数15000最大网络流量1000Mbps最大审计策略数30000最低查询响应时间5秒最大存储速度8000条/秒平均无故障时间10000小时平均故障修复时间4小时2、项目涉及的关键技术分析(例如IaaS、DaaS、PaaS、SaaS等虚拟化、分布式计算、并行计算、大规模数据存储与管理、服务交付技术等)XX云身份管理系统为用户提供了跨系统、跨域、跨资源的安全认证和安全管理能力。使得用户能够在虚拟化的安全架构上部署和运行自己的操作系统和应用软件，是一种典型的云基础设施作为服务 (IaaS)模型。XX云身份管理系统通过设备资产管理功能提供了将资源抽象化的能力，并交付连接到这些资源的物理或逻辑网络连接。并提供了一组API，允许用户与基础设施进行管理和其它形式的交互。XX云身份管理系统的关键技术主要包括动态密码技术动态密码认证能够有效的防止密码泄露而引起的危险危险，动态密码只能一次有效，使用过的动态密码不能重复使用。所以即使动态密码被偷看或窃听了也没有危险。它具有以下优点：（1） 动态性：令牌产生的密码每分钟变化一次，不同时刻使用不同密码登录，每个密码都只在其产生的时间范围内有效。（2） 随机性：动态密码每次都是随机产生的，不可预测。（3） 一次性：每个动态密码使用过一次后，不能再重复使用。（4） 抗偷看窃听性：由于动态性和一次性的特点，即使某一个动态密码被人偷看或窃听了，也无法使用。（5） 不可复制性：动态密码的产生可与事件因子紧密相关，因此也就保证只有特定用户才能使用动态密码，其他用户无法获得、无法共享。3、系统总体架构（包括必要的架构设计图）及实施方案XX云身份管理系统架构设计如下图所示：在这些功能设计时，我们采用了模块化和组件化的设计思想，将整个运维平台分为5个功能子系统，结合用户接口、系统接口来完成图示的所有功能。系统部署示意图实施说明l 在XXXX集团公司SOC系统中部署身份认证平台用来实现用户身份认证、动态密码验证、权限的分析匹配、SSO单点登录，合法用户登录身份认证平台后即可依据相应权限点击对应资源访问，同时无需再次输入系统的用户名及密码大大方便用户的访问，也可以规避密码的风险。l 在XXXX集团公司SOC系统中部署账号管理平台实现网络中的账号收集、账号管理，管理员可以在账号管理平台上实现对网络设备、主机、各系统中的现存用户及新添加用户信息收集、分配、权限的管理日常维护等相关的管理。l 为XXXX集团公司配发用户授权500个：拟配置硬件令牌100个、软件令牌100个，短信动态密码许可300个；l 在XXXX集团公司SOC系统的两台核心交换机上分别以旁路接入方式部署二台安全服务器，通过交换机的镜像功能将业务系统中的数据提供给XX风信子安全服务器以实现强身份认证、访问控制以及网络行为审计的功能。安全服务器同时通过交换机的镜像功能利用业务系统中的数据实现强身份认证、访问控制以及网络行为审计的功能。l 在方案中部署的审计服务器具备数据记录的功能，可以将系统审计下来的结果统一记录在数据库中便于管理员查询。l 用户可以根据所要审计的重点和要点，在授权管理中心上灵活配置策略来实现用户的强身份认证、访问控制和行为审计。l 本方案中的审计控制平台可以安装在审计管理员的维护终端上，通过审计控制平台能够快速查询审计结果、输出各类丰富的审计报表。l 本方案中将监控中心软件安装到管理员办公PC上，可以实时监控系统运行情况和监控用户违法操作，一旦系统出现问题或用户有违法操作时可以第一时间反映给管理员能够让管理及时处理问题。4、项目中涉及的主要国产关键软硬件产品及知识产权情况。本共采用服务器4台，均采用国产服务器，使用Linux操作系统。核心软件“XX云身份管理系统”是XX公司自主研发的新一代安全基础软件。包括了动态密码、身份认证、授权管理、安全审计等模块。上海XX网络安全技术有限公司是国家密码管理局正式批准的商用密码产品生产定点单位和销售许可单位，主要致力于拥有完全自主知识产权的“iKEY双因素动态密码身份认证系统（SRT0901动态口令系统）”的研发、生产、销售和服务。该系统成为国内首款由国密局颁发的商用密码产品型号证书的动态密码身份认证产品。该产品采用国密局授权的国密安全算法，产品系列覆盖全，包括基于时间型、挑战码、智能卡式、与手机SIM卡或SD卡相结合、数字证书与动态密码相结合等动态密码身份认证技术，可以根据客户不同需求定制端到端的解决方案，满足客户各种信息安全需求。XX科技作为XX信息安全行业的先锋者，已申报国家发明专利12项，并受国密局委托参与编制我国动态密码产品相关技术标准。同时，XX科技目前是国家信息安全标准化委员会等标准化组织的成员单位，并协助参与信息安全相关的国家及行业标准编制工作。5、方案的科学性、合理性、先进性、可行性分析评价l 满足IT内控、SOX、COBIT等法案法规合规性要求l 规范管理，梳理管理数据流和业务数据流，做到对管理数据流进行操作审计，解决安全管理领域“人”的问题。l 解决操作管理、重要应用、机密资料安全审计难题，通过“操作机”将使用者电脑变为“瘦客户机”，避免使用者电脑通过网络直接接触重要应用和机密资料，降低木马、间谍、内部安全威胁。l 建立统一资源操作管理平台，完成服务器集群统一操作管理。管理行为不再“随时随地”，操作审计不再“若有若无”，用户行为不再“无法无天”，管理员从此摆脱网络管理“黑匣子”时代，对服务器上管理行为“了然于胸”。l 操作审计方案完备，解决审计“死角”，解决图形审计难题，解决服务器间跳转操作（WINDOWS跳转到UNIX）进而逃避审计行为，不留审计漏洞，恶意用户无法逃避监控。l 减轻管理员工作压力，提高工作效率，确保管理制度的顺利实施l 完成对第三方代维、系统集成商现场施工的规范化管理，防范外来风险l 如果发生事故，快速、准确的进行责任鉴定和安全事件追溯，采取补救措施l 准确审计数据库SQL操作语句，防范ORACLE、SYBASE、MS SQL、INFORMIX等数据库安全风险三、项目实施的措施、条件1、项目实施的政策环境需求（国家“十二五”规划、国发4号文，新兴战略性产业规划、两化融合战略等对项目实施的影响和推动促进作用）在党和政府制定的一系列政策指引下，我们认识到云计算本质上是软硬件技术发展到一定阶段后，必然要出现的一种资源整合模式。本项目中XXXX集团的需求即代表了这种趋势和潮流。同时，云计算不仅仅是一个技术问题，更多的是一种商业模式或者管理模式的创新，能够为企业降低成本、提高管理水平、带来经营业绩的增长，也能帮助政府改善投资环境、提升城市信息化建设水平，满足日益发展的公众信息服务需求。XX云身份管理系统的推出就是为了推进云计算的普及而做出的努力。党中央和政府制定的政策帮助我们认清了云计算产业的核心价值，鉴定了我们参与、推动云计算产业的决心，消除了后顾之忧。2、项目运营的设备条件本共采用服务器4台，其中2台配置4颗4核CPU、16GB内存、4块300GB以上硬盘，用于认证服务器以及保存审计数据，二台认证服务器实现双机热备；另外2台配置2颗CPU，8GB以上内存，用于控制分析服务器。二台控制分析服务器分别接入到SOC系统扩容后的两台热备核心交换机上，并在交换机上完成端口镜像配置，将SOC系统的访问数据流分别镜像至二台控制分析服务器上。3、项目成功的技术基础条件，包括试验场地、测试手段等。项目的建设依据XX集团给出的动态密码系统建设规范指导，并密切结合XXXX集团公司的实际情况和具体环境；动态密码系统建设不对现有系统的可用性、可靠性和性能带来负面影响。系统的各个组成部件选用符合国际、国内标准的硬件和软件技术搭建支撑平台，采用规范的接口和协议，保证系统各组成部分协同一致，构成可兼容、易移植的系统安全支撑平台。并遵循以下原则l 充分利用现有系统资源，深入挖潜，保护现有投资。l 利用先进的安全审计技术和平台，避免低水平重复建设。l 充分考虑系统应变能力、容错能力和完善的安全机制。l 在设备的选型中坚持高可靠性、高性能、标准化、开放性、安全性、易扩充性、先进性、实用性和易维护性。l 系统在满足现状的情况下，充分考虑未来和发展，安全系统总体能力留有余地。l 安全系统设计充分考虑服务器、网络设备、网管系统、各类数据库系统、应用系统的相互关联性，并充分考虑这些设备和系统在未来的扩展性及兼容性。系统建设遵循的标准ISO标准：l 设计标准（ISO15408、ISO17799、ISO7498-2）l 实施标准（SSE-CMM、ISO9001）GB标准：l 计算机网络系统安全保护等级划分准则l 开放系统互连基本参考模型第2部分安全体系结构l 信息技术 安全技术 信息技术安全性评估准则l 商用密码管理条例l 计算机病毒防治管理办法l 计算机网络系统国际联网保密管理规定l 计算机信息网络国际联网安全保护管理办法l 中华人民共和国计算机网络系统安全保护条例l 中华人民共和国计算机信息网络国际联网管理暂行规定l 计算机网络系统安全专用产品检测和销售许可证管理办法l 计算机网络系统安全专用产品检测和销售许可证管理办法l 中华人民共和国计算机信息网络国际联网管理暂行规定实施办法项目部署范围本项目将在XXXX集团公司中心机房部署相应的动态密码云身份管理系统，以对用户访问受保护资源的行为进行认证和控制，并审计其操作，同时可以有效的管理和审计员工的操作行为，做到出现问题有据可查。此次项目部署实施过程中，本公司将负责项目集成与安全系统实施的工作。需要具体业务部门，如业务中心配合网络调整等工作，将网络数据镜像提供给本系统。根据需求扩展原有XXXX集团公司原有的iKEY动态认证系统服务范围，将东四机房SOC平台的网络设备及服务器纳入统一管理。因此拟新增系统服务器4台。设备连接位置：SOC平台热备以太网交换机二台，分别通过端口镜像配置将数据流镜像至控制审计服务器的数据镜像端口。同时4台服务器的通讯口均接入交换机。同SOC平台对接为了提高XXXX网络安全管理能力，实现XXXX网络集中化、体系化、层次化的安全管理，XXXX集团已经针对ChinaNet在集团公司（北京）和江苏两地完成了网络安全管理平台（SOC）的试点建设。SOC平台能够在全局层面实现IP网安全策略的统一，对全局资源进行统一调度，协同对各种网络安全问题进行有效的防范和处理，同时实现了对C网分组域和部分C网业务平台的安全管理，有利于XXXXIP网网络的健康、稳定、安全运营。在目前试点SOC平台顺利开展工作、XXXXIP网的网络安全管理水平有了长足进步的同时，网络安全技术的发展对网络安全管理平台的功能提出了新的需求。目前SOC平台管理全网2000多台路由器、多个业务平台、多个网管系统，对这些系统的帐号管理比较分散，帐号和口令分配、回收、增加、删除等操作较为混乱，带来不少安全隐患，而且对于外来人员的帐号口令也缺乏有效的管理。因此本期工程需要对SOC平台升级集中的用户认证、口令管理功能，采用动态密码技术，加强密码管理的安全性。同时根据工信部要求，需要具备较强的审计功能，以便事后追溯。本系统能够同XXXX集团公司现有的SOC平台对接，实现单点登录功能。管理员通过控制中心界面可以为用户配置和SOC平台对应的从账号，已授权用户登录系统用户界面后即可看到SOC平台的访问链接，点击打开即可实现无需重复登录使用SOC平台。以上功能需要SOC平台的提供商配合，在完成一定二次开发的前提下实现4、项目服务保障措施及推广应用策略针对本项目，我司共建立了以下服务保障措施：l 建立项目专项管理制度，针对XXXX集团的需求进行了专门的调研，收集了大量一手资料，为可靠、安全、平稳地实施项目奠定了基础。l 配合XXXX进行了详细的方案论证，提出了完整的定制需求，减小了项目实施的风险，保证了系统平稳地迁移。l 组织实施了严格的仿真测试和压力测试，通过科学地分析，制定了严密的优化方案，保证了项目目标的顺利实现。l 为本项目配备了专职维护与技术支持力量，建立了备品备件库，制定了严格的维护与服务保障计划，随时响应XXXX的要求。与此同时，我司还借鉴项目实施中获得的经验，优化了推广应用策略：l 优化应用加载模板，提高用户应用业务整合的效率。l 丰富了访问控制策略库，为用户提供更多的策略支持。l 为了更快地推广和普及，正在计划推出租用服务模式，减小用户初次投入成本。四、主要应用成果展示对项目应用过程中取得的成果进行图文并茂的展示。本项目的实施使得管理层次更加科学、更加分明，有利于提高运维管理水平。项目部署后五、市场需求情况分析及经济、社会效益预测1、项目当前已经取得的经济效益及社会效益分析；通过项目的实施，XXXX构建一个统一的安全管理平台基础设施，解决了敏感数据安全管理问题，同时兼顾了后期向统一安全管理平台建设的平滑过渡。已经取得社会效益有：1、实现对业务支撑系统、DCN网运营管理系统以及操作系统、数据库、网络设备等各种IT资源的帐号、认证、授权和审计的集中控制和管理。有效地保障业务支撑系统安全可靠地运行。为业务支撑系统提供机制统一、多样化的认证与授权安全服务，实现平滑过渡并实现与其他统一安全管理平台之间的数据交互。2、实现集中化、基于角色的的主从帐号管理，实现角色属性级别的细粒度权限分配和管理。自然人与其拥有的主帐号关联，统一规划用户身份信息和角色，对不同系统中的帐号进行创建、分配、同步，最终建立业务支撑系统中自然人的单一视图（主帐号管理）、建立业务支撑系统中资源的单一视图（从帐号管理）。3、实现集中化的动态身份认证和统一访问入口。根据安全需要选择不同的身份认证方式，在不更改或只对应用进行有限更改的情况下，即可在原来只有弱身份认证手段的应用上，增加强身份认证手段。最终实现认证手段和应用的相对隔离和灵活使用。4、实现集中访问授权，基于集中管控安全策略的访问控制和角色的授权管理。对用户使用业务支撑系统中资源的具体情况进行合理分配，实现不同用户对不同部分实体资源的访问。最终建立完善的资源对自然人的授权管理。5、实现集中安全审计管理，收集、记录用户对业务支撑系统关键重要资源的使用情况。便于统计自然人对资源的访问情况，在出现安全事故时，可以责任追踪。对人员的登录过程、操作行为进行审计和处理。最终建立完善针对“自然人资源”访问过程的完整审计。2、国内外市场推广应用前景和市场需求情况分析预测；今天人们访问云计算技术端数据所依赖的认证手段非常弱，可能还主要是用户名和密码。我们需要更强有力的手段，对于接入云计算技术服务的用户进行认证。身份的战略有一些核心的元素，首先，身份证必须是基于亲自办理、或者说亲自证明。第二，正如在现实生活中一样，每个人的身份可能会有各种形式，也就有更多的身份识别的证件，比如身份证、银行卡、公司证件等等。而这些卡大部分在办理时都要通过本人亲自到场。第三，必须让使用者能够控制自己信息的流向，他能决定自己什么样的信息能给什么样的人。全世界的用户，都非常关注自己的隐私，允许他们有能力来控制和什么样的人分享什么样的隐私信息，这点非常重要。通过一次性密码(OTP)令牌、手机软件(OTP)、手机短信（OTP）、基于证书的(PKI)认证器的广泛产品组合提供了全面支持，使组织在现在能够为远程访问部署OTP，在未来能够无缝扩展以支持更先进的安全解决方案。多因素身份验证对于组织的核心业务来说已变得越来越关键，这种趋势已被云计算的采用和确保远程用户访问公司系统和数据(无论保存在何处)的需要而放大，通过提供一种从单个平台管理所有访问政策的集中化方式，帮助客户最大限度地确保认证安全并降低成本。以云计算为基础的新IT体开始改变目前的应用方式。无论何时何地只要有网络和终端，通过安全认证就可以在任意终端实现个性化及廉价应用服务的需求。身份的识别和认证就成为其中的关键。口令、密码、证书、指纹、虹网膜等相信多种认证的融合应用将成为验证技术的尝试和创新。安全认证解决已成为必然。云计算商业模式的迅速发展将对XXIT业产生重要的影响，涉及服务器、存储、网络等基础架构以及中间件、操作系统、应用软件、网络服务在内的诸多领域，从而开创一种全新的IT应用前景。在我国现阶段ICT环境中，由于网络和业务区隔不明确，因此无论是XX运营商还是互联网服务提供商都承担若干角色，而且通常意义上讲，用户身份及身份管理与业务或者应用紧耦合，这样就造成同一用户在不同应用环境中使用不同身份、不同身份认证机制以及带来的潜在的用户安全隐患；这种情况下，用户身份和身份管理实际上被网络或者业务应用实体身份所代替，不能提供针对用户身份的特定服务，例如为用户提供个性化的3P服务（Presence，Preference，Profile）等；跨域场景中，例如跨不同运营商网络不能为用户提供一致的用户身份及身份管理。网络和业务融合的飞速发展正在形成对于“独立的第三方身份管理”的需求，形成用户、业务服务提供商和身份服务提供商三方互动，有效协同以网络为中心、业务为中心的身份管理机制。这样一个可信任、可共享的第三方数据信息，可以提供跨业务领域、跨国家行政部门公共身份数据信息，增强用户体验，诸如单点登录认证、统一账单服务等，既可有效保障用户隐私，又能提高多业务环境中监管的有效性。3、预期经济和社会效益，以及对现有服务模式的提升等。身份管理系统在未来云时代的作用1、身份管理是网络资源和业务资源虚拟化的基石云时代网络资源和业务资源的虚拟化涉及到XX运营商内部不同系统、跨XX运营商之间、与服务提供商之间、与内容提供商之间、家乡属地和漫游属地之间等不同网络层面、业务层面的虚拟化，身份管理完全可以充当其中的虚拟化桥梁，实现跨系统、跨域、跨平台之间的虚拟化基础； 2、身份管理能对云环境中的网络资源和业务资源进行有效监管通过引入