中国石油信息系统认证与授权管理方案规划

中国石油信息系统认证与授权管理中国石油信息系统认证与授权管理 方案设计方案设计 中国石油制订信息安全政策与标准项目组中国石油制订信息安全政策与标准项目组 2020 年年 5 月月 24 日日 目录 前 言 .6 1概述 .7 1.1项目背景.7 1.2项目目的.8 2现状概述.9 2.1身份管理.9 2.1.1现状分析与改进推荐.9 2.1.2解决方案.15 2.2认证管理.15 2.2.1现状概述.15 2.2.2解决方案.17 2.3访问管理.17 2.3.1现状概述.17 2.3.2解决方案.18 3总体架构.19 3.1认证与授权在信息技术总体架构中所处的位置.19 3.2认证与授权管理设计原则 .19 3.3认证与授权管理的概念模型.21 3.3.1中国石油认证与授权管理需求概述 .21 3.3.2认证与授权管理概念模型.22 3.4总体架构.26 4目录服务与身份管理.27 4.1概述.27 4.2集成设计.28 4.2.1概述.28 4.2.2集成的内容 .29 4.2.3集成的模式 .32 4.2.4数据流设计 .33 4.3数据设计.35 4.3.1概述.35 4.3.2组织和组织单元对象.37 4.3.3人员对象.38 4.3.4其它对象.39 4.3.5附：Schema 设计介绍.39 4.4逻辑设计.41 4.4.1概述.41 4.4.2后缀选择.42 4.4.3目录分支结构.43 4.4.4条目 RDN 选择 .46 4.5物理设计.47 4.5.1概述.47 4.5.2数据划分.48 4.5.3目录数据库的物理分布 .49 4.6复制设计.50 4.6.1概述.50 4.6.2复制的内容 .51 4.6.3复制的模式 .51 4.6.4复制的频度 .53 4.7安全设计.54 4.7.1概述.54 4.7.2密码政策.55 4.7.3访问控制.56 4.7.4加密.57 4.7.5审计跟踪.57 5认证管理.57 5.1概述.57 5.2PKI 设计 .58 5.2.1概述.58 5.2.2密钥的生成及存储 .59 5.2.3证书的生成 .60 5.2.4证书的合法性验证 .61 5.2.5交叉认证.62 5.2.6证书政策.62 5.2.7PKI 实施策略.63 5.3多认证体系.65 6访问管理.66 6.1概述.66 6.2对桌面资源的访问管理.67 6.3对 Web 资源的访问管理.67 6.3.1访问者描述 .69 6.3.2资源描述.69 6.3.3规则描述.70 6.4对 C/S 应用的访问管理 .71 7产品技术分析.71 7.1认证与授权管理产品分类 .71 7.1.1目录服务.72 7.1.2身份管理.72 7.1.3认证管理.73 7.1.4访问管理.74 7.2认证与授权产品市场分析 .74 7.2.1目录服务.74 7.2.2身份管理.76 7.2.3认证管理.77 7.2.4访问管理.78 7.3认证和授权管理产品供应商简要分析 .80 7.3.1IBM .80 7.3.2Microsoft.81 7.3.3Sun .81 7.3.4Novell.82 7.3.5CA.83 7.3.6PKI 供应商.83 8路标规划.84 8.1实施风险分析 .84 8.1.1风险分析.84 8.1.2风险评估.87 8.2分阶段路标规划.88 8.2.1阶段定义.88 8.2.2实施路标.91 8.3第一阶段实施计划.91 8.3.1第一阶段实现的功能.91 8.3.2第一阶段技术架构 .92 8.3.3项目计划.92 8.3.4所需资源.97 8.3.5投资估算.97 9附：认证与授权技术概述.98 9.1目录服务技术概述.98 9.1.1目录服务及发展简介.98 9.1.2LDAP 的工作过程 .98 9.1.3LDAP 模型.99 9.2认证管理技术概述.103 9.2.1认证方式.103 9.2.2PKI 技术简介.107 9.2.3国内 PKI 标准化现状 .113 9.3访问管理技术概述.114 9.3.1基于角色、基于政策的访问管理.114 9.3.2X.509 PMI 简介.114 9.3.3SAML 简介.114 前前 言言 中国石油天然气股份有限公司（以下简称“中国石油”）认证和授权系统设计由三部分组成： 1、现状报告 分析中国石油认证与授权的现状及存在的问题，为下一步方案设计提供参考。 2、需求分析报告 对中国石油认证与授权管理建设进行分析和展望，并提供可行的建设思路。 3、方案设计 提出中国石油认证与授权管理的总体技术架构，进行认证和授权产品的市场分析，并给出相应 的路标规划和实施计划。 本报告是系统设计的第三部分。 1 概述概述 本报告是中国石油制定信息安全政策与标准项目中认证与授权系统设计的第三部分，目的是提 出中国石油认证与授权管理的总体技术架构，进行认证和授权产品的市场分析，并给出相应的路标 规划和实施计划。报告包含以下内容： 现状与需求概述 总体逻辑架构 目录服务与身份管理逻辑架构 认证管理逻辑架构 访问管理逻辑架构 产品技术分析 路标规划 1.1项目背景项目背景 现代企业对信息的依赖越来越大，信息已成为现代企业的一种重要资产。 为保证中国石油信息系统的安全、健康、持续发展，降低信息技术给业务带来的威胁和风险， 保证信息建设取得最大化的效益，根据中国石油信息化建设总体规划，中国石油开始实施制订信息 安全政策和标准项目。 在中国石油众多的信息安全风险中，用户管理的安全风险尤为突出，如内部人员可随意访问重 要业务信息、无法有效控制外部人员未经授权的访问、对远程用户缺乏安全访问控制机制、多种应 用导致用户信息过多而难以记忆等。要合理地约束和消除这些风险，中国石油认证与授权管理建设 势在必行。其中，认证的目的是正确地识别用户的身份，授权的目的是为了使用户能且只能访问被 授权访问的资源。 1.2项目目的项目目的 认证和授权系统设计是中国石油制订信息安全政策和标准项目的一部分。其目的是通过对中国 石油认证和授权的现状进行评估，结合行业发展趋势和最佳实践为中国石油设计出既有可操作性， 又具备前瞻性的认证和授权的技术架构，并给出相应的投资预估和实施计划。 2 现状概述现状概述 2.1身份管理身份管理 2.1.1现状分析与改进推荐现状分析与改进推荐 标题标题中国石油现状中国石油现状主要影响与问题分析主要影响与问题分析改进推荐改进推荐 1. 信息存储电子邮件、企业信息门户公用 用户存储信息，其它系统各自 独立 2. 用户注册各系统进行独立的用户注册， 无统一开户流程，无统一的策 略和方法 由系统管理员根据使用需求开 户 存在公用帐号 用户注册 / 注销过程缺乏统一管理，围绕不同 的应用将形成若干安全孤岛。 管理成本增高管理成本增高 随着中国石油应用数量的增加，系统用户 维护工作量将急剧增大，管理成本将不断 增高。另一方面，各应用维护独立的用户 信息，将不利于用户信息的标准化，不利 于信息的共享。 用户使用不便用户使用不便 一名中国石油系统用户可能存在大量系统 用户名/密码，不易记忆。某些用户为了记 住不同系统的用户名和密码，往往将其写 在纸上，甚至放在桌面上，这将大大提高 安全风险。 缺乏统一的组织进行管理缺乏统一的组织进行管理 中国石油的不同应用往往是由不同的部门 进行维护。当应用维护各自的用户信息时， 将很难建立统一的组织进行用户信息的统 一管理，将很难保证用户信息的准确性、 建立用户信息的中心存储，将中国石油主 流应用的用户信息进行统一的管理。这是 集成认证和授权管理的基础。 进行统一的用户注册 / 注销。可以有两种 方式实现： 利用目前用户信息的主要入口（如电子邮 件系统）进行用户信息的控制；或 新建一个管理接口，对用户信息的中心存 储进行控制。 3. 用户注销无帐户取消的策略和控制措施 一致性和保密性。 安全风险加大安全风险加大 部分应用，如中油财务采用公用帐号，将 提高系统的安全风险。另一方面，缺乏帐 号取消 / 注销的策略和控制措施，用户离 职、换岗位后其系统用户信息往往未能及 时注销 / 更改， 也将提高系统的安全风险。 4. 分权管理电子邮件系统和企业信息门户 采用分权管理的方式 其它应用由于用户数较少，基 本采用中心管理的方式 大部分应用采取中心管理的方式，难以适应中 国石油业务和组织结构快速变革的现状。 灵活性、分布性差灵活性、分布性差 中国石油业务和组织结构快速变革，系统 管理的职责分布也在不断变化，中心管理 的方式将无法适应根据公司的政策对系统 管理职责进行灵活的调整的业务需求。 中心维护量大，可扩展性差中心维护量大，可扩展性差 中心管理的方式将所有的用户维护工作量 都落在了中心一侧，当用户数不断增加时， 中心将不堪重负。用户信息的分权管理， 即由最接近用户的管理员进行用户信息维 护将能有效减少中心的维护量，并提高系 统的可扩展性。 采取集中和分布管理的策略，进行用户信 息的分权管理。 5. 用户自管理大部分应用只提供用户密码修 改的自管理功能 系统维护压力大，用户自主能力弱。 数据缺失或难以保证数据的准确性数据缺失或难以保证数据的准确性 不提供用户自服务功能，则一些与用户密 切相关的个人信息，如手机号码、家庭住 址、备用电子邮件地址等将无法存储在系 提供充分的用户自服务，包括修改个人密 码、丢失密码查询（例如通过询问个人问 题找回丢失的密码）、订阅应用（例如在 企业信息门户中，用户自定义关注的 Web 部件）等，降低技术支持成本。 统中，或无法得到及时的维护。 对系统管理的依赖性大对系统管理的依赖性大 用户自服务功能的不足，将大大增加用户 技术支持的工作量。将部分用户管理的权 限（或某些信息的修改权限）交给用户自 身，是降低系统维护压力，提高用户满意 度的重要手段。 难以支持动态的应用难以支持动态的应用 应用的动态化是一种必然的趋势。企业信 息门户上的一个 Web 部件便是一个动态 的应用。每一个新的动态应用都需要确定 新的使用用户群，提供用户对部分应用自 订阅（即登记为该应用的用户）的功能将 能支持应用动态化的需求。 6.外部用户管 理 目前除电子商务外，其它系统 无外部用户 无法与外界进行快速的信息和应用集成，与外 界的沟通效率低下。 不利于与外界的信息快速集成不利于与外界的信息快速集成 中国石油有大量的合作伙伴、供应商和客 户。缺乏对外部用户的支持，将不利于与 外界进行的信息和应用的集成，影响中国 石油的核心竞争力。 将外部用户（合作伙伴、供应商、客户） 进行统一的管理，并放置在独立的安全子 域中。 7. 数据维护用户信息存储各自独立，无同 步和集成关系 系统各自独立，用户信息难以保持一致。 无中心存储，数据不一致无中心存储，数据不一致 缺乏用户信息的集中存储和统一管理，将 难以保证用户信息的一致性。缺乏用户信 息同步和集成的自动化的工具，目前只能 通过手动的方式，这将难以保证信息的准 进行动态的用户管理，实现中国石油主流 应用的用户信息的同步和集成，降低数据 维护成本，并提高数据质量。 确性。 管理成本高，效率低管理成本高，效率低 不同系统的用户信息无法实现同步和集成， 用户信息的管理成本将随着应用的增加而 迅速增高，而管理效率却将不断降低。 8. 数据质量保 证 数据准确性由管理员保证 无统一的帐号规则 电子邮件/企业信息门户已制订 密码政策 用户信息难以集成，难以管理。 易重复，难管理，难记忆易重复，难管理，难记忆 缺乏统一的帐号规则，使得系统管理、系 统集成难以进行。缺乏统一的帐号规则， 也使得用户难以记忆不同系统的帐号名。 用户信息难以与员工的真实身份相对应用户信息难以与员工的真实身份相对应 中国石油缺乏组织及员工个人的统一编码， 使得信息系统的帐号命名难以与员工的真 实身份相对应。建立中国石油全公司范围 的人力资源系统，建立中国石油组织及员 工的统一编码，将是设立中国石油统一帐 号规则的基础。 数据冗余，存在大量“垃圾”用户信息。 存在数据冗余存在数据冗余 各系统用户信息存储各自独立，无统一部 门管理，使得各系统存在大量的用户数据 冗余。数据冗余的存在将影响信息系统的 效率，并增加管理成本。 存在存在“垃圾垃圾”用户信息用户信息 由于各系统的用户信息的准确性难以得到 通过自动的管理流程及管理工具保证用户 信息数据的准确性和一致性，避免因为管 理员人为的因素造成的数据质量下降。 建立统一的中国石油信息系统用户名命名 规则，并确保用户命名的唯一性和稳定性 （即采用不易变化的信息如员工编码，作 为用户名的一部分）。 建立中国石油统一的密码政策，保证密码 的质量。并通过便利工具保证密码政策的 顺利执行。 保证，帐号与员工的真实身份难以对应， 系统存在大量“垃圾”用户信息。而缺乏 用户帐号注销的制度和手段，使这一问题 更为严重。这些“垃圾”用户信息的存在， 一方面增加了管理成本，另一方面也增加 了系统的安全风险。 “将大门的钥匙搁在门口”。 安全系统本身不安全安全系统本身不安全 密码是中国石油目前大多数应用系统的第 一道，甚至是唯一的一道安全关卡。密码 本身的质量和安全对于中国石油的信息安 全至关重要。 不易实施，推行阻力大不易实施，推行阻力大 好的密码政策需要得到好的推行。中国石 油电子邮件系统制订了完善的密码政策， 包括密码的长度、密码修改的频度、原始 密码的更改等，但由于缺乏相应的控制措 施，使得这些政策并没有得到实际执行。 提供便利的密码政策执行工具是确保密码 政策顺利推行的保障。 2.1.2解决方案解决方案 建立中心的用户存储，实现动态的用户管理。 2.2认证管理认证管理 2.2.1现状概述现状概述 标题标题中国石油现状中国石油现状主要影响与问题分析主要影响与问题分析改进推荐改进推荐 1. 认证申请未实施 PKI，各系统基本只提 供用户名-密码的方式进行基本 认证 目前各系统均只提供用户名-密 码的方式进行基本认证 电子商务和中油财务的密码分 发是通过电子邮件 电子邮件系统通过按一定规则 设立原始密码而实现变通的密 码分发 认证信息生成过程可信度差，认证信息易被窃 取。 认证信息易被窃认证信息易被窃 认证信息生成过程的安全是信息安全链中 的重要一环。认证信息生成过程不安全， 将导致认证信息（如证书、密钥等）被窃 取，从而从根本上动摇系统的安全。强认 证体系（如 PKI）能有效提高认证信息生 成过程的安全级别。 实施公钥体系（PKI 或 Kerberos），确保 认证信息生成全过程的安全可靠。 2. 信任状采集目前无多认证机制，各系统独 立进行单一的信任状采集 认证方式单一，缺乏强认证。 缺乏强认证缺乏强认证 目前中国石油各系统基本只采用用户名-密 码的基本认证，缺乏强认证手段，认证可 信度差。缺乏可信的认证，将无法在中国 石油内部及与合作伙伴、供应商、客户之 间进行安全的信息交互和协同工作（电子 商务），影响中国石油的核心竞争力。强 认证的方式包括公钥体系 （PKI、Kerberos）、动态口令（令牌）、 智能卡、生物特征（指纹、声音、视网膜） 认证等。 认证方式单一认证方式单一 支持根据中国石油的政策对多种认证方式 的进行灵活的切换。支持多种认证方式的 组合，实现多因素（n-factor）认证。 为根据公司安全政策的需求灵活切换用户 的认证方式、为实现不同应用之间的交叉 认证，系统应提供多认证机制，支持各种 通用的认证方式及认证方式的结合。另一 方面，采用多因素认证（如密码+令牌， 密码+证书+智能卡等）是加强认证可信度 的有效手段。 3. 身份信息移 交 无中心认证管理，各应用利用 各自的认证管理模块进行认证， 认证成功访问各自的资源，无 身份信息移交问题 无交叉认证，无登录联盟站点 的需求 在不同系统需进行多次登录，沟通效率低下。 沟通效