版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、中国石油油信息系系统认证证与授权权管理方案设计计中国石油油制订信信息安全全政策与与标准项项目组 TIME yyyyy年年M月dd日20022年年9月55日目录TOC o 1-3 h z HYPERLINK l _Toc31643632 前言 PAGEREF _Toc31643632 h 6 HYPERLINK l _Toc31643633 1概述 PAGEREF _Toc31643633 h 77 HYPERLINK l _Toc31643634 1.1项项目背景景 PAGEREF _Toc31643634 h 7 HYPERLINK l _Toc31643635 1.2项项目目的的 PAGE
2、REF _Toc31643635 h 8 HYPERLINK l _Toc31643636 2现状概概述 PAGEREF _Toc31643636 h 9 HYPERLINK l _Toc31643637 2.1身身份管理理 PAGEREF _Toc31643637 h 9 HYPERLINK l _Toc31643638 2.1.1现状状分析与与改进推推荐 PAGEREF _Toc31643638 h 9 HYPERLINK l _Toc31643639 2.1.2解决决方案 PAGEREF _Toc31643639 h115 HYPERLINK l _Toc31643640 2.2认认证管
3、理理 PAGEREF _Toc31643640 h 15 HYPERLINK l _Toc31643641 2.2.1现状状概述 PAGEREF _Toc31643641 h 115 HYPERLINK l _Toc31643642 2.2.2解决决方案 PAGEREF _Toc31643642 h 117 HYPERLINK l _Toc31643643 2.3访访问管理理 PAGEREF _Toc31643643 h 17 HYPERLINK l _Toc31643644 2.3.1现状状概述 PAGEREF _Toc31643644 h 117 HYPERLINK l _Toc31643
4、645 2.3.2解决决方案 PAGEREF _Toc31643645 h 118 HYPERLINK l _Toc31643646 3总体架架构 PAGEREF _Toc31643646 h 199 HYPERLINK l _Toc31643647 3.1认认证与授授权在信信息技术术总体架架构中所所处的位位置 PAGEREF _Toc31643647 h 199 HYPERLINK l _Toc31643648 3.2认认证与授授权管理理设计原原则 PAGEREF _Toc31643648 h 199 HYPERLINK l _Toc31643649 3.3认认证与授授权管理理的概念念模型
5、PAGEREF _Toc31643649 h 221 HYPERLINK l _Toc31643650 3.3.1中国国石油认认证与授授权管理理需求概概述 PAGEREF _Toc31643650 h 211 HYPERLINK l _Toc31643651 3.3.2认证证与授权权管理概概念模型型 PAGEREF _Toc31643651 h 22 HYPERLINK l _Toc31643652 3.4总总体架构构 PAGEREF _Toc31643652 h 26 HYPERLINK l _Toc31643653 4目录服服务与身身份管理理 PAGEREF _Toc31643653 h
6、27 HYPERLINK l _Toc31643654 4.1概概述 PAGEREF _Toc31643654 h 277 HYPERLINK l _Toc31643655 4.2集集成设计计 PAGEREF _Toc31643655 h 28 HYPERLINK l _Toc31643656 4.2.1概述述 PAGEREF _Toc31643656 h 28 HYPERLINK l _Toc31643657 4.2.2集成成的内容容 PAGEREF _Toc31643657 h 29 HYPERLINK l _Toc31643658 4.2.3集成成的模式式 PAGEREF _Toc316
7、43658 h 32 HYPERLINK l _Toc31643659 4.2.4数据据流设计计 PAGEREF _Toc31643659 h 33 HYPERLINK l _Toc31643660 4.3数数据设计计 PAGEREF _Toc31643660 h 35 HYPERLINK l _Toc31643661 4.3.1概述述 PAGEREF _Toc31643661 h 35 HYPERLINK l _Toc31643662 4.3.2组织织和组织织单元对对象 PAGEREF _Toc31643662 h 377 HYPERLINK l _Toc31643663 4.3.3人员员对
8、象 PAGEREF _Toc31643663 h 338 HYPERLINK l _Toc31643664 4.3.4其它它对象 PAGEREF _Toc31643664 h 339 HYPERLINK l _Toc31643665 4.3.5附:Schhemaa设计介介绍 PAGEREF _Toc31643665 h 399 HYPERLINK l _Toc31643666 4.4逻逻辑设计计 PAGEREF _Toc31643666 h 41 HYPERLINK l _Toc31643667 4.4.1概述述 PAGEREF _Toc31643667 h 41 HYPERLINK l _T
9、oc31643668 4.4.2后缀缀选择 PAGEREF _Toc31643668 h 442 HYPERLINK l _Toc31643669 4.4.3目录录分支结结构 PAGEREF _Toc31643669 h 433 HYPERLINK l _Toc31643670 4.4.4条目目RDNN选择 PAGEREF _Toc31643670 h 466 HYPERLINK l _Toc31643671 4.5物物理设计计 PAGEREF _Toc31643671 h 47 HYPERLINK l _Toc31643672 4.5.1概述述 PAGEREF _Toc31643672 h
10、47 HYPERLINK l _Toc31643673 4.5.2数据据划分 PAGEREF _Toc31643673 h 448 HYPERLINK l _Toc31643674 4.5.3目录录数据库库的物理理分布 PAGEREF _Toc31643674 h 449 HYPERLINK l _Toc31643675 4.6复复制设计计 PAGEREF _Toc31643675 h 50 HYPERLINK l _Toc31643676 4.6.1概述述 PAGEREF _Toc31643676 h 50 HYPERLINK l _Toc31643677 4.6.2复制制的内容容 PAGE
11、REF _Toc31643677 h 51 HYPERLINK l _Toc31643678 4.6.3复制制的模式式 PAGEREF _Toc31643678 h 51 HYPERLINK l _Toc31643679 4.6.4复制制的频度度 PAGEREF _Toc31643679 h 53 HYPERLINK l _Toc31643680 4.7安安全设计计 PAGEREF _Toc31643680 h 54 HYPERLINK l _Toc31643681 4.7.1概述述 PAGEREF _Toc31643681 h 54 HYPERLINK l _Toc31643682 4.7.
12、2密码码政策 PAGEREF _Toc31643682 h 555 HYPERLINK l _Toc31643683 4.7.3访问问控制 PAGEREF _Toc31643683 h 556 HYPERLINK l _Toc31643684 4.7.4加密密 PAGEREF _Toc31643684 h 57 HYPERLINK l _Toc31643685 4.7.5审计计跟踪 PAGEREF _Toc31643685 h 557 HYPERLINK l _Toc31643686 5认证管管理 PAGEREF _Toc31643686 h 577 HYPERLINK l _Toc31643
13、687 5.1概概述 PAGEREF _Toc31643687 h 57 HYPERLINK l _Toc31643688 5.2PPKI设设计 PAGEREF _Toc31643688 h 588 HYPERLINK l _Toc31643689 5.2.1概述述 PAGEREF _Toc31643689 h 58 HYPERLINK l _Toc31643690 5.2.2密钥钥的生成成及存储储 PAGEREF _Toc31643690 h59 HYPERLINK l _Toc31643691 5.2.3证书书的生成成 PAGEREF _Toc31643691 h 60 HYPERLINK
14、 l _Toc31643692 5.2.4证书书的合法法性验证证 PAGEREF _Toc31643692 h 61 HYPERLINK l _Toc31643693 5.2.5交叉叉认证 PAGEREF _Toc31643693 h 662 HYPERLINK l _Toc31643694 5.2.6证书书政策 PAGEREF _Toc31643694 h 662 HYPERLINK l _Toc31643695 5.2.7PKKI实施施策略 PAGEREF _Toc31643695 h 663 HYPERLINK l _Toc31643696 5.3多多认证体体系 PAGEREF _Toc
15、31643696 h 655 HYPERLINK l _Toc31643697 6访问管管理PAGEREF _Toc31643697 h 666 HYPERLINK l _Toc31643698 6.1概概述 PAGEREF _Toc31643698 h 666 HYPERLINK l _Toc31643699 6.2对对桌面资资源的访访问管理理 PAGEREF _Toc31643699 h 67 HYPERLINK l _Toc31643700 6.3对对Webb资源的的访问管管理 PAGEREF _Toc31643700 h677 HYPERLINK l _Toc31643701 6.3.
16、1访问问者描述述 PAGEREF _Toc31643701 h 69 HYPERLINK l _Toc31643702 6.3.2资源源描述 PAGEREF _Toc31643702 h 669 HYPERLINK l _Toc31643703 6.3.3规则则描述 PAGEREF _Toc31643703 h 770 HYPERLINK l _Toc31643704 6.4对对C/SS应用的的访问管管理 PAGEREF _Toc31643704 h 711 HYPERLINK l _Toc31643705 7产品技技术分析析 PAGEREF _Toc31643705 h 71 HYPERLI
17、NK l _Toc31643706 7.1认认证与授授权管理理产品分分类 PAGEREF _Toc31643706 h 711 HYPERLINK l _Toc31643707 7.1.1目录服务 PAGEREF _Toc31643707 h 722 HYPERLINK l _Toc31643708 7.1.2身份份管理 PAGEREF _Toc31643708 h 772 HYPERLINK l _Toc31643709 7.1.3认证证管理 PAGEREF _Toc31643709 h 773 HYPERLINK l _Toc31643710 7.1.4访问问管理 PAGEREF _Toc
18、31643710 h 774 HYPERLINK l _Toc31643711 7.2认认证与授授权产品品市场分分析 PAGEREF _Toc31643711 h 744 HYPERLINK l _Toc31643712 7.2.1目录录服务 PAGEREF _Toc31643712 h 774 HYPERLINK l _Toc31643713 7.2.2身份份管理 PAGEREF _Toc31643713 h 776 HYPERLINK l _Toc31643714 7.2.3认证证管理 PAGEREF _Toc31643714 h 777 HYPERLINK l _Toc31643715
19、7.2.4访问问管理 PAGEREF _Toc31643715 h 778 HYPERLINK l _Toc31643716 7.3认认证和授授权管理理产品供供应商简简要分析析PAGEREF _Toc31643716 h 80 HYPERLINK l _Toc31643717 7.3.1IBBM PAGEREF _Toc31643717 h 800 HYPERLINK l _Toc31643718 7.3.2Miicroosofft PAGEREF _Toc31643718 h 811 HYPERLINK l _Toc31643719 7.3.3Suun PAGEREF _Toc3164371
20、9 h 811 HYPERLINK l _Toc31643720 7.3.4Noovelll PAGEREF _Toc31643720 h 822 HYPERLINK l _Toc31643721 7.3.5CAA PAGEREF _Toc31643721 h 83 HYPERLINK l _Toc31643722 7.3.6PKKI供应应商 PAGEREF _Toc31643722 h 833 HYPERLINK l _Toc31643723 8路标规规划 PAGEREF _Toc31643723 h 844 HYPERLINK l _Toc31643724 8.1实实施风险险分析 PAGE
21、REF _Toc31643724 h 884 HYPERLINK l _Toc31643725 8.1.1风险险分析 PAGEREF _Toc31643725 h 884 HYPERLINK l _Toc31643726 8.1.2风险险评估 PAGEREF _Toc31643726 h 887 HYPERLINK l _Toc31643727 8.2分分阶段路路标规划划 PAGEREF _Toc31643727 h 88 HYPERLINK l _Toc31643728 8.2.1阶段段定义 PAGEREF _Toc31643728 h 888 HYPERLINK l _Toc3164372
22、9 8.2.2实施施路标 PAGEREF _Toc31643729 h 991 HYPERLINK l _Toc31643730 8.3第第一阶段段实施计计划 PAGEREF _Toc31643730 h 911 HYPERLINK l _Toc31643731 8.3.1第一一阶段实实现的功功能 PAGEREF _Toc31643731 h 911 HYPERLINK l _Toc31643732 8.3.2第一一阶段技技术架构构 PAGEREF _Toc31643732 h 92 HYPERLINK l _Toc31643733 8.3.3项目目计划 PAGEREF _Toc3164373
23、3 h 992 HYPERLINK l _Toc31643734 8.3.4所需需资源 PAGEREF _Toc31643734 h 997 HYPERLINK l _Toc31643735 8.3.5投资资估算 PAGEREF _Toc31643735 h 997 HYPERLINK l _Toc31643736 9附:认认证与授授权技术术概述PAGEREF _Toc31643736 h 998 HYPERLINK l _Toc31643737 9.1目目录服务务技术概概述 PAGEREF _Toc31643737 h 988 HYPERLINK l _Toc31643738 9.1.1目录
24、录服务及及发展简简介 PAGEREF _Toc31643738 h 988 HYPERLINK l _Toc31643739 9.1.2LDDAP的的工作过过程 PAGEREF _Toc31643739 h 988 HYPERLINK l _Toc31643740 9.1.3LDDAP模模型 PAGEREF _Toc31643740 h 999 HYPERLINK l _Toc31643741 9.2认认证管理理技术概概述 PAGEREF _Toc31643741 h 1003 HYPERLINK l _Toc31643742 9.2.1认证证方式 PAGEREF _Toc31643742 h
25、 1103 HYPERLINK l _Toc31643743 9.2.2PKKI技术术简介 PAGEREF _Toc31643743 h 1107 HYPERLINK l _Toc31643744 9.2.3国内内PKII标准化化现状 PAGEREF _Toc31643744 h 1113 HYPERLINK l _Toc31643745 9.3访访问管理理技术概概述 PAGEREF _Toc31643745 h 1144 HYPERLINK l _Toc31643746 9.3.1基于于角色、基于政政策的访访问管理理 PAGEREF _Toc31643746 h 1144 HYPERLINK
26、 l _Toc31643747 9.3.2X.5099 PMMI简介介 PAGEREF _Toc31643747 h 1144 HYPERLINK l _Toc31643748 9.3.3SAAML简简介 PAGEREF _Toc31643748 h 1114前 言言中国石油油天然气气股份有有限公司司(以下下简称“中国石油油”)认证证和授权权系统设设计由三三部分组组成:1、现状状报告分析中国国石油认认证与授授权的现现状及存存在的问问题,为为下一步步方案设设计提供供参考。2、需求求分析报报告对中国石石油认证证与授权权管理建建设进行行分析和和展望,并提供供可行的的建设思思路。3、方案案设计提出中国
27、国石油认认证与授授权管理理的总体体技术架架构,进进行认证证和授权权产品的的市场分分析,并并给出相相应的路路标规划划和实施施计划。本报告是是系统设设计的第第三部分分。概述本报告是是中国石石油制定定信息安安全政策策与标准准项目中中认证与与授权系系统设计计的第三三部分,目的是是提出中中国石油油认证与与授权管管理的总总体技术术架构,进行认认证和授授权产品品的市场场分析,并给出出相应的的路标规规划和实实施计划划。报告告包含以以下内容容:现状与需需求概述述总体逻辑辑架构目录服务务与身份份管理逻逻辑架构构认证管理理逻辑架架构访问管理理逻辑架架构产品技术术分析路标规划划项目背景景现代企业业对信息息的依赖赖越来
28、越越大,信信息已成成为现代代企业的的一种重重要资产产。为保证中中国石油油信息系系统的安安全、健健康、持持续发展展,降低低信息技技术给业业务带来来的威胁胁和风险险,保证证信息建建设取得得最大化化的效益益,根据据中国石石油信息息化建设设总体规规划,中中国石油油开始实实施制订订信息安安全政策策和标准准项目。在中国石石油众多多的信息息安全风风险中,用户管管理的安安全风险险尤为突突出,如如内部人人员可随随意访问问重要业业务信息息、无法法有效控控制外部部人员未未经授权权的访问问、对远远程用户户缺乏安安全访问问控制机机制、多多种应用用导致用用户信息息过多而而难以记记忆等。要合理理地约束束和消除除这些风风险,
29、中中国石油油认证与与授权管管理建设设势在必必行。其其中,认认证的目目的是正正确地识识别用户户的身份份,授权权的目的的是为了了使用户户能且只只能访问问被授权权访问的的资源。项目目的的认证和授授权系统统设计是是中国石石油制订订信息安安全政策策和标准准项目的的一部分分。其目目的是通通过对中中国石油油认证和和授权的的现状进进行评估估,结合合行业发发展趋势势和最佳佳实践为为中国石石油设计计出既有有可操作作性,又又具备前前瞻性的的认证和和授权的的技术架架构,并并给出相相应的投投资预估估和实施施计划。现状概述述身份管理理现状分析析与改进进推荐标题中国石油油现状主要影响响与问题题分析改进推荐荐1. 信信息存储
30、储电子邮件件、企业业信息门门户公用用用户存存储信息息,其它它系统各各自独立立用户注册册 / 注销过过程缺乏乏统一管管理,围围绕不同同的应用用将形成成若干安安全孤岛岛。管理成本本增高随着中国国石油应应用数量量的增加加,系统统用户维维护工作作量将急急剧增大大,管理理成本将将不断增增高。另另一方面面,各应应用维护护独立的的用户信信息,将将不利于于用户信信息的标标准化,不利于于信息的的共享。用户使用用不便一名中国国石油系系统用户户可能存存在大量量系统用用户名/密码,不易记记忆。某某些用户户为了记记住不同同系统的的用户名名和密码码,往往往将其写写在纸上上,甚至至放在桌桌面上,这将大大大提高高安全风风险。
31、缺乏统一一的组织织进行管管理中国石油油的不同同应用往往往是由由不同的的部门进进行维护护。当应应用维护护各自的的用户信信息时,将很难难建立统统一的组组织进行行用户信信息的统统一管理理,将很很难保证证用户信信息的准准确性、一致性性和保密密性。安全风险险加大部分应用用,如中中油财务务采用公公用帐号号,将提提高系统统的安全全风险。另一方方面,缺缺乏帐号号取消 / 注注销的策策略和控控制措施施,用户户离职、换岗位位后其系系统用户户信息往往往未能能及时注注销 / 更改改, 也也将提高高系统的的安全风风险。建立用户户信息的的中心存存储,将将中国石石油主流流应用的的用户信信息进行行统一的的管理。这是集集成认证
32、证和授权权管理的的基础。进行统一一的用户户注册 / 注注销。可可以有两两种方式式实现:利用目前前用户信信息的主主要入口口(如电电子邮件件系统)进行用用户信息息的控制制;或新建一个个管理接接口,对对用户信信息的中中心存储储进行控控制。2. 用用户注册册各系统进进行独立立的用户户注册,无统一一开户流流程,无无统一的的策略和和方法由系统管管理员根根据使用用需求开开户存在公用用帐号3. 用用户注销销无帐户取取消的策策略和控控制措施施4. 分分权管理理电子邮件件系统和和企业信信息门户户采用分分权管理理的方式式其它应用用由于用用户数较较少,基基本采用用中心管管理的方方式大部分应应用采取取中心管管理的方方式
33、,难难以适应应中国石石油业务务和组织织结构快快速变革革的现状状。灵活性、分布性性差中国石油油业务和和组织结结构快速速变革,系统管管理的职职责分布布也在不不断变化化,中心心管理的的方式将将无法适适应根据据公司的的政策对对系统管管理职责责进行灵灵活的调调整的业业务需求求。中心维护护量大,可扩展展性差中心管理理的方式式将所有有的用户户维护工工作量都都落在了了中心一一侧,当当用户数数不断增增加时,中心将将不堪重重负。用用户信息息的分权权管理,即由最最接近用用户的管管理员进进行用户户信息维维护将能能有效减减少中心心的维护护量,并并提高系系统的可可扩展性性。采取集中中和分布布管理的的策略,进行用用户信息息
34、的分权权管理。5. 用用户自管管理大部分应应用只提提供用户户密码修修改的自自管理功功能系统维护护压力大大,用户户自主能能力弱。数据缺失失或难以以保证数数据的准准确性不提供用用户自服服务功能能,则一一些与用用户密切切相关的的个人信信息,如如手机号号码、家家庭住址址、备用用电子邮邮件地址址等将无无法存储储在系统统中,或或无法得得到及时时的维护护。对系统管管理的依依赖性大大用户自服服务功能能的不足足,将大大大增加加用户技技术支持持的工作作量。将将部分用用户管理理的权限限(或某某些信息息的修改改权限)交给用用户自身身,是降降低系统统维护压压力,提提高用户户满意度度的重要要手段。难以支持持动态的的应用应
35、用的动动态化是是一种必必然的趋趋势。企企业信息息门户上上的一个个Webb部件便便是一个个动态的的应用。每一个个新的动动态应用用都需要要确定新新的使用用用户群群,提供供用户对对部分应应用自订订阅(即即登记为为该应用用的用户户)的功功能将能能支持应应用动态态化的需需求。提供充分分的用户户自服务务,包括括修改个个人密码码、丢失失密码查查询(例例如通过过询问个个人问题题找回丢丢失的密密码)、订阅应应用(例例如在企企业信息息门户中中,用户户自定义义关注的的Webb部件)等,降降低技术术支持成成本。6.外部部用户管管理目前除电电子商务务外,其其它系统统无外部部用户无法与外外界进行行快速的的信息和和应用集集
36、成,与与外界的的沟通效效率低下下。不利于与与外界的的信息快快速集成成中国石油油有大量量的合作作伙伴、供应商商和客户户。缺乏乏对外部部用户的的支持,将不利利于与外外界进行行的信息息和应用用的集成成,影响响中国石石油的核核心竞争争力。将外部用用户(合合作伙伴伴、供应应商、客客户)进进行统一一的管理理,并放放置在独独立的安安全子域域中。7. 数数据维护护用户信息息存储各各自独立立,无同同步和集集成关系系系统各自自独立,用户信信息难以以保持一一致。无中心存存储,数数据不一一致缺乏用户户信息的的集中存存储和统统一管理理,将难难以保证证用户信信息的一一致性。缺乏用用户信息息同步和和集成的的自动化化的工具具
37、,目前前只能通通过手动动的方式式,这将将难以保保证信息息的准确确性。管理成本本高,效效率低不同系统统的用户户信息无无法实现现同步和和集成,用户信信息的管管理成本本将随着着应用的的增加而而迅速增增高,而而管理效效率却将将不断降降低。进行动态态的用户户管理,实现中中国石油油主流应应用的用用户信息息的同步步和集成成,降低低数据维维护成本本,并提提高数据据质量。8. 数数据质量量保证数据准确确性由管管理员保保证无统一的的帐号规规则电子邮件件/企业业信息门门户已制制订密码码政策用户信息息难以集集成,难难以管理理。易重复,难管理理,难记记忆缺乏统一一的帐号号规则,使得系系统管理理、系统统集成难难以进行行。
38、缺乏乏统一的的帐号规规则,也也使得用用户难以以记忆不不同系统统的帐号号名。用户信息息难以与与员工的的真实身身份相对对应中国石油油缺乏组组织及员员工个人人的统一一编码,使得信信息系统统的帐号号命名难难以与员员工的真真实身份份相对应应。建立立中国石石油全公公司范围围的人力力资源系系统,建建立中国国石油组组织及员员工的统统一编码码,将是是设立中中国石油油统一帐帐号规则则的基础础。数据冗余余,存在在大量“垃圾”用户信信息。存在数据据冗余各系统用用户信息息存储各各自独立立,无统统一部门门管理,使得各各系统存存在大量量的用户户数据冗冗余。数数据冗余余的存在在将影响响信息系系统的效效率,并并增加管管理成本本
39、。存在“垃垃圾”用户信信息由于各系系统的用用户信息息的准确确性难以以得到保保证,帐帐号与员员工的真真实身份份难以对对应,系系统存在在大量“垃圾”用户信息息。而缺缺乏用户户帐号注注销的制制度和手手段,使使这一问问题更为为严重。这些“垃圾”用户信信息的存存在,一一方面增增加了管管理成本本,另一一方面也也增加了了系统的的安全风风险。“将大门门的钥匙匙搁在门门口”。安全系统统本身不不安全密码是中中国石油油目前大大多数应应用系统统的第一一道,甚甚至是唯唯一的一一道安全全关卡。密码本本身的质质量和安安全对于于中国石石油的信信息安全全至关重重要。不易实施施,推行行阻力大大好的密码码政策需要要得到好好的推行行
40、。中国国石油电电子邮件件系统制制订了完完善的密密码政策策,包括括密码的的长度、密码修修改的频频度、原原始密码码的更改改等,但但由于缺缺乏相应应的控制制措施,使得这这些政策策并没有有得到实实际执行行。提供供便利的的密码政政策执行行工具是是确保密密码政策策顺利推推行的保保障。通过自动动的管理理流程及及管理工工具保证证用户信信息数据据的准确确性和一一致性,避免因因为管理理员人为为的因素素造成的的数据质质量下降降。建立统一一的中国国石油信信息系统统用户名名命名规规则,并并确保用用户命名名的唯一一性和稳稳定性(即采用用不易变变化的信信息如员员工编码码,作为为用户名名的一部部分)。建立中国国石油统统一的密
41、密码政策策,保证证密码的的质量。并通过过便利工工具保证证密码政政策的顺顺利执行行。解决方案案建立中心心的用户户存储,实现动动态的用用户管理理。认证管理理现状概述述标题中国石油油现状主要影响响与问题题分析改进推荐荐1. 认认证申请请未实施PPKI,各系统统基本只只提供用用户名-密码的的方式进进行基本本认证目前各系系统均只只提供用用户名-密码的的方式进进行基本本认证电子商务务和中油油财务的的密码分分发是通通过电子子邮件电子邮件件系统通通过按一一定规则则设立原原始密码码而实现现变通的的密码分分发认证信息息生成过过程可信信度差,认证信信息易被被窃取。认证信息息易被窃窃认证信息息生成过过程的安安全是信信
42、息安全全链中的的重要一一环。认认证信息息生成过过程不安安全,将将导致认认证信息息(如证证书、密密钥等)被窃取取,从而而从根本本上动摇摇系统的的安全。强认证证体系(如PKKI)能能有效提提高认证证信息生生成过程程的安全全级别。实施公钥钥体系(PKII或Keerbeeross),确确保认证证信息生生成全过过程的安安全可靠靠。2. 信信任状采采集目前无多多认证机机制,各各系统独独立进行行单一的的信任状状采集认证方式式单一,缺乏强强认证。缺乏强认认证目前中国国石油各各系统基基本只采采用用户户名-密密码的基基本认证证,缺乏乏强认证证手段,认证可可信度差差。缺乏乏可信的的认证,将无法法在中国国石油内内部及
43、与与合作伙伙伴、供供应商、客户之之间进行行安全的的信息交交互和协协同工作作(电子子商务),影响响中国石石油的核核心竞争争力。强强认证的的方式包包括公钥钥体系(PKII、Keerbeeross)、动动态口令令(令牌牌)、智智能卡、生物特特征(指指纹、声声音、视视网膜)认证等等。认证方式式单一为根据公公司安全全政策的的需求灵灵活切换换用户的的认证方方式、为为实现不不同应用用之间的的交叉认认证,系系统应提提供多认认证机制制,支持持各种通通用的认认证方式式及认证证方式的的结合。另一方方面,采采用多因因素认证证(如密密码+令令牌,密密码+证证书+智智能卡等等)是加加强认证证可信度度的有效效手段。支持根据
44、据中国石石油的政政策对多多种认证证方式的的进行灵灵活的切切换。支支持多种种认证方方式的组组合,实实现多因因素(nn-faactoor)认认证。3. 身身份信息息移交无中心认认证管理理,各应应用利用用各自的的认证管管理模块块进行认认证,认认证成功功访问各各自的资资源,无无身份信信息移交交问题无交叉认认证,无无登录联联盟站点点的需求求在不同系系统需进进行多次次登录,沟通效效率低下下。沟通效率率低下缺乏中心心认证,在登录录不同的的系统时时需要不不同的认认证过程程,这将将影响系系统间的的沟通效效率,甚甚至完全全无法在在系统之之间共享享信息。缺乏与与供应商商、客户户的交叉叉认证,将影响响中国石石油与外外
45、界的业业务信息息交互。实施企业业级认证证服务,实现中中心认证证,建立立完整的的中国石石油信息息安全信信任体系系。提供对联联盟站点点的交叉叉认证,建立与与外界的的高效沟沟通渠道道。解决方案案建立企业业级认证证服务,提供强强认证,实现多多因素认认证。访问管理理现状概述述标题中国石油油现状主要影响响与问题题分析改进推荐荐1. 授授权申请请各系统独独立进行行访问管管理无统一访访问管理理机制,无SSSO“个人自自扫门前前雪”。无法提高高用户使使用体验验缺乏单点点登录,用户访访问不同同的系统统资源的的时候可可能需要要进行多多次的认认证和授授权。随随着中国国石油应应用数量量不断增增加、应应用的异异构性不不断
46、增大大,用户户的使用用体验将将变得很很糟糕。提供单单点登录录,使后后台认证证和授权权过程对对用户透透明对于于提供良良好的用用户体验验、降低低技术支支持成本本至为重重要。实施单点点登录(SSOO),用用户单次次认证后后获取对对主要桌桌面资源源、Weeb资源源和C/S应用用的相应应的访问问权限,提高用用户生产产效率和和使用体体验。2. 授授权控制制无统一的的访问控控制规则则、群组组和角色色的规划划和设计计访问控制制规则逻逻辑复杂杂,易产产生安全全漏洞。维护复杂杂,开发发、管理理成本高高不同的系系统需要要各自的的访问管管理模块块以进行行独立的的访问授授权,对对访问控控制规则则的配置置和管理理也无法法
47、统一。进行统统一的访访问控制制规则设设置,将将有效控控制应用用开发和和系统维维护成本本。另一一方面,对访问问控制的的中心和和统一配配置,也也便于实实现内容容的个性性化。产生安全全漏洞当不同的的系统对对同一用用户就同同一系统统资源进进行各自自的访问问授权时时,很难难保证彼彼此之间间的一致致性,易易产生逻逻辑安全全漏洞。进行统一一的访问问控制规规则设置置,降低低应用开开发和系系统维护护成本,减少因因访问控控制规则则冲突及及遗漏而而产生的的逻辑安安全漏洞洞。3. 资资源访问问无统一授授权管理理,各系系统访问问各自的的资源对系统资资源的保保护方式式不一致致。难以给系系统资源源提供全全面的、一致的的保护
48、对系统资资源的全全面和一一致的保保护是中中国石油油信息安安全面临临的一大大挑战。随着中中国石油油应用的的数量越越来越多多、用户户数量越越来越大大,这一一问题变变得更为为突出。对系统统资源的的访问控控制应基基于中国国石油的的信息安安全政策策,提供供统一访访问管理理平台以以一致的的方式全全面保护护中国石石油的各各类关键键系统资资源是实实现中国国石油信信息安全全的集成成管理的的有效手手段。基于中国国石油的的政策,对中国国石油主主要的系系统资源源进行全全面和一一致的保保护,实实现中国国石油信信息安全全的集成成管理。解决方案案实现对桌桌面资源源、Weeb资源源和C/S应用用的统一一访问管管理。总体架构构
49、认证与授授权在信信息技术术总体架架构中所所处的位位置如下图所所示,认认证与授授权作为为一种安安全服务务,是系系统服务务的一种种:认证与授授权在信信息技术术总体架架构中的的所处的的位置如同许多多其它系系统服务务,认证证与授权权的发展展趋势是是从应用用中分离离出来,独立成成认证与与授权服服务器产产品,并并在此基基础上实实现对不不同应用用的集成成。在所有的的信息安安全控制制中,认认证和授授权是第第一关,如下图图所示:信息安全全生命周周期由于人是是信息系系统的核核心,所所以确定定用户的的正确身身份,并并赋予正正确的访访问权限限是信息息安全的的首要问问题。认认证与授授权已成成为了信信息安全全的核心心问题
50、。认证与授授权管理理设计原原则中国石油油认证和和授权管管理的建建设是一一项系统统工程,为确保保其实施施成功,应遵循循以下设设计原则则:总体设计计,分步步实施良好的规规划是成成功的一一半。中中国石油油业务变变革快速速、人员员分散、应用复复杂,对对认证和和授权管管理的总总体规划划和集成成设计至至关重要要。同时时,认证证和授权权管理的的建设工工程庞大大,需遵遵循分布布实施的的原则,按阶段段逐步实实施,优优先进行行可快速速见效(Quiick-Winn)的有有关工作作,并在在一定范范围内进进行试点点再加以以推广。集中和分分布相结结合的体体系结构构集中进行行规划、设计和和配置,对于保保证系统统的一致致性很
51、重重要。另另一方面面,分布布部署并并分布管管理,由由最接近近最终用用户群的的管理员员进行用用户信息息的管理理,将能能提高系系统管理理的效率率、保证证数据的的准确性性和可信信度。尽可能利利用已有有的技术术基础设设施和设设计保证中国国石油已已有的技技术基础础设施的的投资是是中国石石油认证证和授权权管理的的重要设设计原则则。方案案设计应应充分考考虑中国国石油的的网络现现状,考考虑操作作环境、Webb服务器器、数据据库服务务器的兼兼容性和和支持度度,实现现现有认认证和授授权服务务的平滑滑迁移。全面考虑虑内部和和外部用用户的使使用需求求方案应全全面考虑虑内部员员工、合合作伙伴伴、供应应商和客客户的使使用
52、需求求。提供供与公司司外部的的交叉认认证,以以实现信信息集成成,并实实现高效效的沟通通。易于实施施,高效效、可靠靠进行认证证和授权权管理建建设,可可选技术术和可选选产品众众多。对对中国石石油而言言,根据据公司现现状选择择最适宜宜的技术术和产品品,进行行成功的的实施最最为重要要。系统统的高效效和可靠靠性是衡衡量系统统成功的的重要指指标。可可考虑借借助外部部服务商商进行系系统实施施。便于管理理,易于于扩展好的系统统需要好好的管理理。方案案设计应应易于管管理,易易于使用用,易于于推行。此外,需要提提供对用用户认证证和授权权全过程程的全面面的审计计和跟踪踪。模块化设设计方案应遵遵循开放放的行业业标准、
53、平台独独立,以以支持模模块化设设计、分分步式实实施。认证与授授权管理理的概念念模型认证与授授权管理理的概念念模型是是对认证证和授权权管理功功能的分分解和定定义,有有助于我我们就认认证和授授权管理理的基本本模块及及之间的的相互关关系达成成共识。中国石油油认证与与授权管管理需求求概述中国石油油认证与与授权管管理的概概念模型型,是业业界通用用认证和和授权管管理技术术模型和和中国石石油的实实际业务务需求结结合的结结果。功能需求求如本系统统设计的的第二部部分(需需求分析析报告),中国国石油认认证与授授权管理理有以下下的功能能需求:1、中心心存储和和管理用用户信息息支持主要要系统的的用户信信息集成成,集成
54、成这些系系统最主主要的用用户信息息,并将将管理成成本控制制在合理理的范围围内。支持各种种类型的的用户,提供灵灵活的管管理模式式,及时时有效地地获取正正确的用用户信息息。2、正确确地识别别所有的的用户,并提供供合适的的身份信信息支持多种种认证方方式,实实现认证证的中心心和集成成管理,支持认认证优先先级、并并发认证证和多因因子认证证等,认认证过程程对用户户透明。支持主要要应用,并提供供统一的的认证管管理接口口,并实实现SSSO。不仅需支支持对内内部用户户的认证证,还需需支持对对外部用用户的认认证。保保证认证证过程本本身是安安全可靠靠的。3、使用用户能且且只能访访问正确确的资源源提供灵活活的访问问控
55、制机机制,对对基于WWinddowss的桌面面资源、Webb资源和和C/SS应用进进行统一一的访问问管理。非功能需需求如本系统统设计的的第二部部分(需需求分析析报告),中国国石油认认证与授授权管理理有以下下的非功功能需求求:1、互操操作性 (系统统实施关关注点)支持有关关国际标标准,能能与第三三方产品品(包括括各种目目录服务务器、数数据库、Webb服务器器和应用用服务器器等)很很好地集集成,与与操作系系统和硬硬件平台台相独立立。可进行定定制以对对系统功功能加以以扩展,并能加加入自己己的认证证算法和和授权算算法等。2、可管管理性 (系统统管理、用户使使用关注注点)支持对所所有认证证和授权权行为的
56、的日志,支持日日志过滤滤、日志志备份、日志恢恢复和跟跟踪,可可生成有有关的报报表。支持多语语言(特特别是中中文),提供用用户在线线学习功功能,并并支持用用户界面面个性化化。3、可用用性(系系统性能能关注点点)提供认证证和授权权管理基基础设施施724的的高可用用性,满满足中国国石油系系统管理理的服务务水平承承诺。提供负载载均衡与与容错能能力,提提供基于于软件和和基于硬硬件的集集群,提提供高可可靠的备备份和恢恢复,提提供完善善的运营营维护和和灾难恢恢复计划划。认证与授授权管理理概念模模型下面将对对认证和和授权管管理的功功能的进进行分解解。功能分解解认证和授授权管理理包括以以下四个个功能模模块:1、
57、目录录服务存储多种种不同来来源的用用户/资源信信息。实现的功功能需求求:中心心存储用用户信息息2、身份份管理管理用户户身份信信息,并并提供自自动工作作流程和和自服务务、分权权管理功功能。实现的功功能需求求:中心心管理用用户信息息3、认证证管理提供对多多种认证证方式的的中心管管理,提提供强认认证服务务。实现的功功能需求求:正确确地识别别所有的的用户,并提供供合适的的身份信信息4、访问问管理进行访问问规则定定义,并并进行访访问规则则的中心心控制。实现的功功能需求求:使用用户能且且只能访访问正确确的资源源如下图所所示:认证与授授权管理理的四个个功能模模块目录服务务与身份份管理目录服务务可以提提供对身
58、身份信息息的中心心存储,身份管管理可以以提供对对身份信信息的中中心管理理。部分分产商将将目录服服务和身身份管理理统称身身份管理理。目录服务务与身份份管理的的功能可可以分为为三个子子块,即即1、存储储子模块块即目录服服务模块块。2、同步步子模块块即元目录录,或动动态用户户管理(Useer PProvvisiioniing)模块。3、管理理子模块块包括针对对管理员员的分权权管理模模块,针针对用户户的自服服务模块块,即基基础的工工作流模模块。如下图所所示:目录服务务与身份份管理的的子功能能模块认证管理理认证管理理提供对对认证信信息和认认证过程程的统一一管理。认证管理理的功能能可以分分为四个个子块,即
59、:1、存储储子模块块即认证信信息(如如证书、密码等等)的存存储,一一般采用用目录服服务。2、证书书管理子子模块提供对证证书的生生成、存存储、发发放等功功能。3、认证证子模块块即认证引引擎,实实现认证证的核心心功能通过查查询认证证信息存存储并结结合有关关策略,验证认认证申请请的合法法性。4、中心心管理子子模块提供认证证方式的的切换、认证优优先级设设置、交交叉认证证等功能能。如下图所所示:认证管理理的子功功能模块块访问管理理访问管理理提供对对访问各各类系统统资源的的统一管管理。访问管理理的功能能可以分分为三个个子块,即:1、存储储子模块块即政策信信息(即即访问控控制规则则)的统统一存储储,一般般采
60、用目目录服务务。2、授权权子模块块是访问管管理的核核心模块块,受理理授权申申请,通通过查阅阅政策信信息存储储并结合合有关策策略,决决定访问问者应具具有的访访问权限限,并将将此信息息传递给给资源控控制器(即代理理子模块块)。3、代理理子模块块即资源控控制器。在不同同的系统统资源上上设置代代理控制制,以实实现对系系统资源源的访问问管理。如下图所所示:访问管理理的子功功能模块块总体架构构基于中国国石油的的实际需需求和基基本设计计原则,结合认认证与授授权技术术发展的的趋势,可以给给出以下下中国石石油认证证与授权权管理总总体架构构:中国石油油认证与与授权管管理总体体架构说明:目录服务务系统是是架构的的基
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026年呼和浩特市新城区中小学编制教师招聘笔试参考题库及答案详解
- 2026年广西壮族自治区中小学编制教师招聘考试备考试题及答案详解
- 2026年南充市高坪区中小学编制教师招聘考试备考试题及答案详解
- 2026年大庆市龙凤区中小学编制教师招聘笔试模拟试题及答案详解
- 2026年长治市城区事业编单位人员招聘笔试备考题库及答案详解
- 2026年徐州市贾汪区中小学编制教师招聘笔试参考试题及答案详解
- 2026年湖北省孝感市事业编单位人员招聘笔试备考题库及答案详解
- 2026年河池市金城江区中小学编制教师招聘笔试参考试题及答案详解
- 2026年盘锦市兴隆台区中小学编制教师招聘考试备考题库及答案详解
- 2026年鸡西市鸡冠区事业编单位人员招聘笔试备考试题及答案详解
- 2026年统编版(新教材)道德与法治二年级下册期末素养提升测试卷及答案
- 2026国开电大《个人与团队管理》期末机考题库(含标准答案)
- 《无人机系统概论》期末考试试卷及答案
- 2026年重庆市中考物理试卷(含答案及解析 )
- 切花玫瑰采后分级包装标准
- 2025年江西省公安厅招聘警务辅助人员笔试真题(附答案)
- 2026年上海市高三语文二模作文题目审题立意解析(二)含素材
- 护理带教中的冲突管理技巧
- 果园绿肥种植实施方案
- 《大田作物栽培技术》课件-2.6.9玉米大豆带状种植技术
- 党的基本知识测试100题(含答案)
评论
0/150
提交评论