中国石油信息系统认证与授权管理方案规划

1、中国石油信信息系统统认证与与授权管管理方案设计中国石油制制订信息息安全政政策与标标准项目目组 TIME yyyyyy年M月月d日 20222年99月299日目录TOC o 1-3 h z HYPERLINK l _Toc31643632 前 言 PAGEREF _Toc31643632 h 6 HYPERLINK l _Toc31643633 1概述 PAGEREF _Toc31643633 h 7 HYPERLINK l _Toc31643634 1.1项项目背景景 PAGEREF _Toc31643634 h 7 HYPERLINK l _Toc31643635 1.2项项目目的的 PAG

2、EREF _Toc31643635 h 8 HYPERLINK l _Toc31643636 2现状概概述 PAGEREF _Toc31643636 h 9 HYPERLINK l _Toc31643637 2.1身身份管理理 PAGEREF _Toc31643637 h 9 HYPERLINK l _Toc31643638 2.1.11现状分分析与改改进推荐荐 PAGEREF _Toc31643638 h 9 HYPERLINK l _Toc31643639 2.1.22解决方方案 PAGEREF _Toc31643639 h 15 HYPERLINK l _Toc31643640 2.2认

3、认证管理理 PAGEREF _Toc31643640 h 15 HYPERLINK l _Toc31643641 2.2.11现状概概述 PAGEREF _Toc31643641 h 15 HYPERLINK l _Toc31643642 2.2.22解决方方案 PAGEREF _Toc31643642 h 17 HYPERLINK l _Toc31643643 2.3访访问管理理 PAGEREF _Toc31643643 h 17 HYPERLINK l _Toc31643644 2.3.11现状概概述 PAGEREF _Toc31643644 h 17 HYPERLINK l _Toc31

4、643645 2.3.22解决方方案 PAGEREF _Toc31643645 h 18 HYPERLINK l _Toc31643646 3总体架架构 PAGEREF _Toc31643646 h 19 HYPERLINK l _Toc31643647 3.1认认证与授授权在信信息技术术总体架架构中所所处的位位置 PAGEREF _Toc31643647 h 19 HYPERLINK l _Toc31643648 3.2认认证与授授权管理理设计原原则 PAGEREF _Toc31643648 h 19 HYPERLINK l _Toc31643649 3.3认认证与授授权管理理的概念念模型

5、PAGEREF _Toc31643649 h 21 HYPERLINK l _Toc31643650 3.3.11中国石石油认证证与授权权管理需需求概述述 PAGEREF _Toc31643650 h 21 HYPERLINK l _Toc31643651 3.3.22认证与与授权管管理概念念模型 PAGEREF _Toc31643651 h 22 HYPERLINK l _Toc31643652 3.4总总体架构构 PAGEREF _Toc31643652 h 26 HYPERLINK l _Toc31643653 4目录服服务与身身份管理理 PAGEREF _Toc31643653 h 2

6、7 HYPERLINK l _Toc31643654 4.1概概述 PAGEREF _Toc31643654 h 27 HYPERLINK l _Toc31643655 4.2集集成设计计 PAGEREF _Toc31643655 h 28 HYPERLINK l _Toc31643656 4.2.11概述 PAGEREF _Toc31643656 h 28 HYPERLINK l _Toc31643657 4.2.22集成的的内容 PAGEREF _Toc31643657 h 29 HYPERLINK l _Toc31643658 4.2.33集成的的模式 PAGEREF _Toc31643

7、658 h 32 HYPERLINK l _Toc31643659 4.2.44数据流流设计 PAGEREF _Toc31643659 h 33 HYPERLINK l _Toc31643660 4.3数数据设计计 PAGEREF _Toc31643660 h 35 HYPERLINK l _Toc31643661 4.3.11概述 PAGEREF _Toc31643661 h 35 HYPERLINK l _Toc31643662 4.3.22组织和和组织单单元对象象 PAGEREF _Toc31643662 h 37 HYPERLINK l _Toc31643663 4.3.33人员对对象

8、 PAGEREF _Toc31643663 h 38 HYPERLINK l _Toc31643664 4.3.44其它对对象 PAGEREF _Toc31643664 h 39 HYPERLINK l _Toc31643665 4.3.55附：Scchemma设计计介绍 PAGEREF _Toc31643665 h 39 HYPERLINK l _Toc31643666 4.4逻逻辑设计计 PAGEREF _Toc31643666 h 41 HYPERLINK l _Toc31643667 4.4.11概述 PAGEREF _Toc31643667 h 41 HYPERLINK l _Toc

9、31643668 4.4.22后缀选选择 PAGEREF _Toc31643668 h 42 HYPERLINK l _Toc31643669 4.4.33目录分分支结构构 PAGEREF _Toc31643669 h 43 HYPERLINK l _Toc31643670 4.4.44条目RDDN选择择 PAGEREF _Toc31643670 h 46 HYPERLINK l _Toc31643671 4.5物物理设计计 PAGEREF _Toc31643671 h 47 HYPERLINK l _Toc31643672 4.5.11概述 PAGEREF _Toc31643672 h 47

10、 HYPERLINK l _Toc31643673 4.5.22数据划划分 PAGEREF _Toc31643673 h 48 HYPERLINK l _Toc31643674 4.5.33目录数数据库的的物理分分布 PAGEREF _Toc31643674 h 49 HYPERLINK l _Toc31643675 4.6复复制设计计 PAGEREF _Toc31643675 h 50 HYPERLINK l _Toc31643676 4.6.11概述 PAGEREF _Toc31643676 h 50 HYPERLINK l _Toc31643677 4.6.22复制的的内容 PAGERE

11、F _Toc31643677 h 51 HYPERLINK l _Toc31643678 4.6.33复制的的模式 PAGEREF _Toc31643678 h 51 HYPERLINK l _Toc31643679 4.6.44复制的的频度 PAGEREF _Toc31643679 h 53 HYPERLINK l _Toc31643680 4.7安安全设计计 PAGEREF _Toc31643680 h 54 HYPERLINK l _Toc31643681 4.7.11概述 PAGEREF _Toc31643681 h 54 HYPERLINK l _Toc31643682 4.7.22

12、密码政政策 PAGEREF _Toc31643682 h 55 HYPERLINK l _Toc31643683 4.7.33访问控控制 PAGEREF _Toc31643683 h 56 HYPERLINK l _Toc31643684 4.7.44加密 PAGEREF _Toc31643684 h 57 HYPERLINK l _Toc31643685 4.7.55审计跟跟踪 PAGEREF _Toc31643685 h 57 HYPERLINK l _Toc31643686 5认证管管理 PAGEREF _Toc31643686 h 57 HYPERLINK l _Toc31643687

13、 5.1概概述 PAGEREF _Toc31643687 h 57 HYPERLINK l _Toc31643688 5.2PPKI设设计 PAGEREF _Toc31643688 h 58 HYPERLINK l _Toc31643689 5.2.11概述 PAGEREF _Toc31643689 h 58 HYPERLINK l _Toc31643690 5.2.22密钥的的生成及及存储 PAGEREF _Toc31643690 h 59 HYPERLINK l _Toc31643691 5.2.33证书的的生成 PAGEREF _Toc31643691 h 60 HYPERLINK l

14、_Toc31643692 5.2.44证书的的合法性性验证 PAGEREF _Toc31643692 h 61 HYPERLINK l _Toc31643693 5.2.55交叉认认证 PAGEREF _Toc31643693 h 62 HYPERLINK l _Toc31643694 5.2.66证书政政策 PAGEREF _Toc31643694 h 62 HYPERLINK l _Toc31643695 5.2.77PKII实施策策略 PAGEREF _Toc31643695 h 63 HYPERLINK l _Toc31643696 5.3多多认证体体系 PAGEREF _Toc316

15、43696 h 65 HYPERLINK l _Toc31643697 6访问管管理 PAGEREF _Toc31643697 h 66 HYPERLINK l _Toc31643698 6.1概概述 PAGEREF _Toc31643698 h 66 HYPERLINK l _Toc31643699 6.2对对桌面资资源的访访问管理理 PAGEREF _Toc31643699 h 67 HYPERLINK l _Toc31643700 6.3对对Webb资源的的访问管管理 PAGEREF _Toc31643700 h 67 HYPERLINK l _Toc31643701 6.3.11访问者

16、者描述 PAGEREF _Toc31643701 h 69 HYPERLINK l _Toc31643702 6.3.22资源描描述 PAGEREF _Toc31643702 h 69 HYPERLINK l _Toc31643703 6.3.33规则描描述 PAGEREF _Toc31643703 h 70 HYPERLINK l _Toc31643704 6.4对对C/SS应用的的访问管管理 PAGEREF _Toc31643704 h 71 HYPERLINK l _Toc31643705 7产品技技术分析析 PAGEREF _Toc31643705 h 71 HYPERLINK l _

17、Toc31643706 7.1认认证与授授权管理理产品分分类 PAGEREF _Toc31643706 h 71 HYPERLINK l _Toc31643707 7.1.11目录服务 PAGEREF _Toc31643707 h 72 HYPERLINK l _Toc31643708 7.1.22身份管管理 PAGEREF _Toc31643708 h 72 HYPERLINK l _Toc31643709 7.1.33认证管管理 PAGEREF _Toc31643709 h 73 HYPERLINK l _Toc31643710 7.1.44访问管管理 PAGEREF _Toc316437

18、10 h 74 HYPERLINK l _Toc31643711 7.2认认证与授授权产品品市场分分析 PAGEREF _Toc31643711 h 74 HYPERLINK l _Toc31643712 7.2.11目录服服务 PAGEREF _Toc31643712 h 74 HYPERLINK l _Toc31643713 7.2.22身份管管理 PAGEREF _Toc31643713 h 76 HYPERLINK l _Toc31643714 7.2.33认证管管理 PAGEREF _Toc31643714 h 77 HYPERLINK l _Toc31643715 7.2.44访问

19、管管理 PAGEREF _Toc31643715 h 78 HYPERLINK l _Toc31643716 7.3认认证和授授权管理理产品供供应商简简要分析析 PAGEREF _Toc31643716 h 80 HYPERLINK l _Toc31643717 7.3.11IBMM PAGEREF _Toc31643717 h 80 HYPERLINK l _Toc31643718 7.3.22Miccrossoftt PAGEREF _Toc31643718 h 81 HYPERLINK l _Toc31643719 7.3.33Sunn PAGEREF _Toc31643719 h 81

20、 HYPERLINK l _Toc31643720 7.3.44Novvelll PAGEREF _Toc31643720 h 82 HYPERLINK l _Toc31643721 7.3.55CA PAGEREF _Toc31643721 h 83 HYPERLINK l _Toc31643722 7.3.66PKII供应商商 PAGEREF _Toc31643722 h 83 HYPERLINK l _Toc31643723 8路标规规划 PAGEREF _Toc31643723 h 84 HYPERLINK l _Toc31643724 8.1实实施风险险分析 PAGEREF _Toc

21、31643724 h 84 HYPERLINK l _Toc31643725 8.1.11风险分分析 PAGEREF _Toc31643725 h 84 HYPERLINK l _Toc31643726 8.1.22风险评评估 PAGEREF _Toc31643726 h 87 HYPERLINK l _Toc31643727 8.2分分阶段路路标规划划 PAGEREF _Toc31643727 h 88 HYPERLINK l _Toc31643728 8.2.11阶段定定义 PAGEREF _Toc31643728 h 88 HYPERLINK l _Toc31643729 8.2.22实

22、施路路标 PAGEREF _Toc31643729 h 91 HYPERLINK l _Toc31643730 8.3第第一阶段段实施计计划 PAGEREF _Toc31643730 h 91 HYPERLINK l _Toc31643731 8.3.11第一阶阶段实现现的功能能 PAGEREF _Toc31643731 h 91 HYPERLINK l _Toc31643732 8.3.22第一阶阶段技术术架构 PAGEREF _Toc31643732 h 92 HYPERLINK l _Toc31643733 8.3.33项目计计划 PAGEREF _Toc31643733 h 92 HY

23、PERLINK l _Toc31643734 8.3.44所需资资源 PAGEREF _Toc31643734 h 97 HYPERLINK l _Toc31643735 8.3.55投资估估算 PAGEREF _Toc31643735 h 97 HYPERLINK l _Toc31643736 9附：认认证与授授权技术术概述 PAGEREF _Toc31643736 h 98 HYPERLINK l _Toc31643737 9.1目目录服务务技术概概述 PAGEREF _Toc31643737 h 98 HYPERLINK l _Toc31643738 9.1.11目录服服务及发发展简介介

24、 PAGEREF _Toc31643738 h 98 HYPERLINK l _Toc31643739 9.1.22LDAAP的工工作过程程 PAGEREF _Toc31643739 h 98 HYPERLINK l _Toc31643740 9.1.33LDAAP模型型 PAGEREF _Toc31643740 h 99 HYPERLINK l _Toc31643741 9.2认认证管理理技术概概述 PAGEREF _Toc31643741 h 1033 HYPERLINK l _Toc31643742 9.2.11认证方方式 PAGEREF _Toc31643742 h 1033 HYPE

25、RLINK l _Toc31643743 9.2.22PKII技术简简介 PAGEREF _Toc31643743 h 1077 HYPERLINK l _Toc31643744 9.2.33国内PKKI标准准化现状状 PAGEREF _Toc31643744 h 1133 HYPERLINK l _Toc31643745 9.3访访问管理理技术概概述 PAGEREF _Toc31643745 h 1144 HYPERLINK l _Toc31643746 9.3.11基于角角色、基基于政策策的访问问管理 PAGEREF _Toc31643746 h 1144 HYPERLINK l _Toc

26、31643747 9.3.22X.5509 PMII简介 PAGEREF _Toc31643747 h 1144 HYPERLINK l _Toc31643748 9.3.33SAMML简介介 PAGEREF _Toc31643748 h 1144前 言中国石油天天然气股股份有限限公司（以以下简称称“中国石油油”）认证证和授权权系统设设计由三三部分组组成：1、现状报报告分析中国石石油认证证与授权权的现状状及存在在的问题题，为下下一步方方案设计计提供参参考。2、需求分分析报告告对中国石油油认证与与授权管管理建设设进行分分析和展展望，并并提供可可行的建建设思路路。3、方案设设计提出中国石石油认证证

27、与授权权管理的的总体技技术架构构，进行行认证和和授权产产品的市市场分析析，并给给出相应应的路标标规划和和实施计计划。本报告是系系统设计计的第三三部分。概述本报告是中中国石油油制定信信息安全全政策与与标准项项目中认认证与授授权系统统设计的的第三部部分，目目的是提提出中国国石油认认证与授授权管理理的总体体技术架架构，进进行认证证和授权权产品的的市场分分析，并并给出相相应的路路标规划划和实施施计划。报报告包含含以下内内容：现状与需求求概述总体逻辑架架构目录服务与与身份管管理逻辑辑架构认证管理逻逻辑架构构访问管理逻逻辑架构构产品技术分分析路标规划项目背景现代企业对对信息的的依赖越越来越大大，信息息已成

28、为为现代企企业的一一种重要要资产。为保证中国国石油信信息系统统的安全全、健康康、持续续发展，降降低信息息技术给给业务带带来的威威胁和风风险，保保证信息息建设取取得最大大化的效效益，根根据中国国石油信信息化建建设总体体规划，中中国石油油开始实实施制订订信息安安全政策策和标准准项目。在中国石油油众多的的信息安安全风险险中，用用户管理理的安全全风险尤尤为突出出，如内内部人员员可随意意访问重重要业务务信息、无无法有效效控制外外部人员员未经授授权的访访问、对对远程用用户缺乏乏安全访访问控制制机制、多多种应用用导致用用户信息息过多而而难以记记忆等。要要合理地地约束和和消除这这些风险险，中国国石油认认证与授

29、授权管理理建设势势在必行行。其中中，认证证的目的的是正确确地识别别用户的的身份，授授权的目目的是为为了使用用户能且且只能访访问被授授权访问问的资源源。项目目的认证和授权权系统设设计是中中国石油油制订信信息安全全政策和和标准项项目的一一部分。其其目的是是通过对对中国石石油认证证和授权权的现状状进行评评估，结结合行业业发展趋趋势和最最佳实践践为中国国石油设设计出既既有可操操作性，又具备前瞻性的认证和授权的技术架构，并给出相应的投资预估和实施计划。现状概述身份管理现状分析与与改进推推荐标题中国石油现现状主要影响与与问题分分析改进推荐1. 信息息存储电子邮件、企企业信息息门户公公用用户户存储信信息，其

30、其它系统统各自独独立用户注册 / 注注销过程程缺乏统统一管理理，围绕绕不同的的应用将将形成若若干安全全孤岛。管理成本增增高随着中国石石油应用用数量的的增加，系系统用户户维护工工作量将将急剧增增大，管管理成本本将不断断增高。另另一方面面，各应应用维护护独立的的用户信信息，将将不利于于用户信信息的标标准化，不不利于信信息的共共享。用户使用不不便一名中国石石油系统统用户可可能存在在大量系系统用户户名/密密码，不不易记忆忆。某些些用户为为了记住住不同系系统的用用户名和和密码，往往往将其其写在纸纸上，甚甚至放在在桌面上上，这将将大大提提高安全全风险。缺乏统一的的组织进进行管理理中国石油的的不同应应用往往

31、往是由不不同的部部门进行行维护。当当应用维维护各自自的用户户信息时时，将很很难建立立统一的的组织进进行用户户信息的的统一管管理，将将很难保保证用户户信息的的准确性性、一致致性和保保密性。安全风险加加大部分应用，如如中油财财务采用用公用帐帐号，将将提高系系统的安安全风险险。另一一方面，缺缺乏帐号号取消 / 注注销的策策略和控控制措施施，用户户离职、换换岗位后后其系统统用户信信息往往往未能及及时注销销 / 更改， 也将提提高系统统的安全全风险。建立用户信信息的中中心存储储，将中中国石油油主流应应用的用用户信息息进行统统一的管管理。这这是集成成认证和和授权管管理的基基础。进行统一的的用户注注册 /

32、注销销。可以以有两种种方式实实现：利用目前用用户信息息的主要要入口（如如电子邮邮件系统统）进行行用户信信息的控控制；或或新建一个管管理接口口，对用用户信息息的中心心存储进进行控制制。2. 用户户注册各系统进行行独立的的用户注注册，无无统一开开户流程程，无统统一的策策略和方方法由系统管理理员根据据使用需需求开户户存在公用帐帐号3. 用户户注销无帐户取消消的策略略和控制制措施4. 分权权管理电子邮件系系统和企企业信息息门户采采用分权权管理的的方式其它应用由由于用户户数较少少，基本本采用中中心管理理的方式式大部分应用用采取中中心管理理的方式式，难以以适应中中国石油油业务和和组织结结构快速速变革的的现

33、状。灵活性、分分布性差差中国石油业业务和组组织结构构快速变变革，系系统管理理的职责责分布也也在不断断变化，中中心管理理的方式式将无法法适应根根据公司司的政策策对系统统管理职职责进行行灵活的的调整的的业务需需求。中心维护量量大，可可扩展性性差中心管理的的方式将将所有的的用户维维护工作作量都落落在了中中心一侧侧，当用用户数不不断增加加时，中中心将不不堪重负负。用户户信息的的分权管管理，即即由最接接近用户户的管理理员进行行用户信信息维护护将能有有效减少少中心的的维护量量，并提提高系统统的可扩扩展性。采取集中和和分布管管理的策策略，进进行用户户信息的的分权管管理。5. 用户户自管理理大部分应用用只提供

34、供用户密密码修改改的自管管理功能能系统维护压压力大，用用户自主主能力弱弱。数据缺失或或难以保保证数据据的准确确性不提供用户户自服务务功能，则则一些与与用户密密切相关关的个人人信息，如如手机号号码、家家庭住址址、备用用电子邮邮件地址址等将无无法存储储在系统统中，或或无法得得到及时时的维护护。对系统管理理的依赖赖性大用户自服务务功能的的不足，将将大大增增加用户户技术支支持的工工作量。将将部分用用户管理理的权限限（或某某些信息息的修改改权限）交交给用户户自身，是是降低系系统维护护压力，提提高用户户满意度度的重要要手段。难以支持动动态的应应用应用的动态态化是一一种必然然的趋势势。企业业信息门门户上的的

35、一个WWeb部部件便是是一个动动态的应应用。每每一个新新的动态态应用都都需要确确定新的的使用用用户群，提提供用户户对部分分应用自自订阅（即即登记为为该应用用的用户户）的功功能将能能支持应应用动态态化的需需求。提供充分的的用户自自服务，包包括修改改个人密密码、丢丢失密码码查询（例例如通过过询问个个人问题题找回丢丢失的密密码）、订订阅应用用（例如如在企业业信息门门户中，用用户自定定义关注注的Weeb部件件）等，降降低技术术支持成成本。6.外部用用户管理理目前除电子子商务外外，其它它系统无无外部用用户无法与外界界进行快快速的信信息和应应用集成成，与外外界的沟沟通效率率低下。不利于与外外界的信信息快速

36、速集成中国石油有有大量的的合作伙伙伴、供供应商和和客户。缺缺乏对外外部用户户的支持持，将不不利于与与外界进进行的信信息和应应用的集集成，影影响中国国石油的的核心竞竞争力。将外部用户户（合作作伙伴、供供应商、客客户）进进行统一一的管理理，并放放置在独独立的安安全子域域中。7. 数据据维护用户信息存存储各自自独立，无无同步和和集成关关系系统各自独独立，用用户信息息难以保保持一致致。无中心存储储，数据据不一致致缺乏用户信信息的集集中存储储和统一一管理，将将难以保保证用户户信息的的一致性性。缺乏乏用户信信息同步步和集成成的自动动化的工工具，目目前只能能通过手手动的方方式，这这将难以以保证信信息的准准确

37、性。管理成本高高，效率率低不同系统的的用户信信息无法法实现同同步和集集成，用用户信息息的管理理成本将将随着应应用的增增加而迅迅速增高高，而管管理效率率却将不不断降低低。进行动态的的用户管管理，实实现中国国石油主主流应用用的用户户信息的的同步和和集成，降降低数据据维护成成本，并并提高数数据质量量。8. 数据据质量保保证数据准确性性由管理理员保证证无统一的帐帐号规则则电子邮件/企业信信息门户户已制订订密码政政策用户信息难难以集成成，难以以管理。易重复，难难管理，难难记忆缺乏统一的的帐号规规则，使使得系统统管理、系系统集成成难以进进行。缺缺乏统一一的帐号号规则，也也使得用用户难以以记忆不不同系统统的

38、帐号号名。用户信息难难以与员员工的真真实身份份相对应应中国石油缺缺乏组织织及员工工个人的的统一编编码，使使得信息息系统的的帐号命命名难以以与员工工的真实实身份相相对应。建建立中国国石油全全公司范范围的人人力资源源系统，建建立中国国石油组组织及员员工的统统一编码码，将是是设立中中国石油油统一帐帐号规则则的基础础。数据冗余，存存在大量量“垃圾”用户信信息。存在数据冗冗余各系统用户户信息存存储各自自独立，无无统一部部门管理理，使得得各系统统存在大大量的用用户数据据冗余。数数据冗余余的存在在将影响响信息系系统的效效率，并并增加管管理成本本。存在“垃圾圾”用户信信息由于各系统统的用户户信息的的准确性性难

39、以得得到保证证，帐号号与员工工的真实实身份难难以对应应，系统统存在大大量“垃圾”用户信息息。而缺缺乏用户户帐号注注销的制制度和手手段，使使这一问问题更为为严重。这这些“垃圾”用户信信息的存存在，一一方面增增加了管管理成本本，另一一方面也也增加了了系统的的安全风风险。“将大门的的钥匙搁搁在门口口”。安全系统本本身不安安全密码是中国国石油目前前大多数数应用系系统的第第一道，甚甚至是唯唯一的一一道安全全关卡。密密码本身身的质量量和安全全对于中中国石油油的信息息安全至至关重要要。不易实施，推推行阻力力大好的密码政政策需要要得到好好的推行行。中国国石油电电子邮件件系统制制订了完完善的密密码政策策，包括括

40、密码的的长度、密密码修改改的频度度、原始始密码的的更改等等，但由由于缺乏乏相应的的控制措措施，使使得这些些政策并并没有得得到实际际执行。提提供便利利的密码码政策执执行工具具是确保保密码政政策顺利利推行的的保障。通过自动的的管理流流程及管管理工具具保证用用户信息息数据的的准确性性和一致致性，避避免因为为管理员员人为的的因素造造成的数数据质量量下降。建立统一的的中国石石油信息息系统用用户名命命名规则则，并确确保用户户命名的的唯一性性和稳定定性（即即采用不不易变化化的信息息如员工工编码，作作为用户户名的一一部分）。建立中国石石油统一一的密码码政策，保保证密码码的质量量。并通通过便利利工具保保证密码码

41、政策的的顺利执执行。解决方案建立中心的的用户存存储，实实现动态态的用户户管理。认证管理现状概述标题中国石油现现状主要影响与与问题分分析改进推荐1. 认证证申请未实施PKKI，各各系统基基本只提提供用户户名-密密码的方方式进行行基本认认证目前各系统统均只提提供用户户名-密密码的方方式进行行基本认认证电子商务和和中油财财务的密密码分发发是通过过电子邮邮件电子邮件系系统通过过按一定定规则设设立原始始密码而而实现变变通的密密码分发发认证信息生生成过程程可信度度差，认认证信息息易被窃窃取。认证信息易易被窃认证信息生生成过程程的安全全是信息息安全链链中的重重要一环环。认证证信息生生成过程程不安全全，将导导

42、致认证证信息（如如证书、密密钥等）被被窃取，从从而从根根本上动动摇系统统的安全全。强认认证体系系（如PPKI）能能有效提提高认证证信息生生成过程程的安全全级别。实施公钥体体系（PPKI或或Kerrberros），确确保认证证信息生生成全过过程的安安全可靠靠。2. 信任任状采集集目前无多认认证机制制，各系系统独立立进行单单一的信信任状采采集认证方式单单一，缺缺乏强认认证。缺乏强认证证目前中国石石油各系系统基本本只采用用用户名名-密码码的基本本认证，缺缺乏强认认证手段段，认证证可信度度差。缺缺乏可信信的认证证，将无无法在中中国石油油内部及及与合作作伙伴、供供应商、客客户之间间进行安安全的信信息交互

43、互和协同同工作（电电子商务务），影影响中国国石油的的核心竞竞争力。强强认证的的方式包包括公钥钥体系（PPKI、KKerbberoos）、动动态口令令（令牌牌）、智智能卡、生生物特征征（指纹纹、声音音、视网网膜）认认证等。认证方式单单一为根据公司司安全政政策的需需求灵活活切换用用户的认认证方式式、为实实现不同同应用之之间的交交叉认证证，系统统应提供供多认证证机制，支支持各种种通用的的认证方方式及认认证方式式的结合合。另一一方面，采采用多因因素认证证（如密密码+令令牌，密密码+证证书+智智能卡等等）是加加强认证证可信度度的有效效手段。支持根据中中国石油油的政策策对多种种认证方方式的进进行灵活活的切

44、换换。支持持多种认认证方式式的组合合，实现现多因素素（n-facctorr）认证证。3. 身份份信息移移交无中心认证证管理，各各应用利利用各自自的认证证管理模模块进行行认证，认认证成功功访问各各自的资资源，无无身份信信息移交交问题无交叉认证证，无登登录联盟盟站点的的需求在不同系统统需进行行多次登登录，沟沟通效率率低下。沟通效率低低下缺乏中心认认证，在在登录不不同的系系统时需需要不同同的认证证过程，这这将影响响系统间间的沟通通效率，甚甚至完全全无法在在系统之之间共享享信息。缺缺乏与供供应商、客客户的交交叉认证证，将影影响中国国石油与与外界的的业务信信息交互互。实施企业级级认证服服务，实实现中心心

45、认证，建建立完整整的中国国石油信信息安全全信任体体系。提供对联盟盟站点的的交叉认认证，建建立与外外界的高高效沟通通渠道。解决方案建立企业级级认证服服务，提提供强认认证，实实现多因因素认证证。访问管理现状概述标题中国石油现现状主要影响与与问题分分析改进推荐1. 授权权申请各系统独立立进行访访问管理理无统一访问问管理机机制，无无SSOO“个人自扫扫门前雪雪”。无法提高用用户使用用体验缺乏单点登登录，用用户访问问不同的的系统资资源的时时候可能能需要进进行多次次的认证证和授权权。随着着中国石石油应用用数量不不断增加加、应用用的异构构性不断断增大，用用户的使使用体验验将变得得很糟糕糕。提供供单点登登录，

46、使使后台认认证和授授权过程程对用户户透明对对于提供供良好的的用户体体验、降降低技术术支持成成本至为为重要。实施单点登登录（SSSO），用用户单次次认证后后获取对对主要桌桌面资源源、Weeb资源源和C/S应用用的相应应的访问问权限，提提高用户户生产效效率和使使用体验验。2. 授权权控制无统一的访访问控制制规则、群群组和角角色的规规划和设设计访问控制规规则逻辑辑复杂，易易产生安安全漏洞洞。维护复杂，开开发、管管理成本本高不同的系统统需要各各自的访访问管理理模块以以进行独独立的访访问授权权，对访访问控制制规则的的配置和和管理也也无法统统一。进进行统一一的访问问控制规规则设置置，将有有效控制制应用开开

47、发和系系统维护护成本。另另一方面面，对访访问控制制的中心心和统一一配置，也也便于实实现内容容的个性性化。产生安全漏漏洞当不同的系系统对同同一用户户就同一一系统资资源进行行各自的的访问授授权时，很很难保证证彼此之之间的一一致性，易易产生逻逻辑安全全漏洞。进行统一的的访问控控制规则则设置，降降低应用用开发和和系统维维护成本本，减少少因访问问控制规规则冲突突及遗漏漏而产生生的逻辑辑安全漏漏洞。3. 资源源访问无统一授权权管理，各各系统访访问各自自的资源源对系统资源源的保护护方式不不一致。难以给系统统资源提提供全面面的、一一致的保保护对系统资源源的全面面和一致致的保护护是中国国石油信信息安全全面临的的

48、一大挑挑战。随随着中国国石油应应用的数数量越来来越多、用用户数量量越来越越大，这这一问题题变得更更为突出出。对系系统资源源的访问问控制应应基于中中国石油油的信息息安全政政策，提提供统一一访问管管理平台台以一致致的方式式全面保保护中国国石油的的各类关关键系统统资源是是实现中中国石油油信息安安全的集集成管理理的有效效手段。基于中国石石油的政政策，对对中国石石油主要要的系统统资源进进行全面面和一致致的保护护，实现现中国石石油信息息安全的的集成管管理。解决方案实现对桌面面资源、WWeb资资源和CC/S应应用的统统一访问问管理。总体架构认证与授权权在信息息技术总总体架构构中所处处的位置置如下图所示示，认

49、证证与授权权作为一一种安全全服务，是是系统服服务的一一种：认证与授权权在信息息技术总总体架构构中的所所处的位位置如同许多其其它系统统服务，认认证与授授权的发发展趋势势是从应应用中分分离出来来，独立立成认证证与授权权服务器器产品，并并在此基基础上实实现对不不同应用用的集成成。在所有的信信息安全全控制中中，认证证和授权权是第一一关，如如下图所所示：信息安全生生命周期期由于人是信信息系统统的核心心，所以以确定用用户的正正确身份份，并赋赋予正确确的访问问权限是是信息安安全的首首要问题题。认证证与授权权已成为为了信息息安全的的核心问问题。认证与授权权管理设设计原则则中国石油认认证和授授权管理理的建设设是

50、一项项系统工工程，为为确保其其实施成成功，应应遵循以以下设计计原则：总体设计，分分步实施施良好的规划划是成功功的一半半。中国国石油业业务变革革快速、人人员分散散、应用用复杂，对对认证和和授权管管理的总总体规划划和集成成设计至至关重要要。同时时，认证证和授权权管理的的建设工工程庞大大，需遵遵循分布布实施的的原则，按按阶段逐逐步实施施，优先先进行可可快速见见效（QQuicck-WWin）的的有关工工作，并并在一定定范围内内进行试试点再加加以推广广。集中和分布布相结合合的体系系结构集中进行规规划、设设计和配配置，对对于保证证系统的的一致性性很重要要。另一一方面，分分布部署署并分布布管理，由由最接近近

51、最终用用户群的的管理员员进行用用户信息息的管理理，将能能提高系系统管理理的效率率、保证证数据的的准确性性和可信信度。尽可能利用用已有的的技术基基础设施施和设计计保证中国石石油已有有的技术术基础设设施的投投资是中中国石油油认证和和授权管管理的重重要设计计原则。方方案设计计应充分分考虑中中国石油油的网络络现状，考考虑操作作环境、WWeb服服务器、数数据库服服务器的的兼容性性和支持持度，实实现现有有认证和和授权服服务的平平滑迁移移。全面考虑内内部和外外部用户户的使用用需求方案应全面面考虑内内部员工工、合作作伙伴、供供应商和和客户的的使用需需求。提提供与公公司外部部的交叉叉认证，以以实现信信息集成成，

52、并实实现高效效的沟通通。易于实施，高高效、可可靠进行认证和和授权管管理建设设，可选选技术和和可选产产品众多多。对中中国石油油而言，根根据公司司现状选选择最适适宜的技技术和产产品，进进行成功功的实施施最为重重要。系系统的高高效和可可靠性是是衡量系系统成功功的重要要指标。可可考虑借借助外部部服务商商进行系系统实施施。便于管理，易易于扩展展好的系统需需要好的的管理。方方案设计计应易于于管理，易易于使用用，易于于推行。此外，需要提供对用户认证和授权全过程的全面的审计和跟踪。模块化设计计方案应遵循循开放的的行业标标准、平平台独立立，以支支持模块块化设计计、分步步式实施施。认证与授权权管理的的概念模模型认

53、证与授权权管理的的概念模模型是对对认证和和授权管管理功能能的分解解和定义义，有助助于我们们就认证证和授权权管理的的基本模模块及之之间的相相互关系系达成共共识。中国石油认认证与授授权管理理需求概概述中国石油认认证与授授权管理理的概念念模型，是是业界通通用认证证和授权权管理技技术模型型和中国国石油的的实际业业务需求求结合的的结果。功能需求如本系统设设计的第第二部分分（需求求分析报报告），中中国石油油认证与与授权管管理有以以下的功功能需求求：1、中心存存储和管管理用户户信息支持主要系系统的用用户信息息集成，集集成这些些系统最最主要的的用户信信息，并并将管理理成本控控制在合合理的范范围内。支持各种类类

54、型的用用户，提提供灵活活的管理理模式，及及时有效效地获取取正确的的用户信信息。2、正确地地识别所所有的用用户，并并提供合合适的身身份信息息支持多种认认证方式式，实现现认证的的中心和和集成管管理，支支持认证证优先级级、并发发认证和和多因子子认证等等，认证证过程对对用户透透明。支持主要应应用，并并提供统统一的认认证管理理接口，并并实现SSSO。不仅需支持持对内部部用户的的认证，还还需支持持对外部部用户的的认证。保保证认证证过程本本身是安安全可靠靠的。3、使用户户能且只只能访问问正确的的资源提供灵活的的访问控控制机制制，对基基于Wiindoows的的桌面资资源、WWeb资资源和CC/S应应用进行行统

55、一的的访问管管理。非功能需求求如本系统设设计的第第二部分分（需求求分析报报告），中中国石油油认证与与授权管管理有以以下的非非功能需需求：1、互操作作性 （系系统实施施关注点点）支持有关国国际标准准，能与与第三方方产品（包包括各种种目录服服务器、数数据库、WWeb服服务器和和应用服服务器等等）很好好地集成成，与操操作系统统和硬件件平台相相独立。可进行定制制以对系系统功能能加以扩扩展，并并能加入入自己的的认证算算法和授授权算法法等。2、可管理理性 （系系统管理理、用户户使用关关注点）支持对所有有认证和和授权行行为的日日志，支支持日志志过滤、日日志备份份、日志志恢复和和跟踪，可可生成有有关的报报表。

56、支持多语言言（特别别是中文文），提提供用户户在线学学习功能能，并支支持用户户界面个个性化。3、可用性性（系统统性能关关注点）提供认证和和授权管管理基础础设施7724的的高可用用性，满满足中国国石油系系统管理理的服务务水平承承诺。提供负载均均衡与容容错能力力，提供供基于软软件和基基于硬件件的集群群，提供供高可靠靠的备份份和恢复复，提供供完善的的运营维维护和灾灾难恢复复计划。认证与授权权管理概概念模型型下面将对认认证和授授权管理理的功能能的进行行分解。功能分解认证和授权权管理包包括以下下四个功功能模块块：1、目录服服务存储多种不不同来源源的用户户/资源信信息。实现的功能能需求：中心存存储用户户信息

57、2、身份管管理管理用户身身份信息息，并提提供自动动工作流流程和自自服务、分分权管理理功能。实现的功能能需求：中心管管理用户户信息3、认证管管理提供对多种种认证方方式的中中心管理理，提供供强认证证服务。实现的功能能需求：正确地地识别所所有的用用户，并并提供合合适的身身份信息息4、访问管管理进行访问规规则定义义，并进进行访问问规则的的中心控控制。实现的功能能需求：使用户户能且只只能访问问正确的的资源如下图所示示：认证与授权权管理的的四个功功能模块块目录服务与与身份管管理目录服务可可以提供供对身份份信息的的中心存存储，身身份管理理可以提提供对身身份信息息的中心心管理。部部分产商商将目录录服务和和身份

58、管管理统称称身份管管理。目录服务与与身份管管理的功功能可以以分为三三个子块块，即1、存储子子模块即目录服务务模块。2、同步子子模块即元目录，或或动态用用户管理理（Usser Proovissionningg）模块块。3、管理子子模块包括针对管管理员的的分权管管理模块块，针对对用户的的自服务务模块，即即基础的的工作流流模块。如下图所示示：目录服务与与身份管管理的子子功能模模块认证管理认证管理提提供对认认证信息息和认证证过程的的统一管管理。认证管理的的功能可可以分为为四个子子块，即即：1、存储子子模块即认证信息息（如证证书、密密码等）的的存储，一一般采用用目录服服务。2、证书管管理子模模块提供对证

59、书书的生成成、存储储、发放放等功能能。3、认证子子模块即认证引擎擎，实现现认证的的核心功功能通通过查询询认证信信息存储储并结合合有关策策略，验验证认证证申请的的合法性性。4、中心管管理子模模块提供认证方方式的切切换、认认证优先先级设置置、交叉叉认证等等功能。如下图所示示：认证管理的的子功能能模块访问管理访问管理提提供对访访问各类类系统资资源的统统一管理理。访问管理的的功能可可以分为为三个子子块，即即：1、存储子子模块即政策信息息（即访访问控制制规则）的的统一存存储，一一般采用用目录服服务。2、授权子子模块是访问管理理的核心心模块，受受理授权权申请，通通过查阅阅政策信信息存储储并结合合有关策策略

60、，决决定访问问者应具具有的访访问权限限，并将将此信息息传递给给资源控控制器（即即代理子子模块）。3、代理子子模块即资源控制制器。在在不同的的系统资资源上设设置代理理控制，以以实现对对系统资资源的访访问管理理。如下图所示示：访问管理的的子功能能模块总体架构基于中国石石油的实实际需求求和基本本设计原原则，结结合认证证与授权权技术发发展的趋趋势，可可以给出出以下中中国石油油认证与与授权管管理总体体架构：中国石油认认证与授授权管理理总体架架构说明：目录服务系系统是架架构的基基础模块块。缺乏乏目录服服务，将将无法有有效支持持身份管管理、认认证管理理和访问问管理。身份管理系系统是实实现不同同应用的的身份存