中國石油信息系統(tǒng)認證與授權管理方案規(guī)劃

1、中國石油信信息系統(tǒng)統(tǒng)認證與與授權管管理方案設計中國石油制制訂信息息安全政政策與標標準項目目組 TIME yyyyyy年M月月d日 20222年99月299日目錄TOC o 1-3 h z HYPERLINK l _Toc31643632 前 言 PAGEREF _Toc31643632 h 6 HYPERLINK l _Toc31643633 1概述 PAGEREF _Toc31643633 h 7 HYPERLINK l _Toc31643634 1.1項項目背景景 PAGEREF _Toc31643634 h 7 HYPERLINK l _Toc31643635 1.2項項目目的的 PAG

2、EREF _Toc31643635 h 8 HYPERLINK l _Toc31643636 2現狀概概述 PAGEREF _Toc31643636 h 9 HYPERLINK l _Toc31643637 2.1身身份管理理 PAGEREF _Toc31643637 h 9 HYPERLINK l _Toc31643638 2.1.11現狀分分析與改改進推薦薦 PAGEREF _Toc31643638 h 9 HYPERLINK l _Toc31643639 2.1.22解決方方案 PAGEREF _Toc31643639 h 15 HYPERLINK l _Toc31643640 2.2認

3、認證管理理 PAGEREF _Toc31643640 h 15 HYPERLINK l _Toc31643641 2.2.11現狀概概述 PAGEREF _Toc31643641 h 15 HYPERLINK l _Toc31643642 2.2.22解決方方案 PAGEREF _Toc31643642 h 17 HYPERLINK l _Toc31643643 2.3訪訪問管理理 PAGEREF _Toc31643643 h 17 HYPERLINK l _Toc31643644 2.3.11現狀概概述 PAGEREF _Toc31643644 h 17 HYPERLINK l _Toc31

4、643645 2.3.22解決方方案 PAGEREF _Toc31643645 h 18 HYPERLINK l _Toc31643646 3總體架架構 PAGEREF _Toc31643646 h 19 HYPERLINK l _Toc31643647 3.1認認證與授授權在信信息技術術總體架架構中所所處的位位置 PAGEREF _Toc31643647 h 19 HYPERLINK l _Toc31643648 3.2認認證與授授權管理理設計原原則 PAGEREF _Toc31643648 h 19 HYPERLINK l _Toc31643649 3.3認認證與授授權管理理的概念念模型

5、PAGEREF _Toc31643649 h 21 HYPERLINK l _Toc31643650 3.3.11中國石石油認證證與授權權管理需需求概述述 PAGEREF _Toc31643650 h 21 HYPERLINK l _Toc31643651 3.3.22認證與與授權管管理概念念模型 PAGEREF _Toc31643651 h 22 HYPERLINK l _Toc31643652 3.4總總體架構構 PAGEREF _Toc31643652 h 26 HYPERLINK l _Toc31643653 4目錄服服務與身身份管理理 PAGEREF _Toc31643653 h 2

6、7 HYPERLINK l _Toc31643654 4.1概概述 PAGEREF _Toc31643654 h 27 HYPERLINK l _Toc31643655 4.2集集成設計計 PAGEREF _Toc31643655 h 28 HYPERLINK l _Toc31643656 4.2.11概述 PAGEREF _Toc31643656 h 28 HYPERLINK l _Toc31643657 4.2.22集成的的內容 PAGEREF _Toc31643657 h 29 HYPERLINK l _Toc31643658 4.2.33集成的的模式 PAGEREF _Toc31643

7、658 h 32 HYPERLINK l _Toc31643659 4.2.44數據流流設計 PAGEREF _Toc31643659 h 33 HYPERLINK l _Toc31643660 4.3數數據設計計 PAGEREF _Toc31643660 h 35 HYPERLINK l _Toc31643661 4.3.11概述 PAGEREF _Toc31643661 h 35 HYPERLINK l _Toc31643662 4.3.22組織和和組織單單元對象象 PAGEREF _Toc31643662 h 37 HYPERLINK l _Toc31643663 4.3.33人員對對象

8、 PAGEREF _Toc31643663 h 38 HYPERLINK l _Toc31643664 4.3.44其它對對象 PAGEREF _Toc31643664 h 39 HYPERLINK l _Toc31643665 4.3.55附：Scchemma設計計介紹 PAGEREF _Toc31643665 h 39 HYPERLINK l _Toc31643666 4.4邏邏輯設計計 PAGEREF _Toc31643666 h 41 HYPERLINK l _Toc31643667 4.4.11概述 PAGEREF _Toc31643667 h 41 HYPERLINK l _Toc

9、31643668 4.4.22后綴選選擇 PAGEREF _Toc31643668 h 42 HYPERLINK l _Toc31643669 4.4.33目錄分分支結構構 PAGEREF _Toc31643669 h 43 HYPERLINK l _Toc31643670 4.4.44條目RDDN選擇擇 PAGEREF _Toc31643670 h 46 HYPERLINK l _Toc31643671 4.5物物理設計計 PAGEREF _Toc31643671 h 47 HYPERLINK l _Toc31643672 4.5.11概述 PAGEREF _Toc31643672 h 47

10、 HYPERLINK l _Toc31643673 4.5.22數據劃劃分 PAGEREF _Toc31643673 h 48 HYPERLINK l _Toc31643674 4.5.33目錄數數據庫的的物理分分布 PAGEREF _Toc31643674 h 49 HYPERLINK l _Toc31643675 4.6復復制設計計 PAGEREF _Toc31643675 h 50 HYPERLINK l _Toc31643676 4.6.11概述 PAGEREF _Toc31643676 h 50 HYPERLINK l _Toc31643677 4.6.22復制的的內容 PAGERE

11、F _Toc31643677 h 51 HYPERLINK l _Toc31643678 4.6.33復制的的模式 PAGEREF _Toc31643678 h 51 HYPERLINK l _Toc31643679 4.6.44復制的的頻度 PAGEREF _Toc31643679 h 53 HYPERLINK l _Toc31643680 4.7安安全設計計 PAGEREF _Toc31643680 h 54 HYPERLINK l _Toc31643681 4.7.11概述 PAGEREF _Toc31643681 h 54 HYPERLINK l _Toc31643682 4.7.22

12、密碼政政策 PAGEREF _Toc31643682 h 55 HYPERLINK l _Toc31643683 4.7.33訪問控控制 PAGEREF _Toc31643683 h 56 HYPERLINK l _Toc31643684 4.7.44加密 PAGEREF _Toc31643684 h 57 HYPERLINK l _Toc31643685 4.7.55審計跟跟蹤 PAGEREF _Toc31643685 h 57 HYPERLINK l _Toc31643686 5認證管管理 PAGEREF _Toc31643686 h 57 HYPERLINK l _Toc31643687

13、 5.1概概述 PAGEREF _Toc31643687 h 57 HYPERLINK l _Toc31643688 5.2PPKI設設計 PAGEREF _Toc31643688 h 58 HYPERLINK l _Toc31643689 5.2.11概述 PAGEREF _Toc31643689 h 58 HYPERLINK l _Toc31643690 5.2.22密鑰的的生成及及存儲 PAGEREF _Toc31643690 h 59 HYPERLINK l _Toc31643691 5.2.33證書的的生成 PAGEREF _Toc31643691 h 60 HYPERLINK l

14、_Toc31643692 5.2.44證書的的合法性性驗證 PAGEREF _Toc31643692 h 61 HYPERLINK l _Toc31643693 5.2.55交叉認認證 PAGEREF _Toc31643693 h 62 HYPERLINK l _Toc31643694 5.2.66證書政政策 PAGEREF _Toc31643694 h 62 HYPERLINK l _Toc31643695 5.2.77PKII實施策策略 PAGEREF _Toc31643695 h 63 HYPERLINK l _Toc31643696 5.3多多認證體體系 PAGEREF _Toc316

15、43696 h 65 HYPERLINK l _Toc31643697 6訪問管管理 PAGEREF _Toc31643697 h 66 HYPERLINK l _Toc31643698 6.1概概述 PAGEREF _Toc31643698 h 66 HYPERLINK l _Toc31643699 6.2對對桌面資資源的訪訪問管理理 PAGEREF _Toc31643699 h 67 HYPERLINK l _Toc31643700 6.3對對Webb資源的的訪問管管理 PAGEREF _Toc31643700 h 67 HYPERLINK l _Toc31643701 6.3.11訪問者

16、者描述 PAGEREF _Toc31643701 h 69 HYPERLINK l _Toc31643702 6.3.22資源描描述 PAGEREF _Toc31643702 h 69 HYPERLINK l _Toc31643703 6.3.33規(guī)則描描述 PAGEREF _Toc31643703 h 70 HYPERLINK l _Toc31643704 6.4對對C/SS應用的的訪問管管理 PAGEREF _Toc31643704 h 71 HYPERLINK l _Toc31643705 7產品技技術分析析 PAGEREF _Toc31643705 h 71 HYPERLINK l _

17、Toc31643706 7.1認認證與授授權管理理產品分分類 PAGEREF _Toc31643706 h 71 HYPERLINK l _Toc31643707 7.1.11目錄服務 PAGEREF _Toc31643707 h 72 HYPERLINK l _Toc31643708 7.1.22身份管管理 PAGEREF _Toc31643708 h 72 HYPERLINK l _Toc31643709 7.1.33認證管管理 PAGEREF _Toc31643709 h 73 HYPERLINK l _Toc31643710 7.1.44訪問管管理 PAGEREF _Toc316437

18、10 h 74 HYPERLINK l _Toc31643711 7.2認認證與授授權產品品市場分分析 PAGEREF _Toc31643711 h 74 HYPERLINK l _Toc31643712 7.2.11目錄服服務 PAGEREF _Toc31643712 h 74 HYPERLINK l _Toc31643713 7.2.22身份管管理 PAGEREF _Toc31643713 h 76 HYPERLINK l _Toc31643714 7.2.33認證管管理 PAGEREF _Toc31643714 h 77 HYPERLINK l _Toc31643715 7.2.44訪問

19、管管理 PAGEREF _Toc31643715 h 78 HYPERLINK l _Toc31643716 7.3認認證和授授權管理理產品供供應商簡簡要分析析 PAGEREF _Toc31643716 h 80 HYPERLINK l _Toc31643717 7.3.11IBMM PAGEREF _Toc31643717 h 80 HYPERLINK l _Toc31643718 7.3.22Miccrossoftt PAGEREF _Toc31643718 h 81 HYPERLINK l _Toc31643719 7.3.33Sunn PAGEREF _Toc31643719 h 81

20、 HYPERLINK l _Toc31643720 7.3.44Novvelll PAGEREF _Toc31643720 h 82 HYPERLINK l _Toc31643721 7.3.55CA PAGEREF _Toc31643721 h 83 HYPERLINK l _Toc31643722 7.3.66PKII供應商商 PAGEREF _Toc31643722 h 83 HYPERLINK l _Toc31643723 8路標規(guī)規(guī)劃 PAGEREF _Toc31643723 h 84 HYPERLINK l _Toc31643724 8.1實實施風險險分析 PAGEREF _Toc

21、31643724 h 84 HYPERLINK l _Toc31643725 8.1.11風險分分析 PAGEREF _Toc31643725 h 84 HYPERLINK l _Toc31643726 8.1.22風險評評估 PAGEREF _Toc31643726 h 87 HYPERLINK l _Toc31643727 8.2分分階段路路標規(guī)劃劃 PAGEREF _Toc31643727 h 88 HYPERLINK l _Toc31643728 8.2.11階段定定義 PAGEREF _Toc31643728 h 88 HYPERLINK l _Toc31643729 8.2.22實

22、施路路標 PAGEREF _Toc31643729 h 91 HYPERLINK l _Toc31643730 8.3第第一階段段實施計計劃 PAGEREF _Toc31643730 h 91 HYPERLINK l _Toc31643731 8.3.11第一階階段實現現的功能能 PAGEREF _Toc31643731 h 91 HYPERLINK l _Toc31643732 8.3.22第一階階段技術術架構 PAGEREF _Toc31643732 h 92 HYPERLINK l _Toc31643733 8.3.33項目計計劃 PAGEREF _Toc31643733 h 92 HY

23、PERLINK l _Toc31643734 8.3.44所需資資源 PAGEREF _Toc31643734 h 97 HYPERLINK l _Toc31643735 8.3.55投資估估算 PAGEREF _Toc31643735 h 97 HYPERLINK l _Toc31643736 9附：認認證與授授權技術術概述 PAGEREF _Toc31643736 h 98 HYPERLINK l _Toc31643737 9.1目目錄服務務技術概概述 PAGEREF _Toc31643737 h 98 HYPERLINK l _Toc31643738 9.1.11目錄服服務及發(fā)發(fā)展簡介介

24、 PAGEREF _Toc31643738 h 98 HYPERLINK l _Toc31643739 9.1.22LDAAP的工工作過程程 PAGEREF _Toc31643739 h 98 HYPERLINK l _Toc31643740 9.1.33LDAAP模型型 PAGEREF _Toc31643740 h 99 HYPERLINK l _Toc31643741 9.2認認證管理理技術概概述 PAGEREF _Toc31643741 h 1033 HYPERLINK l _Toc31643742 9.2.11認證方方式 PAGEREF _Toc31643742 h 1033 HYPE

25、RLINK l _Toc31643743 9.2.22PKII技術簡簡介 PAGEREF _Toc31643743 h 1077 HYPERLINK l _Toc31643744 9.2.33國內PKKI標準準化現狀狀 PAGEREF _Toc31643744 h 1133 HYPERLINK l _Toc31643745 9.3訪訪問管理理技術概概述 PAGEREF _Toc31643745 h 1144 HYPERLINK l _Toc31643746 9.3.11基于角角色、基基于政策策的訪問問管理 PAGEREF _Toc31643746 h 1144 HYPERLINK l _Toc

26、31643747 9.3.22X.5509 PMII簡介 PAGEREF _Toc31643747 h 1144 HYPERLINK l _Toc31643748 9.3.33SAMML簡介介 PAGEREF _Toc31643748 h 1144前 言中國石油天天然氣股股份有限限公司（以以下簡稱稱“中國石油油”）認證證和授權權系統(tǒng)設設計由三三部分組組成：1、現狀報報告分析中國石石油認證證與授權權的現狀狀及存在在的問題題，為下下一步方方案設計計提供參參考。2、需求分分析報告告對中國石油油認證與與授權管管理建設設進行分分析和展展望，并并提供可可行的建建設思路路。3、方案設設計提出中國石石油認證證

27、與授權權管理的的總體技技術架構構，進行行認證和和授權產產品的市市場分析析，并給給出相應應的路標標規(guī)劃和和實施計計劃。本報告是系系統(tǒng)設計計的第三三部分。概述本報告是中中國石油油制定信信息安全全政策與與標準項項目中認認證與授授權系統(tǒng)統(tǒng)設計的的第三部部分，目目的是提提出中國國石油認認證與授授權管理理的總體體技術架架構，進進行認證證和授權權產品的的市場分分析，并并給出相相應的路路標規(guī)劃劃和實施施計劃。報報告包含含以下內內容：現狀與需求求概述總體邏輯架架構目錄服務與與身份管管理邏輯輯架構認證管理邏邏輯架構構訪問管理邏邏輯架構構產品技術分分析路標規(guī)劃項目背景現代企業(yè)對對信息的的依賴越越來越大大，信息息已成

28、為為現代企企業(yè)的一一種重要要資產。為保證中國國石油信信息系統(tǒng)統(tǒng)的安全全、健康康、持續(xù)續(xù)發(fā)展，降降低信息息技術給給業(yè)務帶帶來的威威脅和風風險，保保證信息息建設取取得最大大化的效效益，根根據中國國石油信信息化建建設總體體規(guī)劃，中中國石油油開始實實施制訂訂信息安安全政策策和標準準項目。在中國石油油眾多的的信息安安全風險險中，用用戶管理理的安全全風險尤尤為突出出，如內內部人員員可隨意意訪問重重要業(yè)務務信息、無無法有效效控制外外部人員員未經授授權的訪訪問、對對遠程用用戶缺乏乏安全訪訪問控制制機制、多多種應用用導致用用戶信息息過多而而難以記記憶等。要要合理地地約束和和消除這這些風險險，中國國石油認認證與授

29、授權管理理建設勢勢在必行行。其中中，認證證的目的的是正確確地識別別用戶的的身份，授授權的目目的是為為了使用用戶能且且只能訪訪問被授授權訪問問的資源源。項目目的認證和授權權系統(tǒng)設設計是中中國石油油制訂信信息安全全政策和和標準項項目的一一部分。其其目的是是通過對對中國石石油認證證和授權權的現狀狀進行評評估，結結合行業(yè)業(yè)發(fā)展趨趨勢和最最佳實踐踐為中國國石油設設計出既既有可操操作性，又具備前瞻性的認證和授權的技術架構，并給出相應的投資預估和實施計劃?，F狀概述身份管理現狀分析與與改進推推薦標題中國石油現現狀主要影響與與問題分分析改進推薦1. 信息息存儲電子郵件、企企業(yè)信息息門戶公公用用戶戶存儲信信息，其

30、其它系統(tǒng)統(tǒng)各自獨獨立用戶注冊 / 注注銷過程程缺乏統(tǒng)統(tǒng)一管理理，圍繞繞不同的的應用將將形成若若干安全全孤島。管理成本增增高隨著中國石石油應用用數量的的增加，系系統(tǒng)用戶戶維護工工作量將將急劇增增大，管管理成本本將不斷斷增高。另另一方面面，各應應用維護護獨立的的用戶信信息，將將不利于于用戶信信息的標標準化，不不利于信信息的共共享。用戶使用不不便一名中國石石油系統(tǒng)統(tǒng)用戶可可能存在在大量系系統(tǒng)用戶戶名/密密碼，不不易記憶憶。某些些用戶為為了記住住不同系系統(tǒng)的用用戶名和和密碼，往往往將其其寫在紙紙上，甚甚至放在在桌面上上，這將將大大提提高安全全風險。缺乏統(tǒng)一的的組織進進行管理理中國石油的的不同應應用往往

31、往是由不不同的部部門進行行維護。當當應用維維護各自自的用戶戶信息時時，將很很難建立立統(tǒng)一的的組織進進行用戶戶信息的的統(tǒng)一管管理，將將很難保保證用戶戶信息的的準確性性、一致致性和保保密性。安全風險加加大部分應用，如如中油財財務采用用公用帳帳號，將將提高系系統(tǒng)的安安全風險險。另一一方面，缺缺乏帳號號取消 / 注注銷的策策略和控控制措施施，用戶戶離職、換換崗位后后其系統(tǒng)統(tǒng)用戶信信息往往往未能及及時注銷銷 / 更改， 也將提提高系統(tǒng)統(tǒng)的安全全風險。建立用戶信信息的中中心存儲儲，將中中國石油油主流應應用的用用戶信息息進行統(tǒng)統(tǒng)一的管管理。這這是集成成認證和和授權管管理的基基礎。進行統(tǒng)一的的用戶注注冊 /

32、注銷銷?？梢砸杂袃煞N種方式實實現：利用目前用用戶信息息的主要要入口（如如電子郵郵件系統(tǒng)統(tǒng)）進行行用戶信信息的控控制；或或新建一個管管理接口口，對用用戶信息息的中心心存儲進進行控制制。2. 用戶戶注冊各系統(tǒng)進行行獨立的的用戶注注冊，無無統(tǒng)一開開戶流程程，無統(tǒng)統(tǒng)一的策策略和方方法由系統(tǒng)管理理員根據據使用需需求開戶戶存在公用帳帳號3. 用戶戶注銷無帳戶取消消的策略略和控制制措施4. 分權權管理電子郵件系系統(tǒng)和企企業(yè)信息息門戶采采用分權權管理的的方式其它應用由由于用戶戶數較少少，基本本采用中中心管理理的方式式大部分應用用采取中中心管理理的方式式，難以以適應中中國石油油業(yè)務和和組織結結構快速速變革的的現

33、狀。靈活性、分分布性差差中國石油業(yè)業(yè)務和組組織結構構快速變變革，系系統(tǒng)管理理的職責責分布也也在不斷斷變化，中中心管理理的方式式將無法法適應根根據公司司的政策策對系統(tǒng)統(tǒng)管理職職責進行行靈活的的調整的的業(yè)務需需求。中心維護量量大，可可擴展性性差中心管理的的方式將將所有的的用戶維維護工作作量都落落在了中中心一側側，當用用戶數不不斷增加加時，中中心將不不堪重負負。用戶戶信息的的分權管管理，即即由最接接近用戶戶的管理理員進行行用戶信信息維護護將能有有效減少少中心的的維護量量，并提提高系統(tǒng)統(tǒng)的可擴擴展性。采取集中和和分布管管理的策策略，進進行用戶戶信息的的分權管管理。5. 用戶戶自管理理大部分應用用只提供

34、供用戶密密碼修改改的自管管理功能能系統(tǒng)維護壓壓力大，用用戶自主主能力弱弱。數據缺失或或難以保保證數據據的準確確性不提供用戶戶自服務務功能，則則一些與與用戶密密切相關關的個人人信息，如如手機號號碼、家家庭住址址、備用用電子郵郵件地址址等將無無法存儲儲在系統(tǒng)統(tǒng)中，或或無法得得到及時時的維護護。對系統(tǒng)管理理的依賴賴性大用戶自服務務功能的的不足，將將大大增增加用戶戶技術支支持的工工作量。將將部分用用戶管理理的權限限（或某某些信息息的修改改權限）交交給用戶戶自身，是是降低系系統(tǒng)維護護壓力，提提高用戶戶滿意度度的重要要手段。難以支持動動態(tài)的應應用應用的動態(tài)態(tài)化是一一種必然然的趨勢勢。企業(yè)業(yè)信息門門戶上的的

35、一個WWeb部部件便是是一個動動態(tài)的應應用。每每一個新新的動態(tài)態(tài)應用都都需要確確定新的的使用用用戶群，提提供用戶戶對部分分應用自自訂閱（即即登記為為該應用用的用戶戶）的功功能將能能支持應應用動態(tài)態(tài)化的需需求。提供充分的的用戶自自服務，包包括修改改個人密密碼、丟丟失密碼碼查詢（例例如通過過詢問個個人問題題找回丟丟失的密密碼）、訂訂閱應用用（例如如在企業(yè)業(yè)信息門門戶中，用用戶自定定義關注注的Weeb部件件）等，降降低技術術支持成成本。6.外部用用戶管理理目前除電子子商務外外，其它它系統(tǒng)無無外部用用戶無法與外界界進行快快速的信信息和應應用集成成，與外外界的溝溝通效率率低下。不利于與外外界的信信息快速

36、速集成中國石油有有大量的的合作伙伙伴、供供應商和和客戶。缺缺乏對外外部用戶戶的支持持，將不不利于與與外界進進行的信信息和應應用的集集成，影影響中國國石油的的核心競競爭力。將外部用戶戶（合作作伙伴、供供應商、客客戶）進進行統(tǒng)一一的管理理，并放放置在獨獨立的安安全子域域中。7. 數據據維護用戶信息存存儲各自自獨立，無無同步和和集成關關系系統(tǒng)各自獨獨立，用用戶信息息難以保保持一致致。無中心存儲儲，數據據不一致致缺乏用戶信信息的集集中存儲儲和統(tǒng)一一管理，將將難以保保證用戶戶信息的的一致性性。缺乏乏用戶信信息同步步和集成成的自動動化的工工具，目目前只能能通過手手動的方方式，這這將難以以保證信信息的準準確

37、性。管理成本高高，效率率低不同系統(tǒng)的的用戶信信息無法法實現同同步和集集成，用用戶信息息的管理理成本將將隨著應應用的增增加而迅迅速增高高，而管管理效率率卻將不不斷降低低。進行動態(tài)的的用戶管管理，實實現中國國石油主主流應用用的用戶戶信息的的同步和和集成，降降低數據據維護成成本，并并提高數數據質量量。8. 數據據質量保保證數據準確性性由管理理員保證證無統(tǒng)一的帳帳號規(guī)則則電子郵件/企業(yè)信信息門戶戶已制訂訂密碼政政策用戶信息難難以集成成，難以以管理。易重復，難難管理，難難記憶缺乏統(tǒng)一的的帳號規(guī)規(guī)則，使使得系統(tǒng)統(tǒng)管理、系系統(tǒng)集成成難以進進行。缺缺乏統(tǒng)一一的帳號號規(guī)則，也也使得用用戶難以以記憶不不同系統(tǒng)統(tǒng)的

38、帳號號名。用戶信息難難以與員員工的真真實身份份相對應應中國石油缺缺乏組織織及員工工個人的的統(tǒng)一編編碼，使使得信息息系統(tǒng)的的帳號命命名難以以與員工工的真實實身份相相對應。建建立中國國石油全全公司范范圍的人人力資源源系統(tǒng)，建建立中國國石油組組織及員員工的統(tǒng)統(tǒng)一編碼碼，將是是設立中中國石油油統(tǒng)一帳帳號規(guī)則則的基礎礎。數據冗余，存存在大量量“垃圾”用戶信信息。存在數據冗冗余各系統(tǒng)用戶戶信息存存儲各自自獨立，無無統(tǒng)一部部門管理理，使得得各系統(tǒng)統(tǒng)存在大大量的用用戶數據據冗余。數數據冗余余的存在在將影響響信息系系統(tǒng)的效效率，并并增加管管理成本本。存在“垃圾圾”用戶信信息由于各系統(tǒng)統(tǒng)的用戶戶信息的的準確性性難

39、以得得到保證證，帳號號與員工工的真實實身份難難以對應應，系統(tǒng)統(tǒng)存在大大量“垃圾”用戶信息息。而缺缺乏用戶戶帳號注注銷的制制度和手手段，使使這一問問題更為為嚴重。這這些“垃圾”用戶信信息的存存在，一一方面增增加了管管理成本本，另一一方面也也增加了了系統(tǒng)的的安全風風險?！皩⒋箝T的的鑰匙擱擱在門口口”。安全系統(tǒng)本本身不安安全密碼是中國國石油目前前大多數數應用系系統(tǒng)的第第一道，甚甚至是唯唯一的一一道安全全關卡。密密碼本身身的質量量和安全全對于中中國石油油的信息息安全至至關重要要。不易實施，推推行阻力力大好的密碼政政策需要要得到好好的推行行。中國國石油電電子郵件件系統(tǒng)制制訂了完完善的密密碼政策策，包括括

40、密碼的的長度、密密碼修改改的頻度度、原始始密碼的的更改等等，但由由于缺乏乏相應的的控制措措施，使使得這些些政策并并沒有得得到實際際執(zhí)行。提提供便利利的密碼碼政策執(zhí)執(zhí)行工具具是確保保密碼政政策順利利推行的的保障。通過自動的的管理流流程及管管理工具具保證用用戶信息息數據的的準確性性和一致致性，避避免因為為管理員員人為的的因素造造成的數數據質量量下降。建立統(tǒng)一的的中國石石油信息息系統(tǒng)用用戶名命命名規(guī)則則，并確確保用戶戶命名的的唯一性性和穩(wěn)定定性（即即采用不不易變化化的信息息如員工工編碼，作作為用戶戶名的一一部分）。建立中國石石油統(tǒng)一一的密碼碼政策，保保證密碼碼的質量量。并通通過便利利工具保保證密碼碼

41、政策的的順利執(zhí)執(zhí)行。解決方案建立中心的的用戶存存儲，實實現動態(tài)態(tài)的用戶戶管理。認證管理現狀概述標題中國石油現現狀主要影響與與問題分分析改進推薦1. 認證證申請未實施PKKI，各各系統(tǒng)基基本只提提供用戶戶名-密密碼的方方式進行行基本認認證目前各系統(tǒng)統(tǒng)均只提提供用戶戶名-密密碼的方方式進行行基本認認證電子商務和和中油財財務的密密碼分發(fā)發(fā)是通過過電子郵郵件電子郵件系系統(tǒng)通過過按一定定規(guī)則設設立原始始密碼而而實現變變通的密密碼分發(fā)發(fā)認證信息生生成過程程可信度度差，認認證信息息易被竊竊取。認證信息易易被竊認證信息生生成過程程的安全全是信息息安全鏈鏈中的重重要一環(huán)環(huán)。認證證信息生生成過程程不安全全，將導導

42、致認證證信息（如如證書、密密鑰等）被被竊取，從從而從根根本上動動搖系統(tǒng)統(tǒng)的安全全。強認認證體系系（如PPKI）能能有效提提高認證證信息生生成過程程的安全全級別。實施公鑰體體系（PPKI或或Kerrberros），確確保認證證信息生生成全過過程的安安全可靠靠。2. 信任任狀采集集目前無多認認證機制制，各系系統(tǒng)獨立立進行單單一的信信任狀采采集認證方式單單一，缺缺乏強認認證。缺乏強認證證目前中國石石油各系系統(tǒng)基本本只采用用用戶名名-密碼碼的基本本認證，缺缺乏強認認證手段段，認證證可信度度差。缺缺乏可信信的認證證，將無無法在中中國石油油內部及及與合作作伙伴、供供應商、客客戶之間間進行安安全的信信息交互

43、互和協(xié)同同工作（電電子商務務），影影響中國國石油的的核心競競爭力。強強認證的的方式包包括公鑰鑰體系（PPKI、KKerbberoos）、動動態(tài)口令令（令牌牌）、智智能卡、生生物特征征（指紋紋、聲音音、視網網膜）認認證等。認證方式單單一為根據公司司安全政政策的需需求靈活活切換用用戶的認認證方式式、為實實現不同同應用之之間的交交叉認證證，系統(tǒng)統(tǒng)應提供供多認證證機制，支支持各種種通用的的認證方方式及認認證方式式的結合合。另一一方面，采采用多因因素認證證（如密密碼+令令牌，密密碼+證證書+智智能卡等等）是加加強認證證可信度度的有效效手段。支持根據中中國石油油的政策策對多種種認證方方式的進進行靈活活的切

44、換換。支持持多種認認證方式式的組合合，實現現多因素素（n-facctorr）認證證。3. 身份份信息移移交無中心認證證管理，各各應用利利用各自自的認證證管理模模塊進行行認證，認認證成功功訪問各各自的資資源，無無身份信信息移交交問題無交叉認證證，無登登錄聯盟盟站點的的需求在不同系統(tǒng)統(tǒng)需進行行多次登登錄，溝溝通效率率低下。溝通效率低低下缺乏中心認認證，在在登錄不不同的系系統(tǒng)時需需要不同同的認證證過程，這這將影響響系統(tǒng)間間的溝通通效率，甚甚至完全全無法在在系統(tǒng)之之間共享享信息。缺缺乏與供供應商、客客戶的交交叉認證證，將影影響中國國石油與與外界的的業(yè)務信信息交互互。實施企業(yè)級級認證服服務，實實現中心心

45、認證，建建立完整整的中國國石油信信息安全全信任體體系。提供對聯盟盟站點的的交叉認認證，建建立與外外界的高高效溝通通渠道。解決方案建立企業(yè)級級認證服服務，提提供強認認證，實實現多因因素認證證。訪問管理現狀概述標題中國石油現現狀主要影響與與問題分分析改進推薦1. 授權權申請各系統(tǒng)獨立立進行訪訪問管理理無統(tǒng)一訪問問管理機機制，無無SSOO“個人自掃掃門前雪雪”。無法提高用用戶使用用體驗缺乏單點登登錄，用用戶訪問問不同的的系統(tǒng)資資源的時時候可能能需要進進行多次次的認證證和授權權。隨著著中國石石油應用用數量不不斷增加加、應用用的異構構性不斷斷增大，用用戶的使使用體驗驗將變得得很糟糕糕。提供供單點登登錄，

46、使使后臺認認證和授授權過程程對用戶戶透明對對于提供供良好的的用戶體體驗、降降低技術術支持成成本至為為重要。實施單點登登錄（SSSO），用用戶單次次認證后后獲取對對主要桌桌面資源源、Weeb資源源和C/S應用用的相應應的訪問問權限，提提高用戶戶生產效效率和使使用體驗驗。2. 授權權控制無統(tǒng)一的訪訪問控制制規(guī)則、群群組和角角色的規(guī)規(guī)劃和設設計訪問控制規(guī)規(guī)則邏輯輯復雜，易易產生安安全漏洞洞。維護復雜，開開發(fā)、管管理成本本高不同的系統(tǒng)統(tǒng)需要各各自的訪訪問管理理模塊以以進行獨獨立的訪訪問授權權，對訪訪問控制制規(guī)則的的配置和和管理也也無法統(tǒng)統(tǒng)一。進進行統(tǒng)一一的訪問問控制規(guī)規(guī)則設置置，將有有效控制制應用開開

47、發(fā)和系系統(tǒng)維護護成本。另另一方面面，對訪訪問控制制的中心心和統(tǒng)一一配置，也也便于實實現內容容的個性性化。產生安全漏漏洞當不同的系系統(tǒng)對同同一用戶戶就同一一系統(tǒng)資資源進行行各自的的訪問授授權時，很很難保證證彼此之之間的一一致性，易易產生邏邏輯安全全漏洞。進行統(tǒng)一的的訪問控控制規(guī)則則設置，降降低應用用開發(fā)和和系統(tǒng)維維護成本本，減少少因訪問問控制規(guī)規(guī)則沖突突及遺漏漏而產生生的邏輯輯安全漏漏洞。3. 資源源訪問無統(tǒng)一授權權管理，各各系統(tǒng)訪訪問各自自的資源源對系統(tǒng)資源源的保護護方式不不一致。難以給系統(tǒng)統(tǒng)資源提提供全面面的、一一致的保保護對系統(tǒng)資源源的全面面和一致致的保護護是中國國石油信信息安全全面臨的的

48、一大挑挑戰(zhàn)。隨隨著中國國石油應應用的數數量越來來越多、用用戶數量量越來越越大，這這一問題題變得更更為突出出。對系系統(tǒng)資源源的訪問問控制應應基于中中國石油油的信息息安全政政策，提提供統(tǒng)一一訪問管管理平臺臺以一致致的方式式全面保保護中國國石油的的各類關關鍵系統(tǒng)統(tǒng)資源是是實現中中國石油油信息安安全的集集成管理理的有效效手段?；谥袊偷恼?，對對中國石石油主要要的系統(tǒng)統(tǒng)資源進進行全面面和一致致的保護護，實現現中國石石油信息息安全的的集成管管理。解決方案實現對桌面面資源、WWeb資資源和CC/S應應用的統(tǒng)統(tǒng)一訪問問管理?？傮w架構認證與授權權在信息息技術總總體架構構中所處處的位置置如下圖所示示，認

49、證證與授權權作為一一種安全全服務，是是系統(tǒng)服服務的一一種：認證與授權權在信息息技術總總體架構構中的所所處的位位置如同許多其其它系統(tǒng)統(tǒng)服務，認認證與授授權的發(fā)發(fā)展趨勢勢是從應應用中分分離出來來，獨立立成認證證與授權權服務器器產品，并并在此基基礎上實實現對不不同應用用的集成成。在所有的信信息安全全控制中中，認證證和授權權是第一一關，如如下圖所所示：信息安全生生命周期期由于人是信信息系統(tǒng)統(tǒng)的核心心，所以以確定用用戶的正正確身份份，并賦賦予正確確的訪問問權限是是信息安安全的首首要問題題。認證證與授權權已成為為了信息息安全的的核心問問題。認證與授權權管理設設計原則則中國石油認認證和授授權管理理的建設設是

50、一項項系統(tǒng)工工程，為為確保其其實施成成功，應應遵循以以下設計計原則：總體設計，分分步實施施良好的規(guī)劃劃是成功功的一半半。中國國石油業(yè)業(yè)務變革革快速、人人員分散散、應用用復雜，對對認證和和授權管管理的總總體規(guī)劃劃和集成成設計至至關重要要。同時時，認證證和授權權管理的的建設工工程龐大大，需遵遵循分布布實施的的原則，按按階段逐逐步實施施，優(yōu)先先進行可可快速見見效（QQuicck-WWin）的的有關工工作，并并在一定定范圍內內進行試試點再加加以推廣廣。集中和分布布相結合合的體系系結構集中進行規(guī)規(guī)劃、設設計和配配置，對對于保證證系統(tǒng)的的一致性性很重要要。另一一方面，分分布部署署并分布布管理，由由最接近近

51、最終用用戶群的的管理員員進行用用戶信息息的管理理，將能能提高系系統(tǒng)管理理的效率率、保證證數據的的準確性性和可信信度。盡可能利用用已有的的技術基基礎設施施和設計計保證中國石石油已有有的技術術基礎設設施的投投資是中中國石油油認證和和授權管管理的重重要設計計原則。方方案設計計應充分分考慮中中國石油油的網絡絡現狀，考考慮操作作環(huán)境、WWeb服服務器、數數據庫服服務器的的兼容性性和支持持度，實實現現有有認證和和授權服服務的平平滑遷移移。全面考慮內內部和外外部用戶戶的使用用需求方案應全面面考慮內內部員工工、合作作伙伴、供供應商和和客戶的的使用需需求。提提供與公公司外部部的交叉叉認證，以以實現信信息集成成，

52、并實實現高效效的溝通通。易于實施，高高效、可可靠進行認證和和授權管管理建設設，可選選技術和和可選產產品眾多多。對中中國石油油而言，根根據公司司現狀選選擇最適適宜的技技術和產產品，進進行成功功的實施施最為重重要。系系統(tǒng)的高高效和可可靠性是是衡量系系統(tǒng)成功功的重要要指標?？煽煽紤]借借助外部部服務商商進行系系統(tǒng)實施施。便于管理，易易于擴展展好的系統(tǒng)需需要好的的管理。方方案設計計應易于于管理，易易于使用用，易于于推行。此外，需要提供對用戶認證和授權全過程的全面的審計和跟蹤。模塊化設計計方案應遵循循開放的的行業(yè)標標準、平平臺獨立立，以支支持模塊塊化設計計、分步步式實施施。認證與授權權管理的的概念模模型認

53、證與授權權管理的的概念模模型是對對認證和和授權管管理功能能的分解解和定義義，有助助于我們們就認證證和授權權管理的的基本模模塊及之之間的相相互關系系達成共共識。中國石油認認證與授授權管理理需求概概述中國石油認認證與授授權管理理的概念念模型，是是業(yè)界通通用認證證和授權權管理技技術模型型和中國國石油的的實際業(yè)業(yè)務需求求結合的的結果。功能需求如本系統(tǒng)設設計的第第二部分分（需求求分析報報告），中中國石油油認證與與授權管管理有以以下的功功能需求求：1、中心存存儲和管管理用戶戶信息支持主要系系統(tǒng)的用用戶信息息集成，集集成這些些系統(tǒng)最最主要的的用戶信信息，并并將管理理成本控控制在合合理的范范圍內。支持各種類類

54、型的用用戶，提提供靈活活的管理理模式，及及時有效效地獲取取正確的的用戶信信息。2、正確地地識別所所有的用用戶，并并提供合合適的身身份信息息支持多種認認證方式式，實現現認證的的中心和和集成管管理，支支持認證證優(yōu)先級級、并發(fā)發(fā)認證和和多因子子認證等等，認證證過程對對用戶透透明。支持主要應應用，并并提供統(tǒng)統(tǒng)一的認認證管理理接口，并并實現SSSO。不僅需支持持對內部部用戶的的認證，還還需支持持對外部部用戶的的認證。保保證認證證過程本本身是安安全可靠靠的。3、使用戶戶能且只只能訪問問正確的的資源提供靈活的的訪問控控制機制制，對基基于Wiindoows的的桌面資資源、WWeb資資源和CC/S應應用進行行統(tǒng)

55、一的的訪問管管理。非功能需求求如本系統(tǒng)設設計的第第二部分分（需求求分析報報告），中中國石油油認證與與授權管管理有以以下的非非功能需需求：1、互操作作性 （系系統(tǒng)實施施關注點點）支持有關國國際標準準，能與與第三方方產品（包包括各種種目錄服服務器、數數據庫、WWeb服服務器和和應用服服務器等等）很好好地集成成，與操操作系統(tǒng)統(tǒng)和硬件件平臺相相獨立?？蛇M行定制制以對系系統(tǒng)功能能加以擴擴展，并并能加入入自己的的認證算算法和授授權算法法等。2、可管理理性 （系系統(tǒng)管理理、用戶戶使用關關注點）支持對所有有認證和和授權行行為的日日志，支支持日志志過濾、日日志備份份、日志志恢復和和跟蹤，可可生成有有關的報報表。

56、支持多語言言（特別別是中文文），提提供用戶戶在線學學習功能能，并支支持用戶戶界面?zhèn)€個性化。3、可用性性（系統(tǒng)統(tǒng)性能關關注點）提供認證和和授權管管理基礎礎設施7724的的高可用用性，滿滿足中國國石油系系統(tǒng)管理理的服務務水平承承諾。提供負載均均衡與容容錯能力力，提供供基于軟軟件和基基于硬件件的集群群，提供供高可靠靠的備份份和恢復復，提供供完善的的運營維維護和災災難恢復復計劃。認證與授權權管理概概念模型型下面將對認認證和授授權管理理的功能能的進行行分解。功能分解認證和授權權管理包包括以下下四個功功能模塊塊：1、目錄服服務存儲多種不不同來源源的用戶戶/資源信信息。實現的功能能需求：中心存存儲用戶戶信息

57、2、身份管管理管理用戶身身份信息息，并提提供自動動工作流流程和自自服務、分分權管理理功能。實現的功能能需求：中心管管理用戶戶信息3、認證管管理提供對多種種認證方方式的中中心管理理，提供供強認證證服務。實現的功能能需求：正確地地識別所所有的用用戶，并并提供合合適的身身份信息息4、訪問管管理進行訪問規(guī)規(guī)則定義義，并進進行訪問問規(guī)則的的中心控控制。實現的功能能需求：使用戶戶能且只只能訪問問正確的的資源如下圖所示示：認證與授權權管理的的四個功功能模塊塊目錄服務與與身份管管理目錄服務可可以提供供對身份份信息的的中心存存儲，身身份管理理可以提提供對身身份信息息的中心心管理。部部分產商商將目錄錄服務和和身份

58、管管理統(tǒng)稱稱身份管管理。目錄服務與與身份管管理的功功能可以以分為三三個子塊塊，即1、存儲子子模塊即目錄服務務模塊。2、同步子子模塊即元目錄，或或動態(tài)用用戶管理理（Usser Proovissionningg）模塊塊。3、管理子子模塊包括針對管管理員的的分權管管理模塊塊，針對對用戶的的自服務務模塊，即即基礎的的工作流流模塊。如下圖所示示：目錄服務與與身份管管理的子子功能模模塊認證管理認證管理提提供對認認證信息息和認證證過程的的統(tǒng)一管管理。認證管理的的功能可可以分為為四個子子塊，即即：1、存儲子子模塊即認證信息息（如證證書、密密碼等）的的存儲，一一般采用用目錄服服務。2、證書管管理子模模塊提供對證

59、書書的生成成、存儲儲、發(fā)放放等功能能。3、認證子子模塊即認證引擎擎，實現現認證的的核心功功能通通過查詢詢認證信信息存儲儲并結合合有關策策略，驗驗證認證證申請的的合法性性。4、中心管管理子模模塊提供認證方方式的切切換、認認證優(yōu)先先級設置置、交叉叉認證等等功能。如下圖所示示：認證管理的的子功能能模塊訪問管理訪問管理提提供對訪訪問各類類系統(tǒng)資資源的統(tǒng)統(tǒng)一管理理。訪問管理的的功能可可以分為為三個子子塊，即即：1、存儲子子模塊即政策信息息（即訪訪問控制制規(guī)則）的的統(tǒng)一存存儲，一一般采用用目錄服服務。2、授權子子模塊是訪問管理理的核心心模塊，受受理授權權申請，通通過查閱閱政策信信息存儲儲并結合合有關策策略

60、，決決定訪問問者應具具有的訪訪問權限限，并將將此信息息傳遞給給資源控控制器（即即代理子子模塊）。3、代理子子模塊即資源控制制器。在在不同的的系統(tǒng)資資源上設設置代理理控制，以以實現對對系統(tǒng)資資源的訪訪問管理理。如下圖所示示：訪問管理的的子功能能模塊總體架構基于中國石石油的實實際需求求和基本本設計原原則，結結合認證證與授權權技術發(fā)發(fā)展的趨趨勢，可可以給出出以下中中國石油油認證與與授權管管理總體體架構：中國石油認認證與授授權管理理總體架架構說明：目錄服務系系統(tǒng)是架架構的基基礎模塊塊。缺乏乏目錄服服務，將將無法有有效支持持身份管管理、認認證管理理和訪問問管理。身份管理系系統(tǒng)是實實現不同同應用的的身份存