統(tǒng)一身份認(rèn)證項(xiàng)目建設(shè)說明書

統(tǒng)一身份認(rèn)證項(xiàng)目建設(shè)說明書目錄TOC\o"1-5"\h\z\o"CurrentDocument"第一章.概述 3第二章.項(xiàng)目內(nèi)容 .6整體邏輯架構(gòu)圖 17統(tǒng)一訪問控制平臺(tái)邏輯結(jié)構(gòu) 17統(tǒng)一身份管理平臺(tái)邏輯結(jié)構(gòu) 18流程示意圖 20\o"CurrentDocument"第三章. 項(xiàng)目實(shí)施計(jì)劃 21第一章.概述1.1.項(xiàng)目名稱集團(tuán)統(tǒng)一身份認(rèn)證項(xiàng)目1.2.項(xiàng)目背景隨著近年集團(tuán)信息化的深入建設(shè)，應(yīng)用系統(tǒng)的數(shù)量不斷增加，用戶數(shù)量快速增長，目前集團(tuán)旗下企業(yè)員工總數(shù)已過萬，用戶管理存在的安全和效率等問題越發(fā)突出。從安全角度來看，沒有形成全集團(tuán)的統(tǒng)一用戶安全策略，用戶信息和員工信息沒有形成有效關(guān)聯(lián)；從業(yè)務(wù)角度來看，用戶管理流程、制度、規(guī)則不完全統(tǒng)一，用戶雖然實(shí)現(xiàn)單點(diǎn)登錄，但是認(rèn)證的安全性不高；從架構(gòu)角度來看，迫切需要通過建設(shè)相應(yīng)的標(biāo)準(zhǔn)體系來規(guī)范未來各應(yīng)用系統(tǒng)的建設(shè)，解決全集團(tuán)信息化資產(chǎn)的統(tǒng)一訪問策略和統(tǒng)一訪問控制問題。應(yīng)用賬號(hào)管理方面，賬號(hào)管理是由各業(yè)務(wù)部門獨(dú)自手工管理，未與人力資源系統(tǒng)聯(lián)動(dòng)。在員工崗位變化、調(diào)動(dòng)或離職后，難以做到在每個(gè)應(yīng)用系統(tǒng)中都及時(shí)調(diào)整權(quán)限，禁用或注銷其用戶賬號(hào)，從而導(dǎo)致部分應(yīng)用系統(tǒng)長期存在著一些無人使用的“幽靈”賬號(hào)，成為不可忽視的全隱患。這種孤島式的用戶和權(quán)限管理模式也造成信息安全審計(jì)的困難。由于IT員工數(shù)量的限制，存在著諸如開發(fā)職責(zé)與運(yùn)維職責(zé)未分離，操作系統(tǒng)管理職責(zé)與應(yīng)用系統(tǒng)管理職責(zé)未分離的情況。這類情況給核心系統(tǒng)帶來了嚴(yán)重的安全隱患。業(yè)務(wù)數(shù)據(jù)安全方面，業(yè)務(wù)部門對(duì)業(yè)務(wù)信息的歸屬和管理方面一直存在著所有權(quán)和管理權(quán)不清、權(quán)利業(yè)務(wù)不清、管理職責(zé)不清的問題，特別是跨部門流程或非經(jīng)常性流程中涉及到的信息資產(chǎn)，存在職責(zé)不清問題。有些公司存在著應(yīng)用系統(tǒng)用戶權(quán)限的授予并未遵守最小權(quán)限原則，造成訪問權(quán)限過大的情況，且未建立或嚴(yán)格執(zhí)行系統(tǒng)訪問權(quán)限定期審核清理制度。應(yīng)用系統(tǒng)用戶的口令策略上也存在著一定的問題，如使用弱口令等。上述問題都可以通過建立一個(gè)統(tǒng)一集中、完善有效、持續(xù)運(yùn)作的統(tǒng)一身份安全管理平臺(tái)來有效改善。從用戶角度來講，每個(gè)用戶只需一個(gè)用戶名，一個(gè)密碼即可訪問所有其擁有訪問權(quán)限的業(yè)務(wù)系統(tǒng)的目的；從管理的角度講，可在統(tǒng)一平臺(tái)上實(shí)現(xiàn)對(duì)用戶的身份生命周期管理，認(rèn)證與授權(quán)管理，以及集中審計(jì)?，F(xiàn)就該平臺(tái)如何能夠有效提升公司的企業(yè)信息化管理水平，降低管理中的安全隱患問題，從而達(dá)到更加有效、安全地支撐業(yè)務(wù)的長遠(yuǎn)發(fā)展做概要性說明。因此，集團(tuán)需要通過建立統(tǒng)一身份安全管理平臺(tái)，實(shí)現(xiàn)對(duì)用戶身份全生命周期的集中控制，改善用戶體驗(yàn)，促進(jìn)應(yīng)用系統(tǒng)的賬號(hào)管理規(guī)范化和標(biāo)準(zhǔn)化。統(tǒng)一身份安全管理平臺(tái)是集團(tuán)應(yīng)用整合架構(gòu)中的基礎(chǔ)項(xiàng)目。其基礎(chǔ)性在于它所整合的是任何應(yīng)用系統(tǒng)中最基礎(chǔ)的元素一一用戶。與小型企業(yè)不同，對(duì)用戶的整合管理能為集團(tuán)帶來IT管理上的巨大收益。統(tǒng)一身份安全管理平臺(tái)作為主數(shù)據(jù)系統(tǒng)的拓展平臺(tái)，建議項(xiàng)目實(shí)施期間優(yōu)先考慮接入集成后效果最為顯著的應(yīng)用，即用戶多、影響大的集團(tuán)類應(yīng)用（總部應(yīng)用），例如資金管理系統(tǒng)、ERP系統(tǒng)、門戶系統(tǒng)、HR系統(tǒng)等，對(duì)于新建的應(yīng)用按照集成規(guī)范也優(yōu)先考慮接入。對(duì)于面臨升級(jí)的應(yīng)用以及用戶量少且僅限于部門內(nèi)部使用的應(yīng)用，則建議暫緩接入。項(xiàng)目實(shí)施可按分批分次的策略進(jìn)行實(shí)施接入，逐步的擴(kuò)大應(yīng)用范圍。1.3.總體目標(biāo)建立全集團(tuán)用戶身份管理體系，實(shí)現(xiàn)用戶的全生命周期管理通過和人力資源系統(tǒng)接駁，當(dāng)人力資源系統(tǒng)進(jìn)行員工調(diào)崗、離職等人事事件操作時(shí)候，系統(tǒng)將會(huì)對(duì)用戶名下的應(yīng)用訪問權(quán)限進(jìn)行門戶推送，由原部門負(fù)責(zé)人審核是否保留相應(yīng)權(quán)限，由相應(yīng)系統(tǒng)管理員執(zhí)行。例如：權(quán)限禁用或保留等。建立全集團(tuán)應(yīng)用的統(tǒng)一訪問入口，實(shí)現(xiàn)用戶方便快捷的應(yīng)用訪問門戶平臺(tái)將會(huì)提供全集團(tuán)應(yīng)用的統(tǒng)一訪問入口，用戶認(rèn)證成功后將可通過該入口訪問其有權(quán)訪問的各類應(yīng)用系統(tǒng)，同時(shí)應(yīng)用系統(tǒng)間實(shí)現(xiàn)安全可靠的單點(diǎn)登錄功能，現(xiàn)需實(shí)現(xiàn)對(duì)附件25套列表系統(tǒng)進(jìn)行單點(diǎn)登錄。建立多安全級(jí)別的認(rèn)證系統(tǒng)，實(shí)現(xiàn)用戶訪問應(yīng)用的安全保障門戶應(yīng)該具備多種安全級(jí)別的認(rèn)證方式，應(yīng)用將根據(jù)各自的安全強(qiáng)度要求選擇相應(yīng)的認(rèn)證方式級(jí)別，以此來保障高安全級(jí)別業(yè)務(wù)系統(tǒng)的安全保護(hù)要求，實(shí)現(xiàn)高安全級(jí)別業(yè)務(wù)二次認(rèn)證，例如人臉等生物特質(zhì)手段。初步建立審計(jì)體系，實(shí)現(xiàn)以用戶為基點(diǎn)的應(yīng)用訪問審計(jì)平臺(tái)將會(huì)對(duì)用戶的應(yīng)用訪問權(quán)限進(jìn)行集中管理，同時(shí)對(duì)用戶的認(rèn)證及用戶的應(yīng)用訪問情況進(jìn)行記錄和審計(jì)，以此幫助管理人員快速了解集團(tuán)應(yīng)用體系的用戶訪問和使用情況，杜絕安全風(fēng)險(xiǎn)。第二章?項(xiàng)目內(nèi)容2.1.解決方案說明統(tǒng)一身份安全管理平臺(tái)的核心是通過建立一個(gè)集中的統(tǒng)一訪問控制和用戶身份管理平臺(tái)，實(shí)現(xiàn)用戶的統(tǒng)一認(rèn)證入口和應(yīng)用系統(tǒng)基于標(biāo)準(zhǔn)化管理流程的用戶賬戶與訪問控制的統(tǒng)一管理，并制定一套相應(yīng)的技術(shù)管理接口規(guī)范，為將來集團(tuán)業(yè)務(wù)進(jìn)一步壯大、新增應(yīng)用系統(tǒng)的建設(shè)提供統(tǒng)一的標(biāo)準(zhǔn)，為提升信息化管理水平與完善風(fēng)險(xiǎn)管控機(jī)制提供必要的基礎(chǔ)與保障。統(tǒng)一身份安全管理平臺(tái)項(xiàng)目建設(shè)的主要目標(biāo)包括5個(gè)方面：1、 完成集團(tuán)內(nèi)各系統(tǒng)的權(quán)限列表信息統(tǒng)計(jì)，通過BI查看展示。2、 在現(xiàn)有單點(diǎn)登錄基礎(chǔ)上，實(shí)現(xiàn)資金管理等系統(tǒng)進(jìn)行人臉識(shí)別二次認(rèn)證。3、 實(shí)現(xiàn)集團(tuán)內(nèi)人員崗位或部門組織發(fā)生變動(dòng)時(shí)，通過門戶推送消息告知原部門負(fù)責(zé)人，變動(dòng)人員現(xiàn)有權(quán)限列表信息，將各系統(tǒng)中現(xiàn)存權(quán)限在門戶流程中展示，并在部門負(fù)責(zé)人確認(rèn)后通知涉及系統(tǒng)管理員。4、 單點(diǎn)登錄各系統(tǒng)訪問日志管理，對(duì)訪問時(shí)間、MAC和IP進(jìn)行記錄。5、 對(duì)未進(jìn)入門戶實(shí)現(xiàn)單點(diǎn)登錄的系統(tǒng)進(jìn)行改造，實(shí)現(xiàn)25套系統(tǒng)的單點(diǎn)登錄。22項(xiàng)目建設(shè)規(guī)劃統(tǒng)一身份安全管理平臺(tái)將打破資金管理系統(tǒng)、門戶系統(tǒng)、ERP系統(tǒng)等系統(tǒng)獨(dú)自進(jìn)行認(rèn)證和賬號(hào)管理的格局，建立統(tǒng)一的認(rèn)證和賬號(hào)管理。在實(shí)際建設(shè)的過程中，將根據(jù)總體規(guī)劃定目標(biāo)、分布實(shí)施定效益的原則進(jìn)行建設(shè)。2?3.需求分析統(tǒng)一身份安全管理平臺(tái)的建設(shè)應(yīng)該實(shí)現(xiàn)集團(tuán)的門戶系統(tǒng)、郵件系統(tǒng)、人力資源系統(tǒng)等應(yīng)用系統(tǒng)的用戶身份信息統(tǒng)一供應(yīng)、統(tǒng)一存儲(chǔ)、統(tǒng)一認(rèn)證及審計(jì)管理等功能，并根據(jù)統(tǒng)一身份和認(rèn)證業(yè)務(wù)的特點(diǎn)進(jìn)行相應(yīng)的制度和規(guī)范的建設(shè)，以形成保障集團(tuán)業(yè)務(wù)用戶身份和賬號(hào)安全的完整體系，因此平臺(tái)的建設(shè)需滿足以下需求：2.3.1業(yè)務(wù)功能需求一一這部分太復(fù)雜，簡單描述即可。2.3.1.1,身份管理功能需求通過門戶統(tǒng)一身份平臺(tái)的搭建，實(shí)現(xiàn)從統(tǒng)一身份源將用戶的信息基于工作流自動(dòng)供應(yīng)（或者同步）至其他應(yīng)用系統(tǒng)中。提供集團(tuán)應(yīng)用系統(tǒng)的身份（或者同步）管理，可以靈活定義如訪問授權(quán)的審批流程等工作流，其管理策略、工作流和賬號(hào)記錄等數(shù)據(jù)都將存儲(chǔ)于數(shù)據(jù)庫中。具體需求如下：實(shí)現(xiàn)統(tǒng)一管理應(yīng)用系統(tǒng)的用戶類型賬戶，包括內(nèi)部職員、其他用戶、移動(dòng)App用戶等用戶類型；?建立集中用戶身份信息庫，收集、篩選所有系統(tǒng)的用戶屬性信息，做到用戶身份信息聚合；?構(gòu)建符合某集團(tuán)業(yè)務(wù)管理模式的用戶賬戶管理流程，為各應(yīng)用系統(tǒng)提供身份供應(yīng)；結(jié)合組織機(jī)構(gòu)調(diào)整、新進(jìn)職員等人事業(yè)務(wù)實(shí)現(xiàn)統(tǒng)一組織機(jī)構(gòu)和用戶賬戶信息全生命周期的實(shí)時(shí)管理；?實(shí)現(xiàn)用戶賬號(hào)與目標(biāo)系統(tǒng)的用戶身份同步功能，實(shí)現(xiàn)用戶管理的審計(jì)功能，提供用戶用戶修改、用戶賬號(hào)狀態(tài)變更、各類賬號(hào)的統(tǒng)計(jì)、各類操作的統(tǒng)計(jì)等審計(jì)報(bào)告；2.3.1.2用戶管理人員內(nèi)部調(diào)動(dòng)或組織機(jī)構(gòu)調(diào)整時(shí)，用戶權(quán)限推送預(yù)警；用戶行為審計(jì)，實(shí)時(shí)監(jiān)控用戶登錄行為。2.3.1.3身份認(rèn)證及單點(diǎn)登錄需求隨著業(yè)務(wù)的發(fā)展，應(yīng)用越來越多，種類越來越復(fù)雜，因此統(tǒng)一身份安全管理平臺(tái)需在提供多種集成方式的基礎(chǔ)上提供對(duì)多種強(qiáng)認(rèn)證方式的支持?jǐn)U展，包括證書、動(dòng)態(tài)口令、指紋識(shí)別等，以保證用戶統(tǒng)一登錄的安全。通過統(tǒng)一訪問控制平臺(tái)的建立，各應(yīng)用系統(tǒng)實(shí)現(xiàn)用戶統(tǒng)一認(rèn)證、單點(diǎn)登錄。要能夠提供統(tǒng)一的認(rèn)證方式和認(rèn)證等級(jí)的管理；提供與認(rèn)證相關(guān)的統(tǒng)一的認(rèn)證策略，以滿足不同系統(tǒng)認(rèn)證服務(wù)的業(yè)務(wù)規(guī)則的需要。具體需求點(diǎn)如下：?實(shí)現(xiàn)不同應(yīng)用系統(tǒng)之間的單點(diǎn)登錄和單點(diǎn)登出；針對(duì)關(guān)鍵應(yīng)用系統(tǒng)，同時(shí)使用統(tǒng)一認(rèn)證及本系統(tǒng)提供的認(rèn)證兩種方式，保證在統(tǒng)一用戶管理和認(rèn)證平臺(tái)失效的情況下，應(yīng)用系統(tǒng)的正常使用；要求訪問控制平臺(tái)能夠做到訪問控制、完善的監(jiān)控審計(jì)、日志報(bào)送、支持分權(quán)管理、完全的網(wǎng)絡(luò)兼容性和應(yīng)用兼容性、及自身的高安全性；對(duì)已整合的應(yīng)用，提供界面友好的應(yīng)用統(tǒng)一入口；能夠?qū)崿F(xiàn)不同類型的應(yīng)用系統(tǒng)的接入，包括易于改造接入的應(yīng)用系統(tǒng)、不易于改造的應(yīng)用系統(tǒng)和不能改造的應(yīng)用系統(tǒng)的改造接入；2.3.1.4支持多種認(rèn)證方式統(tǒng)一身份安全管理平臺(tái)提供主流的多種認(rèn)證類型和模塊，例如靜態(tài)密碼+人臉識(shí)別。2.3.1.5權(quán)限管理需求應(yīng)用系統(tǒng)的權(quán)限通常分為賬號(hào)權(quán)限和業(yè)務(wù)權(quán)限兩大類。賬號(hào)權(quán)限指用戶具有訪問應(yīng)用系統(tǒng)的登錄賬號(hào)，業(yè)務(wù)權(quán)限則為用戶所擁有的與應(yīng)用相關(guān)的細(xì)粒度權(quán)限，例如應(yīng)用系統(tǒng)角色、功能權(quán)限、數(shù)據(jù)權(quán)限等，業(yè)務(wù)權(quán)限決定了用戶登錄應(yīng)用系統(tǒng)之后能做的業(yè)務(wù)操作。在實(shí)現(xiàn)了應(yīng)用單點(diǎn)登錄和賬號(hào)統(tǒng)一管理的基礎(chǔ)上，并提供角色挖掘、權(quán)限互斥、審計(jì)報(bào)表等服務(wù)。具體需求如下：通過統(tǒng)一的授權(quán)界面顯著提高業(yè)務(wù)應(yīng)用系統(tǒng)的賬戶授權(quán)的時(shí)效性和準(zhǔn)確性，從而增強(qiáng)系統(tǒng)安全性；對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)的權(quán)限進(jìn)行集中梳理，實(shí)現(xiàn)更精準(zhǔn)的權(quán)限預(yù)警和控制；對(duì)訪問內(nèi)容和授權(quán)操作進(jìn)行詳細(xì)的跟蹤審計(jì)，并提供完整的報(bào)表，從而強(qiáng)化合規(guī)性；建立用戶權(quán)限庫，實(shí)時(shí)可對(duì)用戶各系統(tǒng)權(quán)限狀況進(jìn)行查詢。2.3.1.7集中審計(jì)需求根據(jù)政策安全要求，統(tǒng)一身份安全管理平臺(tái)需要具備相關(guān)的審計(jì)功能，對(duì)用戶管理和訪問控制中的關(guān)鍵流程、操作進(jìn)行審計(jì)。2.3.1.8賬號(hào)管理審計(jì)需求由于目前人力資源系統(tǒng)、門戶系統(tǒng)、郵件系統(tǒng)等應(yīng)用系統(tǒng)的賬號(hào)為各應(yīng)用系統(tǒng)獨(dú)立建立、維護(hù)，沒有進(jìn)行統(tǒng)一管理，用戶在系統(tǒng)中的賬號(hào)無法與實(shí)際用戶相關(guān)聯(lián)的情況普遍存在。例如有的用戶由于崗位變動(dòng)，實(shí)際已經(jīng)不需要此系統(tǒng)權(quán)限，但在系統(tǒng)中未及時(shí)回收；或者某用戶離職，但其應(yīng)用系統(tǒng)賬號(hào)未及時(shí)刪除，導(dǎo)致這些用戶仍能訪問應(yīng)用系統(tǒng)中的核心數(shù)據(jù)，從而帶來嚴(yán)重的安全隱患。為此，統(tǒng)一身份安全管理平臺(tái)在賬號(hào)管理安全方面須滿足對(duì)不合規(guī)賬號(hào)進(jìn)行管理和審計(jì)。賬號(hào)合規(guī)檢查需求統(tǒng)一身份安全管理平臺(tái)支持對(duì)應(yīng)用系統(tǒng)賬號(hào)進(jìn)行合規(guī)性審查，賬號(hào)合規(guī)性審查應(yīng)支持以下功能：檢測(cè)應(yīng)用系統(tǒng)子賬號(hào)總數(shù)；檢測(cè)應(yīng)用系統(tǒng)已綁定賬號(hào)數(shù)；檢測(cè)活動(dòng)賬號(hào)和非活動(dòng)賬號(hào)；檢查賬號(hào)信息與統(tǒng)一身份安全管理平臺(tái)中用戶信息的一致性。?安全審計(jì)需求根據(jù)安全要求，統(tǒng)一身份安全管理平臺(tái)需要具備相關(guān)的審計(jì)功能，對(duì)用戶管理和訪問控制中的關(guān)鍵流程、操作進(jìn)行審計(jì)，具體需求如下：?審計(jì)應(yīng)覆蓋到用戶管理與訪問控制的每個(gè)環(huán)節(jié)；審計(jì)應(yīng)記錄應(yīng)用系統(tǒng)重要的安全相關(guān)事件，包括重要用戶行為、系統(tǒng)資源的異常使用、授權(quán)操作、重要系統(tǒng)功能的執(zhí)行和賬號(hào)、用戶數(shù)據(jù)及組織架構(gòu)的變更等；?相關(guān)事件的記錄應(yīng)包括日期和時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)、IP、mac等等；?建立綜合審計(jì)展示視圖，將審計(jì)信息進(jìn)行集中展現(xiàn)和展示，根據(jù)記錄數(shù)據(jù)進(jìn)行分析，可生成審計(jì)報(bào)表，并對(duì)特定事件，提供指定方式的報(bào)警；?單獨(dú)設(shè)置安全審計(jì)管理員角色，使其與管理權(quán)限完全獨(dú)立；?對(duì)管理員實(shí)現(xiàn)基于角色的最小化授權(quán)，不同的管理員只能查詢到自己管轄的應(yīng)用系統(tǒng)范圍的日志訪問信息；?在審計(jì)日志記錄上，要求所有日志按照標(biāo)準(zhǔn)結(jié)構(gòu)化數(shù)據(jù)記錄，便于審計(jì)。2.3.1.2.制度與規(guī)范建設(shè)需求為了規(guī)范應(yīng)用的接入流程，增強(qiáng)平臺(tái)的易用性與安全性，同時(shí)降低運(yùn)維和管理的成本，應(yīng)形成與統(tǒng)一身份安全管理平臺(tái)對(duì)應(yīng)的“應(yīng)用接入和集成規(guī)范”、“賬號(hào)管理流程和辦法“安全標(biāo)準(zhǔn)和接口規(guī)范”和“系統(tǒng)運(yùn)維管理制度”：應(yīng)用接入和集成規(guī)范一一主要指導(dǎo)應(yīng)用如何與統(tǒng)一身份安全管理平臺(tái)進(jìn)行集成。?用戶和賬號(hào)管理流程和辦法一一規(guī)范在統(tǒng)一身份安全管理平臺(tái)上管理賬號(hào)的流程，通過技術(shù)手段支撐賬號(hào)管理的工作。制定用戶信息管理規(guī)范，建立用戶信息統(tǒng)一編碼體系，采用規(guī)范的編碼的方式注冊(cè)。?角色權(quán)限規(guī)范一一為平臺(tái)定義不同的角色，制定統(tǒng)一角色命名標(biāo)準(zhǔn)和規(guī)范，制定統(tǒng)一權(quán)限命名管理規(guī)范。?安全標(biāo)準(zhǔn)和接口規(guī)范一一為賬號(hào)管理、認(rèn)證、訪問控制、單點(diǎn)系統(tǒng)運(yùn)維管理制度一一從操作系統(tǒng)到應(yīng)用系統(tǒng)的運(yùn)維管理制度、方法以及相關(guān)系統(tǒng)和數(shù)據(jù)的備份、監(jiān)控方法。滿足《接口集成標(biāo)準(zhǔn)》要求。滿足《主數(shù)據(jù)標(biāo)準(zhǔn)》要求。2.3.1.3,用戶認(rèn)證支持平臺(tái)支持用戶名/密碼認(rèn)證：即支持應(yīng)用系統(tǒng)基于統(tǒng)一的用戶名/密碼實(shí)現(xiàn)滿足安全要求的用戶身份認(rèn)證，可以按需設(shè)置密碼長度、復(fù)雜度，支持強(qiáng)制要求對(duì)密碼進(jìn)行定期修改，同時(shí)支持在設(shè)定的時(shí)間和密碼嘗試次數(shù)后，可啟用賬號(hào)自動(dòng)鎖定策略；支持多因素認(rèn)證，包括支持CA、人臉識(shí)別的認(rèn)證方式集成；支持對(duì)登錄認(rèn)證信息在生成、傳輸和存儲(chǔ)等環(huán)節(jié)的安全保密，有效防止篡改、重放等攻擊。2.3.1.4.網(wǎng)絡(luò)需求支持分布式部署和管理，包括分布式部署以及該部署下的配置、監(jiān)控、審計(jì)等；支持IE11、Chrome、360等多種瀏覽器；需要保證系統(tǒng)安全穩(wěn)定，提供軟硬件解決方案。對(duì)于接入辦公網(wǎng)絡(luò)的電腦，可以訪問所有業(yè)務(wù)應(yīng)用和外網(wǎng)。通過wifi網(wǎng)絡(luò)接入的筆記本、手機(jī)等設(shè)備，需要對(duì)業(yè)務(wù)入口進(jìn)行權(quán)限控制和權(quán)限管理。通過不同入口進(jìn)入網(wǎng)絡(luò)的設(shè)備，能訪問的效果不同。擴(kuò)展性要求平臺(tái)的設(shè)計(jì)應(yīng)采用分層的模塊化結(jié)構(gòu)，以達(dá)到設(shè)置修改靈活，擴(kuò)充方便，適應(yīng)業(yè)務(wù)的發(fā)展變化。軟、硬件平臺(tái)應(yīng)具有良好的可擴(kuò)展能力，能夠方便地進(jìn)行系統(tǒng)升級(jí)和更新，以適應(yīng)各種不同業(yè)務(wù)的不斷發(fā)展。平臺(tái)的數(shù)據(jù)庫、應(yīng)用軟件、認(rèn)證模塊可以靈活的集中或分散部署，并且可以實(shí)現(xiàn)負(fù)載均衡對(duì)外提供服務(wù)。容災(zāi)備份要求本項(xiàng)目技術(shù)方案設(shè)計(jì)應(yīng)包含災(zāi)備系統(tǒng)中統(tǒng)一用戶安全管理平臺(tái)的設(shè)計(jì)，待條件成熟時(shí)可依據(jù)方案進(jìn)行實(shí)施。性能需求統(tǒng)一身份安全管理平臺(tái)是門戶系統(tǒng)、ERP系統(tǒng)、人力資源系統(tǒng)等應(yīng)用系統(tǒng)用戶身份認(rèn)證和用戶身份信息管理的基礎(chǔ)性平臺(tái)，需要高可靠性、穩(wěn)定性的網(wǎng)絡(luò)交換系統(tǒng)、服務(wù)器存儲(chǔ)系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用中間件等軟硬件支撐系統(tǒng)作為支撐。支撐系統(tǒng)的性能需求包括：可靠性需求。系統(tǒng)應(yīng)保障7*24小時(shí)可用；系統(tǒng)響應(yīng)時(shí)間應(yīng)能滿足各類不同應(yīng)用的時(shí)效性要求；系統(tǒng)保障對(duì)數(shù)據(jù)存儲(chǔ)量、數(shù)據(jù)處理量和數(shù)據(jù)吞吐量需求的有效支撐;系統(tǒng)滿足對(duì)數(shù)據(jù)的完整性、一致性、真實(shí)性等數(shù)據(jù)質(zhì)量的要求；系統(tǒng)能夠平穩(wěn)地實(shí)現(xiàn)存儲(chǔ)、管理、同步等操作。用戶和賬號(hào)的管理可以實(shí)現(xiàn)準(zhǔn)實(shí)時(shí)，即在完成所有的審批流程之后，可以在第一時(shí)間完成在各個(gè)系統(tǒng)的賬號(hào)部署；應(yīng)該能夠在用戶量有較大增加的情況下，動(dòng)態(tài)地?cái)U(kuò)展認(rèn)證服務(wù)器群，從而滿足對(duì)認(rèn)證請(qǐng)求的性能要求。2.3.2.安全需求統(tǒng)一身份安全管理平臺(tái)按照信息安全系統(tǒng)標(biāo)準(zhǔn)建立。在集團(tuán)整體信息安全框架內(nèi)，統(tǒng)一身份安全管理平臺(tái)遵循統(tǒng)一的信息安全管理相關(guān)策略、制度，在物理安全、應(yīng)用安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全和主機(jī)安全等基礎(chǔ)性安全建設(shè)內(nèi)容基礎(chǔ)上，在應(yīng)用系統(tǒng)身份鑒別、訪問控制、關(guān)鍵操作抗抵賴、通信安全、剩余信息保護(hù)和資源控制等方面加強(qiáng)安全保護(hù)，最終實(shí)現(xiàn)業(yè)務(wù)安全的目標(biāo)。具體安全需求如下：系統(tǒng)安全要求由于統(tǒng)一身份安全管理平臺(tái)處于用戶數(shù)據(jù)管理的核心位置，必須保證其自身系統(tǒng)的安全性。統(tǒng)一身份安全管理平臺(tái)在設(shè)計(jì)過程中的內(nèi)部流程、開發(fā)規(guī)范、接口規(guī)范必須符合企業(yè)相關(guān)的安全規(guī)范和安全要求；統(tǒng)一身份安全管理平臺(tái)必須采用安全的操作系統(tǒng)和應(yīng)用軟件，根據(jù)需要對(duì)主機(jī)操作系統(tǒng)進(jìn)行定期安全加固；統(tǒng)一身份安全管理平臺(tái)在設(shè)計(jì)中，應(yīng)避免不必要的信任關(guān)系，盡量使高安全級(jí)別的系統(tǒng)訪問低安全級(jí)別系統(tǒng)，避免存在一定安全隱患的系統(tǒng)將風(fēng)險(xiǎn)轉(zhuǎn)移到高優(yōu)先級(jí)的系統(tǒng)。數(shù)據(jù)安全要求統(tǒng)一身份安全管理平臺(tái)的數(shù)據(jù)生成、存儲(chǔ)、使用必須是符合企業(yè)相關(guān)的安全規(guī)范，有明確的數(shù)據(jù)安全訪問、存儲(chǔ)、備份機(jī)制；統(tǒng)一身份安全管理平臺(tái)中的敏感性數(shù)據(jù)，如用戶信息、密碼信息、審計(jì)信息等支持加密方式存儲(chǔ)。加密算法的類型必須考慮與其他身份管理模塊之間的配合通信。2?4.總體建設(shè)方案統(tǒng)一身份安全管理平臺(tái)是在已具備一定IT規(guī)模的情況下，對(duì)全集團(tuán)IT系統(tǒng)的用戶管理實(shí)施基礎(chǔ)性的改造，其主體工作不僅包括建立統(tǒng)一訪問控制平臺(tái)，再造用戶管理流程，為新應(yīng)用系統(tǒng)提供標(biāo)準(zhǔn)化的用戶管理服務(wù)，同時(shí)還包括對(duì)原有應(yīng)用系統(tǒng)的改造。通過訪問控制平臺(tái)的建立，對(duì)應(yīng)用系統(tǒng)的訪問進(jìn)行了整合，建立集中的認(rèn)證管理機(jī)制，面向全集團(tuán)提供集中的認(rèn)證管理服務(wù)?？商峁┙y(tǒng)一的認(rèn)證方式和認(rèn)證等級(jí)的管理；不同認(rèn)證方式下的不同種類的認(rèn)證憑證管理（靜態(tài)口令、生物特征等），包括認(rèn)證憑證的完整生命周期管理和用戶使用認(rèn)證憑證的管理流程；提供與認(rèn)證相關(guān)的統(tǒng)一的認(rèn)證策略，以滿足不同系統(tǒng)認(rèn)證服務(wù)的業(yè)務(wù)規(guī)則的需要。因此，統(tǒng)一身份安全管理平臺(tái)項(xiàng)目計(jì)劃實(shí)現(xiàn)在全集團(tuán)信息系統(tǒng)范

圍內(nèi)打破各系統(tǒng)獨(dú)自進(jìn)行用戶管理和訪問權(quán)限控制的格局，建立統(tǒng)一的用戶管理、認(rèn)證管理，從而實(shí)現(xiàn)用戶的統(tǒng)一身份管理、統(tǒng)一認(rèn)證及單點(diǎn)登錄。結(jié)合當(dāng)前現(xiàn)狀以及同業(yè)類似項(xiàng)目的建設(shè)經(jīng)驗(yàn)，本著從全局、成體系。建立統(tǒng)一身份安全管理平臺(tái)，為應(yīng)用系統(tǒng)提供標(biāo)準(zhǔn)化的認(rèn)證服務(wù)和用戶管理，并完成典型應(yīng)用系統(tǒng)的用戶管理集成工作；實(shí)現(xiàn)權(quán)限預(yù)警、事中報(bào)警、事后追蹤。實(shí)現(xiàn)全面應(yīng)用推廣，主要是面向所有應(yīng)用系統(tǒng)進(jìn)行用戶管理集成工作。整體解決方案架構(gòu)圖如下：~用戶身份管理 用戶峰改口令、口令重用戶』螃全生命周期管理~用戶管理審計(jì)（含HR~用戶身份管理 用戶峰改口令、口令重用戶』螃全生命周期管理~用戶管理審計(jì)（含HR未在冊(cè)用戶） 置'隹息修改 C申謂、審批、創(chuàng)建一關(guān)閉）（身份朝管理）用戶管理I 授權(quán)箕理r郵件系統(tǒng)? /滑湛門戶系統(tǒng) 皿系統(tǒng) 財(cái)務(wù)系統(tǒng) —2?5.整體邏輯架構(gòu)總體邏輯架構(gòu)用戶認(rèn)江旦蜩一與帽蘭蘭管迫平呂認(rèn)證交互集團(tuán)公司總部單點(diǎn)登錄人口=纜一訪問控制旦旦旦旦旦旦旦旦旦旦焰痙就占謁原更女冬序紐昭束綻立告束場(chǎng)翊博a二丟點(diǎn)組蛭務(wù)囊場(chǎng)立務(wù)博a2?5.整體邏輯架構(gòu)總體邏輯架構(gòu)用戶認(rèn)江旦蜩一與帽蘭蘭管迫平呂認(rèn)證交互集團(tuán)公司總部單點(diǎn)登錄人口=纜一訪問控制旦旦旦旦旦旦旦旦旦旦焰痙就占謁原更女冬序紐昭束綻立告束場(chǎng)翊博a二丟點(diǎn)組蛭務(wù)囊場(chǎng)立務(wù)博a心賓條.教廂步$段曜管理成員企業(yè)數(shù)據(jù)勉據(jù)月步甚礎(chǔ)曜蓉三致朔EE三器旦u殖絨―身掘1統(tǒng)-認(rèn)證庫統(tǒng)一用戶管理某分公司L:I1盯1I某時(shí)司"I3一:官:I某分S同S；HTE旺雷整體邏輯架構(gòu)圖2.5.1.統(tǒng)一訪問控制平臺(tái)邏輯結(jié)構(gòu)統(tǒng)一訪問控制平臺(tái)的目的是解決用戶訪問內(nèi)部各應(yīng)用系統(tǒng)的統(tǒng)一認(rèn)證，保證應(yīng)用系統(tǒng)的安全性，并實(shí)現(xiàn)單點(diǎn)登錄功能，給最終用戶訪問各業(yè)務(wù)應(yīng)用系統(tǒng)提供良好的體驗(yàn)。訪問管理平臺(tái)能夠根據(jù)各域的安全級(jí)別要求，以及不同應(yīng)用系統(tǒng)的安全等級(jí)，定義不同的認(rèn)證方式。統(tǒng)一訪問控制平臺(tái)包括以下邏輯組件：認(rèn)證及單點(diǎn)登錄服務(wù)即訪問管理服務(wù)器，為應(yīng)用訪問提供認(rèn)證和授權(quán)控制。作為服務(wù)端，接收所有應(yīng)用端的訪問請(qǐng)求、產(chǎn)生和校驗(yàn)相應(yīng)的SSOToken,并保證與各應(yīng)用間的安全通訊。同時(shí)認(rèn)證及單點(diǎn)登錄服務(wù)可以通過相應(yīng)接口與各種認(rèn)證方式的服務(wù)進(jìn)行對(duì)接，例如動(dòng)態(tài)口令服務(wù)、指紋服務(wù)等，以提供給應(yīng)用系統(tǒng)不同安全強(qiáng)度的認(rèn)證方式服務(wù)。統(tǒng)一應(yīng)用訪問入口即集中的應(yīng)用展示面板，為訪問應(yīng)用提供統(tǒng)一的實(shí)現(xiàn)單點(diǎn)登錄和單點(diǎn)登出的登錄界面和退出界面，包括強(qiáng)認(rèn)證入口。同時(shí)，提供自服務(wù)界面，如SSO應(yīng)用列表、密碼修改、密碼重置、個(gè)人資料修改等服務(wù)，其中，密碼修改、密碼重置和個(gè)人資料修改將通過調(diào)用統(tǒng)一身份管理平臺(tái)的接口實(shí)現(xiàn)。統(tǒng)一應(yīng)用訪問入口部署在單獨(dú)的服務(wù)器上。2.5.2.統(tǒng)一身份管理平臺(tái)邏輯結(jié)構(gòu)搭建統(tǒng)一身份管理平臺(tái)的目的是解決公司內(nèi)部各應(yīng)用系統(tǒng)的統(tǒng)一身份管理，其內(nèi)部用戶身份來源于人事系統(tǒng)，通過在統(tǒng)一身份管理平臺(tái)自動(dòng)將用戶帳號(hào)權(quán)限信息列表發(fā)送原部門負(fù)責(zé)人預(yù)警，并在審批后由相應(yīng)管理員進(jìn)行下一步操作。結(jié)合統(tǒng)一身份管理平臺(tái)結(jié)構(gòu)，詳細(xì)的設(shè)計(jì)包括三個(gè)層面，即展示層、服務(wù)層和目標(biāo)應(yīng)用層。分別說明如下：展示層

HRFifHRFif4陌■I3Jr'u用戶權(quán)限變更審批單H>FHWUM Tipwjwmhflrvivcaa■■躊通過門戶展現(xiàn)該用戶的現(xiàn)有權(quán)限等相關(guān)信息，展現(xiàn)部門負(fù)責(zé)人審批意見，通過查看更多權(quán)限可在彈窗中查看用戶全部系統(tǒng)權(quán)限。并可通過系統(tǒng)、角色進(jìn)行相應(yīng)檢索，權(quán)限列表直接從BI進(jìn)行查詢建立。服務(wù)層BI系統(tǒng)權(quán)限庫的核心層面，通過提取各系統(tǒng)數(shù)據(jù)庫SQL權(quán)限視圖信息，建立包括身份管理應(yīng)用服務(wù)和數(shù)據(jù)倉庫。寶毀君群原號(hào)1D0&G-OOGB1D096EREAER2341E51B1C6UQOOOJlffilBOOOOHO510rrprrrrprrrrrrarrerarrrrarra寶毀君群原號(hào)1D0&G-OOGB1D096EREAER2341E51B1C6UQOOOJlffilBOOOOHO510rrprrrrprrrrrrarrerarrrrarralui-deujee日eeeefeeeeeeujeeeeeeeeeIC123JUE&7&9Q123^U&&7B4-D123!4-yl111111111227^2^-2222^-3.J33->膏元4母ssni菱羹尊二：K55s-.H-S5s#4X理五茸菱4X境UU.Ul.h--lb--i.JJ-.ii.It--i.JJ>.i.J4-set.La-.1.d-HU.M1.-.h-.1.i>ii-.k-.i.JJ>.b.L-r1L61B1CE1B1&5U106理1C51&3132?3132?J132?31327*3273132*3132丁9566IB嫩W蟀］8gsesiE.132伍『13213213213212212H1231K

IVnl-IV-■-ODDMjD5I&ooocuiffim0MB10616aooojioaiB0MCO1K1&000031327aDDM31127OOOD313270001131327OMXOJ1327CHMXO3T327QDDU31127OOOZOiDOte0DCO11D1S50DCO31KI&6OiffiiMlCOaSaDH?10OB6ooa:oioo&&0TOM1D086￡斐￡北費(fèi)曹皆MU1曹曹皆雋玉王王王玉宙害容K&宙害華手字李李李朱朱先率未4=年弟更也用史*華華華華中0WM31.325此睇0&QCO31325?f|iSQKOJ31325就［00CCO3H的克眄0WCO31325蛛聰000011225喘:魅OOOi?3Tj25鴕晰QDCOJ31222不宇0001?31222高宇00003122Z高宇0MCO31222福學(xué)OflO?^222富字愁司倒色5按胡1州圖U牛KIBV-'SSESI總另哩LTF5-'食用'iTllTTEBSi司35&添型皆至山寶到城府巨科技有限世司EW云討苴中心w：g??，-直用財(cái)雖粉際M；L3J"5M：?LBW，牯耳中心ftEff|：.|；::L￡F.r1"■:開有山市手HSiftGl科技有職磐司EVi云計(jì)N中心島主任應(yīng)用升■友？！丘用對(duì)急置隋匿莊用產(chǎn)品LI：WWg'JF=<BW7.,T7.：...如???1"1;::、二'P?*(?*?g.*I.IT=>1r^Tl^lk.,-BWM+套中心副主任：_T\?1I7-■■r：山寶到墻唐巨料摘君限住司氏V長計(jì)苴由心職主任成四升法員莊用M3觀卑后其它U東孫誰；與林*七［?"-BWT/.K.：..-.|：.|；：：F.r,■|;-^|?\問*」T奇節(jié)土1!：■："7^\:-^11:：.7由占富件開家田五點(diǎn)開發(fā)l:.F-<T-,用■:?W7E卻H場(chǎng)山車?yán)裷:曰科疲有限笠司BW就汗開友用五坂并玄應(yīng)用開家員莊用對(duì)狼旌序M并妄1.1W注1：滬止"1BW牧件開意&I五國開炭._1；MII7■■L.H.--Adjnitttts科撞有限世司BW；w：F：五塌開密成用開發(fā)員玄用財(cái)命1芋陲際fflHSIt山京孫笙底皂秒按有眼曲?司牧律開震由五r1：f|：.|；：：F.r'IFIT八M件1!：■：^■■■!Ef?.F".?或件開溢田五煽開發(fā)1：.?亦*T-.千.?:￡?廿；三其它山車?yán)裷:且科技有眼兇司BW就汗開成即五坂外玄應(yīng)用開凌員莊用對(duì)ftlSfreEBS土？.??.打F；.?土|.|WEiWIF."-H^lE._liMli7■■山中到維憎E!科袖哲限把司SA^IE應(yīng)用升友克盤用NS■府早M山取牝墟信皂網(wǎng)枝有懼笠E腳件2HSteif1-r::，?r-I，..?yl￡f|;1;■'7：11牛眼 ■<BlMiji唇冬Si導(dǎo)論哩「.dE用'iffl!75山卒利據(jù)It目科技吾限於司EWKL.z---：=!EK-"FIE函件1.1:?龍；!:科虎H號(hào)二邸海H禮二受在3..::，■,._Ii<?I±7、?具E山索奸誼值G!科技有眼公司BVi'^KSssais應(yīng)肩升友艾丘用對(duì)#置甲匿EBS問題度淑目1W務(wù)山東牝埃It更料核噩細(xì)1_州ERFMW=；|；,|：：：、.rU?-KsiBV-ERPWIJtf13扳ERP系仙工匡師ET■：?li7：山承利撬rs且科技有限如司BWERPE??r：<.:rf溥低二堤師應(yīng)用開宏員莊用對(duì)象互盡庫應(yīng)用產(chǎn)品|.|版利喧；口上j.Fn.iSWERPELUtfEl堀ERF■買甌工檢待E!：<■?li-■:山市卻誰信聰科技有限磐司BViERPWS1^□■■■tRP/f.fr.fi應(yīng)用拜友員任用時(shí)咨置圈既fflffdj束到堆r:皂料枝有限史?司BWERPE'ffiS：n.T'Rp-^ZL^|"|!::板7'P?￥(?*<其它Lim;:..:■頊|土刊崖....?-SWERPtlf#E!密ERF重黃二匡1幣LRF5-'E.用\?li7~EBS間55&添很鮮天山寶利城It巨科技首限住司EW珈牛開發(fā)即1:-'■■-g…-莊用財(cái)序?qū)⒈癕1.1幕利，W；L；r；.?」iF：?.iewtsrpt開忘51日零并岌i：.|；：*?魁山布航誼值G!科技有眼供司EVE"：開hu：E3推開友成用升友芟直用杵彖置隋匿莊用尹品dj車牝堆信皂科楂有用史?司EW狀件開菽早□?"I：i-r::w7'1，WV，割置安伴BW段件開袁神囚詛開發(fā)SLU\?li77■■r：目標(biāo)應(yīng)用層部門負(fù)去人流程示意圖以主數(shù)據(jù)為主要的身份源，通過配置身份協(xié)調(diào)(Reconciliation)自動(dòng)從人力資源系統(tǒng)將企業(yè)內(nèi)部身份信息同步至統(tǒng)一身份管理平臺(tái)。人員調(diào)崗或者發(fā)生崗位變更時(shí)自動(dòng)觸發(fā)門戶查詢用戶列表權(quán)限，并將權(quán)限列表展現(xiàn)部分至門戶流程，交原部門負(fù)責(zé)人審批，部門負(fù)責(zé)人可通過門戶提供的網(wǎng)址進(jìn)行該員工當(dāng)前所有權(quán)限列表信息查詢，在部門負(fù)責(zé)人審批后通知相應(yīng)系統(tǒng)管理員進(jìn)一步操作。第三章.項(xiàng)目實(shí)施計(jì)劃項(xiàng)目建設(shè)期集團(tuán)統(tǒng)一身份安全管理平臺(tái)的建設(shè)是一個(gè)持久化的系統(tǒng)工程，需根據(jù)集團(tuán)的業(yè)務(wù)發(fā)展不斷調(diào)整和完善，以全面支撐企業(yè)業(yè)務(wù)和戰(zhàn)略發(fā)展規(guī)劃的需要。根據(jù)集團(tuán)的現(xiàn)狀，一期建立以主數(shù)據(jù)為的統(tǒng)一身份存儲(chǔ)，搭建統(tǒng)一認(rèn)證平臺(tái)，提供統(tǒng)一認(rèn)證服務(wù)，建立統(tǒng)一應(yīng)用導(dǎo)航，提供統(tǒng)一的訪問入口，實(shí)現(xiàn)單點(diǎn)登錄及資金管理系統(tǒng)二次認(rèn)證；搭建身份管理系統(tǒng)，實(shí)現(xiàn)內(nèi)部帳號(hào)集中管理，接入集團(tuán)郵件、門戶、ERP等應(yīng)用；實(shí)現(xiàn)基本的權(quán)限BI報(bào)表和訪問審計(jì)；梳理和制定內(nèi)部用戶管理規(guī)范。針對(duì)以上實(shí)施內(nèi)容，預(yù)計(jì)實(shí)施周期為 個(gè)月。項(xiàng)目建設(shè)項(xiàng)本項(xiàng)目需要包含以下建設(shè)項(xiàng)：1、 完成集團(tuán)內(nèi)X套系統(tǒng)的權(quán)限列表信息統(tǒng)計(jì)，通過BI查看展示，可根據(jù)角色、系統(tǒng)、人員等信息查詢，可統(tǒng)計(jì)相應(yīng)權(quán)限擁有人數(shù)量。2、 在現(xiàn)有單點(diǎn)登錄基礎(chǔ)上，實(shí)現(xiàn)在通過單點(diǎn)登錄基本的令牌方式認(rèn)證后，進(jìn)行資金管理系統(tǒng)人臉識(shí)別二次認(rèn)證，。3、 建立BI權(quán)限報(bào)表中心，實(shí)現(xiàn)集團(tuán)內(nèi)人員崗位或部門組織發(fā)生變動(dòng)時(shí)，通過門戶推送人員現(xiàn)有權(quán)限部分列表信息到部門負(fù)責(zé)人，通過點(diǎn)擊更多可展現(xiàn)全部權(quán)限（直接讀取B