【文章內(nèi)容簡介】 錄服務(wù)（衛(wèi)生系統(tǒng)現(xiàn)有AD目錄服務(wù)）來完成對用戶帳戶的操作和管理。 平臺(tái)功能說明平臺(tái)主要提供集中用戶管理、集中證書管理、集中認(rèn)證管理、集中授權(quán)管理和集中審計(jì)等功能，總體功能模塊如下圖所示：總體功能模塊圖 集中用戶管理隨著企業(yè)整體信息化的發(fā)展，大致都經(jīng)歷了網(wǎng)絡(luò)基礎(chǔ)建設(shè)階段、應(yīng)用系統(tǒng)建設(shè)階段，目前正面臨著實(shí)現(xiàn)納入到信息化環(huán)境中人員的統(tǒng)一管理和安全控制階段。隨著企業(yè)的網(wǎng)絡(luò)基礎(chǔ)建設(shè)的不斷完善和應(yīng)用系統(tǒng)建設(shè)的不斷擴(kuò)展，在信息化促進(jìn)業(yè)務(wù)加速發(fā)展的同時(shí)，企業(yè)信息化規(guī)模也在迅速擴(kuò)大以滿足業(yè)務(wù)的發(fā)展需要，更多的人員被融入信息化環(huán)境，由此突出反映的事件是無論是網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)，其最終的主體將是企業(yè)內(nèi)外的人員，每一為人員承擔(dān)著使用、管理、授權(quán)、應(yīng)用操作等角色。因此對于人員的可信身份的管理顯得尤為重要，必將成為信息化發(fā)展的重中之重，只有加強(qiáng)人員的可信身份管理，才能做到大門的安全防護(hù)，才能為企業(yè)的管理、業(yè)務(wù)發(fā)展構(gòu)建可信的信息化環(huán)境，特別是采用數(shù)字證書認(rèn)證和應(yīng)用后，完全可以做到全過程可信身份的管理，確保每個(gè)操作都是可信得、可信賴的。集中用戶管理系統(tǒng)主要是完成各系統(tǒng)的用戶信息整合，實(shí)現(xiàn)用戶生命周期的集中統(tǒng)一管理，并建立與各應(yīng)用系統(tǒng)的同步機(jī)制，簡化用戶及其賬號的管理復(fù)雜度，降低系統(tǒng)用戶管理的安全風(fēng)險(xiǎn)。集中用戶管理功能示意圖 管理服務(wù)對象集中用戶管理主要面向企業(yè)內(nèi)外部的人、資源等進(jìn)行管理和提供服務(wù)，具體對象可以分為以下幾類：最終用戶自然人，包括自然人身份和相關(guān)信息主賬號與自然人唯一對應(yīng)的身份標(biāo)識，一個(gè)主賬號只能與一個(gè)自然人對應(yīng)，而一個(gè)自然人可能存在多個(gè)主賬號從賬號與具體角色對應(yīng)，每一個(gè)應(yīng)用系統(tǒng)內(nèi)部設(shè)置的用戶賬號，在統(tǒng)一信任管理平臺(tái)中每個(gè)主賬號可以擁有多個(gè)從帳號，也就是多種身份角色（即一個(gè)日然人在企業(yè)內(nèi)部具備多套應(yīng)用系統(tǒng)賬號）資源用戶使用或管理的對象，主要是指應(yīng)用系統(tǒng)及應(yīng)用系統(tǒng)下具體功能具體服務(wù)對象之間的映射對應(yīng)關(guān)系如下圖所示：用戶賬號與資源映射圖 用戶身份信息設(shè)計(jì) 用戶類型用戶是訪問資源的主體，人是最主要的用戶類型：多數(shù)的業(yè)務(wù)由人發(fā)起，原始的數(shù)據(jù)由人輸入，關(guān)鍵的流程由人控制。人又可再分為：員工、外部用戶。員工即企業(yè)的職員，是平臺(tái)主要的關(guān)注的用戶群體；外部用戶是指以獨(dú)立身分訪問企業(yè)應(yīng)用系統(tǒng)的一般個(gè)人客戶與企業(yè)客戶。 身份信息模型對各類用戶身份建立統(tǒng)一的用戶身份標(biāo)識。用戶身份標(biāo)識是統(tǒng)一用戶管理系統(tǒng)內(nèi)部使用的標(biāo)識，用于識別所有用戶的身份信息。用戶標(biāo)識不同于員工號或身份證號，需要建立相應(yīng)的編碼規(guī)范。為了保證用戶身份的真實(shí)、有效性，可以通過數(shù)字證書認(rèn)證的方式進(jìn)行身份鑒別并與用戶身份標(biāo)識進(jìn)行唯一對應(yīng)。用戶基本信息保存用戶最主要的信息屬性，由于其它系統(tǒng)中，如HR中還保留有用戶更完整的信息，因此需要建立與這些系統(tǒng)的中信息的對照關(guān)系，所以需要保存用戶在這些系統(tǒng)中用戶信息的索引，便于關(guān)聯(lián)查詢?；诜謾?quán)、分級的管理需要，用戶身份信息需要將用戶信息按照所屬機(jī)構(gòu)和崗位級別進(jìn)行分類，便于劃分安全管理域，將用戶信息集中存儲(chǔ)在總部，以及管理域的劃分。用戶認(rèn)證信息管理用戶的認(rèn)證方式及各種認(rèn)證方式對應(yīng)的認(rèn)證信息，如用戶名/口令，數(shù)字證書等。由于用戶在各應(yīng)用系統(tǒng)中各自具有賬號和相關(guān)口令，為了保證在平臺(tái)實(shí)施后可以使原有系統(tǒng)仍可以按照原有賬號方式操作，需要建立用戶標(biāo)識與應(yīng)用系統(tǒng)中賬號的對照關(guān)系。授權(quán)信息是對用戶使用各系統(tǒng)的訪問策略，給用戶賦予系統(tǒng)中的角色和其它屬性。 身份信息的存儲(chǔ)為了方便對人員身份的管理，集中用戶系統(tǒng)采用樹形架構(gòu)來進(jìn)行人員組織架構(gòu)的維護(hù)，存儲(chǔ)方式主要采用LDAP?？梢酝ㄟ^企業(yè)內(nèi)部已有的人員信息管理系統(tǒng)當(dāng)中根據(jù)策略進(jìn)行讀寫操作，目前主要支持以下數(shù)據(jù)源類型：Windows Active Directory（AD）OpenLdapIBM Directory Server（IDS） 用戶生命周期管理用戶生命周期，主要關(guān)注的是用戶的入職、用戶賬戶創(chuàng)建、用戶身份標(biāo)識（數(shù)字證書的頒發(fā)）、用戶屬性變更、用戶賬戶注銷、用戶帳戶歸檔等流程的自動(dòng)化管理，這一管理流程又可稱為用戶生命周期管理，如下圖所示：由于要賦予用戶可信的身份標(biāo)識，所以需要通過數(shù)字證書認(rèn)證的方式來實(shí)現(xiàn)，在用戶生命周期管理過程中圍繞用戶包含了基于帳戶的生命周期和數(shù)字證書的生命周期管理的內(nèi)容。數(shù)字證書主要是與用戶的主賬戶標(biāo)識進(jìn)行唯一綁定，在用戶帳戶的使用和屬性變更過程中數(shù)字證書不需要發(fā)生任何改變，唯有在用戶帳戶進(jìn)行注銷和歸檔過程中，與其相匹配的數(shù)字證書也同樣需要進(jìn)行吊銷和歸檔操作。 用戶身份信息的維護(hù)目前集中用戶管理系統(tǒng)中對用戶身份信息的維護(hù)主要以企業(yè)已存在的AD域和LDAP作為基礎(chǔ)數(shù)據(jù)源，集中用戶 管理系統(tǒng)作為用戶信息維護(hù)的主要入口，可以由人力資源部門的相應(yīng)人員執(zhí)行用戶賬戶的創(chuàng)建、修改、刪除、編輯、查詢、以及數(shù)字證書的發(fā)放。AD域中的用戶信息變動(dòng)通過適配器被平臺(tái)感知，并自動(dòng)同步到平臺(tái)用戶身份信息存儲(chǔ)（目錄服務(wù)器）中；平臺(tái)的用戶管理員也可以直接修改平臺(tái)中集中存儲(chǔ)的用戶身份信息，再由平臺(tái)同步到各個(gè)應(yīng)用系統(tǒng)中。 集中證書管理集中證書管理功能主要是針對用戶的CA系統(tǒng)，包括：1)證書申請2)證書制作3)證書生命周期管理（有效期、審核、頒發(fā)、吊銷、更新、查詢、歸檔）4)證書有效性檢查 集中證書管理功能集支持多種CA建設(shè)模式（自建和第三方服務(wù)）、多RA 集中管理、擴(kuò)展性強(qiáng)等特性，從技術(shù)上及管理上以靈活的實(shí)現(xiàn)模式滿足用戶對證書集中管理的迫切需求，解決管理員對多平臺(tái)進(jìn)行操作及維護(hù)困難的問題。 集中證書管理功能特點(diǎn)集中證書管理功能的實(shí)現(xiàn)就是通過集成證書注冊服務(wù)（RA）和電子密鑰（USBKey）管理功能。 1)集中制證集中制證主要結(jié)合本地?cái)?shù)據(jù)源中的數(shù)據(jù)為用戶進(jìn)行集中制證，包括集中申請、自動(dòng)審批。通過CA的配置路徑，訪問指定的CA系統(tǒng)；CA系統(tǒng)簽發(fā)數(shù)字證書并返回給管理員；管理員將證書裝入U(xiǎn)BS Key,。2)證書生命周期管理通過集中證書管理功能可實(shí)現(xiàn)對所制證書進(jìn)行證書的生命周期管理，主要包括：證書的查詢、吊銷等，同時(shí)還可以實(shí)現(xiàn)對證書有效性的檢查。證書有效性檢查，可支持與CA系統(tǒng)的CRL（證書掉銷列表）服務(wù)聯(lián)動(dòng)及手動(dòng)導(dǎo)入CRL列表。用戶通過證書認(rèn)證方式登錄 “登錄門戶”；將用戶的證書信息（包括證書屬性、有效期等）提交到“證書管理模塊”；服務(wù)檢查證書信息，若有效，將有效值返回“證書管理模塊”（若無效將值返回“證書管理模塊”）；“證書管理模塊”將有效值返回“登錄門戶”，用戶通過認(rèn)證。（若無效，用戶登錄失?。挥脩敉ㄟ^認(rèn)證，正常進(jìn)入應(yīng)用系統(tǒng)。3)支持多種CA建設(shè)模式4)多RA集中管理在一個(gè)企業(yè)內(nèi)，根據(jù)證書應(yīng)用的需求，存在根CA下有多個(gè)子CA，即存在多個(gè)RA。通過平臺(tái)與RA的集成，可支持與企業(yè)內(nèi)的多RA進(jìn)行集成，實(shí)現(xiàn)單平臺(tái)多RA的集中管理。5)靈活擴(kuò)展性集中證書管理功能除了實(shí)現(xiàn)集中制證、證書生命周期管理功能，以及具有多RA管理、支持用戶CA系統(tǒng)的自建和服務(wù)模式的特點(diǎn)，還具有靈活的擴(kuò)展性?？蓪?shí)現(xiàn)與RA的完全集成，通過平臺(tái)實(shí)現(xiàn)RA的完全接管，實(shí)現(xiàn)證書處理、證書生命周期管理、證書審批、支持多種申請模式、RA日志管理、密鑰管理、策略管理等。以滿足更多用戶對于集中證書管理的擴(kuò)展性需求。 集中授權(quán)管理 集中授權(quán)應(yīng)用背景分析一些大型企業(yè)，發(fā)現(xiàn)企業(yè)內(nèi)部各應(yīng)用系統(tǒng)自身授權(quán)非常完善，但是從集中管理角度看，發(fā)現(xiàn)大企業(yè)中的傳統(tǒng)授權(quán)所存在如下問題：1)系統(tǒng)權(quán)限分散：員工的流動(dòng)及職位的變更，需要更改員工的系統(tǒng)使用權(quán)限，而多個(gè)系統(tǒng)權(quán)限的分散，使管理員工作量增加，且容易帶來安全漏洞。2)應(yīng)用系統(tǒng)的獨(dú)立性：各種應(yīng)用系統(tǒng)都使用獨(dú)立的登錄方式，員工需要記憶所有應(yīng)用系統(tǒng)的帳號、密碼等，逐一登錄，給工作帶來極大的困擾，特別是對工作效率影響非常大，甚至簡化記憶問題，所有應(yīng)用系統(tǒng)統(tǒng)一使用相同的密碼，由此為黑客或者木馬程序提供機(jī)會(huì)，而對應(yīng)用系統(tǒng)的安全防護(hù)帶來極大地威脅。集中授權(quán)的最大特點(diǎn)，就是集中在一個(gè)接口對組/角色進(jìn)行資源的合理分配。集中授權(quán)的過程，就是集中對用戶（組/角色）通過何種方式（證書/口令）使用某種資源（應(yīng)用/功能）的權(quán)限的分配。員工入職，分配一個(gè)特定的原本已經(jīng)隸屬于某些角色/組的身份賬戶，統(tǒng)一入口登錄，即可享有身份賬戶所屬角色/組在公司應(yīng)用系統(tǒng)中的所有權(quán)限；當(dāng)職位變更時(shí)，只需更改身份賬戶所屬角色/組，則所享有的權(quán)限也相應(yīng)變化，而對應(yīng)的應(yīng)用系統(tǒng)資源的賬戶和權(quán)限不受任何影響，并且應(yīng)用系統(tǒng)的安全性得到了極大提高，不會(huì)因?yàn)閷?yīng)的業(yè)務(wù)系統(tǒng)因?yàn)闆]有中止用戶應(yīng)用權(quán)限而遭受安全風(fēng)險(xiǎn)。通過集中授權(quán)的管理模式，有效地屏蔽了傳統(tǒng)授權(quán)中存在的弊端，提高了管理效率，為企業(yè)營造一個(gè)安全、便捷的系統(tǒng)安全、可信的辦公環(huán)境。 集中授權(quán)管理對象集中授權(quán)主要是依賴于人，由授權(quán)系統(tǒng)管理者根據(jù)人的組織屬性、角色屬性，進(jìn)行對應(yīng)應(yīng)用系統(tǒng)和資源的授權(quán)分配，從保證人與應(yīng)用系統(tǒng)之間使用權(quán)限關(guān)系，最終實(shí)現(xiàn)，什么樣的人、組織、角色能訪問哪些應(yīng)用系統(tǒng)和資源。集中授權(quán)還可以依賴于應(yīng)用系統(tǒng)為管理對象，然后針對該應(yīng)用系統(tǒng)給人、組織、角色授予相應(yīng)訪問和操作權(quán)限，最終把應(yīng)用系統(tǒng)和人進(jìn)行權(quán)限關(guān)聯(lián)，合理、有效地的訪問控制策略，保證了什么樣的應(yīng)用系統(tǒng)和資源，能讓怎樣的人、組織、角色進(jìn)行訪問。組：包括按照公司組織架構(gòu)或特定功能劃分的部門、工作組及個(gè)人用戶通過以上兩種方模式，可以對企業(yè)內(nèi)部的人員、應(yīng)用系統(tǒng)和資源進(jìn)行合理的管理和控制，有效地解決企業(yè)內(nèi)部信息資源的權(quán)限管理，最終實(shí)現(xiàn)，正確的人做正確的事情，而非授權(quán)人員不得進(jìn)入企業(yè)內(nèi)部任何系統(tǒng)，從而保證企業(yè)應(yīng)用系統(tǒng)數(shù)據(jù)的安全，保護(hù)企業(yè)的資產(chǎn)。在集中授權(quán)管理系統(tǒng)系統(tǒng)中需要明確以下概念：角色定義，主要是基于用戶組角色和應(yīng)用系統(tǒng)角進(jìn)行角色定義?；谟脩艚M的角色定義可理解為在組織結(jié)構(gòu)下定義用戶角色，比如在技術(shù)部門下定義產(chǎn)品工程師角色。目標(biāo)是在以后授權(quán)模式中通過對產(chǎn)品工程師角色授權(quán)，而包含產(chǎn)品工程師的角色就會(huì)一次性獲得授權(quán)，這樣方便管理，同時(shí)也是簡化了授權(quán)的操作?；趹?yīng)用