【文章內(nèi)容簡介】 .....................................................................................................91 第一階段實(shí)現(xiàn)的功能 ..............................................................................................91 第一階段技術(shù)架構(gòu) .................................................................................................92 項(xiàng)目計(jì)劃 ................................................................................................................92 所需資源 ................................................................................................................97 投資估算 ................................................................................................................979 附：認(rèn)證與授權(quán)技術(shù)概述 .................................................................................................98 目錄服務(wù)技術(shù)概述 .....................................................................................................98 目錄服務(wù)及發(fā)展簡介 ..............................................................................................98 LDAP 的工作過程 ..................................................................................................98 LDAP 模型 .............................................................................................................99 認(rèn)證管理技術(shù)概述 ...................................................................................................103 認(rèn)證方式 ..............................................................................................................103 PKI 技術(shù)簡介 ........................................................................................................107 國內(nèi) PKI 標(biāo)準(zhǔn)化現(xiàn)狀 ...........................................................................................113 訪問管理技術(shù)概述 ...................................................................................................114 基于角色、基于政策的訪問管理 ..........................................................................114 PMI 簡介 ....................................................................................................114 SAML 簡介 ...........................................................................................................1145 / 102前 言中國石油天然氣股份有限公司（以下簡稱“中國石油”）認(rèn)證和授權(quán)系統(tǒng)設(shè)計(jì)由三部分組成：現(xiàn)狀報(bào)告分析中國石油認(rèn)證與授權(quán)的現(xiàn)狀及存在的問題，為下一步方案設(shè)計(jì)提供參考。需求分析報(bào)告對中國石油認(rèn)證與授權(quán)管理建設(shè)進(jìn)行分析和展望，并提供可行的建設(shè)思路。方案設(shè)計(jì)提出中國石油認(rèn)證與授權(quán)管理的總體技術(shù)架構(gòu)，進(jìn)行認(rèn)證和授權(quán)產(chǎn)品的市場分析，并給出相應(yīng)的路標(biāo)規(guī)劃和實(shí)施計(jì)劃。本報(bào)告是系統(tǒng)設(shè)計(jì)的第三部分。6 / 1021 概述本報(bào)告是中國石油制定信息安全政策與標(biāo)準(zhǔn)項(xiàng)目中認(rèn)證與授權(quán)系統(tǒng)設(shè)計(jì)的第三部分，目的是提出中國石油認(rèn)證與授權(quán)管理的總體技術(shù)架構(gòu)，進(jìn)行認(rèn)證和授權(quán)產(chǎn)品的市場分析，并給出相應(yīng)的路標(biāo)規(guī)劃和實(shí)施計(jì)劃。報(bào)告包含以下內(nèi)容：? 現(xiàn)狀與需求概述? 總體邏輯架構(gòu)? 目錄服務(wù)與身份管理邏輯架構(gòu)? 認(rèn)證管理邏輯架構(gòu)? 訪問管理邏輯架構(gòu)? 產(chǎn)品技術(shù)分析? 路標(biāo)規(guī)劃現(xiàn)代企業(yè)對信息的依賴越來越大，信息已成為現(xiàn)代企業(yè)的一種重要資產(chǎn)。為保證中國石油信息系統(tǒng)的安全、健康、持續(xù)發(fā)展，降低信息技術(shù)給業(yè)務(wù)帶來的威脅和風(fēng)險(xiǎn)，保證信息建設(shè)取得最大化的效益，根據(jù)中國石油信息化建設(shè)總體規(guī)劃，中國石油開始實(shí)施制訂信息安全政策和標(biāo)準(zhǔn)項(xiàng)目。在中國石油眾多的信息安全風(fēng)險(xiǎn)中，用戶管理的安全風(fēng)險(xiǎn)尤為突出，如內(nèi)部人員可隨意訪問重要業(yè)務(wù)信息、無法有效控制外部人員未經(jīng)授權(quán)的訪問、對遠(yuǎn)程用戶缺乏安全訪問控制機(jī)制、多種應(yīng)用導(dǎo)致用戶信息過多而難以記憶等。要合理地約束和消除這些風(fēng)險(xiǎn)，中國石油認(rèn)證與授權(quán)管理建設(shè)勢在必行。其中，認(rèn)證的目的是正確地識別用戶的身份，授權(quán)的目的是為了使用戶能且只能訪問被授權(quán)訪問的資源。認(rèn)證和授權(quán)系統(tǒng)設(shè)計(jì)是中國石油制訂信息安全政策和標(biāo)準(zhǔn)項(xiàng)目的一部分。其目的是通過對中國石油認(rèn)證和授權(quán)的現(xiàn)狀進(jìn)行評估，結(jié)合行業(yè)發(fā)展趨勢和最佳實(shí)踐為中國石油設(shè)計(jì)出既有可操作性，又具備前瞻性的認(rèn)證和授權(quán)的技術(shù)架構(gòu)，并給出相應(yīng)的投資預(yù)估和實(shí)施計(jì)劃。7 / 1022 現(xiàn)狀概述 現(xiàn)狀分析與改進(jìn)推薦標(biāo)題 中國石油現(xiàn)狀 主要影響與問題分析 改進(jìn)推薦1. 信息存儲 ? 電子郵件、企業(yè)信息門戶公用用戶存儲信息，其它系統(tǒng)各自獨(dú)立2. 用戶注冊 ? 各系統(tǒng)進(jìn)行獨(dú)立的用戶注冊，無統(tǒng)一開戶流程，無統(tǒng)一的策略和方法? 由系統(tǒng)管理員根據(jù)使用需求開戶? 存在公用帳號用戶注冊 / 注銷過程缺乏統(tǒng)一管理，圍繞不同的應(yīng)用將形成若干安全孤島。管理成本增高? 隨著中國石油應(yīng)用數(shù)量的增加，系統(tǒng)用戶維護(hù)工作量將急劇增大，管理成本將不斷增高。另一方面，各應(yīng)用維護(hù)獨(dú)立的用戶信息，將不利于用戶信息的標(biāo)準(zhǔn)化，不利于信息的共享。用戶使用不便? 一名中國石油系統(tǒng)用戶可能存在大量系統(tǒng)用戶名/密碼，不易記憶。某些用戶為了記住不同系統(tǒng)的用戶名和密碼，往往將其寫在紙上，甚至放在桌面上，這將大大提高安全風(fēng)險(xiǎn)。缺乏統(tǒng)一的組織進(jìn)行管理? 中國石油的不同應(yīng)用往往是由不同的部門進(jìn)行維護(hù)。當(dāng)應(yīng)用維護(hù)各自的用戶信息時，將很難建立統(tǒng)一的組織進(jìn)行用戶信息的統(tǒng)一管理，將很難保證用戶信息的準(zhǔn)確性、? 建立用戶信息的中心存儲，將中國石油主流應(yīng)用的用戶信息進(jìn)行統(tǒng)一的管理。這是集成認(rèn)證和授權(quán)管理的基礎(chǔ)。? 進(jìn)行統(tǒng)一的用戶注冊 / 注銷?？梢杂袃煞N方式實(shí)現(xiàn)：? 利用目前用戶信息的主要入口（如電子郵件系統(tǒng)）進(jìn)行用戶信息的控制；或? 新建一個管理接口，對用戶信息的中心存儲進(jìn)行控制。8 / 1023. 用戶注銷 ? 無帳戶取消的策略和控制措施 一致性和保密性。安全風(fēng)險(xiǎn)加大? 部分應(yīng)用，如中油財(cái)務(wù)采用公用帳號，將提高系統(tǒng)的安全風(fēng)險(xiǎn)。另一方面，缺乏帳號取消 / 注銷的策略和控制措施，用戶離職、換崗位后其系統(tǒng)用戶信息往往未能及時注銷 / 更改， 也將提高系統(tǒng)的安全風(fēng)險(xiǎn)。4. 分權(quán)管理 ? 電子郵件系統(tǒng)和企業(yè)信息門戶采用分權(quán)管理的方式? 其它應(yīng)用由于用戶數(shù)較少，基本采用中心管理的方式大部分應(yīng)用采取中心管理的方式，難以適應(yīng)中國石油業(yè)務(wù)和組織結(jié)構(gòu)快速變革的現(xiàn)狀。靈活性、分布性差? 中國石油業(yè)務(wù)和組織結(jié)構(gòu)快速變革，系統(tǒng)管理的職責(zé)分布也在不斷變化，中心管理的方式將無法適應(yīng)根據(jù)公司的政策對系統(tǒng)管理職責(zé)進(jìn)行靈活的調(diào)整的業(yè)務(wù)需求。中心維護(hù)量大，可擴(kuò)展性差? 中心管理的方式將所有的用戶維護(hù)工作量都落在了中心一側(cè)，當(dāng)用戶數(shù)不斷增加時，中心將不堪重負(fù)。用戶信息的分權(quán)管理，即由最接近用戶的管理員進(jìn)行用戶信息維護(hù)將能有效減少中心的維護(hù)量，并提高系統(tǒng)的可擴(kuò)展性。? 采取集中和分布管理的策略，進(jìn)行用戶信息的分權(quán)管理。5. 用戶自管理 ? 大部分應(yīng)用只提供用戶密碼修改的自管理功能系統(tǒng)維護(hù)壓力大，用戶自主能力弱。數(shù)據(jù)缺失或難以保證數(shù)據(jù)的準(zhǔn)確性? 不提供用戶自服務(wù)功能，則一些與用戶密切相關(guān)的個人信息，如手機(jī)號碼、家庭住址、備用電子郵件地址等將無法存儲在系? 提供充分的用戶自服務(wù)，包括修改個人密碼、丟失密碼查詢（例如通過詢問個人問題找回丟失的密碼）、訂閱應(yīng)用（例如在企業(yè)信息門戶中，用戶自定義關(guān)注的 Web部件）等，降低技術(shù)支持成本。9 / 102統(tǒng)中，或無法得到及時的維護(hù)。對系統(tǒng)管理的依賴性大? 用戶自服務(wù)功能的不足，將大大增加用戶技術(shù)支持的工作量。將部分用戶管理的權(quán)限（或某些信息的修改權(quán)限）交給用戶自身，是降低系統(tǒng)維護(hù)壓力，提高用戶滿意度的重要手段。難以支持動態(tài)的應(yīng)用? 應(yīng)用的動態(tài)化是一種必然的趨勢。企業(yè)信息門戶上的一個 Web 部件便是一個動態(tài)的應(yīng)用。每一個新的動態(tài)應(yīng)用都需要確定新的使用用戶群，提供用戶對部分應(yīng)用自訂閱（即登記為該應(yīng)用的用戶）的功能將能支持應(yīng)用動態(tài)化的需求。理? 目前除電子商務(wù)外，其它系統(tǒng)無外部用戶無法與外界進(jìn)行快速的信息和應(yīng)用集成，與外界的溝通效率低下。不利于與外界的信息快速集成? 中國石油有大量的合作伙伴、供應(yīng)商和客戶。缺乏對外部用戶的支持，將不利于與外界進(jìn)行的信息和應(yīng)用的集成，影響中國石油的核心競爭力。? 將外部用戶（合作伙伴、供應(yīng)商、客戶）進(jìn)行統(tǒng)一的管理，并放置在獨(dú)立的安全子域中。7. 數(shù)據(jù)維護(hù) ? 用戶信息存儲各自獨(dú)立，無同步和集成關(guān)系系統(tǒng)各自獨(dú)立，用戶信息難以保持一致。無中心存儲，數(shù)據(jù)不一致? 缺乏用戶信息的集中存儲和統(tǒng)一管理，將難以保證用戶信息的一致性。缺乏用戶信息同步和集成的自動化的工具，目前只能通過手動的方式，這將難以保證信息的準(zhǔn)? 進(jìn)行動態(tài)的用戶管理，實(shí)現(xiàn)中國石油主流應(yīng)用的用戶信息的同步和集成，降低數(shù)據(jù)維護(hù)成本，并提高數(shù)據(jù)質(zhì)量。10 / 102確性。管理成本高，效率低? 不同系統(tǒng)的用戶信息無法實(shí)現(xiàn)同步和集成，用戶信息的管理成本將隨著應(yīng)用的增加而迅速增高，而管理效率卻將不斷降低。8. 數(shù)據(jù)質(zhì)量保證? 數(shù)據(jù)準(zhǔn)確性由管理員保證? 無統(tǒng)一的帳號規(guī)則? 電子郵件/企業(yè)信息門戶已制訂密碼政策用戶信息難以集成，難以管理。易重復(fù)，難管理，難記憶? 缺乏統(tǒng)一的帳號規(guī)則，使得系統(tǒng)管理、系統(tǒng)集成難以進(jìn)行。缺乏統(tǒng)一的帳號規(guī)則，也使得用戶難以記憶不同系統(tǒng)的帳號名。用戶信息難以與員工的真實(shí)身份相對應(yīng)? 中國石油缺乏組織及員工個人的統(tǒng)一編碼，使得信息系統(tǒng)的帳號命名難以與員工的真實(shí)身份相對應(yīng)。建立中國石油全公司范圍的人力資源系統(tǒng)，建立中國石油組織及員工的統(tǒng)一編碼，將是設(shè)立中國石油統(tǒng)一帳號規(guī)則的基礎(chǔ)。數(shù)據(jù)冗余，存在大量“垃圾”用戶信息。存在數(shù)據(jù)冗余? 各系統(tǒng)用戶信息存儲各自獨(dú)立，無統(tǒng)一部門管理，使得各系統(tǒng)存在大量的用戶數(shù)據(jù)冗余。數(shù)據(jù)冗余的存在將影響信息系統(tǒng)的效率，并增加管理成本。存在“垃圾”用戶信息? 由于各系統(tǒng)的用戶信息的準(zhǔn)確性難以得到? 通過自動的管理流程及管理工具保證用戶信息數(shù)據(jù)的準(zhǔn)確性和一致性，避免因?yàn)楣芾韱T人為的因素造成的數(shù)據(jù)質(zhì)量下降。? 建立統(tǒng)一的中國石油信息系統(tǒng)用戶名命名規(guī)則，并確保用戶命名的唯一性和穩(wěn)定性（即采用不易變化的信息如員工編碼，作為用戶名的一部分）。? 建立中國石油統(tǒng)一的密碼政策，保證密碼的質(zhì)量。并通過便利工具保證密碼政策的順利執(zhí)行。11 / 102保證，帳號與員工的真實(shí)身份難以對應(yīng)，系統(tǒng)存在大量“垃圾”用戶信息。而缺乏用戶帳號注銷的制度和手段，使這一問題更為嚴(yán)重。這些“垃圾”用戶信息的存在，一方面增加了管理成本，另一方面也增加了系統(tǒng)的安全風(fēng)險(xiǎn)?！皩⒋箝T的鑰匙擱在門口”。安全系統(tǒng)本身不安全? 密碼是中國石油目前大多數(shù)應(yīng)用系統(tǒng)的第一道，甚至是唯一的一