【文章內(nèi)容簡介】 .....................................................................................................91 第一階段實現(xiàn)的功能 ..............................................................................................91 第一階段技術(shù)架構(gòu) .................................................................................................92 項目計劃 ................................................................................................................92 所需資源 ................................................................................................................97 投資估算 ................................................................................................................979 附：認證與授權(quán)技術(shù)概述 .................................................................................................98 目錄服務技術(shù)概述 .....................................................................................................98 目錄服務及發(fā)展簡介 ..............................................................................................98 LDAP 的工作過程 ..................................................................................................98 LDAP 模型 .............................................................................................................99 認證管理技術(shù)概述 ...................................................................................................103 認證方式 ..............................................................................................................103 PKI 技術(shù)簡介 ........................................................................................................107 國內(nèi) PKI 標準化現(xiàn)狀 ...........................................................................................113 訪問管理技術(shù)概述 ...................................................................................................114 基于角色、基于政策的訪問管理 ..........................................................................114 PMI 簡介 ....................................................................................................114 SAML 簡介 ...........................................................................................................1145 / 102前 言中國石油天然氣股份有限公司（以下簡稱“中國石油”）認證和授權(quán)系統(tǒng)設(shè)計由三部分組成：現(xiàn)狀報告分析中國石油認證與授權(quán)的現(xiàn)狀及存在的問題，為下一步方案設(shè)計提供參考。需求分析報告對中國石油認證與授權(quán)管理建設(shè)進行分析和展望，并提供可行的建設(shè)思路。方案設(shè)計提出中國石油認證與授權(quán)管理的總體技術(shù)架構(gòu)，進行認證和授權(quán)產(chǎn)品的市場分析，并給出相應的路標規(guī)劃和實施計劃。本報告是系統(tǒng)設(shè)計的第三部分。6 / 1021 概述本報告是中國石油制定信息安全政策與標準項目中認證與授權(quán)系統(tǒng)設(shè)計的第三部分，目的是提出中國石油認證與授權(quán)管理的總體技術(shù)架構(gòu)，進行認證和授權(quán)產(chǎn)品的市場分析，并給出相應的路標規(guī)劃和實施計劃。報告包含以下內(nèi)容：? 現(xiàn)狀與需求概述? 總體邏輯架構(gòu)? 目錄服務與身份管理邏輯架構(gòu)? 認證管理邏輯架構(gòu)? 訪問管理邏輯架構(gòu)? 產(chǎn)品技術(shù)分析? 路標規(guī)劃現(xiàn)代企業(yè)對信息的依賴越來越大，信息已成為現(xiàn)代企業(yè)的一種重要資產(chǎn)。為保證中國石油信息系統(tǒng)的安全、健康、持續(xù)發(fā)展，降低信息技術(shù)給業(yè)務帶來的威脅和風險，保證信息建設(shè)取得最大化的效益，根據(jù)中國石油信息化建設(shè)總體規(guī)劃，中國石油開始實施制訂信息安全政策和標準項目。在中國石油眾多的信息安全風險中，用戶管理的安全風險尤為突出，如內(nèi)部人員可隨意訪問重要業(yè)務信息、無法有效控制外部人員未經(jīng)授權(quán)的訪問、對遠程用戶缺乏安全訪問控制機制、多種應用導致用戶信息過多而難以記憶等。要合理地約束和消除這些風險，中國石油認證與授權(quán)管理建設(shè)勢在必行。其中，認證的目的是正確地識別用戶的身份，授權(quán)的目的是為了使用戶能且只能訪問被授權(quán)訪問的資源。認證和授權(quán)系統(tǒng)設(shè)計是中國石油制訂信息安全政策和標準項目的一部分。其目的是通過對中國石油認證和授權(quán)的現(xiàn)狀進行評估，結(jié)合行業(yè)發(fā)展趨勢和最佳實踐為中國石油設(shè)計出既有可操作性，又具備前瞻性的認證和授權(quán)的技術(shù)架構(gòu)，并給出相應的投資預估和實施計劃。7 / 1022 現(xiàn)狀概述 現(xiàn)狀分析與改進推薦標題 中國石油現(xiàn)狀 主要影響與問題分析 改進推薦1. 信息存儲 ? 電子郵件、企業(yè)信息門戶公用用戶存儲信息，其它系統(tǒng)各自獨立2. 用戶注冊 ? 各系統(tǒng)進行獨立的用戶注冊，無統(tǒng)一開戶流程，無統(tǒng)一的策略和方法? 由系統(tǒng)管理員根據(jù)使用需求開戶? 存在公用帳號用戶注冊 / 注銷過程缺乏統(tǒng)一管理，圍繞不同的應用將形成若干安全孤島。管理成本增高? 隨著中國石油應用數(shù)量的增加，系統(tǒng)用戶維護工作量將急劇增大，管理成本將不斷增高。另一方面，各應用維護獨立的用戶信息，將不利于用戶信息的標準化，不利于信息的共享。用戶使用不便? 一名中國石油系統(tǒng)用戶可能存在大量系統(tǒng)用戶名/密碼，不易記憶。某些用戶為了記住不同系統(tǒng)的用戶名和密碼，往往將其寫在紙上，甚至放在桌面上，這將大大提高安全風險。缺乏統(tǒng)一的組織進行管理? 中國石油的不同應用往往是由不同的部門進行維護。當應用維護各自的用戶信息時，將很難建立統(tǒng)一的組織進行用戶信息的統(tǒng)一管理，將很難保證用戶信息的準確性、? 建立用戶信息的中心存儲，將中國石油主流應用的用戶信息進行統(tǒng)一的管理。這是集成認證和授權(quán)管理的基礎(chǔ)。? 進行統(tǒng)一的用戶注冊 / 注銷。可以有兩種方式實現(xiàn)：? 利用目前用戶信息的主要入口（如電子郵件系統(tǒng)）進行用戶信息的控制；或? 新建一個管理接口，對用戶信息的中心存儲進行控制。8 / 1023. 用戶注銷 ? 無帳戶取消的策略和控制措施 一致性和保密性。安全風險加大? 部分應用，如中油財務采用公用帳號，將提高系統(tǒng)的安全風險。另一方面，缺乏帳號取消 / 注銷的策略和控制措施，用戶離職、換崗位后其系統(tǒng)用戶信息往往未能及時注銷 / 更改， 也將提高系統(tǒng)的安全風險。4. 分權(quán)管理 ? 電子郵件系統(tǒng)和企業(yè)信息門戶采用分權(quán)管理的方式? 其它應用由于用戶數(shù)較少，基本采用中心管理的方式大部分應用采取中心管理的方式，難以適應中國石油業(yè)務和組織結(jié)構(gòu)快速變革的現(xiàn)狀。靈活性、分布性差? 中國石油業(yè)務和組織結(jié)構(gòu)快速變革，系統(tǒng)管理的職責分布也在不斷變化，中心管理的方式將無法適應根據(jù)公司的政策對系統(tǒng)管理職責進行靈活的調(diào)整的業(yè)務需求。中心維護量大，可擴展性差? 中心管理的方式將所有的用戶維護工作量都落在了中心一側(cè)，當用戶數(shù)不斷增加時，中心將不堪重負。用戶信息的分權(quán)管理，即由最接近用戶的管理員進行用戶信息維護將能有效減少中心的維護量，并提高系統(tǒng)的可擴展性。? 采取集中和分布管理的策略，進行用戶信息的分權(quán)管理。5. 用戶自管理 ? 大部分應用只提供用戶密碼修改的自管理功能系統(tǒng)維護壓力大，用戶自主能力弱。數(shù)據(jù)缺失或難以保證數(shù)據(jù)的準確性? 不提供用戶自服務功能，則一些與用戶密切相關(guān)的個人信息，如手機號碼、家庭住址、備用電子郵件地址等將無法存儲在系? 提供充分的用戶自服務，包括修改個人密碼、丟失密碼查詢（例如通過詢問個人問題找回丟失的密碼）、訂閱應用（例如在企業(yè)信息門戶中，用戶自定義關(guān)注的 Web部件）等，降低技術(shù)支持成本。9 / 102統(tǒng)中，或無法得到及時的維護。對系統(tǒng)管理的依賴性大? 用戶自服務功能的不足，將大大增加用戶技術(shù)支持的工作量。將部分用戶管理的權(quán)限（或某些信息的修改權(quán)限）交給用戶自身，是降低系統(tǒng)維護壓力，提高用戶滿意度的重要手段。難以支持動態(tài)的應用? 應用的動態(tài)化是一種必然的趨勢。企業(yè)信息門戶上的一個 Web 部件便是一個動態(tài)的應用。每一個新的動態(tài)應用都需要確定新的使用用戶群，提供用戶對部分應用自訂閱（即登記為該應用的用戶）的功能將能支持應用動態(tài)化的需求。理? 目前除電子商務外，其它系統(tǒng)無外部用戶無法與外界進行快速的信息和應用集成，與外界的溝通效率低下。不利于與外界的信息快速集成? 中國石油有大量的合作伙伴、供應商和客戶。缺乏對外部用戶的支持，將不利于與外界進行的信息和應用的集成，影響中國石油的核心競爭力。? 將外部用戶（合作伙伴、供應商、客戶）進行統(tǒng)一的管理，并放置在獨立的安全子域中。7. 數(shù)據(jù)維護 ? 用戶信息存儲各自獨立，無同步和集成關(guān)系系統(tǒng)各自獨立，用戶信息難以保持一致。無中心存儲，數(shù)據(jù)不一致? 缺乏用戶信息的集中存儲和統(tǒng)一管理，將難以保證用戶信息的一致性。缺乏用戶信息同步和集成的自動化的工具，目前只能通過手動的方式，這將難以保證信息的準? 進行動態(tài)的用戶管理，實現(xiàn)中國石油主流應用的用戶信息的同步和集成，降低數(shù)據(jù)維護成本，并提高數(shù)據(jù)質(zhì)量。10 / 102確性。管理成本高，效率低? 不同系統(tǒng)的用戶信息無法實現(xiàn)同步和集成，用戶信息的管理成本將隨著應用的增加而迅速增高，而管理效率卻將不斷降低。8. 數(shù)據(jù)質(zhì)量保證? 數(shù)據(jù)準確性由管理員保證? 無統(tǒng)一的帳號規(guī)則? 電子郵件/企業(yè)信息門戶已制訂密碼政策用戶信息難以集成，難以管理。易重復，難管理，難記憶? 缺乏統(tǒng)一的帳號規(guī)則，使得系統(tǒng)管理、系統(tǒng)集成難以進行。缺乏統(tǒng)一的帳號規(guī)則，也使得用戶難以記憶不同系統(tǒng)的帳號名。用戶信息難以與員工的真實身份相對應? 中國石油缺乏組織及員工個人的統(tǒng)一編碼，使得信息系統(tǒng)的帳號命名難以與員工的真實身份相對應。建立中國石油全公司范圍的人力資源系統(tǒng)，建立中國石油組織及員工的統(tǒng)一編碼，將是設(shè)立中國石油統(tǒng)一帳號規(guī)則的基礎(chǔ)。數(shù)據(jù)冗余，存在大量“垃圾”用戶信息。存在數(shù)據(jù)冗余? 各系統(tǒng)用戶信息存儲各自獨立，無統(tǒng)一部門管理，使得各系統(tǒng)存在大量的用戶數(shù)據(jù)冗余。數(shù)據(jù)冗余的存在將影響信息系統(tǒng)的效率，并增加管理成本。存在“垃圾”用戶信息? 由于各系統(tǒng)的用戶信息的準確性難以得到? 通過自動的管理流程及管理工具保證用戶信息數(shù)據(jù)的準確性和一致性，避免因為管理員人為的因素造成的數(shù)據(jù)質(zhì)量下降。? 建立統(tǒng)一的中國石油信息系統(tǒng)用戶名命名規(guī)則，并確保用戶命名的唯一性和穩(wěn)定性（即采用不易變化的信息如員工編碼，作為用戶名的一部分）。? 建立中國石油統(tǒng)一的密碼政策，保證密碼的質(zhì)量。并通過便利工具保證密碼政策的順利執(zhí)行。11 / 102保證，帳號與員工的真實身份難以對應，系統(tǒng)存在大量“垃圾”用戶信息。而缺乏用戶帳號注銷的制度和手段，使這一問題更為嚴重。這些“垃圾”用戶信息的存在，一方面增加了管理成本，另一方面也增加了系統(tǒng)的安全風險?！皩⒋箝T的鑰匙擱在門口”。安全系統(tǒng)本身不安全? 密碼是中國石油目前大多數(shù)應用系統(tǒng)的第一道，甚至是唯一的一