【正文】 授權(quán)的操作。在集中授權(quán)管理系統(tǒng)系統(tǒng)中需要明確以下概念：角色定義，主要是基于用戶組角色和應(yīng)用系統(tǒng)角進(jìn)行角色定義。集中授權(quán)還可以依賴于應(yīng)用系統(tǒng)為管理對象，然后針對該應(yīng)用系統(tǒng)給人、組織、角色授予相應(yīng)訪問和操作權(quán)限，最終把應(yīng)用系統(tǒng)和人進(jìn)行權(quán)限關(guān)聯(lián)，合理、有效地的訪問控制策略，保證了什么樣的應(yīng)用系統(tǒng)和資源，能讓怎樣的人、組織、角色進(jìn)行訪問。通過集中授權(quán)的管理模式，有效地屏蔽了傳統(tǒng)授權(quán)中存在的弊端，提高了管理效率，為企業(yè)營造一個(gè)安全、便捷的系統(tǒng)安全、可信的辦公環(huán)境。集中授權(quán)的過程，就是集中對用戶（組/角色）通過何種方式（證書/口令）使用某種資源（應(yīng)用/功能）的權(quán)限的分配。2)應(yīng)用系統(tǒng)的獨(dú)立性：各種應(yīng)用系統(tǒng)都使用獨(dú)立的登錄方式，員工需要記憶所有應(yīng)用系統(tǒng)的帳號(hào)、密碼等，逐一登錄，給工作帶來極大的困擾，特別是對工作效率影響非常大，甚至簡化記憶問題，所有應(yīng)用系統(tǒng)統(tǒng)一使用相同的密碼，由此為黑客或者木馬程序提供機(jī)會(huì)，而對應(yīng)用系統(tǒng)的安全防護(hù)帶來極大地威脅。以滿足更多用戶對于集中證書管理的擴(kuò)展性需求。5)靈活擴(kuò)展性集中證書管理功能除了實(shí)現(xiàn)集中制證、證書生命周期管理功能，以及具有多RA管理、支持用戶CA系統(tǒng)的自建和服務(wù)模式的特點(diǎn)，還具有靈活的擴(kuò)展性。3)支持多種CA建設(shè)模式4)多RA集中管理在一個(gè)企業(yè)內(nèi)，根據(jù)證書應(yīng)用的需求，存在根CA下有多個(gè)子CA，即存在多個(gè)RA。用戶通過證書認(rèn)證方式登錄 “登錄門戶”；將用戶的證書信息（包括證書屬性、有效期等）提交到“證書管理模塊”；服務(wù)檢查證書信息，若有效，將有效值返回“證書管理模塊”（若無效將值返回“證書管理模塊”）；“證書管理模塊”將有效值返回“登錄門戶”，用戶通過認(rèn)證。2)證書生命周期管理通過集中證書管理功能可實(shí)現(xiàn)對所制證書進(jìn)行證書的生命周期管理，主要包括：證書的查詢、吊銷等，同時(shí)還可以實(shí)現(xiàn)對證書有效性的檢查。 1)集中制證集中制證主要結(jié)合本地?cái)?shù)據(jù)源中的數(shù)據(jù)為用戶進(jìn)行集中制證，包括集中申請、自動(dòng)審批。 集中證書管理集中證書管理功能主要是針對用戶的CA系統(tǒng)，包括：1)證書申請2)證書制作3)證書生命周期管理（有效期、審核、頒發(fā)、吊銷、更新、查詢、歸檔）4)證書有效性檢查 集中證書管理功能集支持多種CA建設(shè)模式（自建和第三方服務(wù)）、多RA 集中管理、擴(kuò)展性強(qiáng)等特性，從技術(shù)上及管理上以靈活的實(shí)現(xiàn)模式滿足用戶對證書集中管理的迫切需求，解決管理員對多平臺(tái)進(jìn)行操作及維護(hù)困難的問題。 用戶身份信息的維護(hù)目前集中用戶管理系統(tǒng)中對用戶身份信息的維護(hù)主要以企業(yè)已存在的AD域和LDAP作為基礎(chǔ)數(shù)據(jù)源，集中用戶 管理系統(tǒng)作為用戶信息維護(hù)的主要入口，可以由人力資源部門的相應(yīng)人員執(zhí)行用戶賬戶的創(chuàng)建、修改、刪除、編輯、查詢、以及數(shù)字證書的發(fā)放?？梢酝ㄟ^企業(yè)內(nèi)部已有的人員信息管理系統(tǒng)當(dāng)中根據(jù)策略進(jìn)行讀寫操作，目前主要支持以下數(shù)據(jù)源類型：Windows Active Directory（AD）OpenLdapIBM Directory Server（IDS） 用戶生命周期管理用戶生命周期，主要關(guān)注的是用戶的入職、用戶賬戶創(chuàng)建、用戶身份標(biāo)識(shí)（數(shù)字證書的頒發(fā)）、用戶屬性變更、用戶賬戶注銷、用戶帳戶歸檔等流程的自動(dòng)化管理，這一管理流程又可稱為用戶生命周期管理，如下圖所示：由于要賦予用戶可信的身份標(biāo)識(shí)，所以需要通過數(shù)字證書認(rèn)證的方式來實(shí)現(xiàn)，在用戶生命周期管理過程中圍繞用戶包含了基于帳戶的生命周期和數(shù)字證書的生命周期管理的內(nèi)容。授權(quán)信息是對用戶使用各系統(tǒng)的訪問策略，給用戶賦予系統(tǒng)中的角色和其它屬性。用戶認(rèn)證信息管理用戶的認(rèn)證方式及各種認(rèn)證方式對應(yīng)的認(rèn)證信息，如用戶名/口令，數(shù)字證書等。用戶基本信息保存用戶最主要的信息屬性，由于其它系統(tǒng)中，如HR中還保留有用戶更完整的信息，因此需要建立與這些系統(tǒng)的中信息的對照關(guān)系，所以需要保存用戶在這些系統(tǒng)中用戶信息的索引，便于關(guān)聯(lián)查詢。用戶標(biāo)識(shí)不同于員工號(hào)或身份證號(hào)，需要建立相應(yīng)的編碼規(guī)范。 身份信息模型對各類用戶身份建立統(tǒng)一的用戶身份標(biāo)識(shí)。人又可再分為：員工、外部用戶。集中用戶管理系統(tǒng)主要是完成各系統(tǒng)的用戶信息整合，實(shí)現(xiàn)用戶生命周期的集中統(tǒng)一管理，并建立與各應(yīng)用系統(tǒng)的同步機(jī)制，簡化用戶及其賬號(hào)的管理復(fù)雜度，降低系統(tǒng)用戶管理的安全風(fēng)險(xiǎn)。隨著企業(yè)的網(wǎng)絡(luò)基礎(chǔ)建設(shè)的不斷完善和應(yīng)用系統(tǒng)建設(shè)的不斷擴(kuò)展，在信息化促進(jìn)業(yè)務(wù)加速發(fā)展的同時(shí)，企業(yè)信息化規(guī)模也在迅速擴(kuò)大以滿足業(yè)務(wù)的發(fā)展需要，更多的人員被融入信息化環(huán)境，由此突出反映的事件是無論是網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)，其最終的主體將是企業(yè)內(nèi)外的人員，每一為人員承擔(dān)著使用、管理、授權(quán)、應(yīng)用操作等角色。部署方式主要是采用專有定制硬件服務(wù)設(shè)備，將集中帳戶管理、集中授權(quán)管理、集中認(rèn)證管理和集中審計(jì)管理等功能服務(wù)模塊統(tǒng)一部署和安裝在該硬件設(shè)備當(dāng)中，通過連接外部服務(wù)區(qū)域當(dāng)中的從LDAP目錄服務(wù)（衛(wèi)生系統(tǒng)現(xiàn)有AD目錄服務(wù)）來完成對用戶帳戶的操作和管理。 平臺(tái)總體邏輯結(jié)構(gòu)臺(tái)總體邏輯結(jié)構(gòu)圖如下所示：如圖所示，平臺(tái)以PKI基礎(chǔ)服務(wù)、加解密服務(wù)、SAML協(xié)議等國際成熟技術(shù)為基礎(chǔ)，架構(gòu)統(tǒng)一信任管理平臺(tái)的管理系統(tǒng)，通過WEB過濾器、安全代理服務(wù)器等技術(shù)簡單、快捷實(shí)現(xiàn)各應(yīng)用系統(tǒng)集成，在保證系統(tǒng)安全性的前提下，更好的實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)整合和內(nèi)容整合。集中授權(quán)管理系統(tǒng)：根據(jù)企業(yè)安全策略，采用基于角色的訪問控制技術(shù)，實(shí)現(xiàn)支持多應(yīng)用系統(tǒng)的集中、靈活的訪問控制和授權(quán)管理功能，提高管理效率。集中證書管理系統(tǒng)：集成證書注冊服務(wù)（RA）和電子密鑰（USBKey）管理功能，實(shí)現(xiàn)用戶證書申請、審批、核發(fā)、更新、吊銷等生命周期管理功能，支持第三方電子認(rèn)證服務(wù)。 平臺(tái)總體介紹以PKI/CA技術(shù)為核心，結(jié)合國內(nèi)外先進(jìn)的產(chǎn)品架構(gòu)設(shè)計(jì)，實(shí)現(xiàn)集中的用戶管理、證書管理、認(rèn)證管理、授權(quán)管理和審計(jì)等功能，為多業(yè)務(wù)系統(tǒng)提供用戶身份、系統(tǒng)資源、權(quán)限策略、審計(jì)日志等統(tǒng)一、安全、有效的配置和服務(wù)。提供基于LDAP目錄服務(wù)的統(tǒng)一賬戶管理平臺(tái)，通過LDAP中主、從賬戶的映射關(guān)系，進(jìn)行應(yīng)用系統(tǒng)級(jí)的訪問控制和用戶生命周期維護(hù)管理功能。可以根據(jù)用戶的關(guān)注點(diǎn)不同來為用戶提供定制桌面的功能。 總體設(shè)計(jì)思想為實(shí)現(xiàn)衛(wèi)生系統(tǒng)構(gòu)建針對人員帳戶管理層面和應(yīng)用層面的、全面完善的安全管控需要，我們將按照如下設(shè)計(jì)思想為衛(wèi)生系統(tǒng)設(shè)計(jì)并實(shí)施統(tǒng)一身份認(rèn)證服務(wù)平臺(tái)解決方案：在衛(wèi)生系統(tǒng)內(nèi)部建設(shè)基于PKI/CA技術(shù)為基礎(chǔ)架構(gòu)的統(tǒng)一身份認(rèn)證服務(wù)平臺(tái)，通過集中證書管理、集中賬戶管理、集中授權(quán)管理、集中認(rèn)證管理和集中審計(jì)管理等應(yīng)用模塊實(shí)現(xiàn)衛(wèi)生系統(tǒng)所提出的員工帳戶統(tǒng)一、系統(tǒng)資源整合、應(yīng)用數(shù)據(jù)共享和全面集中管控的核心目標(biāo)。通過以上分析，為解決多應(yīng)用系統(tǒng)在使用、管理和技術(shù)上的一系列問題，我們有必要規(guī)劃、開發(fā)、建設(shè)、運(yùn)營一套統(tǒng)一身份認(rèn)證服務(wù)平臺(tái)，實(shí)現(xiàn)對全體員工的統(tǒng)一身份管理，實(shí)現(xiàn)多個(gè)業(yè)務(wù)系統(tǒng)的統(tǒng)一登錄及身份認(rèn)證，實(shí)現(xiàn)對業(yè)務(wù)系統(tǒng)訪問的集中授權(quán)和管控，實(shí)現(xiàn)對訪問過程的集中監(jiān)管和審計(jì)。既不能通過系統(tǒng)日志分析，避免安全隱患的發(fā)生，更不可能做到事后追溯，有必要建立統(tǒng)一的審計(jì)追溯機(jī)制；實(shí)現(xiàn)單點(diǎn)登錄機(jī)制：登錄多業(yè)務(wù)系統(tǒng)之間時(shí)用戶經(jīng)常需要切換，用戶的操作不便，影響了工作效率。為實(shí)現(xiàn)權(quán)限控制的準(zhǔn)確，有必要通過唯一的身份標(biāo)識(shí)，實(shí)現(xiàn)實(shí)體身份的統(tǒng)一；統(tǒng)一的業(yè)務(wù)系統(tǒng)授權(quán)機(jī)制和管理：各業(yè)務(wù)系統(tǒng)間用戶權(quán)限管理分散，缺乏集中統(tǒng)一的資源授權(quán)管理平臺(tái)，用戶工作變動(dòng)時(shí)，需逐一調(diào)整每個(gè)系統(tǒng)中賬號(hào)的權(quán)限，由此易引發(fā)個(gè)別系統(tǒng)的遺漏，存在較大安全隱患。 管理目標(biāo)通過統(tǒng)一身份認(rèn)證服務(wù)平臺(tái)的建設(shè)，利用綜合手段，形成標(biāo)準(zhǔn)管理流程，固化IT風(fēng)險(xiǎn)管理成果：建立立體的安全管理體系：根據(jù)實(shí)際安全需求，成立安全管理機(jī)構(gòu)，配備專職的安全管理人員，落實(shí)各級(jí)領(lǐng)導(dǎo)及相關(guān)人員的責(zé)任，對信息系統(tǒng)實(shí)現(xiàn)動(dòng)態(tài)的安全管理機(jī)制；實(shí)現(xiàn)標(biāo)識(shí)標(biāo)準(zhǔn)化：解決實(shí)體在網(wǎng)絡(luò)環(huán)境中標(biāo)識(shí)不一致的問題，完成管理機(jī)構(gòu)和員工代碼的標(biāo)準(zhǔn)化，實(shí)現(xiàn)“一證在手，暢行無憂”；提高安全管控水平：使用PKI/CA技術(shù)作為基礎(chǔ)安全平臺(tái)，以業(yè)務(wù)系統(tǒng)改造為手段，加強(qiáng)員工身份和權(quán)限管理。2 業(yè)務(wù)目標(biāo)通過統(tǒng)一身份認(rèn)證服務(wù)平臺(tái)的建設(shè)，為應(yīng)用系統(tǒng)提供統(tǒng)一的身份管理、身份認(rèn)證、訪問控制和安全審計(jì)服務(wù)。第3章. 統(tǒng)一身份認(rèn)證服務(wù)平臺(tái)的建設(shè)目標(biāo) 整體目標(biāo) 在技術(shù)上，從根本上增強(qiáng)信息安全保障水平；統(tǒng)一身份認(rèn)證服務(wù)平臺(tái)作為信息安全基礎(chǔ)設(shè)施，為上層業(yè)務(wù)應(yīng)用系統(tǒng)提供身份整合、身份認(rèn)證、授權(quán)管理及決策和行為審計(jì)等安全服務(wù)。全國各省公司以規(guī)范為依據(jù)，結(jié)合自身業(yè)務(wù)支撐系統(tǒng)、網(wǎng)管系統(tǒng)和信息系統(tǒng)（OA、MIS）的特點(diǎn)，建設(shè)4A統(tǒng)一管理平臺(tái)。電信運(yùn)營商中國移動(dòng)從2007年起，開始在全國各省公司開展包括統(tǒng)一身份管理、統(tǒng)一認(rèn)證管理、統(tǒng)一授權(quán)管理和統(tǒng)一審計(jì)管理在內(nèi)的4A建設(shè)。建行統(tǒng)一身份認(rèn)證服務(wù)平臺(tái)在38個(gè)一級(jí)分行的部署工作已經(jīng)完成，以目錄服務(wù)器、策略服務(wù)器、數(shù)據(jù)同步服務(wù)器、動(dòng)態(tài)口令服務(wù)器構(gòu)成的分行設(shè)施延伸至一級(jí)分行。建行統(tǒng)一身份認(rèn)證服務(wù)平臺(tái)經(jīng)過三期項(xiàng)目實(shí)施，已完成了強(qiáng)認(rèn)證系統(tǒng)、用戶統(tǒng)一身份管理、統(tǒng)一身份認(rèn)證、統(tǒng)一訪問控制的項(xiàng)目目標(biāo)。 其他行業(yè)銀行業(yè)2004年5月中國建設(shè)銀行在金融領(lǐng)域首先啟動(dòng)了統(tǒng)一身份認(rèn)證服務(wù)平臺(tái)項(xiàng)目，到2006年1月，完成了用戶身份的統(tǒng)一管理。為了滿足開展網(wǎng)上保險(xiǎn)業(yè)務(wù)的法律保障需求，制定證書信任體系的整體規(guī)劃，將基于數(shù)字證書的身份管理過程與《電子簽名法》中關(guān)于第三方認(rèn)證的相關(guān)條款進(jìn)行結(jié)合，為網(wǎng)上保險(xiǎn)業(yè)務(wù)提供完整的法律保障環(huán)境。建立CA系統(tǒng)及證書應(yīng)用審計(jì)監(jiān)控平臺(tái)。制定完整的業(yè)務(wù)系統(tǒng)基于證書應(yīng)用的集成規(guī)范，作為保險(xiǎn)公司身份管理、身份認(rèn)證、授權(quán)管理和統(tǒng)一審計(jì)的標(biāo)準(zhǔn)。對人保財(cái)險(xiǎn)業(yè)務(wù)系統(tǒng)進(jìn)行證書應(yīng)用集成工作，實(shí)現(xiàn)基于PKI技術(shù)的身份認(rèn)證、完整性檢查、抗抵賴、傳輸加密、數(shù)字簽名等安全功能。中國人民財(cái)產(chǎn)保險(xiǎn)股份有限公司通過數(shù)字證書的應(yīng)用，建立起全公司的身份管理的統(tǒng)一標(biāo)準(zhǔn)，大力推進(jìn)和加強(qiáng)數(shù)據(jù)、流程的集成與綜合應(yīng)用，實(shí)現(xiàn)不同部門、業(yè)務(wù)間，甚至是不同分支機(jī)構(gòu)間的業(yè)務(wù)協(xié)同運(yùn)作，實(shí)現(xiàn)全公司范圍內(nèi)數(shù)據(jù)/信息的有序、可控流動(dòng)與共享，從而實(shí)現(xiàn)對人保財(cái)險(xiǎn)