【正文】 對主要桌面資源、Web 資源和 C/S應(yīng)用的相應(yīng)的訪問權(quán)限，提高用戶生產(chǎn)效率和使用體驗。隨著中國石油應(yīng)用數(shù)量不斷增加、應(yīng)用的異構(gòu)性不斷增大，用戶的使用體驗將變得很糟糕。 現(xiàn)狀概述標(biāo)題 中國石油現(xiàn)狀 主要影響與問題分析 改進(jìn)推薦14 / 1021. 授權(quán)申請 ? 各系統(tǒng)獨立進(jìn)行訪問管理? 無統(tǒng)一訪問管理機(jī)制，無 SSO“個人自掃門前雪”。? 提供對聯(lián)盟站點的交叉認(rèn)證，建立與外界的高效溝通渠道。缺乏與供應(yīng)商、客戶的交叉認(rèn)證，將影響中國石油與外界的業(yè)務(wù)信息交互。3. 身份信息移交? 無中心認(rèn)證管理，各應(yīng)用利用各自的認(rèn)證管理模塊進(jìn)行認(rèn)證，認(rèn)證成功訪問各自的資源，無身份信息移交問題? 無交叉認(rèn)證，無登錄聯(lián)盟站點的需求在不同系統(tǒng)需進(jìn)行多次登錄，溝通效率低下。13 / 102? 為根據(jù)公司安全政策的需求靈活切換用戶的認(rèn)證方式、為實現(xiàn)不同應(yīng)用之間的交叉認(rèn)證，系統(tǒng)應(yīng)提供多認(rèn)證機(jī)制，支持各種通用的認(rèn)證方式及認(rèn)證方式的結(jié)合。認(rèn)證方式單一? 支持根據(jù)中國石油的政策對多種認(rèn)證方式的進(jìn)行靈活的切換。缺乏可信的認(rèn)證，將無法在中國石油內(nèi)部及與合作伙伴、供應(yīng)商、客戶之間進(jìn)行安全的信息交互和協(xié)同工作（電子商務(wù)），影響中國石油的核心競爭力。2. 信任狀采集 ? 目前無多認(rèn)證機(jī)制，各系統(tǒng)獨立進(jìn)行單一的信任狀采集認(rèn)證方式單一，缺乏強認(rèn)證。強認(rèn)證體系（如 PKI）能有效提高認(rèn)證信息生成過程的安全級別。認(rèn)證信息易被竊? 認(rèn)證信息生成過程的安全是信息安全鏈中的重要一環(huán)。 解決方案建立中心的用戶存儲，實現(xiàn)動態(tài)的用戶管理。中國石油電子郵件系統(tǒng)制訂了完善的密碼政策，包括密碼的長度、密碼修改的頻度、原始密碼的更改等，但由于缺乏相應(yīng)的控制措施，使得這些政策并沒有得到實際執(zhí)行。密碼本身的質(zhì)量和安全對于中國石油的信息安全至關(guān)重要。“將大門的鑰匙擱在門口”。而缺乏用戶帳號注銷的制度和手段，使這一問題更為嚴(yán)重。并通過便利工具保證密碼政策的順利執(zhí)行。? 建立統(tǒng)一的中國石油信息系統(tǒng)用戶名命名規(guī)則，并確保用戶命名的唯一性和穩(wěn)定性（即采用不易變化的信息如員工編碼，作為用戶名的一部分）。數(shù)據(jù)冗余的存在將影響信息系統(tǒng)的效率，并增加管理成本。數(shù)據(jù)冗余，存在大量“垃圾”用戶信息。用戶信息難以與員工的真實身份相對應(yīng)? 中國石油缺乏組織及員工個人的統(tǒng)一編碼，使得信息系統(tǒng)的帳號命名難以與員工的真實身份相對應(yīng)。易重復(fù)，難管理，難記憶? 缺乏統(tǒng)一的帳號規(guī)則，使得系統(tǒng)管理、系統(tǒng)集成難以進(jìn)行。管理成本高，效率低? 不同系統(tǒng)的用戶信息無法實現(xiàn)同步和集成，用戶信息的管理成本將隨著應(yīng)用的增加而迅速增高，而管理效率卻將不斷降低。缺乏用戶信息同步和集成的自動化的工具，目前只能通過手動的方式，這將難以保證信息的準(zhǔn)? 進(jìn)行動態(tài)的用戶管理，實現(xiàn)中國石油主流應(yīng)用的用戶信息的同步和集成，降低數(shù)據(jù)維護(hù)成本，并提高數(shù)據(jù)質(zhì)量。7. 數(shù)據(jù)維護(hù) ? 用戶信息存儲各自獨立，無同步和集成關(guān)系系統(tǒng)各自獨立，用戶信息難以保持一致。缺乏對外部用戶的支持，將不利于與外界進(jìn)行的信息和應(yīng)用的集成，影響中國石油的核心競爭力。理? 目前除電子商務(wù)外，其它系統(tǒng)無外部用戶無法與外界進(jìn)行快速的信息和應(yīng)用集成，與外界的溝通效率低下。企業(yè)信息門戶上的一個 Web 部件便是一個動態(tài)的應(yīng)用。將部分用戶管理的權(quán)限（或某些信息的修改權(quán)限）交給用戶自身，是降低系統(tǒng)維護(hù)壓力，提高用戶滿意度的重要手段。9 / 102統(tǒng)中，或無法得到及時的維護(hù)。5. 用戶自管理 ? 大部分應(yīng)用只提供用戶密碼修改的自管理功能系統(tǒng)維護(hù)壓力大，用戶自主能力弱。用戶信息的分權(quán)管理，即由最接近用戶的管理員進(jìn)行用戶信息維護(hù)將能有效減少中心的維護(hù)量，并提高系統(tǒng)的可擴(kuò)展性。靈活性、分布性差? 中國石油業(yè)務(wù)和組織結(jié)構(gòu)快速變革，系統(tǒng)管理的職責(zé)分布也在不斷變化，中心管理的方式將無法適應(yīng)根據(jù)公司的政策對系統(tǒng)管理職責(zé)進(jìn)行靈活的調(diào)整的業(yè)務(wù)需求。另一方面，缺乏帳號取消 / 注銷的策略和控制措施，用戶離職、換崗位后其系統(tǒng)用戶信息往往未能及時注銷 / 更改， 也將提高系統(tǒng)的安全風(fēng)險。8 / 1023. 用戶注銷 ? 無帳戶取消的策略和控制措施 一致性和保密性。? 進(jìn)行統(tǒng)一的用戶注冊 / 注銷。當(dāng)應(yīng)用維護(hù)各自的用戶信息時，將很難建立統(tǒng)一的組織進(jìn)行用戶信息的統(tǒng)一管理，將很難保證用戶信息的準(zhǔn)確性、? 建立用戶信息的中心存儲，將中國石油主流應(yīng)用的用戶信息進(jìn)行統(tǒng)一的管理。某些用戶為了記住不同系統(tǒng)的用戶名和密碼，往往將其寫在紙上，甚至放在桌面上，這將大大提高安全風(fēng)險。另一方面，各應(yīng)用維護(hù)獨立的用戶信息，將不利于用戶信息的標(biāo)準(zhǔn)化，不利于信息的共享。7 / 1022 現(xiàn)狀概述 現(xiàn)狀分析與改進(jìn)推薦標(biāo)題 中國石油現(xiàn)狀 主要影響與問題分析 改進(jìn)推薦1. 信息存儲 ? 電子郵件、企業(yè)信息門戶公用用戶存儲信息，其它系統(tǒng)各自獨立2. 用戶注冊 ? 各系統(tǒng)進(jìn)行獨立的用戶注冊，無統(tǒng)一開戶流程，無統(tǒng)一的策略和方法? 由系統(tǒng)管理員根據(jù)使用需求開戶? 存在公用帳號用戶注冊 / 注銷過程缺乏統(tǒng)一管理，圍繞不同的應(yīng)用將形成若干安全孤島。認(rèn)證和授權(quán)系統(tǒng)設(shè)計是中國石油制訂信息安全政策和標(biāo)準(zhǔn)項目的一部分。要合理地約束和消除這些風(fēng)險，中國石油認(rèn)證與授權(quán)管理建設(shè)勢在必行。為保證中國石油信息系統(tǒng)的安全、健康、持續(xù)發(fā)展，降低信息技術(shù)給業(yè)務(wù)帶來的威脅和風(fēng)險，保證信息建設(shè)取得最大化的效益，根據(jù)中國石油信息化建設(shè)總體規(guī)劃，中國石油開始實施制訂信息安全政策和標(biāo)準(zhǔn)項目。6 / 1021 概述本報告是中國石油制定信息安全政策與標(biāo)準(zhǔn)項目中認(rèn)證與授權(quán)系統(tǒng)設(shè)計的第三部分，目的是提出中國石油認(rèn)證與授權(quán)管理的總體技術(shù)架構(gòu)，進(jìn)行認(rèn)證和授權(quán)產(chǎn)品的市場分析，并給出相應(yīng)的路標(biāo)規(guī)劃和實施計劃。方案設(shè)計提出中國石油認(rèn)證與授權(quán)管理的總體技術(shù)架構(gòu)，進(jìn)行認(rèn)證和授權(quán)產(chǎn)品的市場分析，并給出相應(yīng)的路標(biāo)規(guī)劃和實施計劃。中國石油信息系統(tǒng)認(rèn)證與授權(quán)管理方案設(shè)計中國石油制訂信息安全政策與標(biāo)準(zhǔn)項目組2022 年 8 月 22 日 2 / 102目 錄前 言 ..........................................................................................................................................61 概述 ...................................................................................................................................7 項目背景 ......................................................................................................................7 項目目的 ......................................................................................................................82 現(xiàn)狀概述 ............................................................................................................................9 身份管理 ......................................................................................................................9 現(xiàn)狀分析與改進(jìn)推薦 ................................................................................................9 解決方案 ................................................................................................................15 認(rèn)證管理 ....................................................................................................................15 現(xiàn)狀概述 ................................................................................................................15 解決方案 ................................................................................................................17 訪問管理 ....................................................................................................................17 現(xiàn)狀概述 ................................................................................................................17 解決方案 ................................................................................................................183 總體架構(gòu) ..........................................................................................................................19 認(rèn)證與授權(quán)在信息技術(shù)總體架構(gòu)中所處的位置 ..........................................................19 認(rèn)證與授權(quán)管理設(shè)計原則 ..........................................................................................19 認(rèn)證與授權(quán)管理的概念模型 .......................................................................................21 中國石油認(rèn)證與授權(quán)管理需求概述 ........................................................................21 認(rèn)證與授權(quán)管理概念模型 .......................................................................................22 總體架構(gòu) ....................................................................................................................264 目錄服務(wù)與身份管理 ........................................................................................................27 概述 ...........................................................................................................................27 集成設(shè)計 ....................................................................................................................28 概述 .......................................................................................................................28 集成的內(nèi)容 ............................................................................................................29 集成的模式 ....................................................