方案背景 方案设计
统一身份认证&授权管理安全解决方案
方案背景

随着信息化的不断深入,企事业单位的网络环境变得越来越复杂,为了访问信息和完成相应工作,业务系统用户需要在不同的系统上完成业务工作,一方面需要对不同业务系统的用户、权限进行统一动态管理,另一方面也需要对所有系统实现统一的安全策略。

由于信息系统中有大量的业务系统,分别属于不同的部门和不同的应用。各系统都有一套独立的账户、认证、授权和审计系统,员工使用不同的业务系统时,需要访问不同的地址、记住多个业务系统的复杂密码;当维护人员同时对多个系统进行维护时,工作复杂度也会成倍增加。各系统分别管理所属的系统资源,缺乏集中统一的授权管理平台,无法严格按照最小权限原则分配权限。另外,随着用户数量的增加,权限管理任务越来越重,系统的安全性无法得到充分保证。有些账号多人共用,不仅在发生安全事故后,难于确定账号的实际使用者,而且在平时也难以对账号的扩散范围进行控制,容易造成安全漏洞。


方案设计

统一身份认证/授权管理平台以用户管理为核心,以PKI体系为技术基础,为业务信息系统提供用户管理、身份认证、授权管理和审计管理的4A服务。为多业务系统实现单点登录和应用访问控制提供基础安全平台和核心安全服务。

平台实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。

统一身份认证&授权管理安全解决方案(图1)

如图所示,平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:

1.集中用户管理系统

完成各系统的用户信息整合,实现用户生命周期的集中统一管理,并建立与各应用系统的同步机制,简化用户及其账号的管理复杂度,降低系统管理的安全风险。

2.集中证书管理系统

集成证书服务和电子密钥(USB-Key)管理功能,实现用户证书申请、审批、核发、更新、吊销等生命周期管理功能。

3.集中认证管理系统

实现多业务系统的统一认证,支持数字证书、动态口令、静态口令等多种认证方式;提供单点登录服务,用户只需要登录一次就可以访问所有相互信任的应用系统。

4.集中授权管理系统

根据安全策略,采用基于角色的访问控制技术,实现支持多应用系统的集中、灵活的访问控制和授权管理功能,提高管理效率。

5.集中审计管理系统

提供全方位的用户管理、证书管理、认证管理和授权管理的审计信息,支持应用系统、用户登录、管理操作等审计管理。


平台拓扑结构图如下所示:

统一身份认证&授权管理安全解决方案(图2)