集团公司身份管理与认证项目介绍

,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,28,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,中国石油身份管理与认证,项目介绍,集团公司身份管理与认证项目组,2010,年,11,月,项目概述,IAM,系统简介,PKI,系统简介,下一步工作计划,目录,1.1,项目背景,1.2,实现目标,1.3,建设范围,1.4,项目进展,1.1,项目背景（一）,国家相关文件要求加强信息安全保障工作，建立完善的信息安全保障体系，并提出了对关键信息系统实施等级保护的要求；,美国萨班斯法案对上市公司提出了信息安全相关的内部控制要求；,中国石油“十五”和“十一五”信息技术总体规划，要求提高主要应用系统信息安全保障能力，保证网络与信息系统安全和可靠的运行；,集团公司领导非常重视信息安全工作，提出力争在,3,5,年内基本建成信息安全保障体系的目标，并专门立项编制,中国石油信息安全总体规划,；,中国石油信息安全总体规划,参照国际最佳实践、结合中国石油实际情况，提出了信息安全保障体系架构，规划了,11,个信息安全项目，“身份管理与认证项目”是其中重要的技术类项目之一。,1.1,项目背景（二）,身份,管理与认证项目建设是应对用户身份与认证相关安全威胁,的需要,：,切实存在的信息安全威胁,某些应用系统用户设置了过于简单的口令，无法保证这些用户登录系统认证的安全性；,某些应用系统身份管理与认证的管理方式与实现流程不够完善，从而造成在应用系统中存在大量孤儿帐号，为系统的安全性带来极大隐患。,统一的强认证实现技术基础，与集中的帐号、口令管理机制，不仅能够有效解决当前存在的弱口令、孤儿帐号等“老大难”问题，而且通过集中、统一的实现方式为中国石油信息技术应用环境建立起安全可靠的信息安全“基准线”。,案例：,在近期的一次安全检查中，发现某些应用中存在大量弱口令帐号，如,111111,、,123456,等；,通过实验，在应用的网络层面进行监听，能够搜集获取明文口令；,在对某应用系统进行帐号梳理的过程中，发现该系统内存在已离职人员的帐号依然有效的情况；,1.1,项目背景（三）,身份管理与认证项目是为满足用户身份与认证合规要求所采取的举措：,等级保护合规挑战,中国石油按照国家要求，对重要信息系统进行了定级，共6个二级系统,，,18个三级系统,和,1个四级系统,；,国家等级保护文件中明确提出了对于网络、主机、应用系统的身份鉴别、访问控制、安全审计等信息安全基本要求,；,萨班斯法案的内控合规挑战,SOX内控中与信息安全相关的GCC控制点，对系统用户帐号,管理及安全认证,提出了要求，,并明确了,最低长度、更新周期等,口令安全策略,。,通过强认证机制满足内控中用户访问信息系统的安全控制目标，并达到等级保护明确提出的双因素认证等更高标准合规要求；,集中的流程化身份管理系统中固化了帐号申请、开通、管理与定期审阅等控制措施，在确保整体达到合规要求的同时，提高了用户身份与帐号管理工作的效率。,1.1,项目背景（四）,中国石油信息安全总体规划设计了,11,个项目，其中身份管理与认证项目与业务系统直接相关，是构建全面信息安全防线的重要环节。,信息安全技术防护需要覆盖网络、系统、应用与终端等层面；,应用安全主要依托于身份管理与认证项目；,网络与系统层面的安全防护主要通过安全配置规范开发与网络安全域实施等两个项目实现，而用户终端的安全防护则主要依托于桌面安全管理项目加以提升。,通俗地说，应用安全要做到让非法用户 “进不来”、“偷不走”、“赖不掉”，而身份管理与认证项目的主要目标就是确保“坏人进不来”，并通过数字证书、审计日志实现并支持系统访问乃至业务层面的“坏事赖不掉”。而且有序的身份管理机制，也能够帮助各应用系统自行实现的权限管理机制更好地达到“偷不走”的目标。,建成集中身份管理与统一认证平台，实现关键和重要系统的用户身份安全认证，提高用户身份管理效率，保证系统访问的安全性，包括：,建立集中的用户身份管理及统一认证服务平台；,实现身份管理与统一认证服务和应用系统的集成；,建立统一的数字证书强认证体系。,1.2 实现目标,（,一）,对于各应用系统，在与集中身份管理与统一认证平台集成后，能够做到：,用户通过单点登录，更为方便和安全的访问应用系统，并可不经重复认证直接访问其他应用系统；,关键与重要用户使用比口令更安全易用的,USBKey,登录应用系统；,集中实现各应用系统用户帐号的电子化流程管理，并与员工信息的变化联动，大幅提高应用系统帐号管理的时效性；,及时发现用户帐号安全隐患，及时处理身份与访问相关安全问题；,通过本平台的身份管理功能，有助于对应用系统用户帐号进行梳理和检查，及时发现和处理孤儿帐号，加强帐号管理力度。,1.2,实现目标,（,二）,系统集成的范围：,试点阶段,中国石油总部的,5,个应用系统（信息化工作管理平台、,ERP,人力资源管理系统、企业信息门户系统、电子邮件系统、管道生产与运行系统）；,推广阶段,中国石油总部统建的,39,个应用系统，以及地区公司自建的部分重要信息系统；,用户范围：,涵盖中国石油所有信息系统用户。,功能范围：,集中身份管理、统一认证和单点登录；,权限管理与细粒度访问控制仍在各系统中自行管理。,1.3,建设范围,已完成,IAM,（身份管理与访问控制系统）和,PKI,（公共密钥体系基础设施）系统的开发、测试、定版工作,已完成,IAM,及,PKI,系统在勘探院主生产环境的部署上线，正在开展东直门灾备环境建设,已完成,HR,（人力资源系统）、,CNPC,及,PTR,电子邮件、,IMS,（信息化管理平台）等应用系统的集成上线，完成企业信息门户及管道生产管理系统的集成开发、测试工作，正在开展与化工销售,ERP,、,VPN,、桌面安全以及库存管理等应用系统的集成开发工作,已完成东方物探公司试点工作，完成,RA,（证书注册中心）代理点建设并已发放,3,千多数字证书,1.4 项目进展,IAM,系统概述,IAM,系统简介,PKI,系统简介,4,下一步工作计划,目录,2.1 IAM,系统功能,2.2 IAM,系统架构,2.3,集成效果展示,2.1,系统功能（一）,IAM,系统功能架构：,身份管理与访问控制系统所实现的功能包括：,身份管理；,授权管理；,单点登录；,集中审计。,2.1,系统功能（二）,集中身份管理：实现中国石油员工与各应用系统帐号的对应，方便掌握人员所拥有的各应用系统的信息，在人员状态（离职、职位变更、调动等）发生变化时，能够及时对帐号进行相应操作（增加、冻结、修改）。,电子审批：,IAM,系统根据不同业务应用需要，可灵活定义多种用户身份管理的审批流程。,用户帐号创建流程,用户身份信息变更联动机制,单点登录：实现了被集成应用系统之间的身份认证互信机制，,用户经过统一身份认证之后，即可访问该用户拥有访问权限的全部应用系统；,强认证：在符合国家相关标准的公共密钥体系基础设施（,PKI,）的支撑下，基于严谨的加密算法与密钥管理机制，实现高安全性的,USBKey,数字证书认证方式。,2.1,系统功能（三）,实现了电子签名、安全巡检和审计追踪等功能，确保用户帐号操作的可稽核性，身份与帐号信息的完整性，能够及时发现对于用户帐号属性的非法篡改。,2.1,系统功能（四）,2.2,系统架构（一）,IAM,系统逻辑架构：,集中用户身份管理过程,用户访问管理,2.2,系统架构（二）,17,充分考虑安全性和可靠性要求的部署架构：,设备平台部署包括,3,大部分：,主生产系统（部署在勘探院）；,同城容灾系统（部署在东直门总部机房）；,各区域系统（部署在,10,个区域网络中心）。,为保证整个系统的稳定可靠运行和用户数据的安全，在部署架构设计中有以下考虑：,关键组件采用双机热备和负载均衡设备，保证系统可用性；,LDAP,之间进行数据自动同步，同时采用磁带备份技术，确保数据的安全性；,建设同城的灾备中心，实现满足五级要求的应用级备份。,2.3,集成效果展示（一）,插入,USBKEY,输入,PIN,码,单点登录,点击对应的图标，可以直接在弹出的页面中使用应用系统。,电子邮件系统,IAM,系统,IMS,系统,单点登录页面,应用服务列表,2.3,集成效果展示（二）,插入,USBKEY,输入,PIN,码,单点登录,系统,单点登录页面,应用服务列表,网上报销系统,IAM,系统概述,IAM,系统简介,PKI,系统简介,下一步工作计划,目录,3.1,逻辑结构,中国石油,PKI,体系包括认证中心,(CA),、密钥管理中心,(KMC),和证书注册中心,(RA),等三大主要组成部分，支持以数字证书身份认证信任模型为基础的用户身份强认证，按照国家商密标准建设。,3.2,总体部署,中国石油,PKI,体系按照集中式,CA,、分布式,OCSP,和分散式,RA,代理点,的模式建设。,其中,RA,代理点无设备部署，管理员以,B/S,方式登录到,RA,系统进行数字证书操作。,IAM,系统概述,IAM,系统简介,PKI,系统简介,下一步工作计划,目录,4.1,工作计划,4.2,配合工作,4.1,工作计划（一）,近期工作计划,：,11,月,20,号前，完成,RA,培训、,RA,代理点建设,12,月,10,日前，,IMS,、,HR,、化工销售,ERP,系统用户确认及证书制作发放,对化工销售企业进行 已集成系统推广,12,月底前，,IMS,、,HR,、化工销售,ERP,系统单轨运行,4.1,工作计划（二）,身份管理与认证项目下一步工作计划,：,2011,年,1,月,2,月,3,月,4,月,5,月,6,月,7,月,8,月,9,月,10,月,11,月,12,月,勘探院主生产环境,建设及东直门灾备,环境建设,总体规划系统及地区公司自建系统集成,系统优化及新增功,能开发部署,区域网络中心,身份认证子系,统部署建设,2010,年,10,月,11,月,12,月,总体规划系统及地区自建系统推广,4.1,工作计划（三）,身份管理与认证项目,2011,年地区公司推广计划,：,团队名称,人员安排,推广时间,工作范围,第一小组,5,人,1,月,17,日,-3,月,18,日,华南区域中心,3,月,21,日,12,月,30,日,大庆区域中心,第二小组,5,人,1,月,17,日,-3,月,18,日,华东区域中心,3,月,21,日,12,月,30,日,新疆区域中心,第三小组,5,人,1,月,17,日,-4,月,30,日,大连区域中心,5,月,8,日,12,月,30,日,辽河区域中心,第四小组,5,人,1,月,17,日,-4,月,30,日,兰州区域中心,5,月,8,日,12,月,30,日,西安区域中心,第五小组,5,人,1,月,17,日,-5,月,15,日,吉林区域中心,5,月,18,日,12,月,30,日,西南区域中心,第六小组,5,人,1,月,17,日,5,月,31,日,北京区域中心,4.2,配合工作,需要各所属企事业单位配合事项,：,数据梳理,数据补录,主账号生成,系统对接,数据准备,接口开发,集成测试,系统部署与运维,数字证书发放,代理点建设（管理员设置、设备管理）,USBKey,证书制作与发放,代理点日常运维,谢谢！,