电力企业决定实行单点登录
某发电有限责任公司(以下简称某发电公司)是中外合资的大型现代化火力发电企业,在目前应用的12个业务系统中,均为直接用于生产管理或企业管理的系统,每个员工在工作过程中都会经常使用与自身业务相关的多个应用系统,一般为4~5个,包括用于日常办公的OA系统、邮件系统、签到管理系统和日报综合查询系统等,当前的这种用户管理方式存在以下问题:1、用户使用不便、降低了工作效率2、身份认证方式单一3、管理员工作量大,工作负担较重4、缺少必要的登录认证审计,对操作行为无法进行监控随着企业信息化水平的不断提高,对信息资产的安全保护要求也在不断提高,单点登录技术有效地解决了企业在用户帐号管理中存在的问题,然而企业应用在不断发展要求企业不仅要解决帐号管理问题,同时要解决企业的强认证问题、统一和分级授权问题、安全审计问题,即进行4A管理,建设统一的安全管理平台,单点登录系统是企业建设统一安全管理平台的第一步,在此基础上,通过系统提供的开放式的接口和模块化的平台设计,可以实现企业的4A管理,包括:强认证已经部署的单点登录系统支持用户名/口令认证方式,可以通过扩展增加强认证方式,如数字证书和动态口令。数字证书方式:可以建设一套CA证书认证系统,为公司用户签发数字证书,提高用户身份认证强度,并可增强业务系统的安全性,如安全网站保护、安全电子邮件、智能卡登录等。动态口令方式:通过对已有的身份认证服务软件进行升级或安装新的身份认证服务软件可以支持动态口令认证。细粒度和分级的资源授权通过对单点登录门户系统进行升级,以支持功能模块级、目录级、文件级、数字库表级、记录级、字段级等的权限控制。并根据用户的属性确定用户的授权权限,以实现资源的分级授权管理。安全审计单点登录系统实现了对用户的登录行为的审计日志记录,可以利用关联分析和数据挖掘技术进行更深度的审计,统一各应用系统的日志格式,将一系列的安全事件进行关联分析,并以报表和回放的方式提供给管理员,帮助管理员对安全事件进行分析,避免安全事故的发生。
某发电有限责任公司(以下简称某发电公司)是中外合资的大型现代化火力发电企业,总投资30多亿元人民币,规划总装机容量为120万千瓦,分两期建设,其中第一期建设完成装机容量为2×30万千瓦燃煤发电机组,分别于1995年12月底和1996年11月底投入正式运营。二期建设于2003年开始,完成装机容量为2×30万千瓦燃煤供热发电机组,于2005年初建成投产。公司两期建设完成之后拥有员工1000人左右,其中生产人员占75%,其他为企业管理人员和附属企业人员。
公司信息系统自1996年开始建设并运行,为公司生产经营提供了现代化的管理手段,在对该发电公司的应用系统的深入调查和分析后,了解到目前正在使用的应用系统共有12个,由于开发的时间不同,各应用系统采用的开发技术和架构也有很大的差异,具体情况如下表所示。
序号架构应用系统名称层次结构用户密码情况客户端情况
1B/SEAM系统(企业资产管理)JSP,JAVA+Weblogic6。1+oracle9i采用ORACLE用户JVM
2B/SOA(办公自动化)(ASP。net+IIS6。0+oracle9i)用户存在数据库用户表中,密码加密存储下载控件
3B/S邮件系统PHP+MYSQL用户存在数据库用户表中,密码加密存储
4B/S公司领导综合查询ASP+IIS+oracle9i用户存在数据库用户表中,密码明码存储
5B/S实时数据ASP+IIS+oracle9i无需用户登录
6B/S签到管理JSP,JAVA+Weblogic6。1+oracle9i无需用户登录
7B/S电视监控系统PB(控件)+ASP+IIS+MYSQL用户存在数据库用户表中,密码明码存储下载控件
8C/S燃料管理系统pb6。5+oracle9i用户存在数据库用户表中,密码明码存储
9C/S生产统计管理pb6。5+oracle9i用户存在数据库用户表中,密码明码存储
10C/SDr。com计费网关系统ACCESS数据库用户存在数据库用户表中,密码加密存储
11C/S基础指标数据录入pb6。5+oracle9i用户存在数据库用户表中,密码明码存储
12C/S日报综合查询pb6。5+oracle9i用户存在数据库用户表中,密码明码存储
由上表可以看出,应用系统中采用C/S架构与B/S架构的应用各占近一半的比例,对于C/S架构的应用来说,用户都需要安装客户端程序,部分B/S架构的应用还需要下载控件,用户在登录各个应用时,需要分别输入用户名和口令。
各应用系统在用户管理方式、登录认证管理、资源授权方式和系统审计方式上的现状如下:
1、用户管理方式
业务系统都有自己独立的用户管理模块,同一用户在各个业务系统分别有不同的帐号,即一个用户有多个帐号,在登录业务系统需要输入相应系统的用户帐号。
2、登录认证方式
业务系统都有自己独立的登录认证实现,基本上都是采用输入用户帐号/口令的弱验证方式进行认证,没有更强的身份认证机制(如数字证书、动态口令)。
3、资源授权方式
各个业务系统的资源授权访问控制都是由各个业务系统内部完成的,系统模块级的控制、文件级的控制、用户访问权限都是由各个业务系统管理员事先配置,没在实现资源的集中和分级授权。
4、系统审计方式
部分业务系统具备一定的系统审计功能,但在进行用户登录认证审计方面并不是很完整,格式也不统一,系统管理员不能统一集中地对用户登录认证审计日志进行维护和管理。
某电力企业决定实行单点登录的原因
在目前应用的12个业务系统中,均为直接用于生产管理或企业管理的系统,每个员工在工作过程中都会经常使用与自身业务相关的多个应用系统,一般为4~5个,包括用于日常办公的OA系统、邮件系统、签到管理系统和日报综合查询系统等,当前的这种用户管理方式存在以下问题:
1、用户使用不便、降低了工作效率
同一用户在各个业务系统分别有不同的帐号,即一个用户有多个帐号,用户在完成一项完整的业务操作时,可能需要登录多个业务系统,输入多次帐号和口令来完成,从而降低了工作效率。
2、身份认证方式单一
公司内的所有业务系统的身份认证方式都为”用户名+密码“,认证方式单一且认证强度低。对于一些安全性要求较高的系统可能需要更高强度的认证方式。
3、管理员工作量大,工作负担较重
分散的管理方式,决定了不同的业务系统都需要配备管理员,当一个新的工作人员到岗后,所有相关的业务系统管理员都需要为该工作人员进行帐号的创建、权限的分配等管理工作;当有人员变动时,需要相关业务系统的管理员都进行帐号的创建、删除等工作。另外,由于同一用户有多个用户名和密码,而往往用户可能会忘记一些用户名和密码,这都需要管理员重新初始化密码。从总体上看,这些都增加了管理人员的工作负担。
4、缺少必要的登录认证审计,对操作行为无法进行监控
部分应用系统具有简单的审计功能,各系统的审计日志相互独立,且日志格式各不相同,当一项操作行为发生时,无法进行完整的审计,审计信息也无法进行关联。
针对这种状况,该公司提出需要建立单点登录门户系统,为用户提供统一的认证访问入口,实现统一用户管理、统一认证和审计的目标。
某电力企业单点登录解决方案概述
单点登录门户系统在技术实现时可分为两个层次,上层为(单点登录门户)网站系统,位于最前端,直接面对用户;下层为(单点登录门户)支撑系统,位于各业务系统之下,为业务系统提供统一的用户管理和身份认证支撑。
各部分的功能如下:
单点登录门户网站
单点登录门户网站为公司员工提供访问业务应用系统的统一入口,负责与用户身份认证系统连接验证用户身份,并根据相应权限显示可以访问的业务系统。
统一用户管理系统
统一用户管理系统负责对公司信息系统的所有用户信息进行统一管理,创建统一的用户登录帐号,其他业务系统的用户帐号需要同该系统的用户登录帐号进行绑定。
统一身份认证系统
统一身份认证系统负责对用户的身份进行集中验证,支持用户名/口令、数字证书(USB密码钥匙)的认证方式,支持的认证方式可扩展。
集中登录审计系统
集中登录审计系统负责将用户的登录事件记录到日志审计库中,审计系统可以针对特定的用户进行集中的登录审计。
统一接口规范
统一接口规范是单点登录门户系统提供的与业务系统进行集成的接口标准,支持C/C++、COM、Java等语言和规范,支持与C/S和B/S架构的应用系统整合,业务系统通过调用该规范使用信息门户系统提供的统一用户管理、统一身份认证和登录审计等功能。
单点登录技术概述
单点登录(SingleSign-On),简称为SSO,通常指一个用户在使用多个应用时只需要同一个认证信息(如用户名/密码),并且只需要登录一次就 可使用所有的应用。单点登录是目前比较流行的企业业务整合的解决方案之一,相对于应用实施比较复杂的 4A(Account(帐号)、Authentication(认证)、授权(Authorization)和Audit(审计))解决方案和SOA体系 架构,单点登录的实现相对简单,对于已经应用了各种不同开发环境和架构应用系统的企业来说,它能够快速的解决企业帐号管理中存在的许多问题,同时为企业进 一步实施4A管理或进行SOA业务流程整合打下良好的基础。
单点登录的实质就是安全上下文(SecurityContext)或票据(Ticket)在多个应用系统之间的传递或共享。
单点登录的技术实现机制为:当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录认证;根据用户提供的登录信息,认证系统进 行身份效验,如果通过效验,应该返回给用户一个认证的凭据——Ticket;用户再访问别的应用的时候,就会将这个Ticket带上,作为自己认证的凭 据,应用系统接受到请求之后会把Ticket送到认证系统进行效验,检查Ticket的合法性。如果通过效验,用户就可以在不用再次登录的情况下访问应用 系统2和应用系统3了。
可见,要实现SSO,需要以下主要的功能:
所有应用系统共享一个身份认证系统;
所有应用系统能够识别和提取Ticket信息;
应用系统能够识别已经登录过的用户,能自动判断当前用户是否登录过,从而完成单点登录的功能。
单点登录系统把原来分散的用户管理集中起来了。用户的账号信息是集中保存和管理的,管理员只需要在统一的用户信息库中添加、删除用户账号,不必在多个系统中分别设置用户信息库。
目前,单点登录技术在许多大型企业和政府部门中得到了广泛的应用,这些企事业单位的普遍特点是应用系统较多,由于历史的原因各应用系统的开发环境差异很 大,并且系统本身都有单独的帐号和认证功能,这样必然存在帐号管理混乱的问题,单点登录技术能有效的解决这些问题。
以下以某电力企业设计和实施单点登录系统的整个过程为例,分析单点登录技术是如何解决企业的账号管理问题的,并在此基础上,提出了4A管理在企业安全管理中的重要性。
单点登录系统的部署主要包括对系统的部署和与现有业务系统的整合,同时需要考虑系统的易用性、安全性和可扩展性。
1、单点登录系统部署
单点登录系统的部署包括软件系统和数据库的安装,其中,系统服务器安装单点登录门户系统中的所有软件程序,包括 Java应用环境、Tomcat应用服务器、一次登录门户管理网站、一次登录门户BS单点登录代理、一次登录门户网站和单点登录服务程序,同时,安装 Oracle数据库服务器,单点登录门户系统中将把数据库结构建立在此数据库中,并且系统中的软件程序将访问此数据库。
2、与业务系统整合
为了不改变用户的操作习惯,同时保证系统的可扩展性,系统提供统一的用户接口,便于进行现有应用系统与单点登录系统的整合,实现统一认证和单点登录。
B/S业务系统
业务系统需要进行:
在WEB服务器上安装安全WEB插件;
按照统一接口规范增加或修改业务系统的身份认证流程。
单点登录系统需要进行:
系统管理员在一次登录门户系统中注册该业务系统,使其纳入一次登录门户系统的统一管理;
系统管理员将该业务系统中的用户帐号同用户的登录帐号进行绑定;
系统管理员为该业务系统的用户授予其业务级的访问权限。
C/S业务系统
业务系统需要进行
按照统一接口规范增加或修改业务系统的身份认证流程。
单点登录系统需要进行
系统管理员在一次登录门户系统中注册该业务系统,使其纳入一次登录门户系统的统一管理;
系统管理员将该业务系统中的用户帐号同用户的登录帐号进行绑定;
系统管理员为该业务系统的用户授予其业务级的访问权限
在企业中实施了单点登录系统后,无论对于普通员工还是对于系统管理人员的日常工作都带来了以下明显的变化:
1.提高工作效率。用户不再需要每访问一个服务资源就进行一次身份认证过程,从而使用户有更多的时间从事有益的工作。用户也不必记忆众多的系统帐号名和密码,并且不必担心一旦忘记还需要经过复杂的流程找系统管理人员重新设置。
2.更好的网络安全性。系统中使用的身份认证机制使用了加密等多种方法,可以防止大部分的网络攻击。同时由于新的身份认证机制使用了安全性较高的密码安全策略,使系统由于用户机密信息的泄露而导致安全事故出现的机会大大减少。
3.更有效的管理。用户的账号数据统一保存,网络管理员只需要在一个用户信息库中对用户的账号信息进行操作,减少了他的工作量和由于马虎造成的安全漏洞,提高其工作效率。
4.更集中的审计
用户的集中管理为集中审计提供了必要的条件,基于多种组合条件的审计查询和统计功能使系统管理员和企业管理人员更加及时和方便的了解企业员工的操作行为,防患于未然。
单点登录与4A管理
随着企业信息化水平的不断提高,对信息资产的安全保护要求也在不断提高,单点登录技术有效地解决了企业在用户帐号管理中存在的问题,然而企业应用在不断发 展要求企业不仅要解决帐号管理问题,同时要解决企业的强认证问题、统一和分级授权问题、安全审计问题,即进行 4A管理,建设统一的安全管理平台,单点登录系统是企业建设统一安全管理平台的第一步,在此基础上,通过系统提供的开放式的接口和模块化的平台设计,可以 实现企业的4A管理,包括:
强认证
已经部署的单点登录系统支持用户名/口令认证方式,可以通过扩展增加强认证方式,如数字证书和动态口令。
数字证书方式:可以建设一套CA证书认证系统,为公司用户签发数字证书,提高用户身份认证强度,并可增强业务系统的安全性,如安全网站保护、安全电子邮件、智能卡登录等。
动态口令方式:通过对已有的身份认证服务软件进行升级或安装新的身份认证服务软件可以支持动态口令认证。
细粒度和分级的资源授权
通过对单点登录门户系统进行升级,以支持功能模块级、目录级、文件级、数字库表级、记录级、字段级等的权限控制。并根据用户的属性确定用户的授权权限,以实现资源的分级授权管理。
安全审计
单点登录系统实现了对用户的登录行为的审计日志记录,可以利用关联分析和数据挖掘技术进行更深度的审计,统一各应用系统的日志格式,将一系列的安全事件进行关联分析,并以报表和回放的方式提供给管理员,帮助管理员对安全事件进行分析,避免安全事故的发生。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/22954881/viewspace-628619/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/22954881/viewspace-628619/