某研究所是我国重要的高科技研发机构,在编人员达几万人。为了提高研究所部门内的工作效率、决策质量及调控能力。从上世纪九十年代起开始组建专用的计算机网络,并开展计算机应用工作。经过多年的建设发展,网络建设已取得很大进展,信息系统也已具备了广泛的应用基础。
面临问题:
随着信息化建设的迅速发展,以及业务信息化应用的不断深化、普及与提高,对某局专网的信息安全问题也提出了更高的要求,如身份可信、数据安全等问题越来越受到关注与重视。
在业务应用信息系统方面,不仅各个系统之间具有相应的保密和隔离要求,而且在各个业务系统内部也有相应的访问权限控制及用户管理系统,由于用户量级达几万人,各个应用系统的用户管理及授权的压力与日俱增,并且确保访问应用系统身份可信性、业务数据的保密性、完整性、可靠性和防抵赖性均面临风险。
解决办法:
通过建立以数字证书为信任体系的解决方案,实施严格的身份认证和访问控制机制,防止外部入侵和内部的非授权使用造成的信息泄漏,为信息安全性提供保障;针对业务系统建立统一用户管理、统一授权体系将多个应用系统用户进行集中管理及授权操作,减轻管理负担、提高管理效率、降低安全风险。
方案概述
经过充分的调研和测试,采用一吉大正元统一用户管理系统、统一授权系统及身份认证网关为组合的全方位解决方案。全面改善某局IT管理质量,提高了应用系统整体安全性及管理水平。
统一身份
建立某局PKI信任体系,通过数字证书来表达用户唯一身份。用户可以使用自己的数字证书登录多个应用系统,避免由于用户需要登录多个应用系统记住多个“用户名、口令”及口令方式带来的安全脆弱性问题。同时为了便于本地证书管理,将证书管理终端下放到各个省分支机构,实现本地证书全生命周期管理。
统一用户管理
吉大正元统一用户管理系统(UMS)是为了解决多个应用系统用户管理复杂性而设计的,可实现将多个应用系统用户进行集中管理,减轻用户管理工作量、提高管理效率。统一用户管理系统(UMS),以UMS为用户管理源,将新增、删除用户通过Adapter机制同步到所用的应用系统,保证用户管理实时性、准确性。减少由于应用系统过多删除用户不及时,对应用系统带来的风险。
统一授权
通过吉大正元统一授权系统(PMS),将所有应用系统入门级权限进行集中管理,配合统一用户管理系统,对用户进行个体、群体授权,其中群体可定义为规则群体及松散群体(也称不规划群体),大大提高授权的灵活性及便利性。
身份认证网关
身份认证网关是连接应用系统及数字证书的安全支撑平台,实现利用数字证书登录应用系统的关键技术。应用系统可稍加改造即可实现数字证书认证方式,支持接入多个应用系统,应用系统可以是BS应用也可以是CS应用,并且身份认证网关可提供数字证书信任链、有效期及是否被注销验证和统一门户、单点登录服务。
实施效果
通过上述解决方案,吉大正元的相关产品为研究所信息安全构建一道无形保护墙,使研究所几万用户全部使用数字证书来访问应用系统,并且实现“一次认证、全网漫游”的单点登录功能。保证所有访问应用系统用户身份的可靠性及研究成果数据的安全性。
(责任编辑:adminadmin2008)
