中国石油信息系统认证与授权管理方案规划.doc

中国石油信息系统认证与授权管理方案设计 中国石油制订信息安全政策与标准项目组2019年8月5日目录前言 61 概述 项目背景 项目目的 82 现状概述 身份管理 现状分析与改进推荐 解决方案 认证管理 现状概述 解决方案 访问管理 现状概述 解决方案 183 总体架构 认证与授权在信息技术总体架构中所处的位置 认证与授权管理设计原则 认证与授权管理的概念模型 中国石油认证与授权管理需求概述 认证与授权管理概念模型 总体架构 264 目录服务与身份管理 概述 集成设计 概述 集成的内容 集成的模式 数据流设计 数据设计 概述 组织和组织单元对象 人员对象 其它对象 附:Schema设计介绍 逻辑设计 概述 后缀选择 目录分支结构 条目RDN选择 物理设计 概述 数据划分 目录数据库的物理分布 复制设计 概述 复制的内容 复制的模式 复制的频度 安全设计 概述 密码政策 访问控制 加密 审计跟踪 575 认证管理 概述 PKI设计 概述 密钥的生成及存储 证书的生成 证书的合法性验证 交叉认证 证书政策 PKI实施策略 多认证体系 656 访问管理 概述 对桌面资源的访问管理 对Web资源的访问管理 访问者描述 资源描述 规则描述 对C/S应用的访问管理 717 产品技术分析 认证与授权管理产品分类 目录服务 身份管理 认证管理 访问管理 认证与授权产品市场分析 目录服务 身份管理 认证管理 访问管理 认证和授权管理产品供应商简要分析 IBM Microsoft Sun Novell CA PKI供应商 838 路标规划 实施风险分析 风险分析 风险评估 分阶段路标规划 阶段定义 实施路标 第一阶段实施计划 第一阶段实现的功能 第一阶段技术架构 项目计划 所需资源 投资估算 979 附:认证与授权技术概述 目录服务技术概述 目录服务及发展简介 LDAP的工作过程 LDAP模型 认证管理技术概述 认证方式 PKI技术简介 国内PKI标准化现状 访问管理技术概述 基于角色、基于政策的访问管理 SAML简介 114前言中国石油天然气股份有限公司(以下简称“中国石油”)认证和授权系统设计由三部分组成:1、现状报告分析中国石油认证与授权的现状及存在的问题,为下一步方案设计提供参考。2、需求分析报告对中国石油认证与授权管理建设进行分析和展望,并提供可行的建设思路。3、方案设计提出中国石油认证与授权管理的总体技术架构,进行认证和授权产品的市场分析,并给出相应的路标规划和实施计划。本报告是系统设计的第三部分。概述本报告是中国石油制定信息安全政策与标准项目中认证与授权系统设计的第三部分,目的是提出中国石油认证与授权管理的总体技术架构,进行认证和授权产品的市场分析,并给出相应的路标规划和实施计划。报告包含以下内容:现状与需求概述总体逻辑架构目录服务与身份管理逻辑架构认证