中国石油信息系统认证与授权管理方案规划.docx

中国石油信息系统认证与授权治理
方案设计

中国石油制订信息宁静政策与尺度项目组
2021年6月14日
目录
前 言 6
1 概述 7
项目配景 7
项目目的 8
2 现状概述 9
身份治理 9
现状阐发与革新推荐 9
解决方案 15
认证治理 15
现状概述 15
解决方案 17
访问治理 17
现状概述 17
解决方案 18
3 总体架构 19
认证与授权在信息技能总体架构中所处的位置 19
认证与授权治理设计原则 19
认证与授权治理的观点模型 21
中国石油认证与授权治理需求概述 21
认证与授权治理观点模型 22
总体架构 26
4 目录办事与身份治理 27
概述 27
集成设计 28
概述 28
集成的内容 29
集成的模式 32
数据流设计 33
数据设计 35
概述 35
组织和组织单位东西 37
人员东西 38
其它东西 39
附：Schema设计介绍 39
逻辑设计 41
概述 41
后缀选择 42
目录分支结构 43
条目RDN选择 46
物理设计 47
概述 47
数据分别 48
目录数据库的物理漫衍 49
复制设计 50
概述 50
复制的内容 51
复制的模式 51
复制的频度 53
宁静设计 54
概述 54
密码政策 55
访问控制 56
加密 57
审计跟踪 57
5 认证治理 57
概述 57
PKI设计 58
概述 58
密钥的生成及存储 59
证书的生成 60
证书的正当性验证 61
交织认证 62
证书政策 62
PKI实施计谋 63
多认证体系 65
6 访问治理 66
概述 66
对桌面资源的访问治理 67
对Web资源的访问治理 67
访问者描述 69
资源描述 69
规矩描述 70
对C/S应用的访问治理 71
7 产物技能阐发 71
认证与授权治理产物分类 71
目录办事 72
身份治理 72
认证治理 73
访问治理 74
认证与授权产物市场阐发 74
目录办事 74
身份治理 76
认证治理 77
访问治理 78
认证和授权治理产物供给商扼要阐发 80
IBM 80
Microsoft 81
Sun 81
Novell 82
CA 83
PKI供给商 83
8 路标筹划 84
实施风险阐发 84
风险阐发 84
风险评估 87
分阶段路标筹划 88
阶段界说 88
实施路标 91
第一阶段实施筹划 91
第一阶段实现的功效 91
第一阶段技能架构 92
项目筹划 92
所需资源 97
投资估算 97
9 附：认证与授权技能概述 98
目录办事技能概述 98
目录办事及生长简介 98
LDAP的事情历程 98
LDAP模型 99
认证治理技能概述 103
认证方法 103
PKI技能简介 107
海内PKI尺度化现状 113
访问治理技能概述 114
基于脚色、基于政策的访问治理 114
PMI简介 114
SAML简介 114
前 言
中国石油天然气股份有限公司（以下简称“中国石油”）认证和授权系统设计由三部分组成：
1、现状陈诉
阐发中国石油认证与授权的现状及存在的问题，为下一步方案设计提供参考。
2、需求阐发陈诉
对中国石油认证与授权治理建立进行阐发和展望，并提供可行的建立思路。
3、方案设计
提出中国石油认证与授权治理的总体技能架构，进行认证和授权产物的市场阐发，并给出相应的路标筹划和实施筹划。
本陈诉是系统设计的第三部分。
概述
本陈诉是中国石油制定信息宁静政策与尺度项目中认证与授权系统设计的第三部分，目的是提出中国石油认证与授权治理的总体技能架构，进行认证和授权产物的市场阐发，并给出相应的路标筹划和实施筹划。陈诉包罗以下内容：
现状与需求概述
总体逻辑架构
目录办事与身份治理逻辑架构
认证治理逻辑架构
访问治理逻辑架构
产物技能阐发
路标筹划
项目配景
现代企业对信息的