搜索
4A平台概述四川中电启明星信息技术有限公司卓越科技照亮未来目录Contents4A平台技术发展路线二4A平台概述一启明星公司4A发展历程三星盾平台概述四四川中电启明星信息技术有限公司卓越科技照亮未来企业管理挑战和安全问题缺乏集中身份管理缺乏统一的认证管理1.身份管理2.认证管理分散独立的认证系统、维护工作量大,复杂度高;工作人员频繁切换登陆,操作繁琐;多人共享帐号,难于确认帐号实际使用者;工程帐号、临时帐号缺乏管理;一人拥有多帐号,难于记忆,操作复杂;帐号1帐号2帐号3帐号N到底是谁!……每天要登陆N多系统记N多密码,烦死了……四川中电启明星信息技术有限公司卓越科技照亮未来企业管理挑战和安全问题缺乏统一的权限管理3.权限管理4.安全审计不同业务系统授权模型差异较大,无法实现统一的权限管理,权限分配与管理任务量大;授权随意,权限管控粒度不够,缺乏授权合理性、规范性检查;无法集中监控用户在不同各业务应用中的权限分配无法有效审计业务流程和权限变更,认定用户行为责任,无法进行权限风险分析与预警;各系统单独审计,缺乏集中统一的系统访问审计分析,不能及时发现入侵行为这是谁弄的!…这些家伙都做了什么!…管理员缺乏统一的审计管理系统A系统B系统Z系统Y…授权模型A授权模型B授权模型Y授权管理流程Y授权模型Z授权管理流程Z授权管理流程A授权管理流程B四川中电启明星信息技术有限公司卓越科技照亮未来什么是4A管理•用户做过什么•用户能做什么•验证用户身份•定义用户身份账号管理认证管理审计管理授权管理“4A”属于信息安全的范畴,其名称来源于4大安全管理的英文缩写:账号管理(Account)认证管理(Authentication)授权管理(Authorization)审计管理(Audit)四川中电启明星信息技术有限公司卓越科技照亮未来4A平台在企业信息架构中的位置TD06安全管理TD01系统构建TD02用户交互TD03应用支撑TD04系统集成TD05数据管理TD08基础设施TD07系统运维开发平台测试平台运行监控平台资源管理平台数据资源管理平台非结构化数据平台海量准实时数据平台信息集成平台复杂事件处理平台信息门户平台通讯协同平台安全运行平台客制化应用支撑平台商务智能平台空间信息平台服务器存储设备网络数据交换平台移动应用平台结构化数据平台TD06安全管理安全运行平台物理安全机房安全监控与审计信息安全审计运维审计安全监测预警网络安全互联网出口安全防护内外网安全隔离网络安全防护与优化无线网安全移动接入安全主机安全域安全桌面安全防病毒网络准入云安全应用安全数据库安全4APKI/CA应用级灾备数据安全数据备份与恢复文档加密数据级灾备保密安全技术应用4A平台企业EA整体视图中,所属模块为“安全运行平台-应用安全-4A”,如图红色边线区域:6四川中电启明星信息技术有限公司卓越科技照亮未来74A平台业务范围7员工临时员工供应商统一认证单点登录访问控制多因素认证身份管理账号生命周期管理权限管理资源管理集成管理审计与报告最终用户多接入渠道访问管理IT应用和基础设施身份权限管理组织变化收购合并业务动作业务活动治理与控制IT治理信息安全IT服务管理权限数据分类4A平台是一套集统一身份、统一认证、统一授权、安全审计于一体的整体解决方案,同时也是一套高效的统一权限管理集约化平台,助力信息系统应用安全管理。四川中电启明星信息技术有限公司卓越科技照亮未来4A平台典型业务场景四川中电启明星信息技术有限公司卓越科技照亮未来4A平台建设价值和意义企业门户非结构化数据平台电网空间数据平台海量历史/准实时数据平台应用信息展现集成服务数据资源SAP应用SG-UAP应用Ariba应用Domino应用其它定制化应用批量数据总线企业服务总线及服务库企业流程管理及监控消息总线大屏可视化安全数据资源服务平台结构化数据中心智能分析决策平台桌面可视化统一应用开发平台软件资产管理开发运行环境主数据管理4A平台为应用系统间业务流程贯通提供一致的人员权限信息为应用系统间集成提供统一的认证机制为应用系统间集成提供有效的安全控制措施为应用系统间业务流程贯通提供一致的人员账号信息为应用系统间数据互通提供一致的组织机构数据支撑四川中电启明星信息技术有限公司卓越科技照亮未来4A平台建设价值和意义企业根据发展形势的需求,进行机构改革、业务重组时,往往需要大量的人力、物力对已建系统进行组织机构、权限分配的调整。通过4A平台,对组织机构、人员权限等进行统一调整ERP规划管理项目管理运行管理生产管理营销管理4A管理平台4A平台提供的能力:1、统一的数据源,确保各系统内人员、组织机构数据的一致性。2、利用权限分析检测功能,对人员权限进行全面监控与合规性检测。3、安全、高效的数据同步技术,提高调整效率。四川中电启明星信息技术有限公司卓越科技照亮未来目录Contents4A平台技术发展路线二4A平台概述一启明星公司4A发展历程三星盾平台概述四四川中电启明星信息技术有限公司卓越科技照亮未来访问控制的技术演进自主访问控制(DAC)强制访问控制(MAC)RBAC96-97RBAC0-3自主访问控制的权限传递性给系统带来了安全隐患。而强制访问控制对访问控制的要求又过于严格,一般对于二级到三级等保要求的管理信息系统使用有所不便。RBAC家族模型RBAC衍生模型统一权限模型GRBACDRBACTRBAC1996年2006年鉴于SOA的服务复用思想,需要将权限控制从应用系统解祸出来,封装成独立的模块,设计实现一种通用的,易扩展、跨平台的、与应用系统解耦的权限控制方法RBAC92RaviSandhu四川中电启明星信息技术有限公司卓越科技照亮未来权限管理模式转变权限分配差异大、运维能力分散各业务系统独立运维,由于权限模型差异无法实现统一的权限管理一致无统一管理规范,权限审查困难各业务系统无统一遵循的权限管理方法,信息部门很难审查各系统权限是否分配合理。统一权限管理,简化运维工作完成对权限操作方式的统一,实现所有系统的授权方式一致,降低权限维护的门槛,减少授权工作对专业业务的依赖分层分级授权,提升管理效率明确信息部门与业务部门在权限管理方面的职责,分层管理;权限分配工作分解到各单位、部门,分级管理。提升管理效率节约项目投资,缩短开发周期新建业务系统时将无需再单独开发组织、账号、权限管理功能模块,可缩短业务系统开发周期,降低开发成本加强安全控制,促进权限合规帮助企业管理人员迅速掌握企业的权限分布情况,及时了解企业权限风险情况。业务实现权限实现B业务系统单系统权限管理模式1业务实现权限实现A业务系统业务实现B业务系统权限实现建设统一权限后的管理模式权限实现统一权限平台2业务实现A业务系统权限实现四川中电启明星信息技术有限公司卓越科技照亮未来管理幅度增加14四川中电启明星信息技术有限公司卓越科技照亮未来多因素认证多因素验证可确保用户的身份准确性。用于确定个体身份的因素越多,真实性就越可靠。可通过组合以下因素进行多因素验证:知道的东西–密码或PIN拥有的东西–令牌或智能卡(双因素验证)自身的东西–生物特征,如指纹(三因素验证)因为多因素验证安全需要登录时提供多种识别方式,所以被公认为数据和应用程序访问授权的最安全软件身份认证方法。统一认证管理服务统一安全策略正式员工SMS手机短信认证临时员工软件令牌认证运维厂商硬件令牌认证四川中电启明星信息技术有限公司卓越科技照亮未来集成方式统一权限管理业务应用适配器集成接口业务应用系统身份数据组织数据权限数据数据转换数据分发数据管理数据交换调用统一权限方提供集成规范业务应用方提供转换适配器统一权限管理权限接口服务业务应用系统权限计算结果认证接口数据管理统一权限方提供集成规范统一权限提供接口服务请求反馈权限计算数据交换组织角色接口权限对象接口四川中电启明星信息技术有限公司卓越科技照亮未来其他新技术4A平台新的单点登录协议新的集成技术新的数据库技术四川中电启明星信息技术有限公司卓越科技照亮未来目录Contents4A平台技术发展路线二4A平台概述一启明星公司4A发展历程三星盾平台概述四四川中电启明星信息技术有限公司卓越科技照亮未来4A发展概述四川中电启明星信息技术有限公司卓越科技照亮未来国网SG186目录服务建设成果身份认证身份认证单点登录正反级联反向代理统一用户管理账号管理组织管理密码管理组织变更LDAP属性管理系统开通账号审计目录服务LDAP服务数据存储“架构优化,提升承载能力”,为实现三中心部署和支撑一级部署应用,目录服务正在开展以级联交换目录为核心主体、省市目录为前置副本的分布式体系研究工作,发挥目录柔性架构优势,提高系统承载能力。省市公司技术研究各省市公司自行组织对目录系统优化及功能扩展的研究,部分省市公司研究课题目前已申请专利,主要技术研究方向包括单点登录技术应急机制、账号/密码同步安全性及可靠性等。一级部署系统总部交换目录已集成27个一级部署系统,为一级部署系统提供正反向级联认证、单点登录、用户账号/密码同步、HR组织同步、一级部署系统账号开通等服务。二级部署系统建设情况各省市公司二级部署目录已集成25个统推二级部署系统,为二级部署系统提供正反向级联认证、单点登录、用户账号/密码同步、HR组织同步、一二级部署系统账号开通等服务。应用水平“纵向到底、横向到边”:目录服务系统覆盖总分部及全部省市公司、23家直属单位,横向系统集成覆盖国网统推和网省自建,纵向数据贯穿总部、省市、县直至班组。省市自建系统各省市公司目录已集成自建系统90个,提供单点登录、账号/密码同步等服务。注册用户数(人)130万累计访问人次(人次)8.2亿日登录人数(人)46万在线用户数(人)19万数据来源:IMS统计日期:2012年5月17日四川中电启明星信息技术有限公司卓越科技照亮未来国网统一权限平台概述-建设历程基于公司信息化SG186工程建设成果,分析权限建设现状,统一开展系统设计研发工作。基础建设为主,初步形成统一身份信息管理体系,建成部门协调运作机制、考核体系和信息化管理系统。以全面实施为主,进一步提高基础管理水平,在国网公司全面实施统一身份信息管理。2011年2012年2013年设计开发阶段试点建设阶段全面推广阶段四川中电启明星信息技术有限公司卓越科技照亮未来国网统一权限平台概述-平台业务架构四川中电启明星信息技术有限公司卓越科技照亮未来国网统一权限平台概述-平台应用架构四川中电启明星信息技术有限公司卓越科技照亮未来国网统一权限平台概述-平台数据架构四川中电启明星信息技术有限公司卓越科技照亮未来国网统一权限平台概述-平台逻辑部署四川中电启明星信息技术有限公司卓越科技照亮未来国网统一权限平台概述-平台物理部署四川中电启明星信息技术有限公司卓越科技照亮未来南网4A平台概述-项目建设背景与历程随着南方电网公司信息系统数量的逐渐增多,全网10个单位、30万信息用户的身份权限管理与行为审计形势面临严峻考验:身份认证方面用户账号分散在各系统导致账号管理变得愈加复杂;一人多账号、虚拟账号的情况阻碍对用户行为的审计。权限管理方面各系统独立管理权限,无法从全局审查个人的权限是否合理,是否存在权限被放大的风险,无法及时有效发现安全风险。审计管理方面无法集中有效审计用户行为和权限变更,认定用户行为责任,无法进行权限风险分析与预警。四川中电启明星信息技术有限公司卓越科技照亮未来南网4A平台概述-业务架构4A平台4A平台是统一用户权限管理平台,是企业信息系统的统一访问入口,核心功能包括统一用户、统一认证、统一授权、统一审计,为“6+1”系统横向协同与纵向贯通提供关键支撑能力。员工临时员工供应商最终用户统一认证身份管理权限管理组织改革岗位变动业务动作业务活动治理与控制“十统一”原则要求管控访问控制管控功能安全管控权限资源审计服务人力资源财务管理资产管理协同办公统一用户、认证、授权和审计管理营销管理综合管理一体化平台四川中电启明星信息技术有限公司卓越科技照亮未来南网4A平台概述-数据架构四川中电启明星信息技术有限公司卓越